AWSDirectory Service ID プロバイダの使用

このトピックでは、AWS Directory Service ID プロバイダの使用方法について説明しますAWS Transfer Family。

AWS Directory Service for Microsoft Active Directory を使用する

AWS Transfer Family を使用して、AWS Directory Service for Microsoft Active Directory でファイル転送を実行するエンドユーザーを認証します。そうすることで、エンドユーザーの認証情報を変更したり、カスタムオーソライザーを必要とせずに、Active Directory 認証に依存するファイル転送ワークフローをシームレスに移行できます。

AWS Managed Microsoft AD を使用すると、Amazon Simple Storage Service (Amazon S3) or Amazon Elastic File System (Amazon EFS) に保存したデータへのアクセスを SFTP、FTPS、および FTP を介して AWS Directory Service ユーザーおよびグループに安全に提供できます。Active Directory を使用してユーザーの認証情報を保存する場合、これらのユーザーがこれまでよりも簡単にファイル転送できるようになりました。

オンプレミス環境の AWS Managed Microsoft AD または Active Directory コネクタを使用する AWS クラウド内の Active Directory グループへのアクセスを提供できます。Microsoft Windows 環境で既に設定されているユーザーに、AWS クラウドまたはオンプレミスネットワークで ID に AWS Managed Microsoft AD を使用する AWS Transfer Family サーバーへのアクセス権を付与できます。

注記

• AWS Transfer FamilySimple AD をサポートしていません。

• Transfer Family は、リージョン間のActive Directory構成をサポートしていません。Transfer Family サーバーと同じリージョンにあるActive Directory統合のみをサポートします。

• Transfer Family は、AD Connector を使用して、既存の RADIUS ベースの MFA インフラストラクチャで多要素認証 (MFA) を有効にすることをサポートしていません。

AWS Managed Microsoft AD を使用するには、以下のステップを実行する必要があります。

1. AWS Directory Service コンソールで 1 つ以上の AWS Managed Microsoft AD ディレクトリを作成します。

2. Transfer Family コンソールを使用して、AWS Managed Microsoft AD を ID プロバイダーとして使用するサーバーを作成します。

3. 1 つ以上のAWS Directory Serviceグループからアクセス権を追加します。

4. 必須ではありませんが、ユーザーアクセスのテストと検証をお勧めします。

トピック

• 使用を開始する前にAWS Directory Service for Microsoft Active Directory
• AWS Managed Microsoft AD を ID プロバイダーとして選択する
• グループへのアクセス権の付与
• ユーザーのテスト
• グループのサーバーアクセスの削除
• SSH (Secure Shell) を使用してサーバーに接続する
• AWS Transfer Familyフォレストとトラストを使用して、セルフマネージドアクティブディレクトリに接続する

使用を開始する前にAWS Directory Service for Microsoft Active Directory

AD グループの一意の識別子を指定します

AWS Managed Microsoft AD を使用する前に、Microsoft AD ディレクトリ内のグループごとに一意の識別子を指定する必要があります。そのためには、各グループごとのセキュリティ識別子 (SID) を使用します。関連付けするグループのユーザーは、AWS Transfer Family を使用して、有効なプロトコル経由で Amazon S3 または Amazon EFS リソースにアクセスできます。

次の Windows コマンドを使用して Windows PowerShell コマンドを使用して、YourGroupNameグループ名に置き換えることで、グループの SID を取得できます。

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid

注記

を IDAWS Directory Service プロバイダとして使用していて、とで値が異なる場合はuserPrincipalName、AWS Transfer Familyの値を受け入れますSamAccountName。SamAccountNameTransfer Family は、で指定された値を受け入れませんuserPrincipalName。

AWS Directory Serviceロールに権限を追加

IDAWS Directory Service プロバイダーとして使用するにはAWS Directory Service API 権限も必要です。以下のアクセス権限が必要です。

