サーバーエンドポイントのユーザーの管理

以下のセクションでは、 AWS Transfer Family AWS Directory Service for Microsoft Active Directory またはカスタム ID プロバイダーを使用してユーザーを追加する方法について説明します。

各ユーザーのプロパティの一部として、そのユーザーの Secure Shell (SSH) パブリックキーも保存します。キーベースの認証にはこれが必要です。プライベートキーは、ユーザーのコンピュータにローカルに保存されます。ユーザーがクライアントを使用してサーバーに認証要求を送信すると、サーバーはまず、ユーザーが関連付けられた SSH 秘密キーにアクセスできることを確認します。その後、サーバーはユーザーを正常に認証します。

さらに、ユーザーのホームディレクトリ、またはランディングディレクトリを指定して、ユーザーに AWS Identity and Access Management (IAM) ロールを割り当てます。必要に応じて、セッションポリシーを提供してユーザーアクセスを Amazon S3 バケットのホームディレクトリのみに限定できます。

重要

AWS Transfer Family は、SFTP サーバーへの認証から 1 ～ 2 文字の長さのユーザー名をブロックします。さらに、root ユーザー名もブロックされます。

これは、パスワードスキャナによる悪意のあるログイン試行の大量発生が原因です。

Amazon EFS と Amazon S3 の比較

各ストレージオプションの特性:

• アクセスを制限するために、Amazon S3 はセッションポリシーをサポートし、Amazon EFS は POSIX ユーザー、グループ、およびセカンダリグループ ID をサポートします。

• いずれもパブリックキー/プライベートキーをサポートする

• いずれもホームディレクトリをサポートする

• いずれも論理ディレクトリをサポートする

  注記

  Amazon S3 では、論理ディレクトリのサポートの大部分は API/CLI 経由です。コンソールの [Restricted] (制限) チェックボックスを使用すると、ユーザーをホームディレクトリにロックダウンできますが、仮想ディレクトリ構造は指定できません。

論理ディレクトリ

ユーザーに対して論理ディレクトリ値を指定する場合、使用するパラメータはユーザーのタイプに依存します。

• サービス管理型ユーザーの場合、論理ディレクトリの値を HomeDirectoryMappings に指定してください。

• カスタム ID プロバイダーユーザーの場合は、 で論理ディレクトリ値を指定しますHomeDirectoryDetails。

AWS Transfer Family は、LOGICAL HomeDirectory HomeDirectoryType 値の指定をサポートしています。これは、レスポンスで HomeDirectoryDetails が提供されているサービスマネージドユーザー、Active Directory アクセス、カスタム ID プロバイダーの実装に適用されます。

重要

LOGICAL HomeDirectory HomeDirectoryType を指定する場合、値は論理ディレクトリマッピングのいずれかにマッピングする必要があります。サービスは、ユーザーの作成時と更新時の両方でこれを検証し、機能しない設定を防止します。

デフォルトの動作

デフォルトでは、指定しない場合、HomeDirectory は LOGICAL モードの「/」に設定されます。この動作は変更されず、既存のユーザー定義と互換性があります。

• HomeDirectory はターゲットではなくエントリにマッピングしてください。詳細については、「論理ディレクトリを使用する際のルール」を参照してください。

• 仮想ディレクトリの構造の詳細については、「」を参照してください仮想ディレクトリ構造。

カスタム ID プロバイダーに関する考慮事項

カスタム ID プロバイダーを使用する場合、LOGICAL HomeDirectory HomeDirectoryType を指定できるようになりました。TestIdentityProvider API コールは、カスタム IDP が LOGICAL モードで HomeDirectory を指定すると、正しい結果を生成します。

HomeDirectory および LOGICAL HomeDirectoryType を使用したカスタム IDP レスポンスの例：

{
  "Role": "arn:aws:iam::123456789012:role/transfer-user-role",
  "HomeDirectoryType": "LOGICAL",
  "HomeDirectory": "/marketing",
  "HomeDirectoryDetails": "[{\"Entry\":\"/\",\"Target\":\"/bucket/home\"},{\"Entry\":\"/marketing\",\"Target\":\"/marketing-bucket/campaigns\"}]"
}

Active Directory グループクォータ

AWS Transfer Family のデフォルトの制限は、サーバーあたり 100 Active Directory グループです。ユースケースで 100 を超えるグループが必要な場合は、「 のカスタム ID プロバイダーを使用した Active Directory 認証の簡素化」の説明に従って、カスタム ID プロバイダー AWS Transfer Familyソリューションの使用を検討してください。

この制限は、次の ID プロバイダーを使用するサーバーに適用されます。

• AWS Directory Service for Microsoft Active Directory

• AWS Entra ID ドメインサービスの Directory Service

サービス制限の引き上げをリクエストする必要がある場合は、「」のAWS のサービス 「クォータ」を参照してくださいAWS 全般のリファレンス。ユースケースで 100 を超えるグループが必要な場合は、「 のカスタム ID プロバイダーを使用した Active Directory 認証の簡素化」の説明に従って、カスタム ID プロバイダー AWS Transfer Familyソリューションの使用を検討してください。

Active Directory グループの制限に関するトラブルシューティング情報については、「」を参照してくださいActive Directory グループの制限を超えました。

トピック

• サービスマネージドユーザーの使用

• カスタム ID プロバイダーの使用

• AWS Directory Service for Microsoft Active Directory の使用

• AWS Directory Service for Entra ID ドメインサービスの使用