翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
SFTP、FTPS、またはFTPサーバーエンドポイントの設定
このトピックでは、SFTP、、および FTPプロトコルの 1 つまたは複数を使用する AWS Transfer Family サーバーエンドポイントの作成FTPSと使用に関する詳細について説明します。
トピック
ID プロバイダーオプション
AWS Transfer Family には、ユーザーを認証および管理するためのいくつかの方法があります。次の表は、Transfer Family で使用できる ID プロバイダを比較したものです。
| アクション | AWS Transfer Family サービスマネージド | AWS Managed Microsoft AD | Amazon API Gateway | AWS Lambda |
|---|---|---|---|---|
| サポートされるプロトコル | SFTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP |
|
SAML ベースの認証 |
可能 |
いいえ |
はい |
可能 |
|
パスワード認証 |
不可 |
はい |
はい |
可能 |
|
AWS Identity and Access Management (IAM) と POSIX |
あり |
はい |
はい |
可能 |
|
論理ホームディレクトリ |
あり |
はい |
はい |
可能 |
| パラメータ化されたアクセス(ユーザー名ベース) | あり | はい | はい | 可能 |
|
アドホックアクセス構造 |
可能 |
いいえ |
はい |
はい |
|
AWS WAF |
いいえ |
いいえ |
はい |
不可 |
注記:
IAM はAmazon S3 バッキングストレージへのアクセスを制御するためにPOSIX使用され、Amazon に使用されますEFS。
-
アドホックとは、実行時にユーザープロファイルを送信する機能のことです。たとえば、ユーザー名を変数として渡すことで、ユーザーをホームディレクトリに配置できます。
-
の詳細については AWS WAF、「」を参照してくださいウェブアプリケーションファイアウォールを追加する。
-
Lambda 関数を Microsoft Azure AD と統合してTransfer Family のアイデンティティプロバイダーとして使用する方法について説明したブログ記事があります。詳細については、「Azure Active Directory AWS Transfer Family を使用した への認証」および AWS Lambda
「」を参照してください。 -
カスタム ID プロバイダーを使用する Transfer Family サーバーをすばやくデプロイするのに役立つ AWS CloudFormation テンプレートがいくつか用意されています。詳細については、「Lambda 関数のテンプレート」を参照してください。
次の手順では、 SFTP対応サーバー、 FTPS対応サーバー、 FTP対応サーバー、または AS2対応サーバーを作成できます。
次のステップ
AWS Transfer Family エンドポイントタイプマトリックス
Transfer Family サーバーを作成する際には、使用するエンドポイントのタイプを選択します。以下の表は、各エンドポイントタイプの特性を説明しています。
| 特徴 | Public | VPC - インターネット | VPC - 内部 | VPC_Endpoint (非推奨) |
|---|---|---|---|---|
| サポートされるプロトコル | SFTP | SFTP, FTPS, AS2 | SFTP, FTP, FTPS, AS2 | SFTP |
| アクセス | インターネット経由で。このエンドポイントタイプでは、 に特別な設定は必要ありませんVPC。 | インターネット経由、 AWS Direct Connect または 経由のオンプレミスデータセンターなど、 VPCおよび VPC接続環境内からVPN。 | AWS Direct Connect または 経由のオンプレミスデータセンターなど、 VPCおよび VPCに接続された環境内からVPN。 | AWS Direct Connect または 経由のオンプレミスデータセンターなど、 VPCおよび VPCに接続された環境内からVPN。 |
| 静的 IP アドレス | 静的 IP アドレスをアタッチすることはできません。 は、変更される可能性のある IP アドレス AWS を提供します。 |
