Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Travailler avec des utilisateurs gérés par des services
Vous pouvez ajouter des utilisateurs gérés par le service Amazon S3 ou Amazon EFS à votre serveur, en fonction du paramètre de **domaine** du serveur. Pour de plus amples informations, veuillez consulter [Configuration d'un point de terminaison de serveur SFTP, FTPS ou FTP](tf-server-endpoint.md).
Si vous utilisez un type d'identité géré par un service, vous ajoutez des utilisateurs à votre serveur compatible avec le protocole de transfert de fichiers. Dans ce cas, chaque nom d'utilisateur doit être unique sur votre serveur.
Pour ajouter un utilisateur géré par un service par programmation, consultez l'[exemple](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateUser.html#API_CreateUser_Examples) de l'API. [CreateUser](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateUser.html)
**Note**
Pour les utilisateurs gérés par des services, il existe une limite de 2 000 entrées de répertoire logique. Pour plus d'informations sur l'utilisation de répertoires logiques, consultez[Utilisation de répertoires logiques pour simplifier vos structures de répertoires Transfer Family](logical-dir-mappings.md).
**Topics**
+ [Ajouter des utilisateurs gérés par le service Amazon S3](#add-s3-user)
+ [Ajouter des utilisateurs gérés par le service Amazon EFS](#add-efs-user)
+ [Gestion des utilisateurs gérés par des services](#managing-service-managed-users)
## Ajouter des utilisateurs gérés par le service Amazon S3
**Note**
Si vous souhaitez configurer un bucket Amazon S3 multi-comptes, suivez les étapes décrites dans cet article du centre de connaissances : [Comment configurer mon AWS Transfer Family serveur pour utiliser un bucket Amazon Simple Storage Service se trouvant dans un autre AWS compte ?](https://aws.amazon.com/premiumsupport/knowledge-center/sftp-cross-account-s3-bucket/) .
**Pour ajouter un utilisateur géré par le service Amazon S3 à votre serveur**
1. Ouvrez la AWS Transfer Family console sur [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/), puis sélectionnez **Serveurs** dans le volet de navigation.
1. Sur la page **Serveurs**, cochez la case du serveur auquel vous souhaitez ajouter un utilisateur.
1. Sélectionnez **Ajouter un utilisateur**.
1. Dans la section **Configuration utilisateur**, pour **Nom d'utilisateur**, entrez le nom d'utilisateur. Ce nom d'utilisateur doit comporter au minimum 3 caractères et au maximum 100 caractères. Vous pouvez utiliser les caractères suivants dans le nom d'utilisateur : a—z, 0—9 A-Z, trait de soulignement « \_ », tiret « - », point «. » et signe « @». Le nom d'utilisateur ne peut pas commencer par un tiret « - », un point «. » ou par le signe « @».
1. Pour **Access**, choisissez le rôle IAM que vous avez créé précédemment et qui donne accès à votre compartiment Amazon S3.
Vous avez créé ce rôle IAM à l'aide de la procédure décrite dans [Création d'un rôle et d'une politique IAM](requirements-roles.md). Ce rôle IAM inclut une politique IAM qui permet d'accéder à votre compartiment Amazon S3. Cela inclut également une relation de confiance avec le AWS Transfer Family service, définie dans une autre politique IAM. Si vous avez besoin d'un contrôle d'accès précis pour vos utilisateurs, consultez le billet de blog [Enhance data access control with AWS Transfer Family and Amazon S3](https://aws.amazon.com/blogs/storage/enhance-data-access-control-with-aws-transfer-family-and-amazon-s3-access-points/).
1. (Facultatif) Pour **Politique**, sélectionnez l'une des options suivantes :
+ **Aucun**
+ **Politique existante**
+ **Sélectionnez une politique dans IAM** : vous permet de choisir une stratégie de session existante. Choisissez **View** pour voir un objet JSON contenant les détails de la politique.
+ **Auto-generate stratégie basée sur le dossier d'accueil** : génère une politique de session pour vous. Choisissez **View** pour voir un objet JSON contenant les détails de la politique.
**Note**
Si vous choisissez une **Auto-generate politique basée sur le dossier** de base, ne sélectionnez pas **Restreint** pour cet utilisateur.
