カスタム ID プロバイダーの使用 - AWS Transfer Family
カスタム ID プロバイダーの複数の認証

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

カスタム ID プロバイダーの使用

ユーザーを認証するには、 で既存の ID プロバイダーを使用できます AWS Transfer Family。ID プロバイダーは、Amazon S3 または Amazon Elastic File System (Amazon ) へのアクセスを認証および承認する AWS Lambda 関数を使用して統合しますEFS。詳細については、「AWS Lambda を使用して ID プロバイダーを統合する」を参照してください。 AWS Transfer Family マネジメントコンソールで転送されたファイル数やバイト数などのメトリクスのグラフにアクセス CloudWatch することもできます。これにより、一元管理されたダッシュボードを使用してファイル転送をモニタリングする 1 つの画面が提供されます。

または、単一の Amazon API Gateway メソッドでRESTfulインターフェイスを提供することもできます。Transfer Family は、このメソッドを呼び出して ID プロバイダーに接続します。ID プロバイダーは、Amazon S3 または Amazon へのアクセスをユーザーに認証および許可しますEFS。アイデンティティプロバイダーを統合するRESTfulAPIために が必要な場合、または AWS WAF を使用してジオブロッキングまたはレート制限リクエストにその機能を活用する場合は、このオプションを使用します。詳細については、「Amazon API Gateway を使用して ID プロバイダーを統合する」を参照してください。

いずれの場合も、AWS Transfer Family コンソールまたは を使用して新しいサーバーを作成できます。 CreateServer API オペレーション。

注記

参加できるワークショップを開催しています。このワークショップでは、ファイル転送ソリューションを構築できます。このソリューションは、 マネージド SFTP/FTPS エンドポイントと Amazon Cognito と DynamoDB AWS Transfer Family をユーザー管理に活用します。このワークショップの詳細については、「こちら」をご覧ください。

AWS Transfer Family には、カスタム ID プロバイダーを操作するための次のオプションが用意されています。

  • AWS Lambda を使用して ID プロバイダーを接続する — Lambda 関数にバックアップされた既存の ID プロバイダーを使用できます。Lambda 関数の名前を指定します。詳細については、「AWS Lambda を使用して ID プロバイダーを統合する」を参照してください。

  • Amazon API Gateway を使用して ID プロバイダーを接続する – Lambda 関数でバックアップされた API Gateway メソッドを作成して、ID プロバイダーとして使用できます。Amazon API Gateway URLと呼び出しロールを指定します。詳細については、「Amazon API Gateway を使用して ID プロバイダーを統合する」を参照してください。

どちらのオプションでも、認証方法を指定することもできます。

  • パスワードまたはキー – ユーザーはパスワードまたはキーを使用して認証できます。これは、デフォルト値です。

  • パスワード ONLY – ユーザーは接続するためにパスワードを指定する必要があります。

  • キー ONLY – ユーザーは接続するためにプライベートキーを指定する必要があります。

  • パスワードANDキー – 接続するには、ユーザーはプライベートキーとパスワードの両方を指定する必要があります。サーバーは最初にキーを確認し、キーが有効な場合はパスワードの入力を求めます。提供されたプライベートキーが保存されたパブリックキーと一致しない場合、認証は失敗します。

複数の認証方法を使用してカスタム ID プロバイダーで認証する

Transfer Family サーバーは、複数の認証方法を使用する場合ANDにロジックを制御します。Transfer Family は、これをカスタム ID プロバイダーへの 2 つの個別のリクエストとして扱います。ただし、その効果は組み合わされます。

両方のリクエストは、認証の完了を許可する正しいレスポンスで正常に返される必要があります。Transfer Family では、2 つのレスポンスを完了する必要があります。つまり、必要なすべての要素 (Amazon EFS をストレージに使用する場合、ロール、ホームディレクトリ、ポリシー、POSIXプロファイル) が含まれます。Transfer Family では、パスワードレスポンスにパブリックキーを含めないようにすることも必要です。

パブリックキーリクエストには、ID プロバイダーとは別のレスポンスが必要です。パスワードまたはキーまたはパスワードANDキー を使用する場合、その動作は変更されません。

SSH/SFTP プロトコルは、最初にパブリックキー認証でソフトウェアクライアントにチャレンジし、次にパスワード認証をリクエストします。このオペレーションでは、ユーザーが認証を完了する前に、両方が成功することを義務付けています。

トピック