サーバーの作成 - AWS Transfer Family

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サーバーの作成

AWS Transfer Familyこのサービスを使用してファイル転送サーバーを作成できます。次のプロトコルを使用できます。

  • Secure Shell (SSH) File Transfer Protocol (SFTP) — SSH 経由のファイル転送。詳細については、「SFTP 対応サーバーの作成」を参照してください。

  • File Transfer Protocol Secure (FTPS) — TLS 暗号化によるファイル転送。詳細については、「FTPS 対応サーバーを作成する」を参照してください。

  • File Transfer Protocol (FTP)-暗号化されていないファイル転送。詳細については、「FTP 対応サーバーの作成」を参照してください。

  • 適用性ステートメント 2 (AS2) — business-to-business 構造化データを転送するためのファイル転送。詳細については、「AS2 対応サーバー構成の作成」を参照してください。

複数のプロトコルを持つサーバーを作成できます。

注記

同じサーバーエンドポイントに対して複数のプロトコルが有効になっており、複数のプロトコルに対して同じユーザー名を使用してアクセスを提供する場合は、そのプロトコルに固有の認証情報が ID プロバイダーで設定されている限り、そのプロトコルに固有の認証情報が ID プロバイダーで設定されています。FTP の場合は、SFTP および FTPS とは別の認証情報を維持することをお勧めします。SFTP や FTPS と異なり、FTP は認証情報を平文で送信します。FTP の認証情報を SFTP または FTPS から隔離することを推奨します。そうすれば、FTP の認証情報が共有または公開されても、SFTP または FTPS を使用しているワークロードは引き続き安全だからです。

サーバーを作成するときは、AWS リージョン特定のサーバーに割り当てられているユーザーのファイル操作要求を実行します。サーバーに 1 つ以上のプロトコルを割り当てるとともに、次のいずれかの ID プロバイダーのタイプも割り当てます。

  • SSH キーを使用して管理されるサービス。詳細については、「サービスマネージドユーザーの使用」を参照してください。

  • AWS Directory Service for Microsoft Active Directory(AWS Managed Microsoft AD)。 この方法では、Microsoft Active Directory グループを統合して Transfer Family サーバーへのアクセスを提供できます。詳細については、「AWSDirectory Service ID プロバイダの使用」を参照してください。

  • カスタムメソッド。カスタムメソッドは Amazon API Gateway を使用しAWS Lambda、ディレクトリサービスを統合して SFTP ユーザーの認証と許可を実行できるようにします。サービスは、サーバーを一意に識別する識別子を自動的に割り当てます。詳細については、「カスタム ID プロバイダーの使用」を参照してください。

また、デフォルトのサーバーエンドポイントを使用してエンドポイントタイプ (パブリックアクセス可能または VPC ホスト型) とホスト名、Amazon Route 53 サービスまたは任意のドメインネームシステム (DNS) サービスを使用してカスタムホスト名をサーバーに割り当てます。サーバーホスト名は、AWS リージョン作成場所内で一意である必要があります。

さらに、 CloudWatch CloudWatch ログ記録ロールを割り当てたり、サーバーが使用できる暗号化アルゴリズムを含むセキュリティポリシーを選択したり、キーと値のペアであるタグの形式でメタデータをサーバーに追加したりできます。

重要

料金は、インスタンス化された SFTP サーバーとデータ転送について発生します。料金および AWS Pricing Calculator を使用して Transfer Family の使用料を見積もる方法については、「AWS Transfer Family の料金」を参照してください。

ID プロバイダーオプション

AWS Transfer Family には、ユーザーを認証および管理するための方法がいくつも用意されています。次の表は、Transfer Family と組み合わせて使用できる ID プロバイダーの比較です。

アクション AWS Transfer Familyサービスマネージド AWS Managed Microsoft AD Amazon API Gateway AWS Lambda
サポートされるプロトコル SFTP SFTP、FTPS、FTP SFTP、FTPS、FTP SFTP、FTPS、FTP

SAML ベースの認証

はい

いいえ

はい

はい

パスワード認証

いいえ

はい

はい

はい

AWS Identity and Access Management(IAM) と POSIX

はい

はい

はい

はい

論理ホームディレクトリ

はい

はい

はい

はい

パラメータ化されたアクセス (ユーザー名ベース) はい はい はい はい

アドホックアクセス構造

はい

いいえ

はい

はい

AWS WAF

いいえ

いいえ

はい

いいえ

注記:

  • IAM は Amazon S3 バッキングストレージへのアクセスを制御するために使用され、POSIX は Amazon EFS に使用されます。

  • アドホックは、ランタイムにユーザープロファイルを送信する機能を指します。たとえば、ユーザー名を変数として渡すことで、ユーザーをホームディレクトリに配置できます。

  • の詳細についてはAWS WAF、を参照してくださいウェブアプリケーションファイアウォールを追加する

  • Microsoft Azure AD に統合された Lambda 関数をTransfer Family アイデンティティプロバイダーとして使用する方法について説明しているブログ記事があります。詳細については、「Azure Active DirectoryAWS Transfer Family による認証」および「」を参照してくださいAWS Lambda。

