サービスマネージドユーザーの使用 - AWS Transfer Family
Amazon S3 サービスマネージドユーザーの追加Amazon EFSサービスマネージドユーザーの追加サービスマネージドユーザー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービスマネージドユーザーの使用

サーバーのドメイン設定に応じて、Amazon S3 または Amazon EFSのサービスマネージドユーザーをサーバーに追加できます。詳細については、「SFTP、FTPS、またはFTPサーバーエンドポイントの設定」を参照してください。

サービスマネージドユーザーをプログラムで追加するには、 CreateUser の例を参照してくださいAPI。

注記

サービスマネージドユーザーの場合、論理ディレクトリエントリは 2,000 件に制限されます。論理ディレクトリの使用については、「」を参照してください論理ディレクトリを使用して Transfer Family ディレクトリ構造を簡素化する

Amazon S3 サービスマネージドユーザーの追加

注記

クロスアカウント Amazon S3 バケットを設定する場合は、このナレッジセンターの記事で説明されているステップに従います。別の AWS アカウントにある Amazon Simple Storage Service バケットを使用するように AWS Transfer Family サーバーを設定するにはどうすればよいですか?

Amazon S3 サービスマネージドユーザーをサーバーに追加するには

  1. で AWS Transfer Family コンソールを開きhttps://console.aws.amazon.com/transfer/、ナビゲーションペインからサーバーを選択します。

  2. [Servers] (サーバー) ページで、ユーザーの追加先になるサーバーのチェックボックスをオンにします。

  3. [Add user] (ユーザーを追加) を選択します。

  4. [ユーザー設定] セクションの[ユーザー名] にユーザー名を入力します。このユーザー名は最低 3 文字、最高 100 文字である必要があります。ユーザー名に使用できる文字は、a-z、A-Z、0-9、アンダースコア「_」、ハイフン「-」、ピリオド「.」、およびアットマーク「@」です。ユーザー名をハイフン「-」、ピリオド「.」、アットマーク「@」で始めることはできません。

  5. アクセス では、Amazon S3 バケットへのアクセスを提供する、以前に作成したIAMロールを選択します。

    このIAMロールは、 の手順を使用して作成しましたIAM ロールとポリシーを作成する。このIAMロールには、Amazon S3 バケットへのアクセスを提供するIAMポリシーが含まれています。また、別のIAMポリシーで定義されている AWS Transfer Family サービスとの信頼関係も含まれます。ユーザーに対してきめ細かなアクセスコントロールが必要な場合は、「 によるデータアクセスコントロールの強化 AWS Transfer Family 」およびAmazon S3ブログ記事」を参照してください。

  6. (オプション)「Policy」では、以下のいずれかを選択する:

    • None (なし)

    • Existing policy (既存のポリシー)

    • からポリシーを選択IAM: 既存のセッションポリシーを選択できます。表示を選択して、ポリシーの詳細を含むJSONオブジェクトを表示します。

    • [ホームフォルダーに基づいてポリシーを自動生成]:セッションポリシーを生成します。表示を選択して、ポリシーの詳細を含むJSONオブジェクトを表示します。

      注記

      [ホームフォルダーに基づいてポリシーを自動生成] を選択した場合は、[このユーザーに対して制限付き] を選択しないでください。

    セッションポリシーの詳細については、「IAM ロールとポリシーを作成する」を参照してください。セッションポリシーの作成方法の詳細については、「Amazon S3 バケットのセッションポリシーの作成」を参照してください 。

  7. ホームディレクトリ では、Amazon S3 バケットを選択して、 を使用して転送するデータを保存します AWS Transfer Family。ユーザーが SFTP クライアントを使用してログインしたときにアクセスする home ディレクトリのパスを入力します。

    このパラメータを空白のままにした場合、Amazon S3 バケットの root ディレクトリが使用されます。この場合、IAMロールがこのrootディレクトリへのアクセスを許可していることを確認してください。

    注記

    セッションポリシーを効果的に使用できるように、ユーザーのユーザー名が含まれるディレクトリパスを選択することをお勧めします。セッションポリシーは、Amazon S3 バケットでのユーザーアクセスを home ディレクトリに制限します。

  8. (オプション) [Restricted] (制限) チェックボックスをオンにすると、ユーザーはそのフォルダの外部にあるものにアクセスしたり、Amazon S3 バケット名やフォルダ名を表示したりできなくなります。

