カスタム ID プロバイダーの使用 - AWS Transfer Family
カスタム ID プロバイダーの複数の認証

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

カスタム ID プロバイダーの使用

ユーザーを認証するには、既存の ID プロバイダーを で使用できます AWS Transfer Family。ID プロバイダーは、Amazon S3 または Amazon Elastic File System (Amazon EFS ) へのアクセスを認証および承認する AWS Lambda 関数を使用して統合します。詳細については、「AWS Lambda を使用して ID プロバイダーを統合する」を参照してください。また、 AWS Transfer Family マネジメントコンソールで転送されたファイル数やバイト数などのメトリクスのグラフにアクセス CloudWatch することもできます。これにより、一元化されたダッシュボードを使用してファイル転送をモニタリングする 1 つのペインが提供されます。

または、単一の Amazon API Gateway メソッドで RESTful インターフェイスを提供することもできます。Transfer Family は、このメソッドを呼び出して ID プロバイダーに接続し、ID プロバイダーは Amazon S3 または Amazon EFS へのアクセスを認証および承認します。ID プロバイダーを統合するために RESTful API が必要な場合、または AWS WAF を使用してその機能をジオブロッキングまたはレート制限リクエストに活用する場合は、このオプションを使用します。詳細については、「Amazon API Gateway を使用して ID プロバイダーを統合する」を参照してください。

いずれの場合も、「AWS Transfer Family コンソール」または「CreateServer」API 操作を使って新しいサーバーを作成することができます。

注記

Transfer Family は、ブログ記事と、ファイル転送ソリューションの構築を順を追って説明するワークショップを提供します。このソリューションは、マネージド SFTP/FTPS エンドポイントに 、ユーザー管理 AWS Transfer Family に Amazon Cognito と DynamoDB を活用します。

ブログ記事は、「 AWS Transfer Family および Amazon S3 での ID プロバイダーとしての Amazon Cognito Amazon S3の使用」で入手できます。ワークショップの詳細はこちら確認できます。

AWS Transfer Family には、カスタム ID プロバイダーを操作するための以下のオプションが用意されています。

  • AWS Lambda を使用して ID プロバイダーを接続する – Lambda 関数にバックアップされた既存の ID プロバイダーを使用できます。Lambda 関数の名前を指定します。詳細については、「AWS Lambda を使用して ID プロバイダーを統合する」を参照してください。

  • Amazon API Gateway を使って ID プロバイダーに接続する」 ー ID プロバイダーとして使用するために、Lambda 関数に裏打ちされた API ゲートウェイメソッドを作成することができます。Amazon API Gateway URL と呼び出しロールを指定します。詳細については、「Amazon API Gateway を使用して ID プロバイダーを統合する」を参照してください。

どちらのオプションでも、認証方法を指定することもできます。

  • パスワードまたはキー – ユーザーはパスワードまたはキーを使用して認証できます。これは、デフォルト値です。

  • パスワードのみ – ユーザーは接続するためにパスワードを入力する必要があります。

  • キーのみ — ユーザーは接続するためにプライベートキーを指定する必要があります。

  • パスワードとキー – ユーザーは接続するためにプライベートキーとパスワードの両方を指定する必要があります。サーバーは最初にキーを確認し、キーが有効な場合はパスワードの入力を求めます。提供されたプライベートキーが保存されたパブリックキーと一致しない場合、認証は失敗します。

複数の認証方法を使用してカスタム ID プロバイダーで認証する

Transfer Family サーバーは、複数の認証方法を使用するときに AND ロジックを制御します。Transfer Family は、これをカスタム ID プロバイダーへの 2 つの個別のリクエストとして扱います。ただし、その効果は結合されます。

認証を完了できるようにするには、両方のリクエストが適切なレスポンスで正常に返される必要があります。Transfer Family では、2 つのレスポンスを完了する必要があります。つまり、必要な要素 (Amazon EFS をストレージに使用する場合、ロール、ホームディレクトリ、ポリシー、POSIX プロファイル) がすべて含まれています。Transfer Family では、パスワードレスポンスにパブリックキーを含めないようにする必要があります。

パブリックキーリクエストには、ID プロバイダーとは別のレスポンスが必要です。パスワード または キー または パスワード および キー を使用する場合、その動作は変更されません。

SSH/SFTP プロトコルは、最初にパブリックキー認証を使用してソフトウェアクライアントにチャレンジし、次にパスワード認証を要求します。このオペレーションでは、ユーザーが認証を完了する前に、両方が成功することを義務付けています。

トピック