サーバーホストキーを追加する

AWS Transfer Family コンソールで、サーバーホストキーを追加できます。異なる形式のホストキーを追加すると、クライアントが接続したときにサーバーを識別したり、セキュリティプロファイルを改善したりするのに役立ちます。たとえば、元のキーが RSA キーの場合、ECDSA キーを追加することができます。

注記

SFTP クライアントは、キーのアルゴリズムに一致する設定で最も古いキーを使用して接続します。各キータイプ (RSA、ECDSA、または ED25519) の最も古いキーは、そのタイプのサーバーのアクティブなキーです。

Transfer Family サーバーに複数のタイプのホストキーがある場合のセキュリティノート

サーバーに複数のタイプのホストキーがある場合、SFTP クライアントはタイプ別に設定を割り当てることができます。したがって、サーバーに RSA、ECDSA、ED25519 ホストキーが存在する場合、選択はタイプ別の設定によって決まります。

最新の SFTP クライアントでは、ECDSA ホストキーと ED25519 ホストキーが存在する場合に優先されます。これは、サーバーに RSA キーしかない場合に ECDSA または ED25519 キーを追加する場合に重要になります。新しい ECDSA または ED25519 キーを追加すると、クライアントのセキュリティ警告として表示される可能性があります。

クライアントには、キーが実際に変更されていない場合、キーは変更されたものとして表示されます。新しいキーは、既存の RSA キーに加えて追加されました。新しいタイプのサーバーホストキーを追加する場合は、この点に注意してください。

サーバーホストキーを追加するには

1. https://console.aws.amazon.com/transfer/ で AWS Transfer Family コンソールを開きます。

2. 左側のナビゲーションペインで、[サーバー] を選択し、それから、SFTP プロトコルを使用するサーバーを選択します。

3. サーバーの詳細ページで [サーバーホストキー] セクションまでスクロールします。

   

4. 「ホストキーの追加」を選択します。

   [サーバーホストキーを追加] ページが表示されます。

5. 「サーバーホストキー」セクションに、クライアントが SFTP 対応サーバーを介してサーバーに接続するときにサーバーを識別するために使用する RSA、ECDSA、または ED25519 プライベートキーを入力します。

   注記

   サーバーホストキーを作成するときは、必ず -N "" (パスフレーズなし) を指定してください。キーペアの生成方法の詳細については、macOS、Linux、または UNIX で SSH キーを作成するを参照してください。

6. (オプション) 複数のサーバーホストキーを区別するための説明を追加します。キーにタグを追加することもできます。

7. [キーの追加] を選択します。[Server details] (サーバーの詳細) ページが再表示されます。

AWS Command Line Interface （AWS CLI) を使用してホストキーを追加するには、ImportHostKey API オペレーションを使用して新しいホストキーを指定します。新しい SFTP 対応サーバーを作成する場合は、CreateServer API オペレーションのパラメータとしてホストキーを指定します。を使用して AWS CLI 、既存のホストキーの説明を更新することもできます。

次のimport-host-key AWS CLI コマンド例では、指定された SFTP 対応サーバーのホストキーをインポートします。

aws transfer import-host-key --description key-description --server-id your-server-id --host-key-body file://my-host-key