サーバーの作成 - AWS Transfer Family

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サーバーの作成

続いて、AWS Transfer Family サービスを使用してファイル転送プロトコル対応のサーバーを作成する方法を示します。次のプロトコルを使用できます。

  • Secure Shell (SSH) File Transfer Protocol (SFTP) – SSH 経由のファイル転送

  • File Transfer Protocol Secure (FTPS) – TLS 暗号化によるファイル転送

  • File Transfer Protocol (FTP) - 暗号化されていないファイル転送

複数のプロトコルを持つサーバーを作成できます。

注記

同じサーバーエンドポイントに対して複数のプロトコルが有効になっており、複数のプロトコルに対して同じユーザー名を使用してアクセスを提供する場合は、そのプロトコルに固有の認証情報が ID プロバイダーで設定されている限り、そのプロトコルに固有の認証情報を使用できます。FTP の場合は、SFTP および FTPS とは別の認証情報を維持することをお勧めします。SFTP や FTPS と異なり、FTP は認証情報を平文で送信します。FTP の認証情報を SFTP または FTPS から隔離することを推奨します。そうすれば、FTP の認証情報が共有または公開されても、SFTP または FTPS を使用しているワークロードは引き続き安全だからです。

サーバーを作成するときは、特定の AWS リージョンを選択して、そのサーバーに割り当てられているユーザーのファイル操作要求を実行します。サーバーに 1 つ以上のプロトコルを割り当てるとともに、次のいずれかの ID プロバイダーのタイプも割り当てます。

  • SSH キーを使用するマネージドサービス。詳細については、「サービスマネージドユーザーの使用」を参照してください。

  • AWS Managed Microsoft AD。この方法では、Microsoft Active Directory グループを統合して Transfer Family サーバーへのアクセスを提供できます。詳細については、「の使用AWSDirectory Service」を参照してください

  • カスタムメソッド。カスタム ID プロバイダーの方法では、AWS Lambdaまたは Amazon API Gateway で、ディレクトリサービスを統合して SFTP ユーザーの認証と許可を実行できるようにします。サービスは、サーバーを一意に識別する識別子を自動的に割り当てます。詳細については、「カスタム ID プロバイダーの使用」を参照してください

また、デフォルトのサーバーエンドポイントを使用してエンドポイントタイプ (パブリックアクセス可能または VPC ホスト型) とホスト名、Amazon Route 53 サービスまたは任意のドメインネームシステム (DNS) サービスを使用してカスタムホスト名をサーバーに割り当てます。サーバーホスト名は、作成場所の AWS リージョン内で一意である必要があります。

さらに、Amazon CloudWatch イベントをあなたにプッシュするロギングロール CloudWatch [Logs] (ログ記録ワークフロー) で、サーバーが使用できる暗号化アルゴリズムを含むセキュリティポリシーを選択したり、キーと値のペアであるタグの形式でメタデータをサーバーに追加します。

重要

料金は、インスタンス化された SFTP サーバーとデータ転送について発生します。料金およびAWS Pricing CalculatorTransfer Family の使用料を見積もる方法については、「」を参照してください。 AWS Transfer Family価格

ID プロバイダーオプション

AWS Transfer Family には、ユーザーを認証および管理するための方法がいくつも用意されています。次の表は、Transfer Family と組み合わせて使用できる ID プロバイダーの比較です。

[Action] (アクション) AWS Transfer Family service managed AWS Directory Service for Microsoft Active Directory Amazon API Gateway Lambda

論理ホームディレクトリ

はい

はい

はい

はい

IAM と POSIX

はい

はい

はい

はい

アドホックアクセス構造

はい

いいえ

はい

はい

パスワード認証

いいえ

はい

はい

はい

SAML ベースの認証

はい

いいえ

はい

はい

AWS ウェブアプリケーションファイアウォール

いいえ

いいえ

はい

いいえ

注記:

  • IAM は Amazon S3 バッキングストレージへのアクセスを制御するために使用され、POSIX は Amazon EFS に使用されます。

  • アドホックは、ランタイムにユーザープロファイルを送信する機能を指します。たとえば、ユーザー名を変数として渡すことで、ユーザーをホームディレクトリに配置できます。

