翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# サーバーの管理
このセクションでは、サーバーのリストを表示する方法、サーバーの詳細を表示する方法、サーバーの詳細を編集する方法、および SFTP 対応サーバーのホストキーを変更する方法について説明します。
**Topics**
+ [サーバーのリストを表示する](#configuring-servers-view-server-list)
+ [サーバーを削除する](#delete-server)
+ [SFTP、FTPS、FTP サーバーの詳細を表示する](configuring-servers-view-info.md)
+ [AS2 サーバーの詳細を表示する](view-as2-server-details.md)
+ [Transfer Family サーバーの IPv6 サポート](ipv6-support.md)
+ [サーバーの詳細を編集する](edit-server-config.md)
+ [ID プロバイダー設定の編集](configuring-servers-edit-custom-idp.md)
+ [SFTP 対応サーバーのホストキーを管理](configuring-servers-change-host-key.md)
+ [コンソールで使用状況をモニターする](monitor-usage-transfer-console.md)
## サーバーのリストを表示する
AWS Transfer Family コンソールには、選択した AWS リージョンにあるすべてのサーバーのリストが表示されます。
**AWS リージョンに存在するサーバーのリストを検索するには**
+ [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) で AWS Transfer Family コンソールを開きます。
現在の AWS リージョンに 1 つ以上のサーバーがある場合、コンソールが開き、サーバーのリストが表示されます。サーバーのリストが表示されない場合は、正しいリージョンにいることを確認してください。ナビゲーションペインで [**Servers**] (サーバー) を選択することもできます。
サーバーの詳細を表示する方法の詳細については、「[SFTP、FTPS、FTP サーバーの詳細を表示する](configuring-servers-view-info.md)」を参照してください。
## サーバーを削除する
この手順では、 AWS Transfer Family コンソールまたは を使用して Transfer Family サーバーを削除する方法について説明します AWS CLI。
**重要**
サーバーを削除するまでは、エンドポイントへのアクセスが有効なプロトコルごとに課金が発生します。
**警告**
サーバーを削除すると、そのサーバーのすべてのユーザーが削除されます。サーバーを使用してアクセスされたバケット内のデータは削除されず、それらの Amazon S3 バケットへの権限を持つ AWS ユーザーがアクセス可能なままであります。
------
#### [ Console ]
**コンソールを使用してサーバーを削除するには**
1. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) で AWS Transfer Family コンソールを開きます。
1. 左側のナビゲーションペインで [**Servers**] (サーバー) を選択します。
1. 削除したいプリセットのチェックボックスを選択します。
1. [**Actions**] (アクション) について [**Delete**] (削除) を選択します。
1. 表示される確認ダイアログボックスで、「**delete**」という語を入力してから [**Delete**] (削除) を選択してサーバーを削除してよいことを確認します。
[**Servers**] (サーバー) ページからサーバーが削除されれば、その料金は請求されなくなります。
------
#### [ AWS CLI ]
**CLI を使用してサーバーを削除するには**
1. (オプション) 次のコマンドを実行して、完全に削除するサーバーの詳細を表示します。
```
aws transfer describe-server --server-id your-server-id
```
この`describe-server`コマンドは、サーバーのすべての詳細を返します。
1. 次のコマンドを実行してサーバーを削除します。
```
aws transfer delete-server --server-id your-server-id
```
成功すると、コマンドはサーバーを削除し、情報を返しません。
------
# SFTP、FTPS、FTP サーバーの詳細を表示する
個々の AWS Transfer Family サーバーの詳細とプロパティのリストを確認できます。サーバーのプロパティには、プロトコル、ID プロバイダー、ステータス、エンドポイントタイプ、カスタムホスト名、エンドポイント、ユーザー、ログ記録ロール、サーバーホストキー、およびタグが含まれます。
**サーバーの詳細を表示するには**
1. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) で AWS Transfer Family コンソールを開きます。
1. ナビゲーションペインで、[**Servers**] (サーバー) を選択します。
1. [**Server ID**] (サーバー ID) 列で ID を選択すると、次のように [**Server Configuration**] (サーバーの構成) ページが開きます。
このページで [**Edit**] (編集) を選択して、サーバーのプロパティを変更できます。サーバーの詳細を編集する方法の詳細については、「[サーバーの詳細を編集する](edit-server-config.md)」を参照してください。AS2 サーバーの詳細ページは少し異なります。AS2 サーバーについては、「」を参照してください[AS2 サーバーの詳細を表示する](view-as2-server-details.md)。
