サービスマネージドユーザーの使用 - AWS Transfer Family

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービスマネージドユーザーの使用

サーバーのドメイン設定に応じて、Amazon S3 または Amazon EFS いずれかのサービスマネージドユーザーをサーバーに追加できます。詳細については、「サーバーの作成」を参照してください。

Amazon S3 サービスマネージドユーザーの追加

注記

クロスアカウントの Amazon S3 バケットを設定する場合は、このナレッジセンターの記事に記載されている手順に従ってください。AWS別のアカウントにある Amazon Simple Storage ServiceAWS Transfer Family バケットを使用するようにサーバーを設定する方法を教えてください。

Amazon S3 サービスマネージドユーザーをサーバーに追加するには

  1. https://console.aws.amazon.com/transfer で AWS Transfer Family コンソールを開いてからナビゲーションペインで [Servers] (サーバー) を選択します。

  2. [Servers] (サーバー) ページで、ユーザーの追加先になるサーバーのチェックボックスをオンにします。

  3. [Add user] (ユーザーを追加) を選択します。

  4. [User configuration] (ユーザー構成) セクションの [Username] (ユーザー名) にユーザー名を入力します。このユーザー名は、3 文字~ 100 文字の長さにする必要があります。ユーザー名に使用できる文字は、z、A~Z、0~9、下線文字「_」、ハイフン「-」、ピリオド「.」、およびアットマーク「@」です。ユーザー名をハイフン「-」、ピリオド「.」、アットマーク「@」で始めることはできません。

  5. [Access] (アクセス) で、以前に作成した Amazon S3 バケットへのアクセスを提供する IAM ロールを選択します。

    この IAM ロールは、「IAM ポリシーとロールを作成する」の手順に従って作成されました。その IAM ロールには、Amazon S3 バケットへのアクセスを提供する IAM ポリシーが含まれます。別の IAM ポリシーで定義された AWS Transfer Family サービスとの信頼関係も含まれます。ユーザーのきめ細かなアクセス制御が必要な場合は、Amazon S3AWS Transfer Family によるデータアクセス制御の強化に関するブログ記事を参照してください

  6. (オプション)[Policy] (ポリシー) で、次のいずれかを選択します。

    • None (なし)

    • Existing policy (既存のポリシー)

    • 既存のポリシーを選択するには、IAM からから ポリシーを選択します。[View] (表示) を選択すると、ポリシーの詳細を含む JSON オブジェクトが表示されます。

    セッションポリシーの詳細については、「IAM ポリシーとロールを作成する」を参照してください。セッションポリシーの作成方法の詳細については、「Amazon S3 バケットのセッションポリシーの作成」を参照してください 。

  7. [Home Directory] (ホームディレクトリ) で AWS Transfer Family を使用して転送するデータを保存する Amazon S3 バケットを選択します。ユーザーが SFTP クライアントを使用してログインしたときにアクセスする home ディレクトリのパスを入力します。

    このパラメータを空白のままにした場合、Amazon S3 バケットの root ディレクトリが使用されます。この場合、IAM ロールが root ディレクトリへのアクセスを提供することを確認します。

    注記

    セッションポリシーを効果的に使用できるように、ユーザーのユーザー名が含まれるディレクトリパスを選択することをお勧めします。セッションポリシーは、Amazon S3 バケットでのユーザーアクセスを home ディレクトリに制限します。

  8. (オプション) [Restricted] (制限) チェックボックスをオンにすると、ユーザーはそのフォルダの外部にあるものにアクセスしたり、Amazon S3 バケット名やフォルダ名を表示したりできなくなります。

    注記

    ユーザーにホームディレクトリを割り当て、そのホームディレクトリへのアクセスを制限すれば、指定されたフォルダへのアクセスをロックダウンするのに十分なはずです。さらにコントロールの適用が必要な場合、セッションポリシーを使用します。