Pour en savoir plus sur les politiques de session[Création d'un rôle et d'une politique IAM](requirements-roles.md), consultez[Création d'une politique de session pour un compartiment Amazon S3](users-policies-session.md), ou[Approches dynamiques de gestion des autorisations](dynamic-permission-management.md).
1. Pour le **répertoire personnel**, choisissez le compartiment Amazon S3 dans lequel stocker les données à transférer AWS Transfer Family. Entrez le chemin d'accès au `home` répertoire dans lequel votre utilisateur atterrit lorsqu'il se connecte à l'aide de son client.
Si vous laissez ce paramètre vide, le `root` répertoire de votre compartiment Amazon S3 est utilisé. Dans ce cas, vérifiez que votre rôle IAM donne accès à ce répertoire `root`.
**Note**
Nous vous recommandons de choisir un chemin de répertoire contenant le nom d'utilisateur de l'utilisateur, afin d'utiliser efficacement une politique de session. La politique de session limite l'accès des utilisateurs dans le compartiment Amazon S3 au `home` répertoire de cet utilisateur.
1. (Facultatif) Pour **Restreint**, cochez la case afin que vos utilisateurs ne puissent accéder à rien en dehors de ce dossier et ne puissent pas voir le nom du compartiment ou du dossier Amazon S3.
**Note**
L'attribution d'un répertoire personnel à l'utilisateur et la restriction de l'utilisateur à ce répertoire personnel devraient suffire à verrouiller l'accès de l'utilisateur au dossier désigné. Si vous devez appliquer des contrôles supplémentaires, utilisez une politique de session.
Si vous sélectionnez **Restreint** pour cet utilisateur, vous ne pouvez pas sélectionner de **Auto-generate stratégie basée sur le dossier de** base, car le dossier de base n'est pas une valeur définie pour les utilisateurs restreints.
1. Pour la **clé publique SSH**, entrez la partie clé SSH publique de la paire de clés SSH.
Votre clé est validée par le service avant que vous puissiez ajouter votre nouvel utilisateur.
**Note**
Pour obtenir des instructions sur la façon de générer une paire de clés SSH, consultez [Génération de clés SSH pour les utilisateurs gérés par des services](sshkeygen.md).
1. (Facultatif) Pour **Clé** et **Valeur**, entrez une ou plusieurs balises sous forme de paires clé-valeur, puis choisissez **Ajouter** une balise.
1. Choisissez **Add (Ajouter)** pour ajouter votre nouvel utilisateur au serveur que vous avez choisi.
Le nouvel utilisateur apparaît dans la section **Utilisateurs** de la page de **détails du serveur**.
**Prochaines étapes** — Pour l'étape suivante, passez à[Transfert de fichiers via un point de terminaison serveur à l'aide d'un client](transfer-file.md).
## Ajouter des utilisateurs gérés par le service Amazon EFS
Amazon EFS utilise le modèle d'autorisation de fichier POSIX (Portable Operating System Interface) pour représenter la propriété des fichiers.
+ Pour plus d'informations sur la propriété des fichiers Amazon EFS, consultez la section [Propriété des fichiers Amazon EFS](configure-storage.md#efs-file-ownership).
+ Pour plus de détails sur la configuration de répertoires pour vos utilisateurs EFS, consultez[Configurer les utilisateurs Amazon EFS pour Transfer Family](configure-storage.md#configure-efs-users-permissions).
**Pour ajouter un utilisateur géré par le service Amazon EFS à votre serveur**
1. Ouvrez la AWS Transfer Family console sur [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/), puis sélectionnez **Serveurs** dans le volet de navigation.
1. Sur la page **Servers**, sélectionnez le serveur Amazon EFS auquel vous souhaitez ajouter un utilisateur.
1. Choisissez **Ajouter un utilisateur** pour afficher la page **Ajouter un utilisateur**.
1. Dans la section **Configuration utilisateur**, utilisez les paramètres suivants.
1. Le **nom d'utilisateur** doit comporter un minimum de 3 et un maximum de 100 caractères. Vous pouvez utiliser les caractères suivants dans le nom d'utilisateur : a—z, 0—9 A-Z, trait de soulignement « \_ », tiret « - », point ' . ', et au panneau « @ ». Le nom d'utilisateur ne peut pas commencer par un tiret « - », point ' . ', ou au panneau « @ ».
