翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# のセキュリティ AWS Transfer Family
<a name="security"></a>

のクラウドセキュリティが最優先事項 AWS です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャを活用できます。

セキュリティは、 AWS とお客様の間の責任共有です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)では、これをクラウドのセキュリティおよびクラウド内のセキュリティとして説明しています。

 AWS のサービス が特定のコンプライアンスプログラムの対象であるかどうかを確認するには、[AWS のサービス 「コンプライアンスプログラムによる対象範囲内の](https://aws.amazon.com/compliance/services-in-scope/)コンプライアンス範囲内の」を参照し、関心のあるコンプライアンスプログラムを選択します。一般的な情報については、[AWS 「コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)」を参照してください。

を使用して、サードパーティーの監査レポートをダウンロードできます AWS Artifact。詳細については、[「Downloading Reports in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)」を参照してください。

を使用する際のお客様のコンプライアンス責任 AWS のサービス は、お客様のデータの機密性、貴社のコンプライアンス目的、適用される法律および規制によって決まります。を使用する際のコンプライアンス責任の詳細については AWS のサービス、[AWS 「 セキュリティドキュメント](https://docs.aws.amazon.com/security/)」を参照してください。

このドキュメントは、 を使用する際の責任共有モデルの適用方法を理解するのに役立ちます AWS Transfer Family。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成する AWS Transfer Family ように を設定する方法を示します。また、 AWS Transfer Family リソースのモニタリングや保護に役立つ他の AWS サービスの使用方法についても説明します。

既存のアプリケーションを変更したり、サーバーインフラストラクチャを管理 AWS したりすることなく、 でスケーラブルで安全なファイル転送アーキテクチャを構築する方法に関する規範的なガイダンスと実践的なラボを提供するワークショップを提供しています。このワークショップの詳細については、「[こちら](https://catalog.workshops.aws/basic-security-workshop-transfer-family/en-US)」をご覧ください。

**Topics**
+ [VPC 接続のセキュリティ上の利点](#vpc-connectivity-security)
+ [AWS Transfer Family サーバーのセキュリティポリシー](security-policies.md)
+ [AWS Transfer Family SFTP コネクタのセキュリティポリシー](security-policies-connectors.md)
+ [でのハイブリッドポスト量子キー交換の使用 AWS Transfer Family](post-quantum-security-policies.md)
+ [データ保護と暗号化](encryption-at-rest.md)
+ [Transfer Family での SSH キーと PGP キーの管理](key-management.md)
+ [の ID とアクセスの管理 AWS Transfer Family](security-iam.md)
+ [のコンプライアンス検証 AWS Transfer Family](transfer-compliance.md)
+ [の耐障害性 AWS Transfer Family](disaster-recovery-resiliency.md)
+ [VPC と AWS Transfer Family APIs間のプライベート接続を作成する](vpc-api-endpoints.md)
+ [のインフラストラクチャセキュリティ AWS Transfer Family](infrastructure-security.md)
+ [ウェブアプリケーションファイアウォールを追加する](web-application-firewall.md)
+ [サービス間の混乱した代理の防止](confused-deputy.md)
+ [AWS AWS Transfer Family の マネージドポリシー](security-iam-awsmanpol.md)

## VPC 接続のセキュリティ上の利点
<a name="vpc-connectivity-security"></a>

VPC 出力タイプの SFTP コネクタは、クロス VPC リソースアクセスを通じてセキュリティ上の利点を強化します。
+ **ネットワークの分離**: すべてのトラフィックは VPC 環境内に留まり、プライベートエンドポイント接続のためにパブリックインターネットから完全にネットワークを分離できます。
+ **ソース IP コントロール**: リモート SFTP サーバーは VPC CIDR 範囲の IP アドレスのみを表示し、接続に使用されるソース IP アドレスを完全に制御できます。
+ **プライベートエンドポイントアクセス: **プライベート IP アドレスを使用して VPC 内の SFTP サーバーに直接接続し、パブリックインターネットへの露出を排除します。
+ **ハイブリッド接続**: インターネットにさらされることなく、確立された VPN または Direct Connect 接続を介してオンプレミス SFTP サーバーに安全にアクセスします。
+ **VPC セキュリティコントロール**: 既存の VPC セキュリティグループ、NACLs、ルーティングポリシーを活用して、SFTP コネクタトラフィックを制御およびモニタリングします。

### VPC Lattice セキュリティモデル
<a name="vpc-lattice-security-model"></a>

SFTP コネクタの VPC 接続では、VPC AWS Lattice とサービスネットワークを使用して、安全なマルチテナントアクセスを提供します。
+ **混乱した代理防止**: 認証と認可のチェックにより、コネクタが設定された特定のリソースにのみアクセスでき、不正なクロステナントアクセスを防ぐことができます。
+ **IPv6-onlyサービスネットワーク**: IPv6 アドレス指定を使用して、潜在的な IP アドレスの競合を回避し、セキュリティ分離を強化します。
+ **転送アクセスセッション (FAS)**: 一時的な認証情報処理により、認証情報の長期保存や手動リソース共有が不要になります。
+ **リソースレベルのアクセスコントロール**: 各コネクタは特定のリソース設定に関連付けられ、個々の SFTP サーバーへのきめ細かなアクセスコントロールが保証されます。

### VPC 接続のセキュリティのベストプラクティス
<a name="vpc-security-best-practices"></a>

VPC 出力タイプコネクタを使用する場合は、次のセキュリティのベストプラクティスに従ってください。
+ **セキュリティグループ**: 必要なリソース間でのみ SFTP トラフィック (ポート 22) を許可するようにセキュリティグループを設定します。送信元と送信先の IP 範囲を必要最小限に制限します。
+ **リソースゲートウェイの配置**: 可能な限りプライベートサブネットにリソースゲートウェイをデプロイし、高可用性のために少なくとも 2 つのアベイラビリティーゾーンにまたがるようにします。
+ **ネットワークモニタリング**: VPC フローログと Amazon CloudWatch を使用して、ネットワークトラフィックパターンをモニタリングし、異常なアクティビティを検出します。
+ **アクセスログ**記録: コネクタログ記録を有効にしてファイル転送アクティビティを追跡し、コンプライアンス要件の監査証跡を維持します。
+ **リソース設定管理**: リソース設定を定期的に確認および更新して、正しい SFTP サーバーを指し、適切なネットワーク設定を使用していることを確認します。