の使用AWSDirectory Service - AWS Transfer Family

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の使用AWSDirectory Service

このトピックでは、AWSのDirectory Service ID プロバイダAWS Transfer Family。

AWS Directory Service for Microsoft Active Directory を使用する

AWS Transfer Family を使用して、AWS Directory Service for Microsoft Active Directory でファイル転送を実行するエンドユーザーを認証します。そうすることで、エンドユーザーの認証情報を変更したり、カスタムオーソライザーを必要とせずに、Active Directory 認証に依存するファイル転送ワークフローをシームレスに移行できます。

AWS Managed Microsoft AD を使用すると、Amazon Simple Storage Service (Amazon S3) or Amazon Elastic File System (Amazon EFS) に保存したデータへのアクセスを SFTP、FTPS、および FTP を介して AWS Directory Service ユーザーおよびグループに安全に提供できます。Active Directory を使用してユーザーの認証情報を保存する場合、これらのユーザーがこれまでよりも簡単にファイル転送できるようになりました。

オンプレミス環境の AWS Managed Microsoft AD または Active Directory コネクタを使用する AWS クラウド内の Active Directory グループへのアクセスを提供できます。Microsoft Windows 環境で既に設定されているユーザーに、AWS クラウドまたはオンプレミスネットワークで ID に AWS Managed Microsoft AD を使用する AWS Transfer Family サーバーへのアクセス権を付与できます。

注記

AWS Transfer Familyは Simple AD をサポートしていません。また、TTransfer Family ilyはクロスリージョンのActive Directory構成をサポートしていません。TransTransfer Family ilyサーバーと同じリージョンにあるActive Directory統合のみをサポートしています。

AWS Managed Microsoft AD を使用するには、以下のステップを実行する必要があります。

  1. AWS Directory Service コンソールで 1 つ以上の AWS Managed Microsoft AD ディレクトリを作成します。

  2. Transfer Family コンソールを使用して、AWS Managed Microsoft AD を ID プロバイダーとして使用するサーバーを作成します。

  3. 1 つ以上のAWS Directory Serviceグループ。

  4. 必須ではありませんが、ユーザーアクセスのテストと検証をお勧めします。

開始する前に

AWS Managed Microsoft AD を使用する前に、Microsoft AD ディレクトリ内のグループごとに一意の識別子を指定する必要があります。そのためには、各グループごとのセキュリティ識別子 (SID) を使用します。関連付けするグループのユーザーは、AWS Transfer Family を使用して、有効なプロトコル経由で Amazon S3 または Amazon EFS リソースにアクセスできます。

次のウィンドウを使用する PowerShell コマンドを実行してグループの SID を取得し、YourGroupNameグループの名前。

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid

AWS Managed Microsoft AD を ID プロバイダーとして選択する

このセクションでは、サーバーで AWS Directory Service for Microsoft Active Directory を使用する方法を説明します。

Transfer Family で AWS Managed Microsoft AD を使用するには

  1. AWS Management Console にサインインして AWS Directory Service コンソール (https://console.aws.amazon.com/directoryservicev2/)を開きます。

    AWS Directory Service を使用して 1 つ以上のマネージドディレクトリを設定します。詳細については、AWS Directory Service 管理者ガイドの「AWS Managed Microsoft AD」を参照してください。

    
                        ディレクトリのリストを示す Directory Service コンソールのコンソール画面例。
  2. https://console.aws.amazon.com/transfer/ で AWS Transfer Family コンソールでを開き、[Create server] (サーバーの作成) を選択します。

  3. [Choose protocols] ( プロトコルの選択) ページのリストから 1 つ以上のプロトコルを選択します。

    注記

    FTPS を選択した場合、AWS Certificate Manager 証明書を提供する必要があります。

  4. [Choose an identity provider] (ID プロバイダーを選択する) で[AWS Directory Service] を選択します。

    
                        Directory Service を選択した場合の [Choose identity provider] (ID プロバイダーの選択) セクションを示すコンソールの画面例。
  5. [Directory] (ディレクトリ) リストには、設定したすべてのマネージドディレクトリが含まれます。リストからディレクトリを選択し、[Next] (次へ) を選択します。