  9. [SSH public key] (SSH 公開キー) に SSH キーペアの SSH 公開キー部分を入力します。

    新しいユーザーを追加する前に、サービスによってキーが検証されます。

    注記

    SSH キーペアを生成する手順については、「SSH キーを生成する」を参照してください。

  10. (オプション) [Key] (キー) と [Value] (値) にキーバリューペアとして 1 つ以上のタグを入力して [Add tag] (タグの追加) を選択します。

  11. [Add] (追加) を選択して、選択したサーバーに新しいユーザーを追加します。

    [Server details] (サーバーの詳細) ページの [Users] (ユーザー) セクションに新しいユーザーが表示されます。

次のステップ— 次のステップについては、「クライアントを使用してファイルを転送する」に進みます。

Amazon EFS サービスマネージドユーザーの追加

Amazon EFS は、Portable Operating System Interface (POSIX) ファイルアクセス許可モデルを使用して、ファイルの所有権を表します。

Amazon EFS サービスマネージドユーザーをサーバーに追加するには

  1. https://console.aws.amazon.com/transfer で AWS Transfer Family コンソールを開いてからナビゲーションペインで [Servers] (サーバー) を選択します。

  2. [Servers] (サーバー) ページで、ユーザーの追加先になる Amazon EFS サーバーのチェックボックスをオンにします。

  3. [Add user] (ユーザーの追加) を選択して [Add user] (ユーザーの追加) ページを表示します。

  4. [User configuration] (ユーザー設定) セクションで、次のように設定します。

    1. [Username] (ユーザー名) にユーザー名を入力します。このユーザー名は、3 文字~ 100 文字の長さにする必要があります。ユーザー名に使用できる文字は、z、A~Z、0~9、下線文字「_」、ハイフン「-」、ピリオド「.」、およびアットマーク「@」です。ユーザー名をハイフン「-」、ピリオド「.」、アットマーク「@」で始めることはできません。

    2. ユーザー ID およびグループ ID については、以下の点に注意してください。

      • 最初に作成するユーザーには、グループ IDユーザー ID の両方に 0 の値を入力することをお勧めします。これにより、Amazon EFS のユーザー管理者権限が付与されます。

      • 追加のユーザーについて、ユーザーの POSIX ユーザー ID とグループ ID を入力します。これらの ID は、ユーザーが実行するすべての Amazon Elastic File System オペレーションに使用されます。

      • [User ID] (ユーザー ID) と [Group ID] (グループ ID) には、先頭にゼロを使用しないでください。たとえば、12345 は許容されますが 012345 は許容されません。

    3. (オプション) [Secondary Group IDs] (セカンダリグループ ID) には、ユーザーごとに 1 つ以上の追加の POSIX グループ ID をカンマで区切って入力します。

    4. [Access] (アクセス) で、以下のような IAM ロールを選択します。

      • アクセスしたい Amazon EFS リソース (ファイルシステム) にのみアクセス権を付与します。

      • ユーザーが実行できるファイルシステム操作と実行できないファイルシステムシステムオペレーションを定義します。

      Amazon EFS ファイルシステムの選択にあたっては、マウントアクセスと読み書きアクセス許可を持つ IAM ロールを使用することをお勧めします。たとえば、次の 2 つの AWS マネージドポリシーの組み合わせは、かなり寛容でありながら、ユーザーに必要なアクセス許可を付与します。

      • AmazonElasticFileSystemClientFullAccess

      • AWSTransferConsoleFullAccess

      詳細については、ブログの投稿記事「 New — AWS Transfer Family support for Amazon Elastic File System」(新着 — Amazon Elastic File System のサポート) を参照してください。

    5. [Home directory] (ホームディレクトリ) について、次のように操作します。

      • AWS Transfer Family で転送するデータの保存に使用したい Amazon EFS ファイルシステムを選択します。

      • ホームディレクトリを制限するかどうかを決めます。ホームディレクトリを [Restricted] (制限) に設定すると次の効果があります。

        • Amazon EFS ユーザーは、そのフォルダ外のファイルやディレクトリにアクセスできません。

        • Amazon EFS ユーザーは Amazon EFS ファイルシステム名 (fs-xxxxxxx) を表示できません。

          注記

          [Restricted] (制限) オプションを使用すると、Amazon EFS ユーザーのシンボリックリンクは解決されません。

      • (オプション) ユーザーがクライアントとしてログインしたときのホームディレクトリのパスを入力します。

        ホームディレクトリを指定しない場合、Amazon EFS ファイルシステムのルートディレクトリが使用されます。この場合、IAM ロールがルートディレクトリへのアクセスを提供することを確認します。