    注記

    ユーザーにホームディレクトリを割り当て、そのホームディレクトリへのアクセスを制限すれば、指定されたフォルダへのアクセスをロックダウンするのに十分なはずです。さらにコントロールの適用が必要な場合、セッションポリシーを使用します。

    このユーザーに対して [制限付き] を選択した場合、ホーム フォルダーは制限付きユーザーに対して定義された値ではないため、[ホーム フォルダーに基づいてポリシーを自動生成] を選択できません。

  9. SSH パブリックキー には、SSHキーペアのパブリックSSHキー部分を入力します。

    新しいユーザーを追加する前に、サービスによってキーが検証されます。

    注記

    SSH キーペアを生成する方法については、「」を参照してくださいサービスマネージドユーザーのSSHキーを生成する

  10. (オプション) [Key] (キー) と [Value] (値) にキーバリューペアとして 1 つ以上のタグを入力して [Add tag] (タグの追加) を選択します。

  11. [Add] (追加) を選択して、選択したサーバーに新しいユーザーを追加します。

    [Server details] (サーバーの詳細) ページの [Users] (ユーザー) セクションに新しいユーザーが表示されます。

次のステップ— 次のステップについては、「クライアントを使用してサーバーエンドポイント経由でファイルを転送する」に進みます。

Amazon EFSサービスマネージドユーザーの追加

Amazon EFSは、ポータブルオペレーティングシステムインターフェイス (POSIX) ファイルアクセス許可モデルを使用して、ファイルの所有権を表します。

Amazon EFSサービスマネージドユーザーをサーバーに追加するには

  1. で AWS Transfer Family コンソールを開きhttps://console.aws.amazon.com/transfer/、ナビゲーションペインからサーバーを選択します。

  2. サーバーページで、ユーザーを追加する Amazon EFSサーバーを選択します。

  3. [Add user] (ユーザーの追加) を選択して [Add user] (ユーザーの追加) ページを表示します。

  4. [User configuration] (ユーザー設定) セクションで、次のように設定します。

    1. [ユーザー名] は、最小 3 文字、最大 100 文字にする必要があります。ユーザー名に使用できる文字は、a-z、A-Z、0-9、アンダースコア「_」、ハイフン「-」、ピリオド「.」、およびアットマーク「@」です。ユーザー名をハイフン「-」、ピリオド「.」、アットマーク「@」で始めることはできません。

    2. ユーザー ID およびグループ ID については、以下の点に注意してください。

      • 最初に作成するユーザーには、グループ IDユーザー ID の両方に 0 の値を入力することをお勧めします。これにより、Amazon のユーザー管理者権限が付与されますEFS。

      • 追加のユーザーの場合は、ユーザーのPOSIXユーザー ID とグループ ID を入力します。これらはIDs、ユーザーが実行するすべての Amazon Elastic File System オペレーションに使用されます。

      • [User ID] (ユーザー ID) と [Group ID] (グループ ID) には、先頭にゼロを使用しないでください。たとえば、12345 は許容されますが 012345 は許容されません。

    3. (オプション) セカンダリグループ IDsには、ユーザーIDsごとに 1 つ以上の追加のPOSIXグループをカンマで区切って入力します。

    4. Access では、次のIAMロールを選択します。

      • ユーザーがアクセスする Amazon EFSリソース (ファイルシステム) のみにアクセスできるようにします。

      • ユーザーが実行できるファイルシステム操作と実行できないファイルシステムシステムオペレーションを定義します。

      マウントアクセスおよび読み取り/書き込みアクセス許可を持つ Amazon EFS ファイルシステムの選択には、 IAMロールを使用することをお勧めします。例えば、次の 2 つの AWS 管理ポリシーの組み合わせは、かなり許可されますが、 はユーザーに必要なアクセス許可を付与します。

