Запретить любой SSH (за исключением одного пользователя) и разрешить SFTP для группы пользователей

Я хочу иметь следующие требования к входящим SSH/SFTP-соединениям моей виртуальной машины. Обратите внимание, что я не хочу ограничивать входящие IP-адреса, поэтому я хочу открыть порт для любого IP-адреса, но у меня есть следующие ограничения:

1) Я хочу запретить любое соединение ssh с моей виртуальной машиной (за исключением, скажем, одного пользователя с именем пользователя "MyVMAdmin")

2) Я хочу включить sftp (только sftp, а не ssh) для группы пользователей (скажем, "user1", "user2" и "user3")

Кто-нибудь может помочь, какие изменения конфигурации мне нужно сделать для того, чтобы?

Спасибо