カスタム ID プロバイダーの使用 - AWS Transfer Family

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

カスタム ID プロバイダーの使用

ユーザーを認証するには、AWS Transfer Family で既存の ID プロバイダーを使用します。ID プロバイダーを統合するには、AWS Lambda 関数を使用して、Amazon S3 または Amazon Elastic File System (Amazon EFS) へのアクセス権を認証および承認します。詳細については、「AWS Lambda の使用による ID プロバイダーの統合」を参照してください。また、 AWS Transfer Familyマネジメントコンソールで転送されたファイル数やバイト数などのメトリクスのグラフにアクセス CloudWatch することもできます。一元化されたダッシュボードを使用してファイル転送をモニタリングできる単一のペインを提供します。

または、単一の Amazon API Gateway メソッドで RESTful インターフェイスを提供することもできます。Transfer Family は、このメソッドを呼び出して ID プロバイダーに接続し、ID プロバイダーは Amazon S3 または Amazon EFS へのアクセスを認証および承認します。このオプションを使用するのは、ID プロバイダーの統合に RESTful API が必要な場合、または AWS WAF を使用して geo-blocking もしくは rate-limiting リクエストにその機能を利用したい場合です。詳細については、「Amazon API Gateway を使用して ID プロバイダーを統合する」を参照してください。

いずれの場合も、「AWS Transfer Family コンソール」または「CreateServer」API 操作を使って新しいサーバーを作成することができます。

注記

参加できるワークショップを開催しています。このワークショップでは、ファイル転送ソリューションを構築できます。このソリューションは、管理されたSFTP/FTPSエンドポイントにAWS Transfer Familyを、ユーザー管理にAmazon CognitoとDynamoDBを活用しています。このワークショップの詳細については、「こちら」をご覧ください。

AWS Transfer Familyは、カスタム ID プロバイダーと連携するための次のオプションを提供します。

  • [AWS Lambda ID プロバイダーの接続に使用] – Lambda 関数を利用した既存の ID プロバイダーを使用できます。Lambda 関数の名前を指定します。詳細については、「AWS Lambda の使用による ID プロバイダーの統合」を参照してください。

  • Amazon API Gateway を使って ID プロバイダーに接続する」 ー ID プロバイダーとして使用するために、Lambda 関数に裏打ちされた API ゲートウェイメソッドを作成することができます。Amazon API Gateway URL と呼び出しロールを指定します。詳細については、「Amazon API Gateway を使用して ID プロバイダーを統合する」を参照してください。

どちらのオプションでも、認証方法を指定することもできます。

  • Password OR Key – ユーザーは自分のパスワードまたは自分のキーで認証できます。これは、デフォルト値です。

  • パスワードのみ – ユーザーは接続するためにパスワードを指定する必要があります。

  • キー ONLY – ユーザーは接続するためにプライベートキーを提供する必要があります。

  • パスワードとキー – ユーザーは接続するためにプライベートキーとパスワードの両方を指定する必要があります。サーバーは最初にキーを確認し、キーが有効な場合はパスワードの入力を求めます。提供されたプライベートキーが保存されたパブリックキーと一致しない場合、認証は失敗します。

複数の認証方法を使用してカスタム ID プロバイダーで認証する

Transfer Family サーバーは、複数の認証方法を使用するときに AND ロジックを制御します。Transfer Family は、これをカスタム ID プロバイダーへの 2 つの個別のリクエストとして扱います。ただし、それらの効果は結合されます。

認証を完了させるには、両方のリクエストが正しいレスポンスで正常に返される必要があります。Transfer Family では、2 つのレスポンスを完了する必要があります。つまり、ストレージに Amazon EFS を使用している場合、それらには必要な要素 (ロール、ホームディレクトリ、ポリシー、POSIX プロファイル) がすべて含まれています。また、Transfer Family では、パスワード応答にパブリックキーを含めないでください。

パブリックキーリクエストには、ID プロバイダーからの個別のレスポンスが必要です。パスワード、キー、またはパスワードとキー を使用する場合、その動作は変更されません。

SSH/SFTP プロトコルは、まずパブリックキー認証でソフトウェアクライアントにチャレンジしてから、パスワード認証を要求します。このオペレーションでは、ユーザーが認証を完了できるようになる前に、両方が成功することを義務付けています。