Nimble Studio File Transfer を設定する

Nimble Studio File Transfer を初めて使用する場合は、事前に以下のタスクをすべて実行してください。

にサインアップする AWS アカウント

がない場合は AWS アカウント、次の手順を実行して作成します。

にサインアップするには AWS アカウント

1. https://portal.aws.amazon.com/billing/signup を開きます。

2. オンラインの手順に従います。

   サインアップ手順の一環として、通話呼び出しを受け取り、電話キーパッドで検証コードを入力するように求められます。

   にサインアップすると AWS アカウント、 AWS アカウントのルートユーザーが作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティのベストプラクティスとして、ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。

AWS サインアッププロセスが完了すると、 から確認メールが送信されます。https://aws.amazon.com/ の [マイアカウント] を選んで、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理できます。

管理アクセスを持つユーザーを作成する

にサインアップしたら AWS アカウント、 を保護し AWS アカウントのルートユーザー、 を有効にして AWS IAM Identity Center、日常的なタスクにルートユーザーを使用しないように管理ユーザーを作成します。

のセキュリティ保護 AWS アカウントのルートユーザー

1. ルートユーザーを選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者AWS Management Consoleとして にサインインします。次のページでパスワードを入力します。

   ルートユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドの「ルートユーザーとしてサインインする」を参照してください。

2. ルートユーザーの多要素認証 (MFA) を有効にします。

   手順については、「IAM ユーザーガイド」の AWS アカウント 「ルートユーザーの仮想 MFA デバイスを有効にする (コンソール）」を参照してください。

管理アクセスを持つユーザーを作成する

1. IAM アイデンティティセンターを有効にします。

   手順については、「AWS IAM Identity Center ユーザーガイド」の「AWS IAM Identity Centerの有効化」を参照してください。

2. IAM アイデンティティセンターで、ユーザーに管理アクセスを付与します。

   を ID ソース IAM アイデンティティセンターディレクトリ として使用する方法のチュートリアルについては、「 ユーザーガイド」の「デフォルト でユーザーアクセス IAM アイデンティティセンターディレクトリを設定するAWS IAM Identity Center 」を参照してください。

管理アクセス権を持つユーザーとしてサインインする

• IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。

  IAM Identity Center ユーザーを使用してサインインする方法については、「 AWS サインイン ユーザーガイド」の AWS 「 アクセスポータルにサインインする」を参照してください。

追加のユーザーにアクセス権を割り当てる

1. IAM アイデンティティセンターで、最小特権のアクセス許可を適用するというベストプラクティスに従ったアクセス許可セットを作成します。

   手順については、「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」を参照してください。

2. グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。

   手順については、「AWS IAM Identity Center ユーザーガイド」の「グループの参加」を参照してください。

メンバーアカウントを作成する

注記

管理アカウントで Nimble Studio をセットアップする場合は、このステップをスキップしてください。

AWS メンバーアカウントの IT 管理者で、Nimble Studio をセットアップする場合は、まず管理者ユーザーがそのメンバーアカウントに正しいアクセス許可とアクセス許可を付与する必要があります。

管理アカウントまたはメンバーアカウントが の組織にある限り、Nimble Studio をセットアップできます AWS Organizations。組織には 1 つの管理アカウントがあります。組織の中心的な機能は、管理アカウントによって設定および適用されます。メンバーアカウントは、さまざまなサービスをセットアップおよび使用します。管理アカウントとメンバーアカウントの詳細については、「AWS Organizations の用語と概念」を参照してください。

さらに、組織で を有効にする AWS IAM Identity Center 必要があります。IAM Identity Center は管理アカウントでのみ有効にでき、スタジオは IAM Identity Center AWS リージョン と同じ にある必要があります。組織で IAM Identity Center を有効にするには、「Enable IAM Identity Center」の指示に従ってください。

注記

IAM Identity Center が有効でない状態で、メンバーアカウントでスタジオをセットアップしようとする場合、そのメンバーアカウントでは IAM Identity Center を有効にできません。その場合、メンバーアカウントはエンタープライズ IT に AWS 組織の IAM アイデンティティセンターを設定するように依頼する必要があります。

スタジオを作成するためのアクセス許可を持つメンバーアカウントを作成するには

1. 「 AWS IAM Identity Center ユーザーガイド」の「ユーザーの追加」の手順に従って、既存のメンバーアカウントを使用するか、新しいメンバーアカウントを作成します。

   1. このメンバーアカウントは、Nimble Studio でスタジオをセットアップしている組織に属している必要があります。

2. 「Register a member account」の指示に従って、メンバーアカウントに管理者アクセスを委任します。

   1. 委任された管理者アクセスは IAM Identity Center の機能です。委任された管理者アクセスは、IAM 管理者アクセスとは無関係です。他のユーザーは、自分のアカウントにアクセスするための完全な管理者権限を持つことはできますが、管理アカウントから委任された管理者アクセスを持つことはできません。

