我想授予用户使用 AWS Transfer for SFTP(SSH 文件传输协议)的权限。我想使用这些权限创建 AWS Identity and Access Management (IAM) 角色。如何使用 AWS 命令行界面 (AWS CLI) 创建此 IAM 角色?

由于 AWS SFTP 代表您的用户使用 Amazon Simple Storage Service (Amazon S3) 对象,因此 AWS SFTP 用户的 IAM 角色必须:

  • 允许 AWS SFTP 代入您用户的角色。
  • 允许您的用户访问 Amazon S3。

重要提示:在开始之前,您必须安装配置 AWS CLI。

按照以下步骤操作,使用 AWS CLI 为 AWS SFTP 用户创建 IAM 角色:

1.    在终端的命令提示符下,创建一个名为“transfer-trust-relationship.json”的文本文件,其中包含以下文本。此语句允许 AWS SFTP 代入角色。

{

"Version": "2012-10-17",
"Statement": [
      {
      "Effect": "Allow",
      "Principal": {
            "Service": "transfer.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {}
      }
   ]
}

2.    运行此 AWS CLI 命令以创建 IAM 角色,该角色包含您创建的语句:

aws iam create-role --role-name myAWSTransferUserRole --assume-role-policy-document file://transfer-trust-relationship.json --description "Access to my AWS resources for my AWS Transfer users"

3.    将策略附加到 IAM 角色,该角色定义您希望 AWS SFTP 用户拥有的 Amazon S3 访问权限。例如,如果您希望 AWS SFTP 用户对所有 S3 存储桶具有读取访问权限,请运行此命令以附加 AWS 托管策略:

aws iam attach-role-policy --role-name myAWSTransferUserRole --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

注意:要授予用户对 Amazon S3 的完全访问权限,您可以附加“AmazonS3FullAccess”AWS 托管策略。或者,您可以编写自定义策略

为 AWS SFTP 用户设置 IAM 角色后,可以继续创建 SFTP 服务器


此页内容对您是否有帮助? |

返回 AWS Support 知识中心

需要帮助? 请访问 AWS 支持中心

发布时间:2018 年 12 月 21 日