次の手順では、SFTP 対応サーバー、FTP 対応サーバー、または ASA22 対応サーバーを作成できます。

次のステップ

AWS Transfer Familyエンドポイントタイプマトリックス

Transfer Family サーバーを作成するときは、使用するエンドポイントの種類を選択します。次の表では、各タイプのエンドポイントの特性を説明しています。

エンドポイントタイプマトリックス
特徴 Public VPC-インターネット VPC-内部 VPC_エンドポイント (非推奨)
対応プロトコル SFTP SFTP、FTPS、AS2 SFTP、FTP、FTPS、AS2 SFTP
アクセス インターネット経由で。このエンドポイントタイプは、VPC で特別な設定は必要ありません。 インターネット経由で、AWS Direct Connectまたは VPN 経由のオンプレミスデータセンターなどの VPC および VPC 接続環境内から。 VPC 内から、AWS Direct Connectまたは VPN 経由でオンプレミスデータセンターなどの VPC 接続環境から。 VPC 内から、AWS Direct Connectまたは VPN 経由でオンプレミスデータセンターなどの VPC 接続環境から。
スタティック IP アドレス 静的 IP アドレスをアタッチできません。 AWSは、変更される可能性があります IP アドレスを提供します。

Elastic IP アドレスをエンドポイントにアタッチできます。これらは、AWS所有する IP アドレスでも、独自の IP アドレス (独自の IP アドレスを持参) でもかまいません。エンドポイントにアタッチされている Elastic IP アドレスは変更されません。

サーバーに接続されているプライベート IP アドレスも変更されません。

エンドポイントにアタッチされたプライベート IP アドレスは変更されません。 エンドポイントにアタッチされたプライベート IP アドレスは変更されません。
ソース IP 許可リスト

このエンドポイントタイプは、送信元 IP アドレスによる許可リストをサポートしていません。

エンドポイントはパブリックにアクセス可能で、ポート 22 経由でトラフィックをリッスンします。

ソース IP アドレスによるアクセスを許可するには、サーバーエンドポイントにアタッチされたセキュリティグループと、エンドポイントが属するサブネットにアタッチされたネットワーク ACL を使用できます。

ソース IP アドレスによるアクセスを許可するには、サーバーエンドポイントにアタッチされたセキュリティグループと、エンドポイントが属するサブネットにアタッチされたネットワークアクセスコントロールリスト (ネットワーク ACL) を使用できます。

ソース IP アドレスによるアクセスを許可するには、サーバーエンドポイントにアタッチされたセキュリティグループと、エンドポイントが属するサブネットにアタッチされたネットワーク ACL を使用できます。

クライアントファイアウォール許可リスト

サーバーの DNS 名を許可する必要があります。

IP アドレスは変更されることがあるため、クライアントファイアウォールの許可リストに IP アドレスを使用しないでください。

サーバーの DNS 名またはサーバーにアタッチされている Elastic IP アドレスを許可できます。

エンドポイントのプライベート IP アドレスまたは DNS 名を許可できます。

エンドポイントのプライベート IP アドレスまたは DNS 名を許可できます。

注記

VPC_ENDPOINTエンドポイントタイプは廃止され、新しいサーバーの作成には使用できません。を使用する代わりにEndpointType=VPC_ENDPOINT、前の表で説明したように、新しい VPC エンドポイントタイプ (EndpointType=VPC) を使用してください。このタイプは、内部向けまたはインターネット向けとして使用できます。詳細については、「VPC_ENDPOINT のサポート終了」を参照してください。

AWS Transfer Familyサーバーのセキュリティ体制を強化するには、次のオプションを検討してください。

  • 内部アクセスが可能な VPC エンドポイントを使用して、VPC 内のクライアント、AWS Direct Connectまたは VPN 経由のオンプレミスデータセンターなどの VPC 接続環境内のクライアントのみがサーバーにアクセスできるようにします。

  • クライアントがインターネット経由でエンドポイントにアクセスできるようにし、サーバーを保護するには、インターネットに直接アクセスできる VPC エンドポイントを使用します。次に、ユーザーのクライアントをホストする特定の IP アドレスからのトラフィックのみを許可するように VPC のセキュリティグループを変更します。

  • 内部アクセスが可能な VPC エンドポイントの前にNetwork Load Balancer を使用してください。ロードバランサーのリスナーポートをポート 22 から別のポートに変更します。ポート22が最も一般的にスキャンに使用されるため、ポートスキャナーやボットがサーバーをプロービングするリスクを軽減できますが、排除することはできません。ただし、Network Load Balancer を使用する場合、セキュリティグループを使用してソース IP アドレスからのアクセスを許可することはできません。

  • パスワードベースの認証が必要で、サーバーでカスタム ID プロバイダーを使用している場合は、パスワードポリシーによってユーザーが脆弱なパスワードを作成することを防ぎ、ログインの失敗回数を制限するのがベストプラクティスです。