SFTP、FTPS、または FTP サーバーエンドポイントの設定 - AWS Transfer Family

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SFTP、FTPS、または FTP サーバーエンドポイントの設定

このトピックでは、1 つ以上の SFTP、FTPS、および FTP プロトコルを使用する AWS Transfer Family サーバーエンドポイントの作成と使用について詳しく説明します。

ID プロバイダーオプション

AWS Transfer Family には、ユーザーの認証と管理のための方法がいくつか用意されています。次の表は、Transfer Family で使用できる ID プロバイダを比較したものです。

アクション AWS Transfer Family サービスマネージド AWS Managed Microsoft AD Amazon API Gateway AWS Lambda
サポートされるプロトコル SFTP SFTP、FTPS、FTP SFTP、FTPS、FTP SFTP、FTPS、FTP

SAML ベースの認証

はい

いいえ

はい

はい

パスワード認証

いいえ

はい

はい

はい

AWS Identity and Access Management (IAM) と POSIX

はい

はい

はい

はい

論理ホームディレクトリ

はい

はい

はい

はい

パラメータ化されたアクセス(ユーザー名ベース) はい はい はい はい

アドホックアクセス構造

はい

いいえ

はい

はい

AWS WAF

いいえ

いいえ

はい

いいえ

注記:

  • IAM は Amazon S3 バッキングストレージへのアクセスを制御するために使用され、POSIX は Amazon EFS に使用されます。

  • アドホックとは、実行時にユーザープロファイルを送信する機能のことです。たとえば、ユーザー名を変数として渡すことで、ユーザーをホームディレクトリに配置できます。

  • の詳細については AWS WAF、「」を参照してくださいウェブアプリケーションファイアウォールを追加する

  • Lambda関数をMicrosoft Azure ADと統合してTransfer Familyのアイデンティティプロバイダーとして使用する方法について説明したブログ記事があります。詳細については、「Azure Active Directory AWS Transfer Family を使用した の認証」および AWS Lambda「」を参照してください。

  • カスタム ID プロバイダーを使用する Transfer Family サーバーを迅速にデプロイするための AWS CloudFormation テンプレートがいくつか用意されています。詳細については、「Lambda 関数のテンプレート」を参照してください。

以下の手順では、SFTP 対応サーバー、FTPS 対応サーバー、FTP 対応サーバー、または AS2 対応サーバーを作成できます。

次のステップ

AWS Transfer Family エンドポイントタイプマトリックス

Transfer Familyサーバーを作成する際には、使用するエンドポイントのタイプを選択します。以下の表は、各エンドポイントタイプの特性を説明しています。

エンドポイントタイプマトリックス
特徴 Public VPC-インターネット VPC-インターナル VPC_エンドポイント (非推奨)
サポートされるプロトコル SFTP SFTP, FTPS, AS2 SFTP, FTP, FTPS, AS2 SFTP
アクセス インターネット経由で。このエンドポイント タイプでは、VPC に特別な構成は必要ありません。 インターネット経由で、または AWS Direct Connect や VPN 経由のオンプレミスデータセンターなど、VPC と VPC に接続された環境内から。 または VPN を介したオンプレミスデータセンターなど、VPC 内 AWS Direct Connect および VPC 接続環境内から。 または VPN を介したオンプレミスデータセンターなど、VPC 内 AWS Direct Connect および VPC 接続環境内から。
静的 IP アドレス 静的 IP アドレスをアタッチすることはできません。 は変更される可能性がある IP アドレス AWS を提供します。

Elastic IP アドレスをエンドポイントに接続できます。 AWS所有の IP アドレスまたは(「独自の IP アドレス (Bring your own IP address) を使用できます」)。エンドポイントに接続されている Elastic IP アドレスは変更されません。

サーバーに接続されているプラ​​イベート IP アドレスも変更されません。

エンドポイントに接続されているプラ​​イベート IP アドレスは変更されません。 エンドポイントに接続されているプラ​​イベート IP アドレスは変更されません。
送信元 IP 許可リスト

このエンドポイント タイプは、送信元 IP アドレスによる許可リストをサポートしません。

エンドポイントはパブリックにアクセスでき、ポート 22 経由のトラフィックをリッスンします。

注記

VPC ホストエンドポイントの場合、SFTP Transfer Family サーバーはポート 22 (デフォルト) またはポート 2222 で動作できます。

送信元 IP アドレスによるアクセスを許可するには、サーバー エンドポイントに接続されているセキュリティ グループと、エンドポイントが存在するサブネットに接続されているネットワーク ACL を使用できます。

送信元 IP アドレスによるアクセスを許可するには、サーバー エンドポイントにアタッチされているセキュリティ グループと、エンドポイントが存在するサブネットにアタッチされているネットワーク アクセス コントロール リスト (ネットワーク ACL) を使用できます。

送信元 IP アドレスによるアクセスを許可するには、サーバー エンドポイントに接続されているセキュリティ グループと、エンドポイントが存在するサブネットに接続されているネットワーク ACL を使用できます。

クライアントファイアウォールの許可リスト

サーバーの DNS 名を許可する必要があります。

IP アドレスは変更される可能性があるため、クライアント ファイアウォールの許可リストに IP アドレスを使用することは避けてください。

サーバーの DNS 名、またはサーバーに接続されている Elastic IP アドレスを許可できます。

エンドポイントのプライベート IP アドレスまたは DNS 名を許可できます。

エンドポイントのプライベート IP アドレスまたは DNS 名を許可できます。

注記

このエンドポイント VPC_ENDPOINT タイプは現在非推奨となっており、新しいサーバーの作成には使用できません。EndpointType=VPC_ENDPOINT を使用する代わりに、新しい VPC エンドポイント タイプ (EndpointType=VPC) を使用します。これは、前の表で説明したように、内部またはインターネット接続として使用できます。詳細については、「VPC_ENDPOINT のサポート終了」を参照してください。

AWS Transfer Family サーバーのセキュリティ体制を強化するには、次のオプションを検討してください。

  • 内部アクセスを持つ VPC エンドポイントを使用して、サーバーが VPC 内のクライアント、または AWS Direct Connect または VPN を介したオンプレミスデータセンターなどの VPC 接続環境にのみアクセスできるようにします。

  • クライアントがインターネット経由でエンドポイントにアクセスできるようにし、サーバーを保護するには、インターネットに接続されたアクセスを持つ VPC エンドポイントを使用します。次に、ユーザーのクライアントをホストする特定の IP アドレスからのトラフィックのみを許可するように VPC のセキュリティ グループを変更します。

  • パスワード ベースの認証が必要で、サーバーでカスタム ID プロバイダーを使用している場合は、パスワード ポリシーでユーザーが弱いパスワードを作成できないようにし、ログイン試行の失敗回数を制限することがベスト プラクティスです。

  • AWS Transfer Family はマネージドサービスであるため、シェルアクセスは提供されません。基盤となる SFTP サーバーに直接アクセスして、Transfer Family サーバー上で OS ネイティブ コマンドを実行することはできません。

  • 内部アクセスのある VPC エンドポイントの前で Network Load Balancer を使用します。ロード バランサーのリスナー ポートをポート 22 から別のポートに変更します。これにより、ポート 22 がスキャンに最も一般的に使用されるため、ポート スキャナーやボットがサーバーを調査するリスクは軽減されますが、排除されるわけではありません。詳細については、ブログ記事「Network Load Balancer がセキュリティグループ をサポートするようになりました」を参照してください。

    注記

    Network Load Balancer を使用する場合、 AWS Transfer Family CloudWatch ログには実際のクライアント IP アドレスではなく、NLB の IP アドレスが表示されます。