Elastic IP アドレスをエンドポイントに接続できます。 AWS所有の IP アドレスまたは(「独自の IP アドレス (Bring your own IP address) を使用できます」)。エンドポイントに接続されている Elastic IP アドレスは変更されません。 サーバーに接続されているプライベート IP アドレスも変更されません。 |
エンドポイントに接続されているプライベート IP アドレスは変更されません。 | エンドポイントに接続されているプライベート IP アドレスは変更されません。 |
| 送信元 IP 許可リスト |
このエンドポイント タイプは、送信元 IP アドレスによる許可リストをサポートしません。 エンドポイントはパブリックにアクセスでき、ポート 22 経由のトラフィックをリッスンします。 注記VPCホストされたエンドポイントの場合、SFTPTransfer Family サーバーはポート 22 (デフォルト) またはポート 2222 で動作できます。 |
ソース IP アドレスによるアクセスを許可するには、サーバーエンドポイントにアタッチされたセキュリティグループと、エンドポイントが存在するサブネットにACLsアタッチされたネットワークを使用できます。 |
ソース IP アドレスによるアクセスを許可するには、サーバーエンドポイントにアタッチされたセキュリティグループと、エンドポイントが存在するサブネットにアタッチされたネットワークアクセスコントロールリスト (ネットワーク ACLs) を使用できます。 |
ソース IP アドレスによるアクセスを許可するには、サーバーエンドポイントにアタッチされたセキュリティグループと、エンドポイントが存在するサブネットにACLsアタッチされたネットワークを使用できます。 |
| クライアントファイアウォールの許可リスト |
サーバーDNSの名前を許可する必要があります。 IP アドレスは変更される可能性があるため、クライアント ファイアウォールの許可リストに IP アドレスを使用することは避けてください。 |
サーバーDNSの名前またはサーバーにアタッチされた Elastic IP アドレスを許可できます。 |
プライベート IP アドレスまたはエンドポイントDNSの名前を許可できます。 |
プライベート IP アドレスまたはエンドポイントDNSの名前を許可できます。 |
注記
このエンドポイント VPC_ENDPOINT タイプは現在非推奨となっており、新しいサーバーの作成には使用できません。を使用する代わりにEndpointType=VPC_ENDPOINT、新しいVPCエンドポイントタイプ (EndpointType=VPC) を使用します。このタイプは、前の表で説明したように、内部またはインターネット対応 として使用できます。詳細については、「VPC_ の使用を中止するENDPOINT」を参照してください。
AWS Transfer Family サーバーのセキュリティ体制を強化するには、次のオプションを検討してください。
-
内部アクセスを持つVPCエンドポイントを使用して、サーバーが AWS Direct Connect または 経由でオンプレミスデータセンターなどの VPCまたは VPC接続環境内のクライアントにのみアクセスできるようにしますVPN。
-
クライアントがインターネット経由でエンドポイントにアクセスし、サーバーを保護するには、インターネット向けアクセスのVPCエンドポイントを使用します。次に、 VPCのセキュリティグループを変更して、ユーザーのクライアントをホストする特定の IP アドレスからのトラフィックのみを許可します。
-
パスワード ベースの認証が必要で、サーバーでカスタム ID プロバイダーを使用している場合は、パスワード ポリシーでユーザーが弱いパスワードを作成できないようにし、ログイン試行の失敗回数を制限することがベスト プラクティスです。
AWS Transfer Family はマネージドサービスであるため、シェルアクセスは提供されません。Transfer Family SFTPサーバーで OS ネイティブコマンドを実行するために、基盤となるサーバーに直接アクセスすることはできません。
-
Network Load Balancer は、内部アクセス権を持つVPCエンドポイントの前に使用します。ロード バランサーのリスナー ポートをポート 22 から別のポートに変更します。これにより、ポート 22 がスキャンに最も一般的に使用されるため、ポート スキャナーやボットがサーバーを調査するリスクは軽減されますが、排除されるわけではありません。詳細については、ブログ記事「Network Load Balancer がセキュリティグループ をサポートするようになりました
」を参照してください。 注記
Network Load Balancer を使用する場合、 AWS Transfer Family CloudWatch ログには実際のクライアント IP アドレスではなくNLB、 の IP アドレスが表示されます。