      • AmazonElasticFileSystemClientFullAccess

      • AWSTransferConsoleFullAccess

      詳細は、ブログ記事「Amazon Elastic File SystemのAWS Transfer Family 対応」を参照してください。

    5. [Home directory] (ホームディレクトリ) について、次のように操作します。

      • を使用して転送するデータの保存に使用する Amazon EFS ファイルシステムを選択します AWS Transfer Family。

      • ホームディレクトリを制限するかどうかを決めます。ホームディレクトリを [Restricted] (制限) に設定すると次の効果があります。

        • Amazon EFSユーザーは、そのフォルダ外のファイルやディレクトリにアクセスできません。

        • Amazon EFSユーザーは Amazon のEFSファイルシステム名 (fs-xxxxxxx ) を表示できません。

          注記

          制限付きオプションを選択すると、Amazon EFSユーザーのシンボリックリンクは解決されません。

      • (オプション) ユーザーがクライアントとしてログインしたときのホームディレクトリのパスを入力します。

        ホームディレクトリを指定しない場合、Amazon EFS ファイルシステムのルートディレクトリが使用されます。この場合、IAMロールがこのルートディレクトリへのアクセスを許可していることを確認してください。

  5. SSH パブリックキー には、SSHキーペアのパブリックSSHキー部分を入力します。

    新しいユーザーを追加する前に、サービスによってキーが検証されます。

    注記

    SSH キーペアを生成する方法については、「」を参照してくださいサービスマネージドユーザーのSSHキーを生成する

  6. (オプション) ユーザーに任意のタグを入力します。[Key] (キー) と [Value] (値) にキーバリューペアとして 1 つ以上のタグを入力して [Add tag] (タグの追加) を選択します。

  7. [Add] (追加) を選択して、選択したサーバーに新しいユーザーを追加します。

    [Server details] (サーバーの詳細) ページの [Users] (ユーザー) セクションに新しいユーザーが表示されます。

Transfer Family サーバーSFTPに初めてアクセスしたときに発生する可能性のある問題:

  • sftp コマンドを実行した場合にプロンプトが表示されず、次のメッセージが表示されることがあります。

    Couldn't canonicalize: Permission denied

    Need cwd

    この場合、ユーザーのロールのポリシー許可を増やす必要があります。などの AWS マネージドポリシーを追加できますAmazonElasticFileSystemClientFullAccess

  • sftp プロンプトpwdで を入力してユーザーのホームディレクトリを表示すると、次のメッセージが表示されます。USER-HOME-DIRECTORY はSFTPユーザーのホームディレクトリです。

    remote readdir("/USER-HOME-DIRECTORY"): No such file or directory

    この場合、親ディレクトリ (cd ..) をクリックし、ユーザーのホームディレクトリ (mkdir username) を作成します。

次のステップ— 次のステップについては、「クライアントを使用してサーバーエンドポイント経由でファイルを転送する」に進みます。

サービスマネージドユーザーの管理

このセクションでは、ユーザーのリストを表示する方法、ユーザーの詳細を編集する方法、SSHパブリックキーを追加する方法について説明します。

ユーザーのリストを検索するには

  1. で AWS Transfer Family コンソールを開きますhttps://console.aws.amazon.com/transfer/

  2. ナビゲーションペインで [Servers] (サーバー) を選択して [Servers] (サーバー) ページを表示します。

  3. [Server ID] (サーバー ID) 列で ID を選択すると、[Server Configuration] (サーバーの構成) ページが表示されます。

  4. [Users] (ユーザー) の下にユーザーのリストが表示されます。

ユーザーの詳細を表示または編集するには

  1. で AWS Transfer Family コンソールを開きますhttps://console.aws.amazon.com/transfer/

  2. ナビゲーションペインで [Servers] (サーバー) を選択して [Servers] (サーバー) ページを表示します。

  3. [Server ID] (サーバー ID) 列で ID を選択すると、[Server Configuration] (サーバーの構成) ページが表示されます。

  4. [ユーザー] でユーザー名を選択し、[ユーザーの詳細] ページを見ます。

    このページで [Edit] (編集) を選択すると、ユーザーのプロパティを変更できます。

  5. [User details] (ユーザーの詳細) ページで [User configuration] (ユーザー設定) の隣にある [Edit] (編集) を選択します。

    ユーザーの構成を編集する画面を示す画像

  6. 設定の編集ページの アクセス で、Amazon S3 バケットへのアクセスを提供する、以前に作成したIAMロールを選択します。

    このIAMロールは、 の手順を使用して作成しましたIAM ロールとポリシーを作成する。このIAMロールには、Amazon S3 バケットへのアクセスを提供するIAMポリシーが含まれています。また、別のIAMポリシーで定義されている AWS Transfer Family サービスとの信頼関係も含まれます。