  5. [SSH public key] (SSH パブリックキー) に SSH キーペアの SSH パブリックキー部分を入力します。

    新しいユーザーを追加する前に、サービスによってキーが検証されます。

    注記

    SSH キーペアを生成する手順については、「SSH キーを生成する」を参照してください。

  6. (オプション) ユーザーに任意のタグを入力します。[Key] (キー) と [Value] (値) にキーバリューペアとして 1 つ以上のタグを入力して [Add tag] (タグの追加) を選択します。

  7. [Add] (追加) を選択して、選択したサーバーに新しいユーザーを追加します。

    [Server details] (サーバーの詳細) ページの [Users] (ユーザー) セクションに新しいユーザーが表示されます。

初めて SFTP で Transfer Family サーバーに接続する際に発生する可能性がある問題:

  • sftp コマンドを実行した場合にプロンプトが表示されず、次のメッセージが表示されることがあります。

    Couldn't canonicalize: Permission denied

    Need cwd

    この場合、ユーザーのロールのポリシー許可を増やす必要があります。AWS などの AmazonElasticFileSystemClientFullAccess マネージドポリシーを追加できます。

  • pwdsftpプロンプトで SFTP ユーザーのホームディレクトリを表示しようとすると、次のメッセージ (user-home-directoryは SFTP ユーザーのホームディレクトリ) が表示されることがあります。 :

    remote readdir("/user-home-directory"): No such file or directory

    この場合、親ディレクトリ (cd ..) をクリックし、ユーザーのホームディレクトリ (mkdir username) を作成します。

次のステップ— 次のステップについては、「クライアントを使用してファイルを転送する」に進みます。

サービスマネージドユーザーの管理

このセクションでは、ユーザーのリストを表示する方法、ユーザーの詳細を編集する方法、および SSH パブリックキーを追加する方法について説明します。

ユーザーのリストを検索するには

  1. https://console.aws.amazon.com/transfer/ で AWS Transfer Family コンソールを開きます。

  2. ナビゲーションペインで [Servers] (サーバー) を選択して [Servers] (サーバー) ページを表示します。

  3. [Server ID] (サーバー ID) 列で ID を選択すると、[Server Configuration] (サーバーの構成) ページが表示されます。

  4. [Users] (ユーザー) の下にユーザーのリストが表示されます。

ユーザーの詳細を表示または編集するには

  1. https://console.aws.amazon.com/transfer/ で AWS Transfer Family コンソールを開きます。

  2. ナビゲーションペインで [Servers] (サーバー) を選択して [Servers] (サーバー) ページを表示します。

  3. [Server ID] (サーバー ID) 列で ID を選択すると、[Server Configuration] (サーバーの構成) ページが表示されます。

  4. [Users] (ユーザー) の下で、ユーザー名を選択すると [User details] (ユーザーの詳細) ページが表示されます。

    このページで [Edit] (編集) を選択すると、ユーザーのプロパティを変更できます。

  5. [User details] (ユーザーの詳細) ページで [User configuration] (ユーザー設定) の隣にある [Edit] (編集) を選択します。

    
                            ユーザーの構成を編集する画面を示す画像
  6. [Edit onfigu] (設定の編集) ページで [Access] (アクセス) について、以前に作成した Amazon S3 バケットへのアクセスを提供する IAM ロールを選択します。

    この IAM ロールは、「IAM ポリシーとロールを作成する」の手順に従って作成されました。その IAM ロールには、Amazon S3 バケットへのアクセスを提供する IAM ポリシーが含まれます。別の IAM ポリシーで定義された AWS Transfer Family サービスとの信頼関係も含まれます。

  7. (オプション)[Policy] (ポリシー) で、次のいずれかを選択します。

    • None (なし)