• ds:DescribeDirectoriesTransfer Family ディレクトリを検索するにはが必要です

• ds:AuthorizeApplicationTransfer Family 承認を追加するにはが必要です

• ds:UnauthorizeApplicationサーバーの作成プロセス中に問題が発生した場合に備えて、暫定的に作成されたリソースをすべて削除することをお勧めします。

Transfer Familyサーバーの作成に使用しているロールにこれらの権限を追加してください。アクセス権限の詳細については、「API permissions: Actions, resources, and reference」(AWS Directory ServiceAPI のアクセス権限:アクション、リソース、および条件リファレンス) を参照してください。

AWS Managed Microsoft AD を ID プロバイダーとして選択する

このセクションでは、サーバーで AWS Directory Service for Microsoft Active Directory を使用する方法を説明します。

Transfer Family で AWS Managed Microsoft AD を使用するには

1. AWS Management Console にサインインして AWS Directory Service コンソール (https://console.aws.amazon.com/directoryservicev2/)を開きます。

   AWS Directory Service を使用して 1 つ以上のマネージドディレクトリを設定します。詳細については、AWS Directory Service 管理者ガイドの「AWS Managed Microsoft AD」を参照してください。

   

2. https://console.aws.amazon.com/transfer/ で AWS Transfer Family コンソールでを開き、[Create server] (サーバーの作成) を選択します。

3. [Choose protocols] ( プロトコルの選択) ページのリストから 1 つ以上のプロトコルを選択します。

   注記

   FTPS を選択した場合、AWS Certificate Manager 証明書を提供する必要があります。

4. [Choose an identity provider] (ID プロバイダーを選択する) で[AWS Directory Service] を選択します。

   

5. [Directory] (ディレクトリ) リストには、設定したすべてのマネージドディレクトリが含まれます。リストからディレクトリを選択し、[Next] (次へ) を選択します。

   注記

   • AWS Managed Microsoft AD の場合、クロスアカウントディレクトリと共有ディレクトリはサポートされていません。

   • ID プロバイダーとしてDirectory Service を使用するサーバーをセットアップするには、AWS Directory Serviceいくつかの権限を追加する必要があります。詳細については、「使用を開始する前にAWS Directory Service for Microsoft Active Directory」を参照してください。

6. サーバーの作成を終了するには、以下のいずれかの手順に従います。

   • SFTP 対応サーバーの作成

   • FTPS 対応サーバーを作成する

   • FTP 対応サーバーの作成

   これらの手順では、ID プロバイダーを選択するステップに進みます。

重要

Transfer Family サーバーで使用している場合、AWS Directory Service で Microsoft AD ディレクトリを削除することはできません。まずサーバーを削除してから、ディレクトリを削除する必要があります。

グループへのアクセス権の付与

サーバーの作成後に、AWS Transfer Family を使用して有効なプロトコル経由でファイルをアップロードやダウンロードするためのアクセス権をディレクトリ内のどのグループに与えるかを選択する必要があります。そのためには、アクセス権を作成します。

注記

ユーザーはアクセスを付与されたグループに直接属していなければなりません。たとえば、Bob というユーザーが GroupA に属し、GroupA 自体が GroupB に含まれているとします。

• GroupA へのアクセス権を付与すると、Bob にはアクセス権が付与されます。

• GroupB にアクセス権を付与する (そして GroupA しない) と、Bob にはアクセス権がありません。

グループへのアクセス権を付与するには

1. https://console.aws.amazon.com/transfer/ で AWS Transfer Family コンソールを開きます。

2. サーバーの詳細ページに移動します。

3. 「アクセス」セクションで、「アクセス権を追加」を選択します。

4. このサーバーへのアクセスを許可したい AWS Managed Microsoft AD ディレクトリの SID を入力します。

   注記

   グループの SID を検索する方法については、「使用を開始する前にAWS Directory Service for Microsoft Active Directory」を参照してください。

