サーバー使用状況のモニタリング

Amazon を使用して、サーバー内のアクティビティをモニタリングできます CloudWatch そしてAWS CloudTrail。さらなる分析のために、サーバーのアクティビティを読み取り可能なメトリクスとしてほぼリアルタイムで記録することもできます。

AWS CloudTrail ログ記録の有効化

AWS CloudTrail を使用して AWS Transfer Family API コールをモニタリングできます。API コールをモニタリングすることで、有益なセキュリティ情報や動作情報を取得できます。との連携の詳細については、 CloudTrail そしてAWS Transfer Family「」を参照してください。AWS Transfer Family でのログ記録とモニタリング。

Amazon S3 オブジェクトレベルのログ記録が有効になっている場合、RoleSessionName は [Requeser] (リクエスタ) フィールドに [AWS:Role Unique Identifier]/username.sessionid@server-id として含まれます。AWS Identity and Access Management (IAM) ロールの一意の識別子の詳細については、AWS Identity and Access Management ユーザーガイドの「一意の識別子」を参照してください。

重要

RoleSessionName の最大長は 64 文字です。RoleSessionName が長い場合、server-id は切り詰められます。

Amazon S3 API コールを S3 アクセスログに記録する

ユーザーに代わってファイル転送を要求した S3 リクエストを Amazon S3 アクセスログで特定しようとする場合、ファイル転送を処理すると想定された IAM ロールを表示する際には RoleSessionName が使用されます。また、転送に使用されるユーザー名、セッション ID、サーバー ID などの追加情報も表示されます。形式は [AWS:Role Unique Identifier]/username.sessionid@server-id で [Requester] (リクエスタ) フィールドに含まれています。たとえば、次に示すのは S3 バケットにコピーされたファイルの S3 アクセスログから得た[Requester] (リクエスタ) フィールドのコンテンツの例です。

arn:aws:sts::AWS-Account-ID:assumed-role/IamRoleName/username.sessionid@server-id

上記の [Requester] (リクエスタ) フィールドには、IamRoleName と呼ばれる IAM ロールが表示されます。IAM ロールの一意の識別子の詳細については、AWS Identity and Access Management ユーザーガイドの「一意の識別子」を参照してください。

CloudWatch でアクティビティをログに記録する

アクセス権を設定するには、リソースベースの IAM ポリシー、およびアクセス情報を提供する IAM ロールを作成します。

Amazon を有効にするには CloudWatch ログ記録を開始するには、CloudWatch のログ記録を有効にする IAM ポリシーの作成から開始します。次いで、IAM ロールを作成して、ポリシーをアタッチします。そのためには、サーバーを作成するか既存のサーバーを編集します。CloudWatch の詳細については、「」を参照してください。Amazon CloudWatch とはそしてAmazon CloudWatch Logs とはのアマゾン CloudWatch ユーザーガイド。

IAM ポリシーを作成するには

• 次のポリシー例を使用して、許可する独自の IAM ポリシーを作成します。 CloudWatch ロギング。AWS Transfer Family のポリシーの作成方法については、「IAM ポリシーとロールを作成する」を参照してください。

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Sid": "VisualEditor0",
              "Effect": "Allow",
              "Action": [
                  "logs:CreateLogStream",
                  "logs:DescribeLogStreams",
                  "logs:CreateLogGroup",
                  "logs:PutLogEvents"
              ],
              "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
          }
      ]
  }

次に、ロールを作成し、 CloudWatch 作成したポリシーをログに記録します。

IAM ロールを作成し、ポリシーをアタッチするには

1. ナビゲーションペインで [Roles] (ロール) を選択してから [Create role] (ロールの作成) を選択します。

   [Create role] (ロールの作成) ページで [AWS service] (サービス) が選択されていることを確認します。

2. 選択転送サービスリストからを選択し、次へ: アクセス許可. これにより、AWS Transfer Family と IAM ロールの間で信頼関係が確立されます。また、aws:SourceAccountそしてaws:SourceArn自分を守るためのコンディションキー混乱した代理問題。詳細については、次のドキュメントを参照してください。

   • との信頼関係を確立する手順AWS Transfer Family:信頼関係を確立するには

   • 「混乱した代理」問題の説明:「混乱した代理」問題

3. 左許可ポリシーのアタッチセクションで、検索して選択します。 CloudWatch 作成したポリシーをログに記録し、次へ: タグ

4. (オプション) タグのキーと値を入力し、次へ: 確認.