    注記

    AWS Managed Microsoft AD の場合、クロスアカウントディレクトリと共有ディレクトリはサポートされていません。

  6. サーバーの作成を終了するには、以下のいずれかの手順に従います。

    これらの手順では、ID プロバイダーを選択するステップに進みます。

重要

Transfer Family サーバーで使用している場合、AWS Directory Service で Microsoft AD ディレクトリを削除することはできません。まずサーバーを削除してから、ディレクトリを削除する必要があります。

グループへのアクセス権の付与

サーバーの作成後に、AWS Transfer Family を使用して有効なプロトコル経由でファイルをアップロードやダウンロードするためのアクセス権をディレクトリ内のどのグループに与えるかを選択する必要があります。そのためには、アクセス権を作成します。

注記

ユーザーはアクセスを付与されたグループに直接属していなければなりません。たとえば、Bob というユーザーが GroupA に属し、GroupA 自体が GroupB に含まれているとします。

  • GroupA へのアクセス権を付与すると、Bob にはアクセス権が付与されます。

  • GroupB にアクセス権を付与する (そして GroupA しない) と、Bob にはアクセス権がありません。

グループへのアクセス権を付与するには

  1. https://console.aws.amazon.com/transfer/ で AWS Transfer Family コンソールを開きます。

  2. サーバーの詳細ページに移動します。

  3. へのアクセス[] セクションで、アクセスを追加する

  4. このサーバーへのアクセスを許可したい AWS Managed Microsoft AD ディレクトリの SID を入力します。

    注記

    グループの SID を検索する方法については、「開始する前に」を参照してください。

  5. [Access] (アクセス) で、グループの AWS Identity and Access Management (IAM) ロールを選択します。

  6. [Policy] (ポリシー) セクションでポリシーを選択します。デフォルト設定は [None] (なし) です。

  7. [Home directory] (ホームディレクトリ) で、グループのホームディレクトリに対応する S3 バケットを選択します。

    注記

    セッションポリシーを作成して、ユーザーに表示されるバケットの部分を限定できます。たとえば、ユーザーを /filetest ディレクトリの下位にある各自のフォルダに限定するには、フィールドに次のテキストを入力します。

    /filetest/${transfer:UserName}

    セッションポリシーの作成方法の詳細については、「Amazon S3 バケットのセッションポリシーの作成」を参照してください 。

  8. [Add] (追加) をクリックして関連付けを作成します。

  9. サーバーを選択します。

  10. 選択アクセスを追加する

    1. グループの SID を入力します。

      注記

      DID を見つける方法については、「開始する前に」を参照してください。

  11. 選択アクセスを追加する

[Accesses] (アクセス) セクションにサーバアクセス権が一覧表示されます。


                [Accesses] (アクセス) セクションにサーバーアクセス権が一覧表示されたコンソール画面例。

ユーザーのテスト

ユーザーが AWS Managed Microsoft AD サーバーのディレクトリにアクセスできるかどうかをテストできます。

注記

ユーザーは、[Endpoint configuration] (エンドポイント設定) ページの [Access] (アクセス) セクションのリストにあるいずれかのグループ (外部 ID) に属している必要があります。ユーザーがグループに属していない場合、または複数のグループに属している場合、そのユーザーにはアクセス権が付与されません。

特定のユーザーがアクセス権を持っているかどうかをテストするには

  1. サーバーの詳細ページで [Actions] (アクション) を選択してから [Test] (テスト) を選択します。

  2. [Identity provider testing] (ID プロバイダーのテスト) に、アクセス権のあるグループのいずれかに属するユーザーのユーザー名とパスワードを入力します。

  3. [Test] (テスト) を選択します。

選択したユーザーにサーバーへのアクセスが許可されていることを示す、ID プロバイダーのテストが成功しました。


                ID プロバイダーのテスト成功レスポンスのコンソール画面例。

ユーザーがアクセス権のある複数のグループに属している場合、次のレスポンスが表示されます。

"Response":"", "StatusCode":200, "Message":"More than one associated access found for user's groups."