1. Pour **l'ID utilisateur** et l'**ID de groupe**, notez ce qui suit :
+ Pour le premier utilisateur que vous créez, nous vous recommandons de saisir une valeur égale à la fois **0** pour l'**ID de groupe** et **l'ID utilisateur**. Cela accorde à l'utilisateur des privilèges d'administrateur pour Amazon EFS.
+ Pour les utilisateurs supplémentaires, entrez l'ID utilisateur POSIX et l'ID de groupe de l'utilisateur. Ces identifiants sont utilisés pour toutes les opérations Amazon Elastic File System effectuées par l'utilisateur.
+ Pour **l'ID utilisateur** et l'**ID de groupe**, n'utilisez pas de zéros en début de liste. Par exemple, **12345** c'est acceptable, ne l'**012345**est pas.
1. (Facultatif) Pour **les identifiants de groupes secondaires**, entrez un ou plusieurs identifiants de groupe POSIX supplémentaires pour chaque utilisateur, séparés par des virgules.
1. Pour **Access**, choisissez le rôle IAM qui :
+ Permet à l'utilisateur d'accéder uniquement aux ressources Amazon EFS (systèmes de fichiers) auxquelles vous souhaitez qu'il accède.
+ Définit les opérations de système de fichiers que l'utilisateur peut ou ne peut pas effectuer.
Nous vous recommandons d'utiliser le rôle IAM pour sélectionner le système de fichiers Amazon EFS avec accès au montage et read/write autorisations. Par exemple, la combinaison des deux politiques AWS gérées suivantes, bien que très permissive, accorde les autorisations nécessaires à votre utilisateur :
+ AmazonElasticFileSystemClientFullAccess
+ AWSTransferConsoleFullAccess
Pour plus d'informations, consultez le billet de blog sur la [AWS Transfer Family prise en charge d'Amazon Elastic File System](https://aws.amazon.com/blogs/aws/new-aws-transfer-family-support-for-amazon-elastic-file-system/).
1. Pour le **répertoire personnel**, procédez comme suit :
+ Choisissez le système de fichiers Amazon EFS que vous souhaitez utiliser pour stocker les données à transférer AWS Transfer Family.
+ Décidez si le répertoire de base doit être défini sur **Restreint**. Le fait de définir le répertoire de base sur **Restreint** a les effets suivants :
+ Les utilisateurs d'Amazon EFS ne peuvent accéder à aucun fichier ou répertoire en dehors de ce dossier.
+ Les utilisateurs d'Amazon EFS ne peuvent pas voir le nom du système de fichiers Amazon EFS (**fs-xxxxxxx**).
**Note**
Lorsque vous sélectionnez l'option **Restreint**, les liens symboliques ne sont pas résolus pour les utilisateurs d'Amazon EFS.
+ (Facultatif) Entrez le chemin du répertoire de base dans lequel vous souhaitez que les utilisateurs se trouvent lorsqu'ils se connectent à l'aide de leur client.
Si vous ne spécifiez pas de répertoire personnel, le répertoire racine de votre système de fichiers Amazon EFS est utilisé. Dans ce cas, assurez-vous que votre rôle IAM donne accès à ce répertoire racine.
1. Pour la **clé publique SSH**, entrez la partie clé SSH publique de la paire de clés SSH.
Votre clé est validée par le service avant que vous puissiez ajouter votre nouvel utilisateur.
**Note**
Pour obtenir des instructions sur la façon de générer une paire de clés SSH, consultez [Génération de clés SSH pour les utilisateurs gérés par des services](sshkeygen.md).
1. (Facultatif) Entrez des balises pour l'utilisateur. Pour **Clé** et **Valeur**, entrez une ou plusieurs balises sous forme de paires clé-valeur, puis choisissez **Ajouter** une balise.