  • AWS WAF の詳細については、「ウェブアプリケーションファイアウォールを追加する」を参照してください。

次の手順では、SFTP 対応サーバー、FTP 対応サーバー、または FTP 対応サーバーを作成できます。

次のステップ

AWS Transfer Familyエンドポイントタイプマトリックス

Transfer Family サーバーを作成するときに、使用するエンドポイントを選択します。次の表に、各タイプのエンドポイントの特性を示します。

エンドポイントタイプマトリックス
特徴 Public VPC-インターネット VPC-内部 vpc_Banner (廃止)
サポートされるプロトコル SFTP SFTP、FTPS SFTP、FTP、FTPS SFTP
アクセス インターネットから。このエンドポイントタイプでは、VPC で特別な設定は必要ありません。 インターネット経由および VPC 内および VPC 接続環境 (オンプレミスデータセンターなど) からAWS Direct Connectまたは VPN。 VPC 内および VPC 接続環境 (オンプレミスデータセンターなど) からAWS Direct Connectまたは VPN。 VPC 内および VPC 接続環境 (オンプレミスデータセンターなど) からAWS Direct Connectまたは VPN。
静的 IP アドレス 静的 IP アドレスはアタッチできません。AWS変更される可能性があります IP アドレスを提供します。

Elastic IP アドレスをエンドポイントにアタッチできます。これらは次のことができます。AWS-所有IP アドレスまたは自分の IP アドレス (自分の IP アドレスを使用する). エンドポイントにアタッチされた Elastic IP アドレスは変更されません。

サーバーに接続されているプライベート IP アドレスも変更されません。

エンドポイントにアタッチされたプライベート IP アドレスは変更されません。 エンドポイントにアタッチされたプライベート IP アドレスは変更されません。
ソース IP 許可リスト

このエンドポイントタイプは、送信元 IP アドレス別の許可リストをサポートしていません。

エンドポイントはパブリックにアクセス可能で、ポート 22 を介してトラフィックをリッスンします。

ソース IP アドレスによるアクセスを許可するには、サーバーエンドポイントにアタッチされたセキュリティグループと、エンドポイントが存在するサブネットにアタッチされたネットワーク ACL を使用できます。

送信元 IP アドレスによるアクセスを許可するには、サーバーエンドポイントにアタッチされたセキュリティグループと、エンドポイントが存在するサブネットにアタッチされたネットワークアクセスコントロールリスト (ネットワーク ACL) を使用できます。

ソース IP アドレスによるアクセスを許可するには、サーバーエンドポイントにアタッチされたセキュリティグループと、エンドポイントが存在するサブネットにアタッチされたネットワーク ACL を使用できます。

クライアントファイアウォールの許可リスト

サーバーの DNS 名を許可する必要があります。

IP アドレスは変更される可能性があるため、クライアントファイアウォールの許可リストに IP アドレスを使用しないでください。

サーバーの DNS 名またはサーバーに関連付けられている Elastic IP アドレスを許可できます。

エンドポイントのプライベート IP アドレスまたは DNS 名を許可できます。

エンドポイントのプライベート IP アドレスまたは DNS 名を許可できます。

注記

-VPC_ENDPOINTエンドポイントタイプは廃止され、新しいサーバーを作成するために使用できません。詳細については、「VPC_ENDPOINT のサポート終了」を参照してください

セキュリティ体制を強化するには、以下のオプションを検討してください。AWS Transfer Familyserver:

  • 内部アクセス権を持つ VPC エンドポイントを使用して、VPC 内のクライアントまたはオンプレミスデータセンターなどの VPC 接続環境のみがサーバーにアクセスできるようにします。AWS Direct Connectまたは VPN。

  • クライアントがインターネット経由でエンドポイントにアクセスし、サーバーを保護できるようにするには、インターネットに直接アクセスする VPC エンドポイントを使用します。次に、ユーザーのクライアントをホストする特定の IP アドレスからのトラフィックのみを許可するように VPC のセキュリティグループを変更します。

  • 内部アクセスを持つ VPC エンドポイントの前でNetwork Load Balancer を使用します。ロードバランサーのリスナーポートをポート 22 から別のポートに変更します。これにより、ポートスキャナーやボットがサーバーを調査するリスクを軽減できますが、排除することはできません。ポート22がスキャンに最も一般的に使用されるためです。ただし、Network Load Balancer を使用している場合、セキュリティグループを使用してソース IP アドレスからのアクセスを許可することはできません。

  • パスワードベースの認証が必要で、サーバーでカスタム ID プロバイダーを使用する場合は、積極的なパスワードポリシーを設定することがベストプラクティスです。パスワードポリシーでは、ユーザーが脆弱なパスワードを作成するのを防ぎ、ログイン試行の失敗回数を制限することがベストプラクティスです。