グループのサーバーアクセスの削除

グループのサーバーアクセスを削除するには

  1. サーバーの詳細ページで [Actions] (アクション) を選択してから [Delete Access] (アクセスの削除) を選択します。

  2. ダイアログボックスで、このグループのアクセスを削除したいことを確認します。

サーバーの詳細ページに戻ると、このグループのアクセス権がリストから消えたことがわかります。

SSH (Secure Shell) を使用してサーバーに接続する

サーバーとユーザーを設定した後で、SSH を使用してサーバーに接続し、アクセス権を持つユーザーの完全修飾ユーザー名を使用できます。

sftp user@active-directory-domain@vpc-endpoint

例: transferuserexample@mycompany.com@vpce-0123456abcdef-789xyz.vpc-svc-987654zyxabc.us-east-1.vpce.amazonaws.com

この形式は、潜在的に大規模な Active Directory の検索を限定し、フェデレーションの検索を対象とします。

注記

単純なユーザー名を指定できます。ただし、この場合、Active Directory コードはフェデレーション内のすべてのディレクトリを検索する必要があります。そうすると検索が限定され、ユーザーにアクセス権があっても認証が失敗する可能性があります。

認証後、ユーザーは、ユーザーの設定時に指定されたホームディレクトリ内にいます。

接続中AWS Transfer Familyフォレストやトラストを使用して自己管理型 Active Directory に移動します

セルフマネージドのアクティブディレクトリ (AD) のユーザーも、AWS アカウントとファミリーサーバーを転送します。目的AWS Directory Serviceには次のオプションがあります。

  • 一方向のフォレストの信頼 (送信元AWS Managed Microsoft ADおよびオンプレミスのActive Directoryの受信)は、ルートドメインに対してのみ機能します。

  • 子ドメインの場合、次のいずれかを使用できます。

    • 間で双方向の信頼を使用するAWS Managed Microsoft ADオンプレミス Active Directory

    • 各子ドメインに対して一方向の外部信頼を使用します。

信頼されたドメインを使用してサーバーに接続する場合、ユーザーは信頼されたドメインを指定する必要があります。たとえば、transferuserexample@mycompany.com

を使用するAWSAzure Active Directory ドメインサービスのDirectory Service

  • SFTP 転送のニーズに合わせて既存の Active Directory フォレストを利用するには、Active Directory Connector

  • フルマネージドサービスでActive Directoryと高可用性の利点が必要な場合は、AWS Directory Service for Microsoft Active Directory。詳細については、「の使用AWSDirectory Service」を参照してください

このトピックでは Active Directory Connector を使用する方法を説明します。Azure アクティブディレクトリドメインサービス (Azure ADD)SFTP Transfer ユーザを認証するにはAzure AD

開始する前に

を使用する場合AWSでは、以下が必要になります。

  • の仮想プライベートクラウド (VPC)AWSTransfer Familyサーバーを使用している地域

  • VPC 内に少なくとも 2 つのプライベートサブネット

  • VPC にはインターネット接続が必要です

  • のカスタマーゲートウェイと仮想プライベートゲートウェイ site-to-site Microsoft Azure とのVPN接続

Microsoft Azure では、以下が必要になります。

  • Azure アクティブディレクトリとアクティブディレクトリドメインサービス (Azure ADD)

  • Azure リソースグループ

  • Azure 仮想ネットワーク

  • Amazon VPC と Azure リソースグループとの間の VPN 接続

    注記

    これは、ネイティブのIPSECトンネルを経由するか、VPNアプライアンスを使用して行うことができます。このトピックでは、Azure Virtual Network Gateway とローカルネットワークゲートウェイの間で IPSEC トンネルを使用します。トンネルは、Azure ADDS エンドポイントと、を格納するサブネット間のトラフィックを許可するように構成する必要があります。AWSVPC。

  • のカスタマーゲートウェイと仮想プライベートゲートウェイ site-to-site Microsoft Azure とのVPN接続

次の図は、始める前に必要な設定を示しています。

ステップ 1: Azure Active Directory ドメインサービスを追加する

Azure AD は、デフォルトではドメイン参加インスタンスをサポートしていません。ドメイン参加などのアクションを実行し、グループポリシーなどのツールを使用するには、管理者が Azure Active Directory ドメインサービスを有効にする必要があります。Azure AD DS をまだ追加していない場合、または既存の実装が SFTP Transfer サーバーで使用するドメインに関連付けられていない場合は、新しいインスタンスを追加する必要があります。

Azure Active Directory ドメインサービス (Azure ADDS) の有効化については、を参照してください。チュートリアル: Azure Active Directory ドメインサービスの管理対象ドメインを作成して構成する