![\[サーバーのサーバー詳細コンソールページ。エンドポイントの詳細パラメータが表示されます。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/edit-server-details-top.png)![\[サーバーの詳細コンソールページには、サービスマネージドユーザーのリストが表示されます。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/edit-server-details-endpoints.png)![\[サーバーの詳細コンソールページには、契約の詳細が表示されます。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/edit-server-details-users.png)![\[サーバーの詳細コンソールページには、サーバーのサーバーホストキーが表示されます。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/edit-server-details-agreements.png)![\[サーバーの詳細コンソールページには、サーバーのサーバーホストキーが表示されます。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/edit-server-details-hostkeys.png)
**注記**
サーバーホストキーの **[説明]** と **[インポートされた日付]** の値は、2022 年 9 月時点で新しくなりました。これらの値は、複数のホストキー特徴量をサポートするために導入されました。この特徴量では、複数のホストキーが導入される前に使用されていたすべてのホストキーを移行する必要がありました。
移行されたサーバーホストキーの **[インポートされた日付]** の値は、サーバーの最終更新日に設定されます。つまり、移行されたホストキーに表示される日付は、サーバーホストキーの移行前に、何らかの方法でサーバーを最後に変更した日付に対応しています。
移行された唯一のキーは、最も古い、または唯一のサーバーホストキーです。その他のキーには、インポートした時点の実際の日付が反映されます。さらに、移行されたキーには、移行されたものであることを簡単に識別できるように説明が付いています。
移行は 9 月 2 日から 9 月 13 日の間に行われました。この範囲内の実際の移行日は、サーバーのリージョンによって異なります。
![\[モニタリングセクションを示すサーバーの詳細画面。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/edit-server-details-additional.png)![\[タグセクションを示すサーバーの詳細画面。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/edit-server-details-monitoring.png)![\[タグセクションを示すサーバーの詳細画面。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/edit-server-details-tags.png)
# AS2 サーバーの詳細を表示する
個々の AWS Transfer Family サーバーの詳細とプロパティのリストを確認できます。サーバープロパティには、プロトコル、ステータスなどが含まれます。AS2 サーバーの場合、AS2 非同期 MDN 出力 IP アドレスを表示することもできます。
![\[プロトコルと ID プロバイダーセクションを示す AS2 サーバーのサーバー詳細コンソールページ。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/as2-server-details-top.png)![\[エンドポイントの詳細セクションを示す AS2 サーバーのサーバーの詳細コンソールページ。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/as2-server-details-endpoints.png)![\[ユーザーと契約セクションを示す AS2 サーバーのサーバー詳細コンソールページ (AS2 サーバーにはリストされたユーザーがありません)。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/as2-server-details-users-agreements.png)![\[AS2 サーバーのサーバー詳細コンソールページには、サーバーのホストキーと追加の詳細セクションが表示されます。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/as2-server-details-keys-additional.png)
各 AS2 サーバーには 3 つの静的 IP アドレスが割り当てられます。これらの IP アドレスを使用して、AS2 経由で取引相手に非同期 MDNs を送信します。
![\[AS2 サーバーの詳細ページからのパネル。サービスマネージド静的 IP アドレスのリストが表示されます。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/as2-server-details-static-ips.png)
AS2 サーバーの詳細ページの下部には、アタッチされたワークフローとモニタリングおよびタグ付け情報の詳細が含まれています。
![\[AS2 サーバーのサーバー詳細コンソールページには、タグの詳細が表示されます。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/as2-server-details-workflows-monitoring.png)![\[AS2 サーバーのサーバー詳細コンソールページには、タグの詳細が表示されます。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/edit-server-details-tags.png)
# Transfer Family サーバーの IPv6 サポート
AWS Transfer Family は、次のリソースのデュアルスタック (IPv4 および IPv6) エンドポイントをサポートします。