IT 管理者は、以下のセクションの以下の手順を完了できるようになりました。

Nimble Studio にスタジオをセットアップする

既に Nimble Studio クラウドスタジオがある場合は、このステップをスキップしてください。

注記

File Transfer では、Amazon S3 バケットを Nimble Studio に関連付ける必要はありません。File Transfer に必要なのは Nimble Studio のみであり、Nimble Studio のお客様のみが、このツールを追加費用なしで使用できます。

スタジオを作成するには、「Setting up Nimble Studio」の指示に従ってください。スタジオをセットアップするときは、以下の情報が正しいことを確認してください。

• 管理アカウント、または IAM Identity Center の委任された管理アクセスを持つメンバーアカウントで Nimble Studio をセットアップした。

• ステップ https://docs.aws.amazon.com/nimble-studio/latest/userguide/nimble-studio-setup.html#studio-infrastructure1: スタジオインフラストラクチャ を設定するのステップ 5 で、IAM Identity Center を有効に AWS リージョン した を選択します。

S3 バケットを作成する

File Transfer を使用する前に、「Amazon S3 をセットアップする」チュートリアルを完了しておく必要があります。Amazon S3 が適切に設定されていないと、バケット内のコンテンツのセキュリティが侵害される可能性があります。

また、「最初の S3 バケットを作成する」チュートリアルも完了しておく必要があります。これにより、ファイルのアップロードおよびダウンロード用の S3 バケットを作成します。

• (推奨) ステップ 8 で、バケットバージョニングを有効にします。

  • これにより、Amazon S3 のファイルを誤って新しいバージョンで上書きした場合でも、データが失われることがありません。

  • バケットバージョニングを有効にすると、追加コストが発生します。Amazon S3 の料金に関する詳細については、「Amazon S3 の料金」ページを参照してください。

• (推奨) ステップ 11 の [暗号化キータイプ] で [AWS Key Management Service キー (SSE-KMS)] を選択します。

  • SSE-KMS キーがない場合は、「対称暗号化 KMS キーの作成」チュートリアルの指示に従って作成してください。

  • キーの種類の詳細については、「 AWS Key Management Service デベロッパーガイド」の「カスタマーキーと AWS キー」ページを参照してください。別の からバケットを使用できるようにするには AWS アカウント、カスタマーマネージドキーを使用する必要があります。バケットを作成した後でキーを変更するのは難しいため、正しいキーを使用してバケットを作成してください。

• その他の設定とユーザー設定はすべてデフォルトのままにしておきます。

IAM アクセスポリシーの作成

次に、「S3 バケットを作成する」セクションで作成した Amazon S3 バケットにアクセス許可を与える IAM アクセスポリシーを作成する必要があります。その後、この IAM ポリシーを IAM ユーザーに関連付けます。この IAM ユーザーは File Transfer が Amazon S3 バケットにアクセスするために必要な認証情報を作成します。

「IAM ユーザーガイド」の「IAM ポリシーの作成」チュートリアルに従います。また、次の JSON ポリシードキュメントを使用します。使用する必要があるポリシーは、 AWS KMS key 選択した のタイプによって異なります。

Using an AWS KMS key (SSE-KMS)

• JSON テンプレートに次のテキストを入力して、Amazon S3 のアップロードとダウンロードに必要なアクセスを提供します。

• S3 バケット内のオブジェクトの削除を許可するには、次のテキストの Sid がOptionalActions「」のステートメントにリストされているアクションを含めます。S3 オブジェクトの削除を許可しない場合は、これらのアクションを含める必要はありません。

  {
      "Statement": [
          {
              "Sid": "ListBucketContents",
              "Action": [
                  "s3:ListBucket",
                  "s3:GetBucketLocation",
                  "s3:PutObject",
                  "s3:GetObject",
                  "s3:GetObjectTagging"
              ],
              "Effect": "Allow",
              "Resource": [
                  "arn:aws:s3:::bucket-name",
                  "arn:aws:s3:::bucket-name/*"
              ],
          },
          {
              "Sid": "KMSKeyAccess",
              "Action": [
                  "kms:GenerateDataKey*",
                  "kms:Encrypt",
                  "kms:Decrypt"
              ],
              "Effect": "Allow",
              "Resource": "arn:aws:kms:key-region:account-number:key/key-id"
          },
          {
              "Sid": "OptionalActions",
              "Action": [
                  "s3:DeleteObject",
                  "s3:DeleteObjectVersion",
                  "s3:ListBucketVersions",
                  "s3:AbortMultipartUpload"
              ],
              "Effect": "Allow",
              "Resource": [
                  "arn:aws:s3:::bucket-name",
                  "arn:aws:s3:::bucket-name/*"
              ],
          }
      ],
      "Version": "2012-10-17"
  }

