翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Virtual Private Cloud でサーバーを作成する
Virtual Private Cloud (VPC) 内でサーバーのエンドポイントをホストし、それを使用してパブリックインターネットを経由せずに Amazon S3 バケットや Amazon EFS ファイルシステムとの間でデータを転送できます。
注記
2021 年 5 月 19 日よりも前に EndpointType=VPC_ENDPOINT
アカウント内で AWS を使用して既にサーバーを作成していない限り、2021 年 5 月 19 日以降にその操作はできなくなります。2021 年 2 月 21 日よりも前に AWS アカウントで既に EndpointType=VPC_ENDPOINT
サーバーを作成している場合には影響を受けません。この日付を過ぎたら EndpointType
=VPC
を使用します。詳細については、「VPC_ENDPOINT のサポート終了」を参照してください。
Amazon Virtual Private Cloud (Amazon VPC) を使用して AWS リソースをホストする場合、VPC と サーバーの間のプライベート接続を確立できます。その後、パブリックなIPアドレスを使用したり、インターネットゲートウェイを必要とすることなく、このサーバーを使用してクライアント経由で Amazon S3 バケットとの間でデータを転送できます。
Amazon VPC を使用して、カスタム仮想ネットワークで AWS リソースを起動できます。VPCを使用して、IP アドレス範囲、サブネット、ルートテーブル、ネットワークゲートウェイなどのネットワーク設定を制御できます。Amazon VPC の詳細については、Amazon VPC ユーザーガイドの「Amazon VPC とは」を参照してください。
以下のセクションでは、VPC をサーバーに接続する手順を示しています。手順の概要は、以下のとおりでます。
-
VPC エンドポイントを使用してサーバーを設定します。
-
VPC エンドポイントを通して VPC 内の SFTP クライアントでサーバーに接続します。これにより、AWS Transfer Family を使用して Amazon S3 バケットに保存されたデータをクライアント経由で転送できます。ネットワークがパブリックインターネットから切断されていても、この転送を実行できます。
-
さらに、サーバーのエンドポイントをインターネット向けにしようとする場合、Elastic IP アドレスをエンドポイントに関連付けることができます。これで VPC の外部のクライアントがサーバーに接続できるようになります。VPC セキュリティグループを使用して、許可されたアドレスのみからリクエストが送信される認証済みユーザーへのアクセスを制御できます。
トピック
VPC 内でのみアクセスできるサーバーエンドポイントを作成する
以下の手順に従って、VPC 内のリソースにのみアクセスできるサーバーエンドポイントを作成します。
VPC の内部にエンドポイントを作成するには
-
https://console.aws.amazon.com/transfer/
で AWS Transfer Family コンソールを開きます。 -
ナビゲーションペインで、[Servers] (サーバー) を選択してから [Create server] (サーバーの作成) を選択します。
-
[Choose protocols] (プロトコルの選択) で 1 つ以上のプロトコルを選択してから [Next] (次へ) を選択します。プロトコルの詳細については、「ステップ 2: SFTP 対応サーバーを作成する」を参照してください。
-
[Choose an identity provider] (ID プロバイダーの選択) で [Service managed] (マネージドサービス) を選択してユーザー ID とキーを AWS Transfer Family に保存してから [Next] (次へ) を選択します。
注記
この手順では、サービスマネージドオプションを使用します。[Custom] (カスタム) を選択した場合、 Amazon API Gateway エンドポイントにアクセスするために Amazon API Gateway エンドポイントと AWS Identity and Access Management (IAM) ロールを提供します。そうすることで、ディレクトリサービスを統合して SFTP ユーザーの認証と許可を実行できます。カスタム ID プロバイダーの使用に関する詳細については、「カスタム ID プロバイダーの使用」を参照してください。
-
[Choose an endpoint] (エンドポイントの選択) で、次のように操作します。
注記
Transfer Family 用の FTP および FTPS サーバーは、ポート 21 (制御チャネル) およびポート範囲 8192~8200 (データチャネル) を経由して動作します。
-
[Endpoint type] (エンドポイントタイプ) で、サーバーのエンドポイントをホストする VPC hosted (VPC ホステッド) エンドポイントタイプを選択します。
-