    • Existing policy (既存のポリシー)

    • 既存のポリシーを選択するには、IAM からから ポリシーを選択します。[View] (表示) を選択すると、ポリシーの詳細を含む JSON オブジェクトが表示されます。

    セッションポリシーの詳細については、「IAM ポリシーとロールを作成する」を参照してください。セッションポリシーの作成方法の詳細については、「Amazon S3 バケットのセッションポリシーの作成」を参照してください 。

  8. [Home Directory] (ホームディレクトリ) で AWS Transfer Family を使用して転送するデータを保存する Amazon S3 バケットを選択します。ユーザーが SFTP クライアントを使用してログインしたときにアクセスする home ディレクトリのパスを入力します。

    このパラメータを空白のままにした場合、Amazon S3 バケットの root ディレクトリが使用されます。この場合、IAM ロールが root ディレクトリへのアクセスを提供することを確認します。

    注記

    セッションポリシーを効果的に使用できるように、ユーザーのユーザー名が含まれるディレクトリパスを選択することをお勧めします。セッションポリシーは、Amazon S3 バケットでのユーザーアクセスを home ディレクトリに制限します。

  9. (オプション) [Restricted] (制限) チェックボックスをオンにすると、ユーザーはそのフォルダの外部にあるものにアクセスしたり、Amazon S3 バケット名やフォルダ名を表示したりできなくなります。

    注記

    ユーザーにホームディレクトリを割り当てて、ユーザーをそのホームディレクトリに制限する場合、指定したフォルダへのユーザーのアクセスをロックダウンするにはこれで十分なはずです。さらなるコントロールの適用が必要な場合、セッションポリシーを使用します。

  10. [Save] (保存) を選択して変更内容を保存します。

ユーザーを削除するには

  1. https://console.aws.amazon.com/transfer/ で AWS Transfer Family コンソールを開きます。

  2. ナビゲーションペインで [Servers] (サーバー) を選択して [Servers] (サーバー) ページを表示します。

  3. [Server ID] (サーバー ID) 列で ID を選択すると、[Server Configuration] (サーバーの構成) ページが表示されます。

  4. [Users] (ユーザー) の下で、ユーザー名を選択すると [User details] (ユーザーの詳細) ページが表示されます。

  5. [User details] (ユーザーの詳細) ページでユーザー名の右にある [Delete] (削除) を選択します。

  6. 表示される確認ダイアログボックスで、「delete」という語を入力してから [Delete] (削除) を選択してユーザーを削除してよいことを確認します。

[Users] (ユーザー) リストからユーザーが削除されます。

ユーザーの SSH パブリックキーを編集するには

  1. https://console.aws.amazon.com/transfer/ で AWS Transfer Family コンソールを開きます。

  2. ナビゲーションペインで、[Servers] (サーバー) を選択します。

  3. [Server ID] (サーバー ID) 列で ID を選択すると、[Server Configuration] (サーバーの構成) ページが表示されます。

  4. [Users] (ユーザー) の下で、ユーザー名を選択すると [User details] (ユーザーの詳細) ページが表示されます。

  5. [SSH public key] (SSH パブリックキー) の下で SSH (Secure Shell) パブリックキーを追加または削除できます。

    • パブリックキーを追加するには

      1. [Add SSH public key] (SSH パブリックキーの追加) を選択して、新しい SSH パブリックキーをユーザーに追加します。

        注記

        SSH キーは、SSecure Shell (SSH) File Transfer Protocol (SFTP) が有効になっているサーバーについてのみ使用されます。SSH キーペアを生成する方法については、「SSH キーを生成する」を参照してください。

      2. [SSH public key] (SSH パブリックキー) に SSH キーペアの SSH パブリックキー部分を入力します。

        新しいユーザーを追加する前に、サービスによってキーが検証されます。SSH キーの形式は ssh-rsa string です。SSH キーペアを生成するには、「SSH キーを生成する」を参照してください。

      3. [Add key] (キーの追加) を選択します。

    • パブリックキーを削除するには、[SSH key] (SSH キー) チェックボックスをオンにして [Delete] (削除) を選択します。