FTPS 対応サーバーを作成する

File Transfer Protocol over SSL (FTPS) は FTP の拡張版です。Transport Layer Security (TLS) および Secure Sockets Layer (SSL) 暗号化プロトコルを使用して、トラフィックを暗号化します。FTPS を利用すると、制御チャネルとデータチャネルの接続の両方を同時に、または個別に暗号化できます。

FTPS 対応サーバーを作成するには

1. https://console.aws.amazon.com/transfer/ で AWS Transfer Family コンソールを開き、ナビゲーションペインで、[Servers] (サーバー) を選択してから [Create server] (サーバーの作成) を選択します。

2. [Choose protocols] (プロトコルの選択) で FTPS を選択してから [Next] (次へ) を選択します。

   [Server certificate] (サーバー証明書) で、クライアントが FTPS 経由でサーバーに接続するときにサーバーを識別するために使用される AWS Certificate Manager (ACM) に保存されている証明書を選択してから [Next] (次へ) を選択します。

   新しいパブリック証明書をリクエストするには、AWS Certificate Manager ユーザーガイドの「パブリック証明書をリクエストする」を参照してください。

   既存の証明書を ACM にインポートするには、AWS Certificate Manager ユーザーガイドの「ACM に証明書をインポートする」を参照してください。

   プライベート IP アドレス経由で FTPS を使用できるようにプライベート証明書をリクエストするには、AWS Certificate Manager ユーザーガイドの「プライベート証明書のリクエスト」を参照してください。

   以下の暗号化アルゴリズムとキーサイズの証明書がサポートされています。

   • 2048 ビット RSA (RSA_2048)

   • 4096 ビット RSA (RSA_4096)

   • 楕円素数曲線 256 ビット (EC_Prime256v1)

   • 楕円素数曲線 384 ビット (EC_secp384R1)

   • 楕円素数曲線 521 ビット (EC_secp521R1)

   注記

   証明書は、FQDN または IP アドレスが指定され、発行者に関する情報が記載された有効な SSL/TLS X.509 バージョン 3 の証明書である必要があります。

   

3. [Choose an identity provider] (ID プロバイダーの選択) で、ユーザーアクセスの管理に使用したい ID プロバイダーを選択します。次のオプションがあります。

   • AWS Directory Service for Microsoft Active Directory—AWS Directory Service エンドポイントにアクセスするためのディレクトリを指定します。そうすることで、Active Directory に保存されている認証情報を使用してユーザーを認証できるようになります。AWS Managed Microsoft AD ID プロバイダーの使用に関する詳細については、「AWSDirectory Service ID プロバイダーの使用」を参照してください。

     注記

     • クロスアカウントディレクトリと共有ディレクトリは AWS Managed Microsoft AD ではサポートされません。

     • Directory Service を ID プロバイダとしてサーバをセットアップするには、AWS Directory Serviceいくつかの権限を追加する必要があります。詳細については、「使用を開始する前にAWS Directory Service for Microsoft Active Directory」を参照してください。

     

   • Custom ID プロバイダー — 次のいずれかのオプションを選択します。

     • IDAWS Lambda プロバイダーの接続に使用 — Lambda 関数にバックアップされた既存の ID プロバイダーを使用できます。Lambda 関数の名前を指定します。詳細については、「AWS Lambda の使用による ID プロバイダーの統合」を参照してください。

     • ID プロバイダーとの接続に Amazon API Gateway メソッドを作成できます。Amazon API Gateway URL と呼び出しロールを指定します。詳細については、「Amazon API Gateway を使用して ID プロバイダーを統合する」を参照してください。

     

4. [Next] (次へ) を選択します。

5. [Choose an endpoint] (エンドポイントの選択) で、次のように操作します。

   注記

   Transfer Family 用の FTPS サーバーは、ポート 21 (コントロールチャネル) およびポート範囲 8192～8200 (データチャネル) を経由して動作します。

   1. [Endpoint type] (エンドポイントタイプ) で、サーバーのエンドポイントのホストになる VPC ホステッドエンドポイントタイプを選択します。VPC ホストエンドポイントの設定については、「Virtual Private Cloud でサーバーを作成する」を参照してください。

      注記

      パブリックにアクセス可能なエンドポイントはサポートされません。

   2. (オプション) [FIPS Enabled] (FIPS 対応) で、[FIPS Enabled endpoint] (FIPS 対応エンドポイント) チェックボックスをオンにして、エンドポイントが連邦情報処理標準 (FIPS) に準拠することを確認します。

      注記

      FIPS 対応のエンドポイントは、北米でのみ使用できますAWS リージョン。利用可能なリージョンについては、AWS 全般リファレンスの「AWS Transfer Family エンドポイントとクォータ」を参照してください。利用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-2」を参照してください。

   3. [Next] (次へ) を選択します。

   

6. [Choose domain] (ドメインを選択) ページで、選択したプロトコル経由でデータの保存とアクセスに使用したい AWS ストレージサービスを選択します。

