翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
SFTP、FTPS、または FTP サーバーエンドポイントの設定
このトピックでは、1 つ以上の SFTP、FTPS、および FTP プロトコルを使用する AWS Transfer Family サーバーエンドポイントの作成と使用について詳しく説明します。
トピック
ID プロバイダーオプション
AWS Transfer Family には、ユーザーを認証および管理するための方法がいくつか用意されています。次の表は、Transfer Family で使用できる ID プロバイダを比較したものです。
| アクション | AWS Transfer Family サービスマネージド | AWS Managed Microsoft AD | Amazon API Gateway | AWS Lambda |
|---|---|---|---|---|
| サポートされるプロトコル | SFTP | SFTP、FTPS、FTP | SFTP、FTPS、FTP | SFTP、FTPS、FTP |
|
SAML ベースの認証 |
はい |
いいえ |
はい |
はい |
|
パスワード認証 |
いいえ |
はい |
はい |
はい |
|
AWS Identity and Access Management (IAM) と POSIX |
はい |
はい |
はい |
はい |
|
論理ホームディレクトリ |
はい |
はい |
はい |
はい |
| パラメータ化されたアクセス(ユーザー名ベース) | はい | はい | はい | はい |
|
アドホックアクセス構造 |
はい |
いいえ |
はい |
はい |
|
AWS WAF |
いいえ |
いいえ |
はい |
いいえ |
注記:
IAM は Amazon S3 バッキングストレージへのアクセスを制御するために使用され、POSIX は Amazon EFS に使用されます。
-
アドホックとは、実行時にユーザープロファイルを送信する機能のことです。たとえば、ユーザー名を変数として渡すことで、ユーザーをホームディレクトリに配置できます。
-
の詳細については AWS WAF、「」を参照してくださいウェブアプリケーションファイアウォールを追加する。
-
Lambda関数をMicrosoft Azure ADと統合してTransfer Familyのアイデンティティプロバイダーとして使用する方法について説明したブログ記事があります。詳細については、「Azure Active Directory AWS Transfer Family による への認証」および AWS Lambda
「」を参照してください。 -
カスタム ID プロバイダーを使用する Transfer Family サーバーを迅速にデプロイするのに役立つ AWS CloudFormation テンプレートがいくつか用意されています。詳細については、「Lambda 関数のテンプレート」を参照してください。
以下の手順では、SFTP 対応サーバー、FTPS 対応サーバー、FTP 対応サーバー、または AS2 対応サーバーを作成できます。
次のステップ
AWS Transfer Family エンドポイントタイプマトリックス
Transfer Familyサーバーを作成する際には、使用するエンドポイントのタイプを選択します。以下の表は、各エンドポイントタイプの特性を説明しています。
エンドポイントタイプマトリックス | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 特徴 | Public | VPC-インターネット | VPC-インターナル | VPC_エンドポイント (非推奨) | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| サポートされるプロトコル | SFTP | SFTP, FTPS, AS2 | SFTP, FTP, FTPS, AS2 | SFTP | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| アクセス | インターネット経由で。このエンドポイント タイプでは、VPC に特別な構成は必要ありません。 | インターネット経由、および AWS Direct Connect または VPN 経由のオンプレミスデータセンターなどの VPC および VPC 接続環境内から。 | AWS Direct Connect または VPN 経由のオンプレミスデータセンターなど、VPC および VPC 接続環境内から。 | AWS Direct Connect または VPN 経由のオンプレミスデータセンターなど、VPC および VPC 接続環境内から。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 静的 IP アドレス | 静的 IP アドレスをアタッチすることはできません。 は、変更される可能性のある IP アドレス AWS を提供します。 |