[Access] (アクセス) で [Internal] (社内) すると、エンドポイントのプライベート IP アドレスを使用しているクライアントのみがエンドポイントにアクセスできるようになります。
注記
Internet Facing (インターネット向け) オプションの詳細については、「サーバー用のインターネット向けエンドポイントを作成する」を参照してください。社内アクセスのみの VPC 内で作成されたサーバーはカスタムホスト名をサポートしません。
-
VPC では、既存の VPC ID を選択するか、[Create a VPC] (VPC を作成する) をクリックして新しい VPC を作成します。
-
[Availability Zones] (アベイラビリティーゾーン) セクションで、最大 3 つのアベイラビリティーゾーンと関連サブネットを選択します。
-
[Security Groups] (セキュリティグループ) セクションで、既存のセキュリティグループ ID を選択するか、[Create a security group] (セキュリティグループの作成) をクリックして新しいセキュリティグループを作成します。VPC セキュリティグループの詳細については、Amazon Virtual Private Cloud ユーザーガイドの「VPC のセキュリティグループ」を参照してください。セキュリティグループを作成するには、Amazon Virtual Private Cloud ユーザーガイドの「セキュリティグループの作成」を参照してください。
注記
VPC にはデフォルトセキュリティグループが付属していて自動的に設定されます。サーバーの起動時に別のセキュリティグループを指定しない場合、デフォルトのセキュリティグループがサーバーに関連付けられます。
-
(オプション) [FIPS Enabled] (FIPS 対応) で、[FIPS Enabled endpoint] (FIPS 対応エンドポイント) チェックボックスをオンにして、エンドポイントが連邦情報処理標準 (FIPS) に準拠していることを確認します。
注記
FIPS 対応エンドポイントは、北米 AWS リージョンでのみ使用できます。使用可能なリージョンについては、の「AWS Transfer Familyエンドポイントとクォータ」を参照してくださいAWS 全般のリファレンス。FIPS の詳細については、連邦情報処理規格 (FIPS) 140-2
を参照してください。 -
[Next] (次へ) を選択します。
-
-
[Configure additional details] (その他の詳細の構成) で次のように操作します。
-
CloudWatch ロギング, の場合は、次のいずれかを選択して、ユーザアクティビティの Amazon CloudWatch ロギングを有効にします。
-
新しいロールを作成するための正しいアクセス許可を受けている場合、[Create a new role] (新しいロールを作成する) を選択すれば Transfer Family で自動的に IAM ロールを作成できます。作成される IAM ロールは
AWSTransferLoggingAccess
と呼ばれます。 -
[Choose an existing role] (既存のロールを選択) でアカウントから既存のロール を選択します。[Logging role] (ログ記録ロール) でロールを選択します。この IAM ロールには [Service] (サービス) を
transfer.amazonaws.com
に設定した信頼ポリシーを含めてください。CloudWatch ロギングの詳細については、を参照してくださいでアクティビティをログに記録するCloudWatch。
注記
-
CloudWatch ロギングロールを指定しないと、でエンドユーザーのアクティビティを表示できません。
-
CloudWatch ロギングロールを設定しない場合は、[既存のロールを選択] を選択, しますが、ロギングロールは選択しません。
-
-
[Cryptographic algorithm options] (暗号化アルゴリズムオプション) で、サーバーで使用できる暗号化アルゴリズムを含むセキュリティポリシーを選択します。
注記
デフォルトでは、
TransferSecurityPolicy-2020-06
セキュリティポリシーは、別のポリシーを選択しない限り、サーバーに関連付けられます。セキュリティポリシーの詳細については、「のセキュリティポリシーAWS Transfer Family」を参照してください。
-
(オプション)[Server Host Key,] に、クライアントが SFTP 経由でサーバに接続するときにサーバを識別するために使用する RSA、ED25519、または ECDSA 秘密キーを入力します。
注記
このセクションは、既存の SFTP 対応サーバーからユーザーを移行する場合のみを対象としています。
-
(オプション) [Tags] (タグ) の [Key] (キー) と [Value] (値) にキーバリューペアとして 1 つ以上のタグを入力して [Add tag] (タグの追加) を選択します。
-
[Next] (次へ) を選択します。
-
-
[Review and create] (確認と作成) で選択内容を見直します。オプション:
-
いずれかを編集するには、ステップの隣にある [Edit] (編集) を選択します。
注記
編集の対象として選択したステップの後で各ステップの確認が必要になります。
-
変更の必要がなければ、[Create server] (サーバーの作成) を選択してサーバーを作成します。次に示すとおり、新しいサーバーが一覧表示されている、[Servers] (サーバー) ページに移動します。
-
新しい SFTP サーバーのステータスが [Online] (オンライン) に変わるまでに数分かかる場合があります。その時点で、サーバーはユーザーのためにファイルオペレーションを実行できます。
サーバー用のインターネット向けエンドポイントを作成する
以下の手順に従って、サーバーエンドポイントを作成します。このエンドポイントは、VPC のデフォルトセキュリティグループで送信元 IP アドレスが許可されているクライアントに対してのみ、インターネット経由でアクセスできます。さらに、Elastic IP アドレスを使用してエンドポイントをインターネット向けにすることで、クライアントは Elastic IP アドレスを使用してファイアウォール内のエンドポイントへのアクセスを許可できます。
注記
インターネット向け VPC でホストされるエンドポイントで使用できるのは SFTP と FTPS のみです。
インターネット向けエンドポイントを作成するには
-
https://console.aws.amazon.com/transfer/
で AWS Transfer Family コンソールを開きます。 -
ナビゲーションペインで、[Servers] (サーバー) を選択してから [Create server] (サーバーの作成) を選択します。
-
[Choose protocols] (プロトコルの選択) で 1 つ以上のプロトコルを選択してから [Next] (次へ) を選択します。プロトコルの詳細については、「ステップ 2: SFTP 対応サーバーを作成する」を参照してください。
-
[Choose an identity provider] (ID プロバイダーの選択) で [Service managed] (マネージドサービス) を選択してユーザー ID とキーを AWS Transfer Family に保存してから [Next] (次へ) を選択します。
注記
この手順では、サービスマネージドオプションを使用します。[Custom] (カスタム) を選択した場合、 Amazon API Gateway エンドポイントにアクセスするために Amazon API Gateway エンドポイントと AWS Identity and Access Management (IAM) ロールを提供します。そうすることで、ディレクトリサービスを統合して SFTP ユーザーの認証と許可を実行できます。カスタム ID プロバイダーの使用に関する詳細については、「カスタム ID プロバイダーの使用」を参照してください。
-
[Choose an endpoint] (エンドポイントの選択) で、次のように操作します。
-
[Endpoint type] (エンドポイントタイプ) で、サーバーのエンドポイントをホストする VPC hosted (VPC ホステッド) エンドポイントタイプを選択します。
-
[Access] (アクセス) で [Internet Facing] (インターネット向け) をクリックして、インターネット経由でクライアントからエンドポイントにアクセスできるようにします。
注記
[Internet Facing] (インターネット向け) を選択すると、各サブネット内の既存の Elastic IP アドレスを選択できます。または、VPC コンソール (https://console.aws.amazon.com/vpc/
) に移動して、1 つ以上の新しい Elastic IP アドレスを割り当てることもできます。これらのアドレスの所有者は、AWS またはユーザーです。既に使用されている Elastic IP アドレスをエンドポイントに関連付けることはできません。 -
(オプション) [Custom hostname (カスタムホスト名) で以下のいずれかのオプションを選択します。
-
Amazon Route 53 DNS alias (Amazon Route 53 DNS エイリアス) – 使用するホスト名が、Route 53 に登録されている場合。その後、ホスト名を入力します。
-
Other DNS (その他の DNS) – 使用するホスト名が別の DNS プロバイダーに登録されている場合。その後、ホスト名を入力します。
-
None (なし) – サーバーのエンドポイントを使用し、カスタムホスト名は使用しない場合。サーバーホスト名の形式は
です。server-id
.server.transfer.region
.amazonaws.comカスタムホスト名の使用に関する詳細については、「カスタムホスト名の使用」を参照してください 。
-
-
VPC では、既存の VPC ID を選択するか、[Create a VPC] (VPC を作成する) をクリックして新しい VPC を作成します。
-