1. Choisissez **Add (Ajouter)** pour ajouter votre nouvel utilisateur au serveur que vous avez choisi.
Le nouvel utilisateur apparaît dans la section **Utilisateurs** de la page de **détails du serveur**.
Problèmes que vous pouvez rencontrer lors de votre première connexion SFTP sur votre serveur Transfer Family :
+ Si vous exécutez la `sftp` commande et que l'invite ne s'affiche pas, le message suivant peut s'afficher :
`Couldn't canonicalize: Permission denied`
`Need cwd`
Dans ce cas, vous devez augmenter les autorisations liées à la politique pour le rôle de votre utilisateur. Vous pouvez ajouter une politique AWS gérée, telle que`AmazonElasticFileSystemClientFullAccess`.
+ Si vous entrez `pwd` à l'`sftp`invite pour consulter le répertoire personnel de l'utilisateur, le message suivant peut s'afficher, indiquant où se {{USER-HOME-DIRECTORY}} trouve le répertoire personnel de l'utilisateur SFTP :
`remote readdir("/{{USER-HOME-DIRECTORY}}"): No such file or directory`
Dans ce cas, vous devriez pouvoir accéder au répertoire parent (`cd ..`) et créer le répertoire personnel de l'utilisateur (`mkdir {{username}}`).
**Prochaines étapes** — Pour l'étape suivante, passez à[Transfert de fichiers via un point de terminaison serveur à l'aide d'un client](transfer-file.md).
## Gestion des utilisateurs gérés par des services
Dans cette section, vous trouverez des informations sur la façon d'afficher une liste d'utilisateurs, de modifier les détails des utilisateurs et d'ajouter une clé publique SSH.
+ [Afficher la liste des utilisateurs](#list-users)
+ [Afficher ou modifier les informations de l'utilisateur](#view-user-details)
+ [Suppression d'un utilisateur](#delete-user)
+ [Ajouter une clé publique SSH](#add-user-ssh-key)
+ [Supprimer la clé publique SSH](#delete-user-ssh-key)
**Pour trouver la liste de vos utilisateurs**
1. Ouvrez la AWS Transfer Family console à l'adresse [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Sélectionnez **Serveurs** dans le volet de navigation pour afficher la page **Serveurs**.
1. Choisissez l'identifiant dans la colonne **ID du serveur** pour afficher la page de **détails du serveur**.
1. Sous **Utilisateurs**, consultez la liste des utilisateurs.
**Pour afficher ou modifier les informations de l'utilisateur**
1. Ouvrez la AWS Transfer Family console à l'adresse [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Sélectionnez **Serveurs** dans le volet de navigation pour afficher la page **Serveurs**.
1. Choisissez l'identifiant dans la colonne **ID du serveur** pour afficher la page de **détails du serveur**.
1. Sous **Utilisateurs**, choisissez un nom d'utilisateur pour afficher la page de **détails de l'utilisateur**.
Vous pouvez modifier les propriétés de l'utilisateur sur cette page en choisissant **Modifier**.
1. Sur la page **Détails des utilisateurs**, choisissez **Modifier** à côté de **Configuration utilisateur**.
1. Sur la page **Modifier la configuration**, pour **Access**, choisissez le rôle IAM que vous avez créé précédemment et qui donne accès à votre compartiment Amazon S3.
Vous avez créé ce rôle IAM à l'aide de la procédure décrite dans [Création d'un rôle et d'une politique IAM](requirements-roles.md). Ce rôle IAM inclut une politique IAM qui permet d'accéder à votre compartiment Amazon S3. Cela inclut également une relation de confiance avec le AWS Transfer Family service, définie dans une autre politique IAM.
1. (Facultatif) Dans le champ **Politique**, sélectionnez l'une des options suivantes :
+ **Aucun**
+ **Politique existante**
+ **Sélectionnez une politique dans IAM** pour choisir une politique existante. Choisissez **View** pour voir un objet JSON contenant les détails de la politique.
Pour en savoir plus sur les règles de session, consultez[Création d'un rôle et d'une politique IAM](requirements-roles.md). Pour en savoir plus sur la création d'une politique de session, consultez[Création d'une politique de session pour un compartiment Amazon S3](users-policies-session.md).
