SFTP対応サーバーを作成する

Secure Shell (SSH) File Transfer Protocol (SFTP) は、インターネットを介したデータの安全な転送に使用されるネットワークプロトコルです。プロトコルは、のセキュリティと認証機能をすべてサポートしていますSSH。金融サービス、医療、小売、広告などさまざまな業界で、ビジネスパートナー間の機密情報を含むデータ交換に広く使われています。

注記

SFTP Transfer Family のサーバーはポート 22 経由で動作します。VPCホストされたエンドポイントの場合、SFTPTransfer Family サーバーはポート 2222 経由で動作することもできます。詳細については、「Virtual Private Cloud でサーバーを作成する」を参照してください。

以下の資料も参照してください。

SFTP Transfer Family サーバーを作成する AWS CDK 例を示します。この例ではを使用し TypeScript、 GitHub ここでで利用できます。
Transfer Family サーバーを内にデプロイする手順についてはVPC、「IP 許可リストを使用して AWS Transfer Family サーバーを保護する」を参照してください。

SFTP対応サーバーを作成するには

で AWS Transfer Family コンソールを開きhttps://console.aws.amazon.com/transfer/、ナビゲーションペインからサーバーを選択し、サーバーの作成 を選択します。
プロトコルの選択 で、を選択しSFTP、次へを選択します。
[Choose an identity provider] (ID プロバイダーの選択) で、ユーザーアクセスの管理に使用したい ID プロバイダーを選択します。次のオプションがあります。
- サービスマネージド – ユーザー ID とキーはに保存されます AWS Transfer Family。
- AWS Directory Service for Microsoft Active Directory – エンドポイントにアクセスするための AWS Directory Service ディレクトリを指定します。そうすることで、Active Directory に保存されている認証情報を使用してユーザーを認証できるようになります。 AWS Managed Microsoft AD ID プロバイダーの操作の詳細については、「」を参照してくださいAWS Directory Service ID プロバイダーの使用。
  注記
  クロスアカウントディレクトリと共有ディレクトリは、ではサポートされていません AWS Managed Microsoft AD。
  
  Directory Service を ID プロバイダーとしてサーバーを設定するには、いくつかの AWS Directory Service アクセス許可を追加する必要があります。詳細については、「の使用を開始する前に AWS Directory Service for Microsoft Active Directory」を参照してください。
- 「Custom Identity Provider」ー以下のいずれかのオプションを選択する：
  - AWS Lambda を使用して ID プロバイダーを接続する – Lambda 関数にバックアップされた既存の ID プロバイダーを使用できます。Lambda 関数の名前を指定します。詳細については、「AWS Lambda を使用して ID プロバイダーを統合する」を参照してください。
  - Amazon API Gateway を使用して ID プロバイダーを接続する – Lambda 関数でバックアップされた API Gateway メソッドを作成して、ID プロバイダーとして使用できます。Amazon API Gateway URLと呼び出しロールを指定します。詳細については、「Amazon API Gateway を使用して ID プロバイダーを統合する」を参照してください。
  どちらのオプションでも、認証方法を指定することもできます。
  - パスワードまたはキー – ユーザーはパスワードまたはキーを使用して認証できます。これは、デフォルト値です。
  - パスワード ONLY – ユーザーは接続するためにパスワードを指定する必要があります。
  - キー ONLY – ユーザーは接続するためにプライベートキーを指定する必要があります。
  - パスワードANDキー – 接続するには、ユーザーはプライベートキーとパスワードの両方を指定する必要があります。サーバーは最初にキーを確認し、キーが有効な場合はパスワードの入力を求めます。提供されたプライベートキーが保存されたパブリックキーと一致しない場合、認証は失敗します。
[Next (次へ)] を選択します。
[Choose an endpoint] (エンドポイントの選択) で次のように操作します。
1. [Endpoint type] (エンドポイントタイプ) として [Publicly accessible] (パブリックにアクセス可能な) エンドポイントタイプを選択します。VPC ホストされたエンドポイントについては、「」を参照してくださいVirtual Private Cloud でサーバーを作成する。
2. (オプション) [Custom hostname] (カスタムホスト名) で [None] (なし) を選択します。
  
  によって提供されるサーバーホスト名を取得します AWS Transfer Family。サーバーホスト名の形式は serverId.server.transfer.regionId.amazonaws.com です。
  
  カスタムホスト名には、サーバーエンドポイントのカスタムエイリアスを指定します。カスタムホスト名の使用の詳細については、「カスタムホスト名の使用」を参照してください。
3. （オプション) FIPS 有効 の場合、FIPS有効エンドポイントチェックボックスをオンにして、エンドポイントが連邦情報処理標準 () に準拠していることを確認しますFIPS。
  
