カスタム ID プロバイダーの使用 - AWS Transfer Family
カスタム ID プロバイダーの複数の認証

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

カスタム ID プロバイダーの使用

ユーザーを認証するには、既存の ID プロバイダーを で使用できます AWS Transfer Family。ID プロバイダーは、Amazon S3 または Amazon Elastic File System (Amazon EFS) へのアクセスをユーザーに認証および承認する AWS Lambda 関数を使用して統合します。詳細については、「AWS Lambda を使用して ID プロバイダーを統合する」を参照してください。また、 AWS Transfer Family マネジメントコンソールで転送されたファイル数やバイト数などのメトリクスのグラフにアクセス CloudWatch することもできます。一元化されたダッシュボードを使用してファイル転送をモニタリングできる単一のペインを提供します。

または、単一の Amazon API Gateway メソッドで RESTful インターフェイスを提供することもできます。Transfer Family は、このメソッドを呼び出して ID プロバイダーに接続し、ID プロバイダーは Amazon S3 または Amazon EFS へのアクセスを認証および承認します。このオプションは、ID プロバイダーを統合するために RESTful API が必要な場合、または AWS WAF を使用して地理ブロックやレート制限リクエストにその機能を利用する場合に使用します。詳細については、「Amazon API Gateway を使用して ID プロバイダーを統合する」を参照してください。

いずれの場合も、「AWS Transfer Family コンソール」または「CreateServer」API 操作を使って新しいサーバーを作成することができます。

注記

参加できるワークショップを開催しています。このワークショップでは、ファイル転送ソリューションを構築できます。このソリューションは、 をマネージド SFTP/FTPS エンドポイント AWS Transfer Family に、Amazon Cognito と DynamoDB をユーザー管理に活用します。このワークショップの詳細については、「こちら」をご覧ください。

AWS Transfer Family には、カスタム ID プロバイダーを操作するための以下のオプションがあります。

  • AWS Lambda を使用して ID プロバイダーを接続する – Lambda 関数によってバックアップされた既存の ID プロバイダーを使用できます。Lambda 関数の名前を指定します。詳細については、「AWS Lambda を使用して ID プロバイダーを統合する」を参照してください。

  • Amazon API Gateway を使って ID プロバイダーに接続する」 ー ID プロバイダーとして使用するために、Lambda 関数に裏打ちされた API ゲートウェイメソッドを作成することができます。Amazon API Gateway URL と呼び出しロールを指定します。詳細については、「Amazon API Gateway を使用して ID プロバイダーを統合する」を参照してください。

どちらのオプションでも、認証方法を指定することもできます。

  • パスワードまたはキー – ユーザーはパスワードまたはキーを使用して認証できます。これは、デフォルト値です。

  • パスワードのみ – ユーザーは接続するためにパスワードを指定する必要があります。

  • キー ONLY – ユーザーは接続するためにプライベートキーを提供する必要があります。

  • パスワードとキー – ユーザーは接続するためにプライベートキーとパスワードの両方を指定する必要があります。サーバーは最初にキーを確認し、キーが有効な場合はパスワードの入力を求めます。提供されたプライベートキーが保存されたパブリックキーと一致しない場合、認証は失敗します。

複数の認証方法を使用してカスタム ID プロバイダーで認証する

Transfer Family サーバーは、複数の認証方法を使用するときに AND ロジックを制御します。Transfer Family は、これをカスタム ID プロバイダーへの 2 つの個別のリクエストとして扱います。ただし、それらの効果は結合されます。

認証を完了させるには、両方のリクエストが正しいレスポンスで正常に返される必要があります。Transfer Family では、2 つのレスポンスを完了する必要があります。つまり、ストレージに Amazon EFS を使用している場合、それらには必要な要素 (ロール、ホームディレクトリ、ポリシー、POSIX プロファイル) がすべて含まれます。また、Transfer Family では、パスワードレスポンスにパブリックキーを含めないでください。

パブリックキーリクエストには、ID プロバイダーからの個別のレスポンスが必要です。パスワード または キー、またはパスワードとキー を使用する場合、その動作は変更されません。

SSH/SFTP プロトコルは、まずパブリックキー認証でソフトウェアクライアントにチャレンジしてから、パスワード認証を要求します。このオペレーションでは、ユーザーが認証を完了できるようになる前に、両方が成功することを義務付けています。

トピック