  7. (オプション) [Policy] (ポリシー) で、次のいずれかを選択します。

    • None (なし)

    • Existing policy (既存のポリシー)

    • からポリシーIAMを選択して、既存のポリシーを選択します。表示を選択して、ポリシーの詳細を含むJSONオブジェクトを表示します。

    セッションポリシーの詳細については、「IAM ロールとポリシーを作成する」を参照してください。セッションポリシーの作成方法の詳細については、「Amazon S3 バケットのセッションポリシーの作成」を参照してください 。

  8. ホームディレクトリ では、Amazon S3 バケットを選択して、 を使用して転送するデータを保存します AWS Transfer Family。ユーザーが SFTP クライアントを使用してログインしたときにアクセスする home ディレクトリのパスを入力します。

    このパラメータを空白のままにした場合、Amazon S3 バケットの root ディレクトリが使用されます。この場合、IAMロールがこのrootディレクトリへのアクセスを許可していることを確認してください。

    注記

    セッションポリシーを効果的に使用できるように、ユーザーのユーザー名が含まれるディレクトリパスを選択することをお勧めします。セッションポリシーは、Amazon S3 バケットでのユーザーアクセスを home ディレクトリに制限します。

  9. (オプション) [Restricted] (制限) チェックボックスをオンにすると、ユーザーはそのフォルダの外部にあるものにアクセスしたり、Amazon S3 バケット名やフォルダ名を表示したりできなくなります。

    注記

    ユーザーにホームディレクトリを割り当てて、ユーザーをそのホームディレクトリに制限する場合、指定したフォルダへのユーザーのアクセスをロックダウンするにはこれで十分なはずです。さらなるコントロールの適用が必要な場合、セッションポリシーを使用します。

  10. [Save] (保存) を選択して変更内容を保存します。

ユーザーを削除するには

  1. で AWS Transfer Family コンソールを開きますhttps://console.aws.amazon.com/transfer/

  2. ナビゲーションペインで [Servers] (サーバー) を選択して [Servers] (サーバー) ページを表示します。

  3. [Server ID] (サーバー ID) 列で ID を選択すると、[Server Configuration] (サーバーの構成) ページが表示されます。

  4. [ユーザー] でユーザー名を選択し、[ユーザーの詳細] ページを見ます。

  5. [ユーザーの詳細] ページで、ユーザー名の右にある[削除] を選択します。

  6. 表示される確認ダイアログボックスで、「delete」という語を入力してから [Delete] (削除) を選択してユーザーを削除してよいことを確認します。

[Users] (ユーザー) リストからユーザーが削除されます。

ユーザーのSSHパブリックキーを追加するには

  1. で AWS Transfer Family コンソールを開きますhttps://console.aws.amazon.com/transfer/

  2. ナビゲーションペインで、[Servers] (サーバー) を選択します。

  3. [Server ID] (サーバー ID) 列で ID を選択すると、[Server Configuration] (サーバーの構成) ページが表示されます。

  4. [ユーザー] でユーザー名を選択し、[ユーザーの詳細] ページを見ます。

  5. SSH パブリックキーの追加 を選択して、新しいSSHパブリックキーをユーザーに追加します。

    注記

    SSH キーは、Secure Shell (SSH) ファイル転送プロトコル () が有効になっているサーバーでのみ使用されますSFTP。SSH キーペアを生成する方法については、「」を参照してくださいサービスマネージドユーザーのSSHキーを生成する

  6. SSH パブリックキー には、キーペアのSSHパブリックSSHキー部分を入力します。

    新しいユーザーを追加する前に、サービスによってキーが検証されます。SSH キーの形式は ですssh-rsa string。SSH キーペアを生成するには、「」を参照してくださいサービスマネージドユーザーのSSHキーを生成する

  7. [Add key] (キーの追加) を選択します。

ユーザーのSSHパブリックキーを削除するには

  1. で AWS Transfer Family コンソールを開きますhttps://console.aws.amazon.com/transfer/

  2. ナビゲーションペインで、[Servers] (サーバー) を選択します。

  3. [Server ID] (サーバー ID) 列で ID を選択すると、[Server Configuration] (サーバーの構成) ページが表示されます。

  4. [ユーザー] でユーザー名を選択し、[ユーザーの詳細] ページを見ます。

  5. パブリックキーを削除するには、SSHそのキーチェックボックスを選択し、「削除」を選択します。