AWS Directory Service for Microsoft Active Directory の使用

を使用して AWS Transfer Family 、 を使用してファイル転送エンドユーザーを認証できます AWS Directory Service for Microsoft Active Directory。そうすることで、エンドユーザーの認証情報を変更したり、カスタムオーソライザーを必要とせずに、Active Directory 認証に依存するファイル転送ワークフローをシームレスに移行できます。

を使用すると AWS Managed Microsoft AD、Amazon Simple Storage Service (Amazon S3) または Amazon Elastic File System (Amazon EFS) に保存されているデータに対して、SFTP、FTPS、および FTP 経由で AWS Directory Service ユーザーとグループにアクセスを安全に提供できます。 Amazon Elastic File System EFS Active Directory を使用してユーザーの認証情報を保存する場合、これらのユーザーがこれまでよりも簡単にファイル転送できるようになりました。

Active Directory コネクタを使用して、 AWS Managed Microsoft AD オンプレミス環境の または AWS クラウドの で Active Directory グループへのアクセスを提供できます。Microsoft Windows 環境で既に設定されているユーザーに、 AWS クラウドまたはオンプレミスネットワークのいずれかで、 が ID AWS Managed Microsoft AD に使用する AWS Transfer Family サーバーへのアクセスを許可できます。

注記

• AWS Transfer Family シンプル AD には対応しておりません。

• Transfer Family はクロスリージョンの Active Directory 構成をサポートしていません。Transfer Family サーバーと同じリージョンにある Active Directory 統合のみをサポートしています。

• Transfer Family は、既存の RADIUS ベースの MFA インフラストラクチャの多要素認証 (MFA) を有効にするための AWS Managed Microsoft AD または AD Connector の使用をサポートしていません。

• AWS Transfer Family は、 Managed Active Directory のレプリケートされたリージョンをサポートしていません。

を使用するには AWS Managed Microsoft AD、次の手順を実行する必要があります。

1. AWS Directory Service コンソールを使用して 1 つ以上の AWS Managed Microsoft AD ディレクトリを作成します。

2. Transfer Family コンソールを使用して、 を ID プロバイダー AWS Managed Microsoft AD として使用するサーバーを作成します。

3. Active AWS Directory Connector を使用して Directory をセットアップします。

4. 1 つ以上の AWS Directory Service グループからのアクセスを追加します。

5. 必須ではありませんが、ユーザーアクセスのテストと検証をお勧めします。

の使用を開始する前に AWS Directory Service for Microsoft Active Directory

AD グループに固有の識別子を提供してください。

を使用する前に AWS Managed Microsoft AD、Microsoft AD ディレクトリ内の各グループに一意の識別子を指定する必要があります。そのためには、各グループごとのセキュリティ識別子 (SID) を使用します。関連付けるグループのユーザーは、 AWS Transfer Family を使用して、有効なプロトコルを介して Amazon S3 または Amazon EFS リソースにアクセスできます。

次の Windows PowerShell コマンドを使用してグループの SID を取得し、 をグループの名前YourGroupNameに置き換えます。

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid

注記

を ID プロバイダー AWS Directory Service として使用していて、 userPrincipalNameと の値が異なる場合、 SamAccountNameは の値 AWS Transfer Family を受け入れますSamAccountName。Transfer Family では userPrincipalName で指定した値は受け付けません。

ロールにアクセス AWS Directory Service 許可を追加する

ID プロバイダー AWS Directory Service として を使用するには、 AWS Directory Service API アクセス許可も必要です。以下のパーミッションが必要または推奨される：

• ds:DescribeDirectories Transfer Family がディレクトリを検索するために必要です

• ds:AuthorizeApplication Transfer Family の承認を追加する必要があります

• ds:UnauthorizeApplication サーバー作成プロセス中に問題が発生した場合に備えて、暫定的に作成されたリソースを削除することをお勧めします。

Transfer Family サーバーの作成に使用しているロールにこれらの権限を追加します。これらの権限の詳細については、「AWS Directory Service API 権限: アクション、リソース、および条件のリファレンスを参照してください」。

Active Directoryレルムでの作業

Active Directory AWS Transfer Family ユーザーにサーバーにアクセスさせる方法を検討するときは、ユーザーのレルムとそのグループのレルムに留意してください。理想的には、ユーザーのレルムとそのグループのレルムが一致している必要があります。つまり、ユーザーとグループの両方がデフォルト レルム内にあるか、両方とも信頼されたレルム内にあります そうでない場合、ユーザーは Transfer Family によって認証されません。