5. [Review] (確認) ページで新しいロールの名前と説明を入力してから [Create role] (ロールの作成) を選択します。

6. ログを表示するには、[Server ID] (サーバー ID) を選択してサーバー設定ページを開き、[View logs] (ログの表示) を選択します。にリダイレクトされます CloudWatch ログストリームを表示できるコンソール。

リポジトリの [] CloudWatch サーバー用のページで、ユーザー認証のレコード (成功と失敗)、データアップロード (PUTオペレーション)、およびデータのダウンロード (GETオペレーション).

「混乱した代理」問題を制限する例

混乱した副問題は、アクションを実行する許可を持たないエンティティが、より特権のあるエンティティにアクションを実行するように強制できるセキュリティの問題です。AWS では、サービス間でのなりすましが、混乱した代理問題を生じさせる可能性があります。詳細については、「サービス間の混乱した代理の防止」を参照してください。

注記

次の例では、ユーザー入力プレースホルダーをユーザー自身の情報で置き換えます。

次のログ記録ポリシー例では、アカウント内の任意のサーバーに対して、ロールを引き受けることを許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllServers",
            "Effect": "Allow",
            "Principal": {
                "Service": "transfer.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:transfer:region:account-id:server/*"
                }
            }
        }
    ]
}

次のロギングポリシー例では、特定のサーバーに対してロールを引き受けることを許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSpecificServer",
            "Effect": "Allow",
            "Principal": {
                "Service": "transfer.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "account-id"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:transfer:region:account-id:/server/server-id"
                }
            }
        }
    ]
}

を使用する CloudWatch Transfer Family リのメトリクス

注記

Transfer Family コンソール自体で Transfer Family のメトリクスを取得することもできます。詳細については、「 コンソールでサーバーの使用状況をモニタリングする 」を参照してください

を使用して、サーバーに関する情報を取得できます。 CloudWatch メトリクス。メトリクスは、CloudWatch に発行された時系列のデータポイントのセットを表します。メトリクスを使用するには、Transfer Family の名前空間、メトリクス名、およびディメンションを指定する必要があります。メトリクスの詳細については、「」を参照してください。のメトリクスのアマゾン CloudWatch ユーザーガイド。

次の表にを示します。 CloudWatch Transfer Family リのメトリクス。

名前空間	メトリクス	説明
AWS/Transfer	BytesIn	サーバーに転送された総バイト数。 単位：[Count] (カウント) 期間: 5 分
	BytesOut	サーバーから転送された総バイト数。 単位: [Count] (カウント) 期間: 5 分
	FilesIn	サーバーに転送されたファイルの合計数。 単位：[Count] (カウント) 期間: 5 分
	FilesOut	サーバーから転送されたファイルの合計数。 単位：[Count] (カウント) 期間: 5 分
	OnUploadExecutionsStarted	サーバーで開始されたワークフロー実行の総数。 単位：[Count] (カウント) 期間:1 分
	OnUploadExecutionsSuccess	サーバー上で成功したワークフローの実行合計数。 単位：[Count] (カウント) 期間:1 分
	OnUploadExecutionsFailed	サーバー上で失敗したワークフロー実行の総数。 単位：[Count] (カウント) 期間:1 分

Transfer Family ディメンション

ディメンションは、メトリクスのアイデンティティの一部である名前と値のペアです。ディメンションの詳細については、「」を参照してください。ディメンションのアマゾン CloudWatch ユーザーガイド。

次の表にを示します。 CloudWatch ファミリの転送の寸法。

ディメンション	説明
ServerId	サーバーに付けられた一意の ID.