[Availability Zones] (アベイラビリティーゾーン) セクションで、最大 3 つのアベイラビリティーゾーンと関連サブネットを選択します。[IPv4 Addresses] (IPv4 アドレス) でサブネットごとに Elastic IP アドレスを選択します。これは、クライアントがファイアウォール内のエンドポイントへのアクセスを許可するために使用できる IP アドレスです。
-
[Security Groups] (セキュリティグループ) セクションで、既存のセキュリティグループ ID を選択するか、[Create a security group] (セキュリティグループの作成) をクリックして新しいセキュリティグループを作成します。VPC セキュリティグループの詳細については、Amazon Virtual Private Cloud ユーザーガイドの「VPC のセキュリティグループ」を参照してください。セキュリティグループを作成するには、Amazon Virtual Private Cloud ユーザーガイドの「セキュリティグループの作成」を参照してください。
注記
VPC にはデフォルトセキュリティグループが付属していて自動的に設定されます。サーバーの起動時に別のセキュリティグループを指定しない場合、デフォルトのセキュリティグループがサーバーに関連付けられます。
-
(オプション) [FIPS Enabled] (FIPS 対応) で、[FIPS Enabled endpoint] (FIPS 対応エンドポイント) チェックボックスをオンにして、エンドポイントが連邦情報処理標準 (FIPS) に準拠していることを確認します。
注記
FIPS 対応エンドポイントは、北米 AWS リージョンでのみ使用できます。使用可能なリージョンについては、の「AWS Transfer Familyエンドポイントとクォータ」を参照してくださいAWS 全般のリファレンス。FIPS の詳細については、連邦情報処理規格 (FIPS) 140-2
を参照してください。 -
[Next] (次へ) を選択します。
-
-
[Configure additional details] (その他の詳細の構成) で次のように操作します。
-
CloudWatch ロギング, の場合は、次のいずれかを選択して、ユーザアクティビティの Amazon CloudWatch ロギングを有効にします。
-
新しいロールを作成するための正しいアクセス許可を受けている場合、[Create a new role] (新しいロールを作成する) を選択すれば Transfer Family で自動的に IAM ロールを作成できます。作成される IAM ロールは
AWSTransferLoggingAccess
と呼ばれます。 -
[Choose an existing role] (既存のロールを選択) でアカウントから既存のロール を選択します。[Logging role] (ログ記録ロール) でロールを選択します。この IAM ロールには [Service] (サービス) を
transfer.amazonaws.com
に設定した信頼ポリシーを含めてください。CloudWatch ロギングの詳細については、を参照してくださいでアクティビティをログに記録するCloudWatch。
注記
-
CloudWatch ロギングロールを指定しないと、でエンドユーザーのアクティビティを表示できません。
-
CloudWatch ロギングロールを設定しない場合は、[既存のロールを選択] を選択, しますが、ロギングロールは選択しません。
-
-
[Cryptographic algorithm options] (暗号化アルゴリズムオプション) で、サーバーで使用できる暗号化アルゴリズムを含むセキュリティポリシーを選択します。
注記
デフォルトでは、
TransferSecurityPolicy-2020-06
セキュリティポリシーは、別のポリシーを選択しない限り、サーバーに関連付けられます。セキュリティポリシーの詳細については、「のセキュリティポリシーAWS Transfer Family」を参照してください。
-
(オプション)[Server Host Key,] に、クライアントが SFTP 経由でサーバに接続するときにサーバを識別するために使用する RSA、ED25519、または ECDSA 秘密キーを入力します。
注記
このセクションは、既存の SFTP 対応サーバーからユーザーを移行する場合のみを対象としています。
-
(オプション) [Tags] (タグ) の [Key] (キー) と [Value] (値) にキーバリューペアとして 1 つ以上のタグを入力して [Add tag] (タグの追加) を選択します。
-
[Next] (次へ) を選択します。
-
(オプション)[Managed Workflow,] に、ワークフローの実行時に、Transfer Family が想定するワークフロー ID(および対応するロール)を選択します。アップロードが完了したときに実行するワークフローと、部分的なアップロード時に実行するワークフローを選択できます。マネージドワークフローを使用してファイルを処理する方法の詳細については、を参照してくださいAWS Transfer Family管理ワークフロー。
-
-
[Review and create] (確認と作成) で選択内容を見直します。オプション:
-
いずれかを編集するには、ステップの隣にある [Edit] (編集) を選択します。
注記
編集の対象として選択したステップの後で各ステップの確認が必要になります。
-
変更の必要がなければ、[Create server] (サーバーの作成) を選択してサーバーを作成します。次に示すとおり、新しいサーバーが一覧表示されている、[Servers] (サーバー) ページに移動します。
-
サーバー ID を選択して、作成したサーバーのデフォルト設定を確認できます。[Public IPv4 address] (パブリック IPv4 アドレス) 列にアドレスが入力された後、指定した Elastic IP アドレスがサーバーのエンドポイントに正常に関連付けられます。
注記
VPC 内のサーバーがオンラインになると、UpdateServerAPI を通してサブネットのみを変更できます。サーバーエンドポイントの Elastic IP アドレスを追加または変更するには、サーバーを停止する必要があります。
SFTP サーバーのエンドポイントタイプの変更
インターネット経由でアクセス可能な既存のサーバー (パブリックエンドポイントタイプを持つサーバー) がある場合 、そのエンドポイントを VPC エンドポイントに変更できます。
注記
VPC_ENDPOINT
として表示される VPC 内に既存のサーバーがある場合、新しい VPC エンドポイントタイプに変更することをお勧めします。この新しいエンドポイントタイプでは、Network Load Balancer (NLB) を使用して Elastic IP アドレスをサーバーのエンドポイントに関連付ける必要がなくなりました。また、VPC セキュリティグループを使用して、サーバーのエンドポイントへのアクセスを制限できます。ただし、必要に応じて VPC_ENDPOINT
エンドポイントタイプを引き続き使用できます。
次の手順では、現在のパブリックエンドポイントタイプまたは古い VPC_ENDPOINT
エンドポイントタイプのいずれかを使用するサーバーがあることを前提にしています。
サーバーのエンドポイントタイプを変更するには
-
https://console.aws.amazon.com/transfer/
で AWS Transfer Family コンソールを開きます。 -
ナビゲーションペインで [Servers] (サーバー) を選択します。
-
エンドポイントタイプを変更したいサーバーのチェックボックスをオンにします。
重要
エンドポイントを変更するには、その前にサーバーを停止する必要があります。
-
[Actions] (アクション) で [Stop] (停止) を選択します。
-
表示される確認ダイアログボックスで [Stop] (停止) を選択して、サーバーを停止したいことを確認します。
注記
次のステップに進む前に、[Endpoint details] (エンドポイントの詳細) でサーバーの [Status] (ステータス) が [Offline] (オフライン) に変わるのを待ちますが、これには数分かかる場合があります。ステータスの変更を見るには、[Servers] (サーバー) ページで [Refresh] (更新) の選択が必要になる場合があります。
サーバーが [Offline] (オフライン) になるまで編集はできません。
-
[Endpoint details] (エンドポイントの詳細) で [Edit] (編集) を選択します。
-
[Edit endpoint configuration] (エンドポイント設定の編集) で次のように操作します。
-
[Edit endpoint type] (エンドポイントタイプ) で [VPC hosted] (VPC ホステッド) を選択します。
-
[Access] (アクセス) について以下のいずれかを選択します。
-
[Internal] (社内) を選択すると、エンドポイントのプライベート IP アドレスを使用しているクライアントのみがエンドポイントにアクセスできるようになります。
-
[Internet Facing] (インターネット向け) を選択すると、パブリックインターネット経由でクライアントがエンドポイントにアクセスできるようになります。
注記
[Internet Facing] (インターネット向け) を選択すると、各サブネット内の既存の Elastic IP アドレスを選択できます。または、VPC コンソール (https://console.aws.amazon.com/vpc/
) に移動して、1 つ以上の新しい Elastic IP アドレスを割り当てることもできます。これらのアドレスの所有者は、AWS またはユーザーです。既に使用されている Elastic IP アドレスをエンドポイントに関連付けることはできません。
-
-
(インターネット向けアクセスの場合のみのオプション) [Custom hostname] (カスタムホスト名) で、以下のいずれかのオプションを選択します。
-
Amazon Route 53 DNS alias (Amazon Route 53 DNS エイリアス) – 使用するホスト名が、Route 53 に登録されている場合。その後、ホスト名を入力します。
-