注記

Azure ADDS を有効にする場合は、SFTP 転送サーバーを接続するリソースグループと Azure AD ドメインに対して構成されていることを確認します。

ステップ 2: サービスアカウントを作成する

Azure AD には、Azure ADDS の管理者グループの一部であるサービスアカウントが 1 つ必要です。このアカウントはAWSActive Directory このアカウントが Azure ADDS と同期していることを確認してください。

ステップ 3: セットアップAWSAD Connector を使用する

Azure ADDS を構成し、IPSEC VPN トンネルを持つサービスアカウントを作成した後AWSVPC と Azure 仮想ネットワークでは、Azure ADD DNS の IP アドレスに ping を実行して、接続をテストできます。AWSEC2 インスタンス。

接続がアクティブであることを確認したら、以下の操作をします。

をセットアップするにはAWSAD Connector を使用する

  1. を開くDirectory Serviceコンソールを開き、ディレクトリ

  2. [Set up directory] (ディレクトリをセットアップする) を選択します。

  3. ディレクトリタイプには、AD Connector

  4. ディレクトリサイズを選択し、をクリックし、VPC とサブネットを選択します。

  5. Selectで、以下のようにフィールドに入力します。

    • ディレクトリの DNS 名: Azure ADDS に使用しているドメイン名を入力します。

    • DNS IP アドレス: Azure ADDS の IP アドレスを入力します。

    • サーバーアカウントのユーザー名そしてパスワード: で作成したサービスアカウントの詳細を入力しますステップ 2: サービスアカウントを作成する

  6. 画面を完了してディレクトリサービスを作成します。

これで、ディレクトリのステータスはである必要がありますアクティブ、SFTP Transfer サーバーで使用できる状態になっています。

ステップ 4: セットアップAWS Transfer Familyサーバ

SFTP プロトコルと ID プロバイダータイプの Transfer Family サーバーを作成します。AWSDirectory Service。送信元ディレクトリドロップダウンリストで、追加したディレクトリを選択しますステップ 3: 設定AWSAD Connector を使用する

注記

で Microsoft AD ディレクトリを削除することはできませんAWSDirectory Service Transfer Family サーバーで使用している場合。まずサーバーを削除してから、ディレクトリを削除する必要があります。

ステップ 5: グループへのアクセス権の付与

サーバーの作成後に、AWS Transfer Family を使用して有効なプロトコル経由でファイルをアップロードやダウンロードするためのアクセス権をディレクトリ内のどのグループに与えるかを選択する必要があります。そのためには、アクセス権を作成します。

注記

ユーザーはアクセスを付与されたグループに直接属していなければなりません。たとえば、Bob というユーザーが GroupA に属し、GroupA 自体が GroupB に含まれているとします。

  • GroupA へのアクセス権を付与すると、Bob にはアクセス権が付与されます。

  • GroupB にアクセス権を付与する (そして GroupA しない) と、Bob にはアクセス権がありません。

アクセスを許可するには、グループの SID を取得する必要があります。

次のウィンドウを使用する PowerShell コマンドを実行してグループの SID を取得し、YourGroupNameグループの名前。

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid

グループへのアクセス権の付与

  1. オープンhttps://console.aws.amazon.com/transfer/

  2. サーバーの詳細ページに移動し、へのアクセス[] セクションで、アクセスを追加する

  3. 前の手順の出力から得た SID を入力します。

  4. を使用する場合へのアクセスで、AWS Identity and Access Managementグループのロール。

  5. [Policy] (ポリシー) セクションでポリシーを選択します。デフォルト値は [なし] です。

  6. [Home directory] (ホームディレクトリ) で、グループのホームディレクトリに対応する S3 バケットを選択します。

  7. [Add] (追加) をクリックして関連付けを作成します。

Transfer サーバーの詳細は、次のようになります。

ステップ 6: ユーザーのテスト

テストできます(ユーザーのテスト) ユーザーがAWS Managed Microsoft ADサーバーのディレクトリ。ユーザーは、[Endpoint configuration] (エンドポイント設定) ページの [Access] (アクセス) セクションのリストにあるいずれかのグループ (外部 ID) に属している必要があります。ユーザーがグループに属していない場合、または複数のグループに属している場合、そのユーザーにはアクセス権が付与されません。