ユーザーをテストして、構成が正しいことを確認できます。詳細については、「ユーザーのテスト」を参照してください。ユーザー/グループ レルムに問題がある場合は、ユーザーのグループに関連付けられたアクセスが見つかりませんというエラーが表示されます。

ID プロバイダー AWS Managed Microsoft AD として を選択する

このセクションでは、サーバー AWS Directory Service for Microsoft Active Directory で を使用する方法について説明します。

Transfer Family AWS Managed Microsoft AD で を使用するには

1. にサインイン AWS Management Console し、https://console.aws.amazon.com/directoryservicev2/ で AWS Directory Service コンソールを開きます。

   AWS Directory Service コンソールを使用して、1 つ以上のマネージドディレクトリを設定します。詳細については、 AWS Directory Service 管理者ガイドの AWS Managed Microsoft AD を参照してください。

   

2. https://console.aws.amazon.com/transfer/ で AWS Transfer Family コンソールを開き、サーバーの作成 を選択します。

3. [Choose protocols] ( プロトコルの選択) ページのリストから 1 つ以上のプロトコルを選択します。

   注記

   FTPS を選択した場合、 AWS Certificate Manager 証明書を提供する必要があります。

4. [Choose an identity provider] (ID プロバイダーを選択する) で[AWS Directory Service] を選択します。

   

5. [Directory] (ディレクトリ) リストには、設定したすべてのマネージドディレクトリが含まれます。リストからディレクトリを選択し、[Next] (次へ) を選択します。

   注記

   • クロスアカウントディレクトリと共有ディレクトリは、 ではサポートされていません AWS Managed Microsoft AD。

   • Directory Service を ID プロバイダーとしてサーバーを設定するには、いくつかの AWS Directory Service アクセス許可を追加する必要があります。詳細については、「の使用を開始する前に AWS Directory Service for Microsoft Active Directory」を参照してください。

6. サーバーの作成を終了するには、以下のいずれかの手順に従います。

   • SFTP 対応サーバーの作成

   • FTPS 対応サーバーを作成する

   • FTP 対応サーバーの作成

   これらの手順では、ID プロバイダーを選択するステップに進みます。

重要

Transfer Family サーバーで Microsoft AD ディレクトリを使用した AWS Directory Service 場合、 で Microsoft AD ディレクトリを削除することはできません。まずサーバーを削除してから、ディレクトリを削除する必要があります。

オンプレミスの Microsoft Active Directory への接続

このセクションでは、AD Connector を使用して AWS ディレクトリを設定する方法について説明します。

AD Connector を使用して AWS ディレクトリを設定するには

1. [ディレクトリ サービス] コンソールを開き、[ディレクトリ] を選択します。

2. [Set up directory] (ディレクトリをセットアップする) を選択します。

3. ディレクトリタイプには、[AD Connector] を選択します。

4. ディレクトリ サイズを選択し、[次へ] を選択して、VPC とサブネットを選択します。

5. [Next] を選択し、次のようにフィールドに入力します。

   • ディレクトリ DNS 名: Microsoft Active Directory に使用しているドメイン名を入力します。

   • DNS IP アドレス： Microsoft Active Directory の IP アドレスを入力します。

   • サーバーアカウントのユーザー名とパスワード: 使用するサービスアカウントの詳細を入力します。

6. 画面に入力してディレクトリ サービスを作成します

次のステップでは、SFTP プロトコルと AWS Directory Service の ID プロバイダータイプを使用して Transfer Family サーバーを作成します。ディレクトリドロップダウンリストから、前の手順で追加したディレクトリを選択します。

グループへのアクセス権の付与

サーバーを作成したら、 ディレクトリ内のどのグループが、 を使用して有効なプロトコル経由でファイルをアップロードおよびダウンロードするアクセス権を持つかを選択する必要があります AWS Transfer Family。そのためには、アクセス権を作成します。

注記

ユーザーはアクセスを付与されたグループに直接属していなければなりません。例えば、Bob がユーザーで groupA に属し、groupA 自体が groupB に含まれているとします。

• GroupA へのアクセス権を付与すると、Bob にはアクセス権が付与されます。

• GroupB にアクセス権を付与する (そして GroupA しない) と、Bob にはアクセス権がありません。

グループへのアクセス権を付与するには

1. https://console.aws.amazon.com/transfer/ で AWS Transfer Family コンソールを開きます。

2. サーバーの詳細ページに移動します。

3. [アクセス] セクションで、[アクセスの追加] を選択します。

4. このサーバーへのアクセスを許可する AWS Managed Microsoft AD ディレクトリの SID を入力します。

   注記

   グループの SID を検索する方法については、「の使用を開始する前に AWS Directory Service for Microsoft Active Directory」を参照してください。

