カスタム ID プロバイダーの使用 - AWS Transfer Family

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

カスタム ID プロバイダーの使用

AWS Transfer Family には、カスタム ID プロバイダーが安全なファイル転送のためにユーザーを認証および認可するためのいくつかのオプションが用意されています。主なアプローチは次のとおりです。

  • カスタム ID プロバイダーソリューション— このトピックでは、GitHub でホストされているツールキットを使用して、Transfer Family カスタム ID プロバイダーソリューションについて説明します。

    注記

    ほとんどのユースケースでは、これは推奨されるオプションです。具体的には、100 を超える Active Directory グループをサポートする必要がある場合、カスタム ID プロバイダーソリューションは、グループの制限なしにスケーラブルな代替手段を提供します。このソリューションは、ブログ記事「カスタム ID プロバイダーによる Active Directory 認証の簡素化 AWS Transfer Family」で説明されています。

  • Amazon API Gateway を使用して ID プロバイダーを統合する— このトピックでは、 AWS Lambda 関数を使用して Amazon API Gateway メソッドをバックアップする方法について説明します。

    RESTful インターフェイスは、単一の Amazon API Gateway メソッドで提供できます。Transfer Family は、このメソッドを呼び出して ID プロバイダーに接続し、ID プロバイダーは Amazon S3 または Amazon EFS へのアクセスを認証および承認します。ID プロバイダーを統合するために RESTful API が必要な場合、または AWS WAF を使用してその機能をジオブロッキングまたはレート制限リクエストに活用する場合は、このオプションを使用します。詳細については、「Amazon API Gateway を使用して ID プロバイダーを統合する」を参照してください。

  • 動的なアクセス許可管理アプローチ— このトピックでは、セッションポリシーを使用してユーザーアクセス許可を動的に管理する方法について説明します。

    ユーザーを認証するには、 AWS Transfer Familyで既存の ID プロバイダーを使用します。ID プロバイダーを統合するには、 AWS Lambda 関数を使用して、Amazon S3 または Amazon Elastic File System (Amazon EFS) へのアクセス権を認証および承認します。詳細については、「AWS Lambda を使用して ID プロバイダーを統合する」を参照してください。また、 AWS Transfer Family Management Console では、ファイル数や転送バイト数などのメトリクスに関する CloudWatch グラフにアクセスすることができ、一元化されたダッシュボードを使用してファイル転送を監視するための単一ペインを提供します。

  • Transfer Family は、ブログ投稿と、ファイル転送ソリューションの構築を案内するワークショップを提供します。このソリューションは、 AWS Transfer Family マネージド SFTP/FTPS エンドポイントに 、ユーザー管理に Amazon Cognito と DynamoDB を活用します。

    ブログ記事は、「Using Amazon Cognito as an identity provider with AWS Transfer Family and Amazon S3」で入手できます。ワークショップの詳細については、こちらを参照してください

注記

カスタム ID プロバイダーの場合、ユーザー名は 3 ~ 100 文字である必要があります。ユーザー名には、a~z、A~Z、0~9、アンダースコア「_」、ハイフン「-」、ピリオド「.」、アットマーク「@」を使用できます。ユーザー名は、ハイフン '-'、ピリオド '.'、またはアットマーク '@' で始めることはできません。

カスタム ID プロバイダーを実装するときは、次のベストプラクティスを考慮してください。

  • Transfer Family サーバーと同じ AWS アカウント およびリージョンにソリューションをデプロイします。

  • IAM ロールとポリシーを設定するときに、最小特権の原則を実装します。

  • セキュリティを強化するために、IP 許可リストや標準化されたログ記録などの機能を使用します。

  • デプロイ前に、非本番環境でカスタム ID プロバイダーを徹底的にテストします。

トピック