5. [Access] (アクセス) で、グループの AWS Identity and Access Management (IAM) ロールを選択します。

6. [Policy] (ポリシー) セクションでポリシーを選択します。デフォルト設定は [None] (なし) です。

7. [Home directory] (ホームディレクトリ) で、グループのホームディレクトリに対応する S3 バケットを選択します。

   注記

   セッションポリシーを作成して、ユーザーに表示されるバケットの部分を限定できます。たとえば、ユーザーを /filetest ディレクトリの下位にある各自のフォルダに限定するには、フィールドに次のテキストを入力します。

   /filetest/${transfer:UserName}

   セッションポリシーの作成方法の詳細については、「Amazon S3 バケットのセッションポリシーの作成」を参照してください 。

8. [Add] (追加) をクリックして関連付けを作成します。

9. サーバーを選択します。

10. [アクセス権を追加] を選択します。

    1. グループの SID を入力します。

       注記

       DID を見つける方法については、「使用を開始する前にAWS Directory Service for Microsoft Active Directory」を参照してください。

11. [アクセス権を追加] を選択します。

[Accesses] (アクセス) セクションにサーバアクセス権が一覧表示されます。

ユーザーのテスト

ユーザーが AWS Managed Microsoft AD サーバーのディレクトリにアクセスできるかどうかをテストできます。

注記

ユーザーは、[Endpoint configuration] (エンドポイント設定) ページの [Access] (アクセス) セクションのリストにあるいずれかのグループ (外部 ID) に属している必要があります。ユーザーがグループに属していない場合、または複数のグループに属している場合、そのユーザーにはアクセス権が付与されません。

特定のユーザーがアクセス権を持っているかどうかをテストするには

1. サーバーの詳細ページで [Actions] (アクション) を選択してから [Test] (テスト) を選択します。

2. [Identity provider testing] (ID プロバイダーのテスト) に、アクセス権のあるグループのいずれかに属するユーザーのユーザー名とパスワードを入力します。

3. [Test] (テスト) を選択します。

選択したユーザーにサーバーへのアクセスが許可されていることを示す、ID プロバイダーのテストが成功しました。

ユーザーがアクセス権のある複数のグループに属している場合、次のレスポンスが表示されます。

"Response":"",
"StatusCode":200,
"Message":"More than one associated access found for user's groups."

グループのサーバーアクセスの削除

グループのサーバーアクセスを削除するには

1. サーバーの詳細ページで [Actions] (アクション) を選択してから [Delete Access] (アクセスの削除) を選択します。

2. ダイアログボックスで、このグループのアクセスを削除したいことを確認します。

サーバーの詳細ページに戻ると、このグループのアクセス権がリストから消えたことがわかります。

SSH (Secure Shell) を使用してサーバーに接続する

サーバーとユーザーを設定した後で、SSH を使用してサーバーに接続し、アクセス権を持つユーザーの完全修飾ユーザー名を使用できます。

sftp user@active-directory-domain@vpc-endpoint

例: transferuserexample@mycompany.com@vpce-0123456abcdef-789xyz.vpc-svc-987654zyxabc.us-east-1.vpce.amazonaws.com。

この形式は、潜在的に大規模な Active Directory の検索を限定し、フェデレーションの検索を対象とします。

注記

単純なユーザー名を指定できます。ただし、この場合、Active Directory コードはフェデレーション内のすべてのディレクトリを検索する必要があります。そうすると検索が限定され、ユーザーにアクセス権があっても認証が失敗する可能性があります。

認証後、ユーザーは、ユーザーの設定時に指定されたホームディレクトリ内にいます。

AWS Transfer Familyフォレストとトラストを使用して、セルフマネージドアクティブディレクトリに接続する

セルフマネージドアクティブディレクトリ (AD) のユーザーも、を使用して Stor·Authentication (AD) を使用して、AWS IAM Identity Center (successor to AWS Single Sign-On)AWS アカウントファミリーサーバーへのシングルサインオンアクセスやファミリーサーバーへの移行に使用することもできます。そのために、AWS Directory Serviceでは以下のオプションが利用できます。

• 一方向のフォレストトラスト (オンプレミスの Active DirectoryAWS Managed Microsoft AD の発信と受信) は、ルートドメインでのみ機能します。

