#amazon-web-services #aws-direct-connect #aws-directory-services #aws-sftp
Вопрос:
Семейство AWS Transfer поддерживает интеграцию с AD Connector (https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_app_compatibility.html). Насколько я понимаю, соединители развернуты в подсетях, связанных с vpn, что позволяет им выполнять прокси-вызовы в локальную службу Active Directory.
Что именно происходит (какие ресурсы создаются/обновляются под капотом), когда я выбираю AD connector в качестве средства аутентификации для передачи AWS? Мне особенно любопытно, какие изменения внесены в VPC, чтобы разрешить эту интеграцию.
Ответ №1:
В отношении службы каталогов AWS передача AWS, похоже, не изменяет ваш VPC. Если вы создадите объявление, а затем свяжете его с AWS Transfer и посмотрите на свой VPC, никаких новых сетевых ресурсов не появится. Аналогично другим приложениям (https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_manage_apps_services.html), Службы каталогов AWS разрешают AWS Transfer получать доступ к вашему объявлению (в данном случае соединителю) для входа в систему передачи.
Комментарии:
1. Спасибо! Но как он это делает? Это что-то осязаемое, как роли IAM?
2. Хм, я не уверен. Похоже, они не объясняют это, кроме того, что они предоставляют доступ к сервису пользователям вашего каталога. Здесь нет задействованных ролей, кроме разрешений, необходимых для предоставления услуге (в данном случае передаче) разрешения на доступ к AD при создании сервера. Эти разрешения указаны здесь: docs.aws.amazon.com/directoryservice/latest/admin-guide/… Вам любопытно/вы чем-то смущены или обеспокоены?
3. Мне любопытно, но и немного тревожно. Нашему аудитору безопасности может потребоваться объяснение того, как предоставляется этот доступ.
4. Я понимаю. Для настройки каждого шага требуются разрешения IAM. Для роли IAM потребуется ds:Каталог подключения, ds:Авторизация приложения и передача:как минимум, CreateDirectory, а также сведения об объявлении. Вызов connect — это то, что настраивает ENI в вашем VPC и показывает, как aws AD вызывает ваше объявление на предустановке. Кроме того, я думаю, вам интересно, как сервисы AWS взаимодействуют в этой интеграции рекламы. Вы всегда можете создать обращение в службу поддержки, и они смогут предоставить дополнительную информацию, если это станет серьезной проблемой. docs.aws.amazon.com/directoryservice/latest/admin-guide/…