SFTP 対応サーバーのホストキーを管理 - AWS Transfer Family
ホストキーをインポートするタイミング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SFTP 対応サーバーのホストキーを管理

サーバーホストキーは、Transfer Family サーバーが発信者に一意の ID を提供し、正しいサーバーであることを確認するために使用されるプライベートキーです。この保証は、発信者の known_hosts ファイルに正しいパブリックキーが存在することによって適用されます。(このknown_hostsファイルは、接続したサーバーのパブリックキーを保存するためにほとんどの SSH クライアントで使用される標準機能です。) サーバーssh-keyscanで を実行することで、サーバーホストキーに対応するパブリックキーを取得できます。

重要

サーバーのホストキーを誤って変更することは、破壊的な操作になり得えます。SFTP クライアントの設定方法によっては、信頼できるホストキーが存在しないというメッセージが表示されたり、すぐに障害が発生したり、脅迫的なプロンプトが表示されることがあります。接続を自動化するスクリプトがあれば、そのスクリプトも失敗する可能性が高いでしょう。

デフォルトでは、 は SFTP 対応サーバーのホストキー AWS Transfer Family を生成します。サーバーホストキーをインポートしてホスト ID を保持し、クライアント信頼ストアの更新を回避できます。 には、これを行ういくつかの理由ホストキーをインポートするタイミングが記載されています。ホストキーを指定しない場合、新しいホストキーが生成されます。

AWS Transfer Family は、さまざまなタイプの複数のホストキー (RSA、ECDSA、ED25519) をサポートし、幅広いクライアントホスト署名アルゴリズムとの互換性を提供します。RSA キーは rsa-* アルゴリズムを有効にし、ECDSA キーは ecdsa-* アルゴリズムを有効にし、ED25519 キーは ed25519 アルゴリズムを有効にします。サーバーの作成時にキータイプを計画します。クライアントがサーバーとのやり取りを開始した後に追加のキータイプを導入すると、一部のクライアントにとって破壊的になり、既存のホストキーを置き換えるのと同じくらい問題になる可能性があるためです。

SFTP 対応サーバーの真正性を確認するプロンプトがユーザーに再度表示されないようにするには、オンプレミスサーバーのホストキーを SFTP 対応サーバーにインポートします。また、この操作により、中間者 (MITM) 攻撃の可能性に関する警告がユーザーに表示されなくなります。

追加のセキュリティ対策として、ホストキーを定期的にローテーションすることもできます。詳細については、「サーバーのホストキーをローテーションする」を参照してください。

注記

サーバーホストキーは、SFTP プロトコルをサポートするサーバーによって使用されます。

ホストキーをインポートするタイミング

はホストキーを自動的に生成 AWS Transfer Family しますが、独自のホストキーをインポートすると運用上の利点が得られるシナリオがいくつかあります。

  • サーバーの移行 - 既存のサーバーから に移行 AWS Transfer Family し、既存のクライアントのクライアントトラストストア (known_hosts ファイル) を更新しないようにします。

  • ディザスタリカバリとフェイルオーバー - 同じパブリック DNS 名を共有する AWS Transfer Family サーバーが複数あります (たとえば、1 つは米国東部 (オハイオ)、もう 1 つは米国西部 (オレゴン))。両方のサーバーで同じホストキーを使用すると、クライアント認証に失敗することなくシームレスにフェイルオーバーできます。

  • 運用継続性 - 将来、ホストキーマテリアルを他のサーバー (AWS Transfer Family またはその他のサーバー) で使用できるようにして、インフラストラクチャ全体で一貫したサーバー ID を維持する必要があります。

  • アルゴリズム制御 - より多くのホストキーアルゴリズムを提供することでクライアントの互換性を高める必要があります。または、特定のアルゴリズムと互換性のあるキーのみを提供することで、クライアントが使用できるアルゴリズムを制御する必要があります。

以下のトピックでは、サーバーホストキーを管理するための詳細な手順について説明します。