Elastic IP アドレスをエンドポイントに接続できます。 AWS所有の IP アドレスまたは(「独自の IP アドレス (Bring your own IP address) を使用できます」)。エンドポイントに接続されている Elastic IP アドレスは変更されません。 サーバーに接続されているプライベート IP アドレスも変更されません。 |
エンドポイントに接続されているプライベート IP アドレスは変更されません。 | エンドポイントに接続されているプライベート IP アドレスは変更されません。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 送信元 IP 許可リスト |
このエンドポイント タイプは、送信元 IP アドレスによる許可リストをサポートしません。 エンドポイントはパブリックにアクセスでき、ポート 22 経由のトラフィックをリッスンします。 注記VPC でホストされるエンドポイントの場合、SFTP Transfer Family サーバーはポート 22 (デフォルト)、ポート 2222、またはポート 22000 で動作できます。 |
送信元 IP アドレスによるアクセスを許可するには、サーバー エンドポイントに接続されているセキュリティ グループと、エンドポイントが存在するサブネットに接続されているネットワーク ACL を使用できます。 |
送信元 IP アドレスによるアクセスを許可するには、サーバー エンドポイントにアタッチされているセキュリティ グループと、エンドポイントが存在するサブネットにアタッチされているネットワーク アクセス コントロール リスト (ネットワーク ACL) を使用できます。 |
送信元 IP アドレスによるアクセスを許可するには、サーバー エンドポイントに接続されているセキュリティ グループと、エンドポイントが存在するサブネットに接続されているネットワーク ACL を使用できます。 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| クライアントファイアウォールの許可リスト |
サーバーの DNS 名を許可する必要があります。 IP アドレスは変更される可能性があるため、クライアント ファイアウォールの許可リストに IP アドレスを使用することは避けてください。 |
サーバーの DNS 名、またはサーバーに接続されている Elastic IP アドレスを許可できます。 |
エンドポイントのプライベート IP アドレスまたは DNS 名を許可できます。 |
エンドポイントのプライベート IP アドレスまたは DNS 名を許可できます。 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
注記
このエンドポイント VPC_ENDPOINT タイプは現在非推奨となっており、新しいサーバーの作成には使用できません。EndpointType=VPC_ENDPOINT を使用する代わりに、新しい VPC エンドポイント タイプ (EndpointType=VPC) を使用します。これは、前の表で説明したように、内部またはインターネット接続として使用できます。詳細については、「VPC_ENDPOINT のサポート終了」を参照してください。
AWS Transfer Family サーバーのセキュリティ体制を強化するには、次のオプションを検討してください。
-
VPC エンドポイントを内部アクセスで使用して、サーバーが VPC 内のクライアント、または AWS Direct Connect や VPN 経由でオンプレミスデータセンターなどの VPC 接続環境にのみアクセスできるようにします。
-
クライアントがインターネット経由でエンドポイントにアクセスできるようにし、サーバーを保護するには、インターネットに接続されたアクセスを持つ VPC エンドポイントを使用します。次に、ユーザーのクライアントをホストする特定の IP アドレスからのトラフィックのみを許可するように VPC のセキュリティ グループを変更します。
-
パスワード ベースの認証が必要で、サーバーでカスタム ID プロバイダーを使用している場合は、パスワード ポリシーでユーザーが弱いパスワードを作成できないようにし、ログイン試行の失敗回数を制限することがベスト プラクティスです。
AWS Transfer Family はマネージドサービスであるため、シェルアクセスは提供されません。基盤となる SFTP サーバーに直接アクセスして、Transfer Family サーバー上で OS ネイティブ コマンドを実行することはできません。
-
内部アクセスのある VPC エンドポイントの前で Network Load Balancer を使用します。ロード バランサーのリスナー ポートをポート 22 から別のポートに変更します。これにより、ポート 22 がスキャンに最も一般的に使用されるため、ポート スキャナーやボットがサーバーを調査するリスクは軽減されますが、排除されるわけではありません。詳細については、ブログ記事「Network Load Balancer がセキュリティグループ をサポートするようになりました
」を参照してください。 注記
Network Load Balancer を使用する場合、 AWS Transfer Family CloudWatch ログには実際のクライアント IP アドレスではなく NLB の IP アドレスが表示されます。
