SFTP 対応サーバーの作成 - AWS Transfer Family

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SFTP 対応サーバーの作成

SFTP は Secure Shell (SSH) File Transfer Protocol の略称で、インターネット経由の安全なデータ転送に使用されるネットワークプロトコルです。このプロトコルは、SSH のセキュリティおよび認証機能をすべてサポートします。金融サービス、医療、小売、広告など、さまざまな業界のビジネスパートナー間の機密情報を含むデータを交換するために広く使用されています。

注記

Transfer Family 用の SFTP サーバーは、ポート 22 経由で動作します。

SFTP 対応サーバーを作成するには

  1. https://console.aws.amazon.com/transfer/ で AWS Transfer Family コンソールを開き、ナビゲーションペインで、[Servers] (サーバー) を選択してから [Create server] (サーバーの作成) を選択します。

  2. [Choose protocols] (プロトコルの選択) で SFTP を選択してから [Next] (次へ) を選択します。

    SFTP を選択した状態の [プロトコルの選択] コンソールセクション。

  3. [Choose an identity provider] (ID プロバイダーの選択) で、ユーザーアクセスの管理に使用したい ID プロバイダーを選択します。次のオプションがあります。

    • Service managed (マネージドサービス) — ユーザー ID とキーをAWS Transfer Familyに保存します。

      [ID プロバイダコンソールの選択] セクションで、[サービスマネージド] が選択されています。

    • AWS Directory Service for Microsoft Active Directory—AWS Directory Service エンドポイントにアクセスするためのディレクトリを指定します。そうすることで、Active Directory に保存されている認証情報を使用してユーザーを認証できるようになります。AWS Managed Microsoft AD ID プロバイダーの使用に関する詳細については、「AWSDirectory Service ID プロバイダーの使用」を参照してください。

      注記

      • クロスアカウントディレクトリと共有ディレクトリは AWS Managed Microsoft AD ではサポートされません。

      • Directory Service を ID プロバイダとしてサーバをセットアップするには、AWS Directory Serviceいくつかの権限を追加する必要があります。詳細については、「使用を開始する前にAWS Directory Service for Microsoft Active Directory」を参照してください。

      [ID プロバイダコンソールの選択] AWS Directory Serviceセクションがオンになっています。

    • Custom ID プロバイダー — 次のいずれかのオプションを選択します。

      • IDAWS Lambda プロバイダーの接続に使用 — Lambda 関数にバックアップされた既存の ID プロバイダーを使用できます。Lambda 関数の名前を指定します。詳細については、「AWS Lambda の使用による ID プロバイダーの統合」を参照してください。

      • Amazon API Gateway を使用して ID プロバイダーを接続する — Lambda 関数によってバックアップされる API Gateway メソッドを作成して ID プロバイダーとして使用できます。Amazon API Gateway URL と呼び出しロールを指定します。詳細については、「Amazon API Gateway を使用して ID プロバイダーを統合する」を参照してください。

      「ID プロバイダーの選択」コンソールセクションでは、「カスタム ID プロバイダー」が選択されています。

  4. [Next] (次へ) を選択します。

  5. [Choose an endpoint] (エンドポイントの選択) で次のように操作します。

    1. [Endpoint type] (エンドポイントタイプ) として [Publicly accessible] (パブリックにアクセス可能な) エンドポイントタイプを選択します。VPC ホステッドエンドポイントについては、「Virtual Private Cloud でサーバーを作成する」を参照してください。

    2. (オプション) [Custom hostname] (カスタムホスト名) で [None] (なし) を選択します。

      AWS Transfer Family によって提供されるサーバーホスト名を取得します。サーバーホスト名の形式は serverId.server.transfer.regionId.amazonaws.com です。

      カスタムホスト名には、サーバーエンドポイントのカスタムエイリアスを指定します。カスタムホスト名の使用の詳細については、「カスタムホスト名の使用」を参照してください。

    3. (オプション) [FIPS Enabled] (FIPS 対応) で、[FIPS Enabled endpoint] (FIPS 対応エンドポイント) チェックボックスをオンにして、エンドポイントが連邦情報処理標準 (FIPS) に準拠することを確認します。

      注記

      FIPS 対応エンドポイントは、北米 AWS リージョンでのみ使用できます。利用可能なリージョンについては、AWS 全般リファレンスの「AWS Transfer Family エンドポイントとクォータ」を参照してください。利用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-2」を参照してください。

    4. [Next] (次へ) を選択します。

    [エンドポイントコンソールの選択] セクションで [一般公開可能] が選択されています。

  6. [Choose domain] (ドメインを選択) ページで、選択したプロトコル経由でデータの保存とアクセスに使用したい AWS ストレージサービスを選択します。