+ SFTP パブリックエンドポイント
+ すべてのプロトコルの VPC 内部エンドポイント (SFTP/FTPS/FTP および AS2)
+ 「」で説明されている手順を使用して、AS2-enabled Transfer Family サーバーのパブリックエンドポイント [Application Load Balancer を使用したデュアルスタック AS2 サーバー接続](#ipv6-alb-as2)
+ API エンドポイント
デュアルスタックのサポートにより、Transfer Family エンドポイントは IPv4 および IPv6 対応クライアントの両方と通信できます。これにより、すべてを一度に切り替えたり、IPv6 コンプライアンス要件を満たしたり、高価なネットワーク機器が IPv4 と IPv6 間のアドレス変換を処理する必要がなくなったりすることなく、IPv4 から IPv6 ベースのシステムに徐々に移行できます。 IPv6 詳細については、 *AWS Transfer Family API リファレンス*の[「DNS とエンドポイント](https://docs.aws.amazon.com/transfer/latest/APIReference/Welcome.html#dns-endpoints)」を参照してください。使用可能なエンドポイントの完全なリストについては、の[AWS Transfer Family 「エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html)」を参照してください*AWS 全般のリファレンス*。
## IPv6 の制限
次の Transfer Family リソースは現在 IPv6 をサポートしていません。
+ VPC-インターネットエンドポイント
+ VPC\$1ENDPOINT エンドポイントタイプ (非推奨)
FTPS プロトコルは、ファイルリスト、取得、および配置オペレーション用のオープンデータポートをリクエストするための PASV コマンドと EPSV コマンドをサポートしています。ただし、PASV は IPv6 では機能しません。 IPv4-specific EPSV はポート情報のみを返すため、引き続き機能します。
FTPS を使用するには、次のいずれかをお勧めします。
+ EPSV を使用するように FTPS クライアントを設定する
+ IPv6 の代わりに IPv4 を使用する IPv6
SFTP は IPv4 と IPv6 の両方をサポートしています。デュアルスタックエンドポイントを使用する場合は、FTPS の代わりに SFTP を使用することをお勧めします。
## サーバー用の IPv6 の設定
新しいサーバーを作成するとき、または既存のサーバーを更新するときに、IP アドレスタイプを選択できます。
+ **IPv4** (デフォルト): 下位互換性のために、サーバーは IPv4 接続のみを受け入れます。
+ **デュアルスタック**: サーバーは IPv4 と IPv6 の両方の接続を受け入れます。
既存のサーバーの IP アドレスタイプを更新するには:
1. サーバーを停止します。
1. エンドポイントの詳細を編集します。
1. IP アドレスタイプを**デュアルスタック**に変更します。
1. サーバーを起動します。
**注記**
VPC-Internet エンドポイントの場合、デュアルスタックモードは現在サポートされていません。
## Application Load Balancer を使用したデュアルスタック AS2 サーバー接続
パブリック向けエンドポイントを持つ Application Load Balancer を使用して、AS2 サーバーへのデュアルスタック (IPv4 および IPv6) 接続を有効にできます。これにより、取引パートナーは IPv4 または IPv6 を使用して AS2 サーバーに接続できます。
AS2 サーバーのデュアルスタック Application Load Balancer を設定するには
1. 次の設定で VPC を作成します。
+ VPC 専用
+ 手動 IPv4 CIDR 入力
+ Amazon が提供する IPv6 CIDR ブロック
1. 異なるアベイラビリティーゾーンに少なくとも 2 つのサブネットを作成します。
+ IPv6 CIDRs をサブネットに追加する
+ サブネットを作成するときは、VPC の IPv4/IPv6 アドレスのサブセットのみを割り当てて、追加のサブネットでアドレスを使用できるようにします。
1. VPC のインターネットゲートウェイを作成します。
1. ルートテーブルを編集し、2 つのルートを追加します。
+ *送信先*を持つ 1 つのルート `0.0.0.0/0`
+ *送信先*を持つ 1 つのルート `::/0`
+ 作成したインターネットゲートウェイに両方のルートターゲットを設定する
1. ステップ 1 で作成した VPC に AS2-enabledサーバーを作成します。を `IpAddressType`として指定してください`DUALSTACK`。
AS2 プロトコルを使用する Transfer Family サーバーを作成する方法の詳細については、「」を参照してください[AS2 サーバーを作成する](create-as2-transfer-server.md)。
1. ターゲットグループを作成します。
+ *グループの詳細を指定する*には、以下を設定します。
+ ターゲットタイプ: IP アドレス
+ 名前: 名前を入力します
+ [Protocol]: HTTP
+ ポート: 5080
+ VPC: 作成した VPC を選択します。
+ プロトコルバージョン: HTTP1
+ ヘルスチェック: デフォルトを使用する
+ *ターゲットの登録*の場合:
+ AS2 サーバーのプライベート IPv4 アドレスを入力する
+ *以下で保留中として含め*るを選択する
1. Application Load Balancer を作成します。
+ 名前を入力する
+ *スキーム*で、*インターネット向けを選択します。*
+ *IP アドレスタイプ*で、*Dualstack* を選択します。
+ *ネットワークマッピング*の場合:
+ 作成した VPC を選択します。
+ サブネットを作成したアベイラビリティーゾーンを選択する