1. Pour le **répertoire personnel**, choisissez le compartiment Amazon S3 dans lequel stocker les données à transférer AWS Transfer Family. Entrez le chemin d'accès au `home` répertoire dans lequel votre utilisateur atterrit lorsqu'il se connecte à l'aide de son client.
Si vous laissez ce paramètre vide, le `root` répertoire de votre compartiment Amazon S3 est utilisé. Dans ce cas, vérifiez que votre rôle IAM donne accès à ce répertoire `root`.
**Note**
Nous vous recommandons de choisir un chemin de répertoire contenant le nom d'utilisateur de l'utilisateur, afin d'utiliser efficacement une politique de session. La politique de session limite l'accès des utilisateurs dans le compartiment Amazon S3 au `home` répertoire de cet utilisateur.
1. (Facultatif) Pour **Restreint**, cochez la case afin que vos utilisateurs ne puissent accéder à rien en dehors de ce dossier et ne puissent pas voir le nom du compartiment ou du dossier Amazon S3.
**Note**
Lorsque vous attribuez un répertoire personnel à l'utilisateur et que vous le limitez à ce répertoire personnel, cela devrait être suffisant pour verrouiller l'accès de l'utilisateur au dossier désigné. Utilisez une politique de session lorsque vous devez appliquer des contrôles supplémentaires.
1. Choisissez **Save** pour enregistrer les changements.
**Pour supprimer un utilisateur**
1. Ouvrez la AWS Transfer Family console à l'adresse [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Sélectionnez **Serveurs** dans le volet de navigation pour afficher la page **Serveurs**.
1. Choisissez l'identifiant dans la colonne **ID du serveur** pour afficher la page de **détails du serveur**.
1. Sous **Utilisateurs**, choisissez un nom d'utilisateur pour afficher la page de **détails de l'utilisateur**.
1. Sur la page **des détails** de l'utilisateur, choisissez **Supprimer** à droite du nom d'utilisateur.
1. Dans la boîte de dialogue de confirmation qui s'affiche**delete**, entrez le mot, puis choisissez **Supprimer** pour confirmer que vous souhaitez supprimer l'utilisateur.
L'utilisateur est supprimé de la liste des **utilisateurs**.
**Pour ajouter une clé publique SSH pour un utilisateur**
1. Ouvrez la AWS Transfer Family console à l'adresse [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Dans le volet de navigation, choisissez **Servers (Serveurs)**.
1. Choisissez l'identifiant dans la colonne **ID du serveur** pour afficher la page de **détails du serveur**.
1. Sous **Utilisateurs**, choisissez un nom d'utilisateur pour afficher la page de **détails de l'utilisateur**.
1. Choisissez **Add SSH public key (Ajouter une clé publique SSH)** pour ajouter une nouvelle clé publique SSH à un utilisateur.
**Note**
Les clés SSH ne sont utilisées que par les serveurs qui sont activés pour le protocole de transfert de fichiers (SFTP) Secure Shell (SSH). Pour plus d'informations sur la façon de générer une paire de clés SSH, consultez[Génération de clés SSH pour les utilisateurs gérés par des services](sshkeygen.md).
1. Dans **SSH public key (Clé publique SSH)**, entrez la partie clé publique SSH de la paire de clés SSH.
Votre clé est validée par le service avant que vous puissiez ajouter votre nouvel utilisateur. La clé SSH se présente sous la forme `ssh-rsa {{string}}`. Pour générer une paire de clés SSH, consultez[Génération de clés SSH pour les utilisateurs gérés par des services](sshkeygen.md).
1. Sélectionnez **Ajouter une clé**.
**Pour supprimer une clé publique SSH pour un utilisateur**
1. Ouvrez la AWS Transfer Family console à l'adresse [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Dans le volet de navigation, choisissez **Servers (Serveurs)**.
1. Choisissez l'identifiant dans la colonne **ID du serveur** pour afficher la page de **détails du serveur**.
1. Sous **Utilisateurs**, choisissez un nom d'utilisateur pour afficher la page de **détails de l'utilisateur**.
1. Pour supprimer une clé publique, cochez la case correspondant à sa clé SSH et choisissez **Supprimer**.