   • Amazon S3 を選択すると、選択したプロトコル経由でファイルをオブジェクトとして保存してアクセスできます。

   • Amazon EFS を選択すると、選択したプロトコル経由で Amazon EFS ファイルシステム内でファイルを保存してアクセスできます。

   [Next] (次へ) を選択します。

7. [Configure additional details] (その他の詳細の構成) で次のように操作します。

   1. CloudWatch ロギング, の場合は、次のいずれかを選択して、Amazon CloudWatch ユーザーアクティビティのログ記録を有効にします。

      • 新しいロールを作成するための正しいアクセス許可を受けている場合、[Create a new role] (新しいロールを作成する) を選択すれば Transfer Family で自動的に IAM ロールを作成できます。作成される IAM ロールは AWSTransferLoggingAccess と呼ばれます。

      • [Choose an existing role] (既存のロールを選択) でアカウントから既存のロール を選択します。[Logging role] (ログ記録ロール) でロールを選択します。この IAM ロールには [Service] (サービス) を transfer.amazonaws.com に設定した信頼ポリシーを含めてください。

        CloudWatch ロギングの詳細については、を参照してくださいでアクティビティをログに記録する CloudWatch。

      注記

      • CloudWatch ロギングロールを指定しないと、でエンドユーザーのアクティビティを表示できません。

      • CloudWatch ロギングロールを設定しない場合は、[既存のロールを選択] (既存のロールを選択) を選択しますが、ロギングロールは選択しません。

      

   2. [Cryptographic algorithm options] (暗号化アルゴリズムオプション) で、サーバーで使用できる暗号化アルゴリズムを含むセキュリティポリシーを選択します。

      注記

      デフォルトでは、次にようになります。

      • [FIPS Enabled endpoint] (FIPS 対応エンドポイント) を選択しない場合、TransferSecurityPolicy-2020-06 セキュリティポリシーがサーバーにアタッチされます。

      • [FIPS Enabled endpoint] (FIPS 対応エンドポイント) を選択した場合、TransferSecurityPolicy-FIPS-2020-06 セキュリティポリシーがサーバーにアタッチされます。

      セキュリティポリシーの詳細については、「セキュリティポリシーの使用」を参照してください。

      

   3. [Server Host Key] (サーバーホストキー) は、空白のままにします。

      注記

      Server Host Key セクションは、既存の SFTP 対応サーバーからユーザーを移行する場合のみに使用されます。

      

   4. (オプション) [Tags] (タグ) の [Key] (キー) と [Value] (値) にキーバリューペアとして 1 つ以上のタグを入力して [Add tag] (タグの追加) を選択します。

   5. [Next] (次へ) を選択します。

      

   6. (オプション) [マネージドワークフロー] (マネージドワークフロー) について、ワークフローの実行時に Transfer Family が想定するワークフロー ID (および対応するロール) を選択します。アップロードが完了したときに実行するワークフローと、部分アップロード時に実行するワークフローを1つ選択できます。マネージドワークフローを使用してファイルを処理する方法の詳細については、を参照してくださいAWS Transfer Family管理ワークフロー。

      

   7. （オプション）AWS Transfer Family組織のポリシーや契約条件などのカスタマイズされたメッセージをエンドユーザーに表示するようにサーバーを設定できます。認証に成功したユーザーには、カスタマイズした「今日のメッセージ (MOTD)」を表示することもできます。

      表示バナーの場合は、認証前表示バナーのテキストボックスに、認証前にユーザーに表示するテキストメッセージを入力し、認証後の表示バナーのテキストボックスに、認証が完了した後にユーザーに表示するテキストを入力します。

      

   8. (オプション) 次の追加オプションを設定できます。

      • SetStat オプション:Amazon S3 バケットにアップロードしているファイルに対して、SETSTATクライアントが使用を試生成されるエラーを無視します。詳細については、SetStatOptionProtocolDetailsトピックのドキュメントを参照してください。

      • TLS セッション再開: FTPS セッションの制御接続とデータ接続の間でネゴシエートされた秘密鍵を再開または共有するメカニズムを提供します。詳細については、TlsSessionResumptionModeProtocolDetailsトピックのドキュメントを参照してください。

      • パッシブIP: FTP および FTPS プロトコルのパッシブモードを示します。ファイアウォール、ルーター、ロードバランサーのパブリック IP アドレスなど、単一 IPv4 アドレスを入力します。詳細については、PassiveIpProtocolDetailsトピックのドキュメントを参照してください。

      

8. [Review and create] (確認と作成) で選択内容を確認します。

   • いずれかを編集するには、ステップの隣にある [Edit] (編集) を選択します。

     注記

     編集の対象として選択したステップの後で各ステップの確認が必要になります。

   • 変更がない場合、[Create server] (サーバーの作成) を選択してサーバーを作成します。[Servers] (サーバー) ページに誘導され、次に示すように新しいサーバーの一覧が表示されます。

新しい SFTP サーバーのステータスが [Online] (オンライン) に変わるまでに数分かかる場合があります。その時点で、サーバーはユーザーのためにファイルオペレーションを実行できます。

次のステップ:次のステップとして、「」カスタム ID プロバイダーの使用 に進んでユーザーを設定します。