• 子ドメインでは、次のいずれかを使用できます。

  • AWS Managed Microsoft ADとオンプレミスの Active Directory 間で双方向の信頼関係を利用する

  • 各子ドメインに対して一方向の外部信頼を使用してください。

たとえば、信頼できるドメインを使用してサーバーに接続する場合、ユーザーは信頼できるドメインを指定する必要がありますtransferuserexample@mycompany.com。

AzureAWS ADirectory Service ctory ドメインサービスのディレクトリサービスの使用

• SFTP 転送のニーズに合わせて既存の Active Directory フォレストを活用するには、Active Directory コネクタを使用できます。

• フルマネージドサービスで Active Directory と高可用性のメリットを享受したい場合は、を使用できますAWS Directory Service for Microsoft Active Directory。詳細については、「AWSDirectory Service ID プロバイダの使用」を参照してください。

このトピックでは、Active Directory コネクタと Azure Active Directory ドメインサービス (Azure ADDS) を使用して SFTP 転送ユーザーを Azure Active Directory で認証する方法について説明します。

トピック

• AzureAWS ADirectory Service Directory ドメインサービスのディレクトリサービスの使用を開始する前に
• ステップ 1: Azure アクティブディレクトリドメインサービスの追加
• ステップ 2: サービスアカウントを作成する
• ステップ 3: AD ConnectorAWS を使用してディレクトリを設定する
• ステップ 4:AWS Transfer Family サーバーのセットアップ
• ステップ 5: グループへのアクセス権の付与
• ステップ 6: ユーザーをテストする

AzureAWS ADirectory Service Directory ドメインサービスのディレクトリサービスの使用を開始する前に

にはAWS、次のものが必要です。

• Transfer FamilyAWS サーバーを使用しているリージョン内の Virtual Private Cloud (VPC)

• VPC 内に 2 つ以上のプライベートサブネット

• VPC にはインターネット接続が必要です

• Microsoft Azure site-to-site との VPN 接続用のカスタマーゲートウェイと仮想プライベートゲートウェイ

Microsoft Azure の場合は、次のものが必要です。

• Azure アクティブディレクトリとアクティブディレクトリドメインサービス (Azure ADDS)

• Azure リソースグループ

• Azure 仮想ネットワーク

• Amazon VPC と Azure リソースグループ間の VPN 接続

  注記

  これは、ネイティブ IPSEC トンネルまたは VPN アプライアンスを使用して行うことができます。このトピックでは、Azure Virtual ネットワークゲートウェイとローカルネットワークゲートウェイの間の IPSEC トンネルを使用します。トンネルは、Azure ADDS エンドポイントとAWS VPC を収容するサブネット間のトラフィックを許可するように構成する必要があります。

• Microsoft Azure site-to-site との VPN 接続用のカスタマーゲートウェイと仮想プライベートゲートウェイ

次の図は、開始する前に必要な設定を示しています。

ステップ 1: Azure アクティブディレクトリドメインサービスの追加

Azure AD は、デフォルトではドメイン結合インスタンスをサポートしていません。ドメイン参加などのアクションを実行したり、グループポリシーなどのツールを使用するには、管理者は Azure Active Directory ドメインサービスを有効にする必要があります。Azure AD DS をまだ追加していない場合、または既存の実装が SFTP Transfer サーバーで使用するドメインに関連付けられていない場合は、新しいインスタンスを追加する必要があります。

Azure Active Directory ドメインサービス (Azure ADDS) を有効にする方法については、「チュートリアル:Azure Active Directory ドメインサービスの管理対象ドメインを作成および構成する」を参照してください。

注記

Azure ADDS を有効にするときは、SFTP 転送サーバーを接続するリソースグループと Azure AD ドメイン用に構成されていることを確認してください。

ステップ 2: サービスアカウントを作成する

Azure AD には、Azure ADDS の管理グループに含まれるサービスアカウントが 1 つ必要です。このアカウントはAWS Active Directory コネクタで使用されます。このアカウントが Azure ADDS と同期していることを確認してください。