  注記
  FIPSが有効なエンドポイントは、北米 AWS リージョンでのみ使用できます。利用可能なリージョンについては、「AWS 全般のリファレンス」の「AWS Transfer Family エンドポイントとクォータ」を参照してください。の詳細についてはFIPS、連邦情報処理標準 (FIPS) 140-2 を参照してください。
4. [Next (次へ)] を選択します。
ドメインの選択ページで、選択したプロトコルを介してデータを保存およびアクセスするために使用する AWS ストレージサービスを選択します。
- Amazon S3 を選択すると、選択したプロトコル経由でファイルをオブジェクトとして保存してアクセスできます。
- Amazon EFS を選択して、選択したプロトコルを介して Amazon EFS ファイルシステムにファイルを保存してアクセスします。
[Next (次へ)] を選択します。
[Configure additional details] (その他の詳細の構成) で次のように操作します。
1. ログの場合、既存のロググループを指定するか、新しいロググループを作成します (デフォルトオプション)。
  
  既存のロググループを選択する場合は、に関連付けられているロググループを選択する必要があります AWS アカウント。
  
  ロググループの作成を選択すると、 CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/) がロググループの作成ページを開きます。詳細については、 CloudWatch 「Logs でロググループを作成する」を参照してください。
2. （オプション) マネージドワークフローでは、ワークフローの実行時に Transfer Family が引き受けるワークフロー IDs (および対応するロール) を選択します。完全なアップロード時に実行するワークフローと、部分的なアップロード時に実行するワークフローを選択できます。マネージドワークフローを使用したファイルの処理の詳細については、AWS Transfer Family マネージドワークフローを参照してください。
3. [Cryptographic algorithm options] (暗号化アルゴリズムオプション) で、サーバーで使用できる暗号化アルゴリズムを含むセキュリティポリシーを選択します。
  注記
  デフォルトでは、次にようになります。
  FIPS 有効エンドポイントが選択されていない場合、TransferSecurityPolicy-2020-06セキュリティポリシーがサーバーにアタッチされます。
  
  FIPS 有効エンドポイントが選択されている場合、TransferSecurityPolicy-FIPS-2020-06セキュリティポリシーがサーバーにアタッチされます。
  セキュリティポリシーの詳細については、「のセキュリティポリシー AWS Transfer Family」を参照してください。
4. （オプション) サーバーホストキー には、クライアントが経由でサーバーに接続するときにサーバーを識別するために使用される RSA、ED25519、またはECDSAプライベートキーを入力しますSFTP。複数のホストキーを区別するための説明を追加することもできます。
  
  サーバーを作成した後、追加のホストキーを追加できます。複数のホストキーを持つことは、キーをローテーションする場合や、キーやキーなど、異なるタイプのRSAキーを持つ場合に便利ですECDSA。
  
  注記
  Server Host Key セクションは、既存の SFTP対応サーバーからユーザーを移行する場合にのみ使用されます。
5. (オプション) [Tags] (タグ) の [Key] (キー) と [Value] (値) にキーバリューペアとして 1 つ以上のタグを入力して [Add tag] (タグの追加) を選択します。
6. [Next (次へ)] を選択します。
7. Amazon S3 ディレクトリのパフォーマンスを最適化できます。例えば、ホームディレクトリに移動し、10,000 個のサブディレクトリがあるとします。つまり、S3 バケットには 10,000 個のフォルダがあります。このシナリオでは、ls(list) コマンドを実行すると、リストオペレーションに 6～8 分かかります。ただし、ディレクトリを最適化すると、このオペレーションにかかる時間はわずか数秒です。
8. （オプション) 組織ポリシーや利用規約などのカスタマイズされたメッセージをエンドユーザーに表示するように AWS Transfer Family サーバーを設定します。[表示バナー] の [認証前表示バナー] テキストボックスに、ユーザーが認証する前に表示するテキストメッセージを入力します。
9. (オプション) 次の追加オプションを構成できます。
  - SetStat オプション : このオプションを有効にすると、クライアントが Amazon S3 バケットにアップロードするファイルSETSTATで使用しようとしたときに生成されるエラーを無視できます。詳細については、「」のSetStatOptionドキュメントを参照してくださいProtocolDetails。
  - TLS セッション再開: このオプションは、このサーバーのプロトコルの 1 つFTPSとしてを有効にしている場合にのみ使用できます。
  - パッシブ IP : このオプションは、このサーバーのプロトコルの 1 つFTPとして FTPS またはを有効にしている場合にのみ使用できます。
[Review and create] (確認と作成) で選択内容を確認します。
- いずれかを編集するには、ステップの隣にある [Edit] (編集) を選択します。
  
  注記
  編集を選んだステップの後に、各ステップを見直す必要があります。
- 変更がない場合、[Create server] (サーバーの作成) を選択してサーバーを作成します。[Servers] (サーバー) ページに誘導され、次に示すように新しいサーバーの一覧が表示されます。