    • Amazon S3 を選択すると、選択したプロトコル経由でファイルをオブジェクトとして保存してアクセスできます。

    • Amazon EFS を選択すると、選択したプロトコル経由で Amazon EFS ファイルシステム内でファイルを保存してアクセスできます。

    [Next] (次へ) を選択します。

  7. [Configure additional details] (その他の詳細の構成) で次のように操作します。

    1. CloudWatch ロギング, の場合は、次のいずれかを選択して、Amazon CloudWatch ユーザーアクティビティのログ記録を有効にします。

      • 新しいロールを作成するための正しいアクセス許可を受けている場合、[Create a new role] (新しいロールを作成する) を選択すれば Transfer Family で IAM ロールを自動的に作成できます。作成される IAM ロールは AWSTransferLoggingAccess と呼ばれます。

      • [Choose an existing role] (既存のロールを選択) でアカウントから既存のロール を選択します。[Logging role] (ログ記録ロール) でロールを選択します。この IAM ロールには [Service] (サービス) を transfer.amazonaws.com に設定した信頼ポリシーを含めてください。

        CloudWatch ロギングの詳細については、を参照してくださいでアクティビティをログに記録する CloudWatch

      注記

      • CloudWatch ロギングロールを指定しないと、でエンドユーザーのアクティビティを表示できません。

      • CloudWatch ロギングロールを設定しない場合は、[既存のロールを選択] (既存のロールを選択) を選択しますが、ロギングロールは選択しません。

      [新しいロールの作成] CloudWatch が選択されているロギングコンソールセクション。

    2. [Cryptographic algorithm options] (暗号化アルゴリズムオプション) で、サーバーで使用できる暗号化アルゴリズムを含むセキュリティポリシーを選択します。

      注記

      デフォルトでは、次にようになります。

      • [FIPS Enabled endpoint] (FIPS 対応エンドポイント) を選択しない場合、TransferSecurityPolicy-2020-06 セキュリティポリシーがサーバーにアタッチされます。

      • [FIPS Enabled endpoint] (FIPS 対応エンドポイント) を選択した場合、TransferSecurityPolicy-FIPS-2020-06 セキュリティポリシーがサーバーにアタッチされます。

      セキュリティポリシーの詳細については、「セキュリティポリシーの使用」を参照してください。

      セキュリティポリシーを選択した状態の暗号化アルゴリズムオプションコンソールセクション。

    3. (オプション) [Server Host Key] (サーバーホストキー) に、クライアントが SFTP 経由でサーバに接続するときにサーバを識別するために使用する RSA、ED25519、または ECDSA プライベートキーを入力します。また、説明を追加して、複数のホストキーを区別することもできます。

      サーバーを作成したら、ホストキーを追加できます。複数のホストキーがあると、キーをローテーションする場合や、RSA キーと ECDSA キーなど、さまざまなタイプのキーが必要な場合に便利です。

      注記

      Server Host Key セクションは、既存の SFTP 対応サーバーからユーザーを移行する場合のみに使用されます。

      サーバーホストキーコンソールセクション。

    4. (オプション) [Tags] (タグ) の [Key] (キー) と [Value] (値) にキーバリューペアとして 1 つ以上のタグを入力して [Add tag] (タグの追加) を選択します。

    5. [Next] (次へ) を選択します。

      タグコンソールセクション。

    6. (オプション) [マネージドワークフロー] (マネージドワークフロー) について、ワークフローの実行時に Transfer Family が想定するワークフロー ID (および対応するロール) を選択します。アップロードが完了したときに実行するワークフローと、部分アップロード時に実行するワークフローを1つ選択できます。マネージドワークフローを使用してファイルを処理する方法の詳細については、を参照してくださいAWS Transfer Family管理ワークフロー

      管理ワークフローコンソールセクション。

    7. (オプション)AWS Transfer Family組織のポリシーや契約条件などのカスタマイズされたメッセージをエンドユーザーに表示するようにサーバーを設定できます。[バナーを表示] の [事前認証表示バナー] テキストボックスに、認証前にユーザーに表示するテキストメッセージを入力します。

      「バナーコンソールの表示」セクション。

    8. (オプション) 次の追加オプションを設定できます。

      • SetStat オプション:Amazon S3 バケットにアップロードしているファイルに対して、SETSTATクライアントが使用を試生成されるエラーを無視します。詳細については、SetStatOptionのマニュアルを参照してくださいProtocolDetails

      • TLSセッションの再開:このオプションは、このサーバーのプロトコルの1つとしてFTPSを有効にしている場合にのみ使用できます。

      • パッシブIP: このオプションは、このサーバーのプロトコルの1つとしてFTPSまたはFTPを有効にしている場合にのみ使用できます。

  8. [Review and create] (確認と作成) で選択内容を確認します。

    • いずれかを編集するには、ステップの隣にある [Edit] (編集) を選択します。

      注記

      編集の対象として選択したステップの後で各ステップの確認が必要になります。

    • 変更がない場合、[Create server] (サーバーの作成) を選択してサーバーを作成します。[Servers] (サーバー) ページに誘導され、次に示すように新しいサーバーの一覧が表示されます。

新しい SFTP サーバーのステータスが [Online] (オンライン) に変わるまでに数分かかる場合があります。その時点で、サーバーはユーザーのためにファイルオペレーションを実行できます。

サーバーコンソールページで、新しいサーバー ID とステータスが「開始」になっています。