翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# サーバーエンドポイントのユーザーの管理
以下のセクションでは、 AWS Transfer Family AWS Directory Service for Microsoft Active Directory またはカスタム ID プロバイダーを使用してユーザーを追加する方法について説明します。
各ユーザーのプロパティの一部として、そのユーザーの Secure Shell (SSH) パブリックキーも保存します。キーベースの認証にはこれが必要です。プライベートキーは、ユーザーのコンピュータにローカルに保存されます。ユーザーがクライアントを使用してサーバーに認証要求を送信すると、サーバーはまず、ユーザーが関連付けられた SSH 秘密キーにアクセスできることを確認します。その後、サーバーはユーザーを正常に認証します。
**注記**
複数の SSH キーを持つユーザーの自動デプロイと管理については、「」を参照してください[Transfer Family Terraform モジュール](terraform.md)。
さらに、ユーザーのホームディレクトリ、またはランディングディレクトリを指定して、ユーザーに AWS Identity and Access Management (IAM) ロールを割り当てます。必要に応じて、セッションポリシーを提供してユーザーアクセスを Amazon S3 バケットのホームディレクトリのみに限定できます。
**重要**
AWS Transfer Family は、SFTP サーバーへの認証から 1 ~ 2 文字の長さのユーザー名をブロックします。さらに、`root` ユーザー名もブロックされます。
これは、パスワードスキャナによる悪意のあるログイン試行の大量発生が原因です。
## Amazon EFS と Amazon S3 の比較
各ストレージオプションの特性:
+ アクセスを制限するために、Amazon S3 はセッションポリシーをサポートし、Amazon EFS は POSIX ユーザー、グループ、およびセカンダリグループ ID をサポートします。
+ いずれもパブリックキー/プライベートキーをサポートする
+ いずれもホームディレクトリをサポートする
+ いずれも論理ディレクトリをサポートする
**注記**
Amazon S3 では、論理ディレクトリのサポートの大部分は API/CLI 経由です。コンソールの [**Restricted**] (制限) チェックボックスを使用すると、ユーザーをホームディレクトリにロックダウンできますが、仮想ディレクトリ構造は指定できません。
## 論理ディレクトリ
ユーザーに対して論理ディレクトリ値を指定する場合、使用するパラメータはユーザーのタイプに依存します。
+ サービス管理型ユーザーの場合、論理ディレクトリの値を `HomeDirectoryMappings` に指定してください。
+ カスタム ID プロバイダーユーザーの場合は、 で論理ディレクトリ値を指定します`HomeDirectoryDetails`。
AWS Transfer Family は、LOGICAL HomeDirectory HomeDirectoryType 値の指定をサポートしています。これは、レスポンスで HomeDirectoryDetails が提供されているサービスマネージドユーザー、Active Directory アクセス、カスタム ID プロバイダーの実装に適用されます。
**重要**
LOGICAL HomeDirectory HomeDirectoryType を指定する場合、値は論理ディレクトリマッピングのいずれかにマッピングする必要があります。サービスは、ユーザーの作成時と更新時の両方でこれを検証し、機能しない設定を防止します。
### デフォルトの 動作
デフォルトでは、指定しない場合、HomeDirectory は LOGICAL モードの「/」に設定されます。この動作は変更されず、既存のユーザー定義と互換性があります。
+ HomeDirectory はターゲットではなく*エントリ*にマッピングしてください**。詳細については、[論理ディレクトリを使用する際のルール](logical-dir-mappings.md#logical-dir-rules)を参照してください。
+ 仮想ディレクトリの構造の詳細については、「」を参照してください[仮想ディレクトリ構造](implement-log-dirs.md#virtual-dirs)。
### カスタム ID プロバイダーに関する考慮事項
カスタム ID プロバイダーを使用する場合、LOGICAL HomeDirectory HomeDirectoryType を指定できるようになりました。TestIdentityProvider API コールは、カスタム IDP が LOGICAL モードで HomeDirectory を指定すると、正しい結果を生成します。
HomeDirectory と LOGICAL HomeDirectoryType を使用したカスタム IDP レスポンスの例:
```
{
"Role": "arn:aws:iam::123456789012:role/transfer-user-role",
"HomeDirectoryType": "LOGICAL",
"HomeDirectory": "/marketing",
"HomeDirectoryDetails": "[{\"Entry\":\"/\",\"Target\":\"/bucket/home\"},{\"Entry\":\"/marketing\",\"Target\":\"/marketing-bucket/campaigns\"}]"
}
```
## Active Directory グループクォータ
AWS Transfer Family のデフォルト制限は、サーバーあたり 100 Active Directory グループです。ユースケースで 100 を超えるグループが必要な場合は、「 のカスタム ID プロバイダー[を使用した Active Directory 認証の簡素化」の説明に従って、カスタム ID プロバイダー AWS Transfer Family](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/)ソリューションの使用を検討してください。
この制限は、次の ID プロバイダーを使用するサーバーに適用されます。
+ AWS Directory Service for Microsoft Active Directory
+ AWS Entra ID ドメインサービスの Directory Service
サービス制限の引き上げをリクエストする必要がある場合は、「」の[AWS のサービス 「クォータ](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)」を参照してください*AWS 全般のリファレンス*。ユースケースで 100 を超えるグループが必要な場合は、「 のカスタム ID プロバイダー[を使用した Active Directory 認証の簡素化」の説明に従って、カスタム ID プロバイダー AWS Transfer Family](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/)ソリューションの使用を検討してください。
Active Directory グループの制限に関するトラブルシューティング情報については、「」を参照してください[Active Directory グループの制限を超えました](auth-issues.md#managed-ad-group-limits)。
**Topics**
+ [Amazon EFS と Amazon S3 の比較](#efs-vs-s3-users)
+ [論理ディレクトリ](#logical-dir-users)
+ [Active Directory グループクォータ](#ad-group-quotas)
+ [サービスマネージドユーザーの使用](service-managed-users.md)
+ [カスタム ID プロバイダーの使用](custom-idp-intro.md)
+ [AWS Directory Service for Microsoft Active Directory の使用](directory-services-users.md)
+ [AWS Directory Service for Entra ID ドメインサービスの使用](azure-sftp.md)