ステップ 3: AD ConnectorAWS を使用してディレクトリを設定する

Azure ADDS を設定し、AWS VPC と Azure 仮想ネットワーク間の IPSEC VPN トンネルを使用してサービスアカウントを作成したら、任意のAWS EC2 インスタンスから Azure ADDS DNS IP アドレスに ping を送信して接続をテストできます。

接続がアクティブであることを確認したら、以下を続行できます。

AD ConnectorAWS を使用してディレクトリを設定するには

1. Directory Service コンソールを開き、[ディレクトリ] を選択します。

2. [Set up directory] (ディレクトリをセットアップする) を選択します。

3. ディレクトリタイプには、AD Connector を選択します。

4. ディレクトリサイズを選択して [次へ] を選択し、VPC とサブネットを選択します。

5. [次へ] を選択し、次のようにフィールドに入力します。

   • ディレクトリ DNS 名:Azure ADDS に使用しているドメイン名を入力します。

   • DNS IP アドレス:Azure ADDS の IP アドレスを入力します。

   • サーバーアカウントのユーザー名とパスワード:「ステップ 2: サービスアカウントを作成する」で作成したサービスアカウントの詳細を入力します。

6. 画面を完了してディレクトリサービスを作成します。

これで、ディレクトリのステータスが Active になり、SFTP 転送サーバーで使用できる状態になったはずです。

ステップ 4:AWS Transfer Family サーバーのセットアップ

SFTP プロトコルと ID AWSプロバイダータイプのDirectory Service を使用して、Transfer Family サーバーを作成します。「ディレクトリ」ドロップダウンリストから、「ステップ 3: AD ConnectorAWS を使用してディレクトリをセットアップする」で追加したディレクトリを選択します。

注記

Transfer Family サーバーで使用している場合、AWS Directory Service 内の Microsoft AD ディレクトリを削除することはできません。まずサーバーを削除してから、ディレクトリを削除する必要があります。

ステップ 5: グループへのアクセス権の付与

サーバーの作成後に、AWS Transfer Family を使用して有効なプロトコル経由でファイルをアップロードやダウンロードするためのアクセス権をディレクトリ内のどのグループに与えるかを選択する必要があります。そのためには、アクセス権を作成します。

注記

ユーザーはアクセスを付与されたグループに直接属していなければなりません。たとえば、Bob というユーザーが GroupA に属し、GroupA 自体が GroupB に含まれているとします。

• GroupA へのアクセス権を付与すると、Bob にはアクセス権が付与されます。

• GroupB にアクセス権を付与する (そして GroupA しない) と、Bob にはアクセス権がありません。

アクセスを許可するには、グループの SID を取得する必要があります。

次の Windows コマンドを使用して Windows PowerShell コマンドを使用して、YourGroupNameグループ名に置き換えることで、グループの SID を取得できます。

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid

グループへのアクセス権の付与

1. https://console.aws.amazon.com/transfer/ を開きます。

2. サーバーの詳細ページに移動し、「アクセス」セクションで「アクセスを追加」を選択します。

3. 前の手順の出力から受信した SID を入力します。

4. 「アクセス」で、AWS Identity and Access Managementグループのロールを選択します。

5. [Policy] (ポリシー) セクションでポリシーを選択します。デフォルト値は [なし] です。

6. [Home directory] (ホームディレクトリ) で、グループのホームディレクトリに対応する S3 バケットを選択します。

7. [Add] (追加) をクリックして関連付けを作成します。

Transfer サーバーの詳細は、次のようになります。

ステップ 6: ユーザーをテストする

ユーザーがAWS Managed Microsoft ADサーバーのディレクトリにアクセスできるかどうかをテスト (ユーザーのテスト) できます。ユーザーは、[Endpoint configuration] (エンドポイント設定) ページの [Access] (アクセス) セクションのリストにあるいずれかのグループ (外部 ID) に属している必要があります。ユーザーがグループに属していない場合、または複数のグループに属している場合、そのユーザーにはアクセス権が付与されません。