• bucket-name を、S3 バケットを作成する で作成したバケットの名前に置き換えます。

• key-region を、キー AWS リージョン を作成した に置き換えます。

• account-number を AWS アカウント 番号に置き換えます。

• key-id を「S3 バケットを作成する」のステップ 2 で選択した KMS キーの ID に置き換えます。

  • KMS キー ID を見つけるには、「S3 バケットキーの設定の表示」チュートリアルの「バケットの S3 バケットキーの設定を表示するには」の手順に従います。

  • S3 バケットを作成する で作成したバケットを選択します。

  • 「デフォルト暗号化」セクションで [AWS KMS key ARN] を見つけます。KMS キー ID は ARN の最後の部分です。

Using an Amazon Managed KMS key (SSE-S3)

• バケットにアクティブな KMS キーがあるかどうかを確認します。

  • 「S3 バケットキーの設定の表示」チュートリアルの「バケットの S3 バケットキーの設定を表示するには」の手順に従います。

  • KMS キーを使用していない場合は、ステップ 2 に進みます。

  • バケットに KMS キーがアタッチされている場合は、「 を使用するには AWS KMS key (SSE-KMS)」の手順に従います。

• JSON テンプレートに次のテキストを入力して、Amazon S3 のアップロードとダウンロードに必要なアクセスを提供します。

• S3 バケット内のオブジェクトの削除を許可するには、次のテキストの Sid がOptionalActions「」のステートメントにリストされているアクションを含めます。S3 オブジェクトの削除を許可しない場合は、これらのアクションを含める必要はありません。

  {
      "Statement": [
          {
              "Sid": "ListBucketContents",
              "Action": [
                  "s3:ListBucket",
                  "s3:GetBucketLocation",
                  "s3:PutObject",
                  "s3:GetObject",
                  "s3:GetObjectTagging"
              ],
              "Effect": "Allow",
              "Resource": [
                  "arn:aws:s3:::bucket-name",
                  "arn:aws:s3:::bucket-name/*"
              ],
          },
          {
              "Sid": "OptionalActions",
              "Action": [
                  "s3:DeleteObject",
                  "s3:DeleteObjectVersion",
                  "s3:ListBucketVersions",
                  "s3:AbortMultipartUpload"
              ],
              "Effect": "Allow",
              "Resource": [
                  "arn:aws:s3:::bucket-name",
                  "arn:aws:s3:::bucket-name/*"
              ],
          }
      ],
      "Version": "2012-10-17"
  }

  • bucket-name を、S3 バケットを作成する で作成したバケットの名前に置き換えます。

これで、「S3 バケットを作成する」で作成した S3 バケットにアクセス許可を付与する IAM ポリシーが作成されました。

のセットアップ AWS CLI

まだインストール AWS CLI していない場合は、 をインストールして設定します。 は、IAM 認証情報の処理と保存にのみ AWS Command Line Interface （AWS CLI) という名前のプロファイルFile Transferを使用します。詳細については、「Getting started with the AWS CLI」を参照してください。

1. ローカルマシン AWS CLI に をインストールまたはアップグレードするには、「 ユーザーガイド」の「 AWS Command Line Interface バージョン 2 のインストール」の手順に従います。 AWS Command Line Interface

2. AWS CLI 「新しい設定と認証情報の設定」の手順に従って、 を設定します。

3. aws nimble help を実行して、インストールまたはアップグレードを確認します。このコマンドで、使用できる Nimble Studio コマンドのリストが表示されます。

4. 「名前が指定されたプロファイルを使用する」の指示に従って名前付きプロファイルを作成します。この名前付きプロファイルは、「Nimble Studio File Transfer の開始方法」セクションで File Transfer を設定するために使用されます。

   1. アクセスキーとシークレットキーを作成するには、「AWS アカウントでの IAM ユーザーの作成」の手順に従います。ユーザーを作成すると、コンソールによってアクセスキーとシークレットキーの値が生成されます。

   2. ステップ 4 で、このユーザーに付与するアクセスの種類として [コマンドラインインターフェイス (CLI)] を選択します。

   3. ステップ 6 で、[既存のポリシーを直接アタッチ] を選択します。IAM アクセスポリシーの作成 で作成したポリシーのチェックボックスをオンにします。

5. 以下のコマンドを使用して、名前付きプロファイルが作成されたことを確認します: aws --profile [name of profile you created in step 4] sts get-caller-identity

   1. このコマンドでは、以下の出力の例のような出力が生成されます。この例では、プロファイル名は filetransfer です。

   $ aws --profile filetransfer sts get-caller-identity
       "UserId": "ARXXXXXXXXXXXXXXXXXXX:username",
       "Account": "123456789012",
       "Arn": "arn:aws:sts::123456789012:XXXXXXXXXXXXXXX..."
   }

「 AWS Command Line Interface ユーザーガイド」に記載されている追加の AWS CLI セキュリティコントロールについてお読みになることをお勧めします。