5. アクセス で、グループの AWS Identity and Access Management (IAM) ロールを選択します。

6. [Policy] (ポリシー) セクションでポリシーを選択します。デフォルト設定は [None] (なし) です。

7. ホームディレクトリ で、グループのホームディレクトリに対応する Amazon S3 バケットを選択します。

   注記

   セッションポリシーを作成して、ユーザーに表示されるバケットの部分を限定できます。たとえば、ユーザーを /filetest ディレクトリの下位にある各自のフォルダに限定するには、フィールドに次のテキストを入力します。

   /filetest/${transfer:UserName}

   セッションポリシーの作成方法の詳細については、「Amazon S3 バケットのセッションポリシーの作成」を参照してください 。

8. [Add] (追加) をクリックして関連付けを作成します。

9. サーバーを選択します。

10. 「アクセスの追加」を選択します。

    1. グループの SID を入力します。

       注記

       DID を見つける方法については、「の使用を開始する前に AWS Directory Service for Microsoft Active Directory」を参照してください。

11. 「アクセスの追加」を選択します。

[Accesses] (アクセス) セクションにサーバアクセス権が一覧表示されます。

ユーザーのテスト

ユーザーがサーバーの AWS Managed Microsoft AD ディレクトリにアクセスできるかどうかをテストできます。

注記

ユーザーは、[Endpoint configuration] (エンドポイント設定) ページの [Access] (アクセス) セクションのリストにあるいずれかのグループ (外部 ID) に属している必要があります。ユーザーがグループに属していない場合、または複数のグループに属している場合、そのユーザーにはアクセス権が付与されません。

特定のユーザーがアクセス権を持っているかどうかをテストするには

1. サーバーの詳細ページで [Actions] (アクション) を選択してから [Test] (テスト) を選択します。

2. [ID プロバイダのテスト] には、アクセス権を持つグループの 1 つに属しているユー ザーのサインイン認証情報を入力します。

3. [Test] (テスト) を選択します。

選択したユーザーにサーバーへのアクセスが許可されていることを示す、ID プロバイダーのテストが成功しました。

ユーザーがアクセス権のある複数のグループに属している場合、次のレスポンスが表示されます。

"Response":"",
"StatusCode":200,
"Message":"More than one associated access found for user's groups."

グループのサーバーアクセスの削除

グループのサーバーアクセスを削除するには

1. サーバーの詳細ページで [Actions] (アクション) を選択してから [Delete Access] (アクセスの削除) を選択します。

2. ダイアログボックスで、このグループのアクセスを削除したいことを確認します。

サーバーの詳細ページに戻ると、このグループのアクセス権がリストから消えたことがわかります。

SSH (Secure Shell) を使用してサーバーに接続する

サーバーとユーザーを設定したら、SSH を使ってサーバーに接続し、アクセス権を持つユーザーの完全修飾ユーザー名を使うことができます。

sftp user@active-directory-domain@vpc-endpoint

例: transferuserexample@mycompany.com@vpce-0123456abcdef-789xyz.vpc-svc-987654zyxabc.us-east-1.vpce.amazonaws.com。

この形式は、潜在的に大規模な Active Directory の検索を限定し、フェデレーションの検索を対象とします。

注記

単純なユーザー名を指定することができます。ただし、この場合、Active Directory コードはフェデレーション内のすべてのディレクトリを検索する必要があります。そうすると検索が限定され、ユーザーにアクセス権があっても認証が失敗する可能性があります。

認証後、ユーザーは、ユーザーの設定時に指定されたホームディレクトリ内にいます。

フォレストと信頼を使用したセルフマネージド Active Directory AWS Transfer Family への接続

セルフマネージド Active Directory (AD) のユーザーは、 AWS アカウント および Transfer Family サーバーへのシングルサインオンアクセス AWS IAM Identity Center に を使用することもできます。そのために、 AWS Directory Service には以下のオプションがあります。

• 一方向フォレスト信頼 (オンプレミス Active Directory の送受信) は AWS Managed Microsoft AD 、ルートドメインでのみ機能します。

• 子ドメインの場合、以下のいずれかを使用できます:

  • AWS Managed Microsoft AD とオンプレミス Active Directory 間の双方向信頼を使用する

  • 各子ドメインに対して一方向の外部信頼を使用します。

信頼できるドメインを使用してサーバーに接続する場合、ユーザーは信頼できるドメインを指定する必要があります (例: transferuserexample@mycompany.com)。