

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Administración de usuarios para puntos finales de servidor
<a name="create-user"></a>

En las siguientes secciones, encontrará información sobre cómo añadir usuarios mediante AWS Transfer Family un proveedor de identidades personalizado AWS Directory Service for Microsoft Active Directory o personalizado.

Como parte de las propiedades de cada usuario se almacena también su clave pública de Secure Shell (SSH). Es necesario hacerlo para la autenticación basada en claves. La clave privada se almacenará localmente en el equipo de su usuario. Cuando el usuario envía una solicitud de autenticación a su servidor mediante un cliente, su servidor confirma que el usuario tiene acceso a la clave SSH privada asociada. A continuación, el servidor autentica correctamente al usuario.

**nota**  
Para la implementación y la administración automatizadas de usuarios con varias claves SSH, consulte. [Módulos Transfer Family Terraform](terraform.md)

Además debe especificar el directorio de inicio o de destino del usuario y asignar un rol de AWS Identity and Access Management (IAM) al usuario. Opcionalmente puede indicar una política de sesión para restringir el acceso de los usuarios únicamente al directorio de inicio del bucket de Amazon S3.

**importante**  
AWS Transfer Family impide que los nombres de usuario que tengan 1 o 2 caracteres se autentiquen en los servidores SFTP. Además, también bloqueamos el nombre de usuario `root`.  
La razón de esto se debe al gran volumen de intentos de inicio de sesión maliciosos por parte de los escáneres de contraseñas.

## Amazon EFS frente a Amazon S3
<a name="efs-vs-s3-users"></a>

Características de cada opción de almacenamiento:
+ Para limitar el acceso: Amazon S3 soporta políticas de sesión; Amazon EFS soporta identificadores de usuario, grupo y grupo secundario POSIX
+  Ambos public/private admiten claves 
+  Ambos son compatibles con los directorios principales 
+  Ambos admiten directorios lógicos 
**nota**  
 En el caso de Amazon S3, la mayor parte del soporte para los directorios lógicos se realiza mediante API/CLI. Puede utilizar la casilla de verificación **Restringido** de la consola para bloquear a un usuario en su directorio de inicio, pero no puede especificar una estructura de directorios virtuales. 

## Directorios lógico
<a name="logical-dir-users"></a>

Si especifica valores de directorio lógico para el usuario, el parámetro que utilice depende del tipo de usuario.
+ Para los usuarios administrados por el servicio, introduzca los valores del directorio lógico en `HomeDirectoryMappings`.
+ Para los usuarios de proveedores de identidad personalizados, proporcione los valores del directorio lógico en`HomeDirectoryDetails`.

AWS Transfer Family admite la especificación de un HomeDirectory valor cuando se utiliza el LOGICAL HomeDirectoryType. Esto se aplica a los usuarios gestionados por el servicio, al acceso a Active Directory y a las implementaciones de proveedores de identidad personalizados cuando HomeDirectoryDetails se proporcionan en la respuesta.

**importante**  
Al especificar a HomeDirectory con LOGICAL HomeDirectoryType, el valor debe asignarse a una de las asignaciones de directorios lógicos. El servicio lo valida tanto durante la creación del usuario como durante las actualizaciones para evitar configuraciones que no funcionen.

### Comportamiento predeterminado
<a name="logical-dir-default"></a>

De forma predeterminada, si no se especifica, HomeDirectory se establece en «/» para el modo LÓGICO. Este comportamiento no ha cambiado y sigue siendo compatible con las definiciones de usuario existentes.
+ Asegúrese de asignarlo HomeDirectory a una *entrada* y no a un *objetivo*. Para obtener más información, consulte [Reglas para el uso de directorios lógicos](logical-dir-mappings.md#logical-dir-rules).
+ Para obtener más información sobre la estructura de un directorio virtual, consulte[Estructura de directorio virtual](implement-log-dirs.md#virtual-dirs).

### Consideraciones sobre el proveedor de identidad personalizado
<a name="logical-dir-custom-idp"></a>

Al usar un proveedor de identidad personalizado, ahora puede especificar un HomeDirectory en la respuesta mientras usa LOGICAL HomeDirectoryType. La llamada a la TestIdentityProvider API generará resultados correctos cuando el IDP personalizado especifique un HomeDirectory en modo LÓGICO.

Ejemplo de respuesta de IDP personalizada con HomeDirectory y LOGICAL: HomeDirectoryType

```
{
  "Role": "arn:aws:iam::123456789012:role/transfer-user-role",
  "HomeDirectoryType": "LOGICAL",
  "HomeDirectory": "/marketing",
  "HomeDirectoryDetails": "[{\"Entry\":\"/\",\"Target\":\"/bucket/home\"},{\"Entry\":\"/marketing\",\"Target\":\"/marketing-bucket/campaigns\"}]"
}
```

## Cuotas de grupo de Active Directory
<a name="ad-group-quotas"></a>

AWS Transfer Family tiene un límite predeterminado de 100 grupos de Active Directory por servidor. Si su caso de uso requiere más de 100 grupos, considere la posibilidad de utilizar una solución de proveedor de identidad personalizada, tal como se describe en [Simplifique la autenticación de Active Directory con un proveedor de identidad personalizado para AWS Transfer Family](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/).

Este límite se aplica a los servidores que utilizan los siguientes proveedores de identidad:
+ AWS Directory Service para Microsoft Active Directory
+ AWS Directory Service para los servicios de dominio Entra ID

Si necesita solicitar un aumento del límite de servicio, consulte [Servicio de AWS las cuotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) en *Referencia general de AWS*. Si su caso de uso requiere más de 100 grupos, considere la posibilidad de utilizar una solución de proveedor de identidad personalizada, tal como se describe en [Simplifique la autenticación de Active Directory con un proveedor de identidad personalizado para AWS Transfer Family](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/).

Para obtener información sobre la solución de problemas relacionados con los límites de grupos de Active Directory, consulte[Se han superado los límites de grupos de Active Directory](auth-issues.md#managed-ad-group-limits).

**Topics**
+ [Amazon EFS frente a Amazon S3](#efs-vs-s3-users)
+ [Directorios lógico](#logical-dir-users)
+ [Cuotas de grupo de Active Directory](#ad-group-quotas)
+ [Trabajar con usuarios de servicios administrados](service-managed-users.md)
+ [Uso de proveedores de identidad personalizados](custom-idp-intro.md)
+ [Uso AWS de Directory Service para Microsoft Active Directory](directory-services-users.md)
+ [Uso AWS de Directory Service para los servicios de dominio Entra ID](azure-sftp.md)