Other DNS (その他の DNS) – 使用するホスト名が別の DNS プロバイダーに登録されている場合。その後、ホスト名を入力します。
-
None (なし) – サーバーのエンドポイントを使用し、カスタムホスト名は使用しない場合。サーバーホスト名の形式は
です。serverId
.server.transfer.regionId
.amazonaws.comカスタムホスト名の使用に関する詳細については、「カスタムホスト名の使用」を参照してください 。
-
-
VPC では、既存の VPC ID を選択するか、[Create a VPC] (VPC を作成する) をクリックして新しい VPC を作成します。
-
[Availability Zones] (アベイラビリティーゾーン) セクションで、最大 3 つのアベイラビリティーゾーンと関連サブネットを選択します。[Internet Facing] (インターネット向け) が選択されている場合、サブネットごとに Elastic IP アドレスを選択します。
注記
アベイラビリティーゾーンは最大 3 つまで使用でき、足りない場合には VPC コンソール (https://console.aws.amazon.com/vpc/
) で作成します。 サブネットまたは Elastic IP アドレスを変更した場合、サーバーの更新に数分かかります。サーバーの更新が完了するまで、変更内容を保存することはできません。
-
[Save] (保存) を選択します。
-
-
[Actions] (アクション) で [Start] (開始) を選択してサーバーのステータスが [Online] (オンライン) になるのを待ちますが、これには数分かかる場合があります。
注記
パブリックエンドポイントタイプを VPC エンドポイントタイプに変更した場合、サーバーの [Endpoint type] (エンドポイントタイプ) が VPC に変わることに着目してください。
デフォルトのセキュリティグループがエンドポイントにアタッチされます。セキュリティグループを変更または新しく追加するには、「セキュリティグループの作成」を参照してください。
VPC_ENDPOINT のサポート終了
AWS Transfer Family は、新しい AWS アカウントについて EndpointType=VPC_ENDPOINT
でサーバーを作成する機能のサポートを終了します。2021 年 5 月 19 日付けで、エンドポイントタイプが VPC_ENDPOINT
で AWS Transfer Family を所有していない AWS アカウントでは、EndpointType=VPC_ENDPOINT
で新しいサーバーを作成することはできなくなります。VPC_ENDPOINT
エンドポイントタイプを使用するサーバーを既に所有している場合、できる限り早急に EndpointType=VPC
の使用を開始することをお勧めします。詳細については、「AWS Transfer Family サーバーエンドポイントタイプを VPC_ENDPOINT から VPC に更新する
2020 年に新しい VPC
エンドポイントタイプを発表いたしました。詳細については、「AWS Transfer Family for SFTP で VPC セキュリティグループと Elastic IP アドレスが利用可能に
このエンドポイントタイプは、以前のエンドポイントタイプ (VPC_ENDPOINT
) と機能的に同等です。Elastic IP アドレスをエンドポイントに直接アタッチして、インターネット向けにし、送信元 IP フィルタリングにセキュリティグループを使用できます。詳細については、「IP 許可リストを使用して AWS Transfer Family for SFTP サーバーを保護する
共有 VPC 環境でこのエンドポイントをホストすることもできます。詳細については、「共有サービス VPCAWS Transfer Family 環境をサポートするようになりました
SFTP に加えて VPC EndpointType
を使用して FTPS と FTP を有効にすることもできます。これらの機能と FTPS/FTP サポートを EndpointType=VPC_ENDPOINT
に追加する予定はありません。また、このエンドポイントタイプのオプションは AWS Transfer Family コンソールから削除されました。
Transfer Family コンソール、AWS CLI、API、SDK、または AWS CloudFormation を使用して、サーバーのエンドポイントタイプを変更できます。サーバーのエンドポイントタイプを変更するには、「AWS Transfer Family サーバーエンドポイントタイプを VPC_ENDPOINT から VPC に更新する」を参照してください。
ご不明な点については、AWS Support または AWS アカウントチームにお問い合わせください。
注記
これらの機能と FTPS または FTP のサポートを EndpointType =VPC_ENDPOINT に追加する予定はありません。今後は AWS Transfer Family コンソールにオプションとして表示されません。
ご不明点については、AWS Support またはアカウントチームにお問い合わせください。