Замените FTP-серверы AWS S3

Question

Я планирую перенести большие файлы на локальных FTP-серверах в AWS S3. У нас около 300 сотрудников. Каждый из них имеет доступ к папке S3 для загрузки и загрузки файлов.

Мой план состоит в том, чтобы создать единый ведро S3, создать пользователя IAM для каждого сотрудника. Поместите пользователей IAM в группу с политикой IAM, которая разрешает доступ к вспомогательным каталогам в ведре с помощью переменной политики имени пользователя. Возможно ли это? или есть лучший способ достичь этого?

Answer 1

Предполагая, что ваш FTP-сервер уже имеет аутентификацию пользователя (как собственный, так и активный каталог), вы должны придерживаться существующей схемы аутентификации пользователя и позволить IAM контролировать доступ к ресурсам S3 на уровне ведра.

В то время как IAM предназначен для управления доступом к ресурсам AWS, это не, предназначенное для аутентификации уровня пользователя на сторонних серверах приложений. Используйте текущий метод проверки подлинности пользователя, реализованный вашим FTP-сервером.

Используйте разрешения IAM для предоставления доступа с FTP-сервера к ведро S3. Это роль, которую IAM будет играть в этом типе реализации: ограничить доступ к ресурсу AWS только сервису, предоставляющему доступ.

Затем используйте драйвер монтирования S3-bucket-as-drive (CloudBees, s3Fs, TNTdrive и т. Д.) И сопоставьте каждый домашний каталог пользователей с сопоставлением драйверов с пользовательским ведром в S3.

Итак, если ваш ведро S3 является s3: // my-ftp-server, дайте FTP-серверу прочитать доступ на запись к этому ведру через IAM. В ftp sever установите ведро S3 на диск или файловую систему (скажем F :), а затем сопоставьте каждый домашний каталог пользователей с их отдельным ключом ведра (например, f: \ john_smith)