+ *セキュリティグループ*では、ポート 80 の任意の IP アドレスからのインバウンド IPv4 および IPv6 トラフィックを許可するセキュリティグループを選択します。
+ *リスナーとルーティング*の場合:
+ [Protocol]: HTTP
+ Port: 80
+ デフォルトアクション: 作成したターゲットグループに転送する
+ *ロードバランサーの作成*を選択する
Application Load Balancer を作成すると、取引パートナーは DNS 名を使用して AS2 サーバーにトラフィックを送信できます。この設定により、AS2 サーバーはデュアルスタックの Application Load Balancer を介して IPv4 クライアントと IPv6 クライアントの両方からの接続を受け入れることができます。
# サーバーの詳細を編集する
AWS Transfer Family サーバーを作成したら、サーバー設定を編集できます。
**Topics**
+ [ファイル転送プロトコルを編集する](#edit-protocols)
+ [サーバーエンドポイントを編集する](#edit-endpoint-configuration)
+ [ログ設定を編集する](#edit-CloudWatch-logging)
+ [セキュリティポリシーを編集する](#edit-cryptographic-algorithm)
+ [SFTP サーバーの管理ワークフローを変更する](#configuring-servers-change-workflow)
+ [SFTP サーバーのディスプレイバナーを変更します](#configuring-servers-change-banner)
+ [サーバーのオンラインとオフラインを切り替える](#edit-online-offline)
**サーバーの設定を編集するには**
1. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) で AWS Transfer Family コンソールを開きます。
1. 左側のナビゲーションペインで [**Servers**] (サーバー) を選択します。
1. [**Server ID**] (サーバー ID) 列で ID を選択すると、次のように [**Server Configuration**] (サーバーの構成) ページが開きます。
このページで [**Edit**] (編集) を選択して、サーバーのプロパティを変更できます。
+ プロトコルを変更するには、「[ファイル転送プロトコルを編集する](#edit-protocols)」を参照してください。
+ ID プロバイダーの場合、任意の ID プロバイダータイプ (サービスマネージド、 AWS Directory Service、またはカスタム ID プロバイダー) を変更できます。ID プロバイダータイプの変更と各移行に必要な情報の詳細については、「」を参照してください[ID プロバイダー設定の編集](configuring-servers-edit-custom-idp.md)。
+ エンドポイントタイプまたはカスタムホスト名を変更するには、「[サーバーエンドポイントを編集する](#edit-endpoint-configuration)」を参照してください。
+ 契約を追加するには、まず AS2 をプロトコルとしてサーバーに追加する必要があります。詳細については、「[ファイル転送プロトコルを編集する](#edit-protocols)」を参照してください。
+ サーバーのホストキーを管理するには、[SFTP 対応サーバーのホストキーを管理](configuring-servers-change-host-key.md)を参照してください。
+ 「**その他の詳細**」では、以下の情報を編集できます。
+ ログ記録ロールを変更する手順についてには、「[ログ設定を編集する](#edit-CloudWatch-logging)」を参照してください。
+ セキュリティポリシーを変更するには、「[セキュリティポリシーを編集する](#edit-cryptographic-algorithm)」を参照してください。
+ サーバーのホストキーを変更するには、「[SFTP 対応サーバーのホストキーを管理](configuring-servers-change-host-key.md)」を参照してください。
+ サーバのマネージドワークフローを変更するには、[SFTP サーバーの管理ワークフローを変更する](#configuring-servers-change-workflow)を参照してください。
+ サーバのディスプレイバナーを編集するには、[SFTP サーバーのディスプレイバナーを変更します](#configuring-servers-change-banner)を参照してください。
+ [追加設定] で、以下の情報を編集できます。
+ [**SetStatオプション**]:このオプションを有効にすると、クライアントが Amazon S3 バケットにアップロードするファイルに `SETSTAT` を使おうとしたときに発生するエラーを無視することができます。詳細については、[プロトコルの詳細](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html) トピックの`SetStatOption`ドキュメントを参照してください。
+ **[TLS セッション再開]**:FTPS セッションの制御接続とデータ接続の間でネゴシエートされた秘密キーを再開または共有するメカニズムを提供します。詳細については、[プロトコルの詳細](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html) トピックの`TlsSessionResumptionMode`ドキュメントを参照してください。
+ [**Passive IP**]:FTP および FTPS プロトコルのパッシブモードを示します。ファイアウォール、ルーター、ロードバランサーのパブリック IP アドレスなど、単一 IPv4 アドレスを入力します。詳細については、[プロトコルの詳細](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html) トピックの`PassiveIp`ドキュメントを参照してください。
**注記**
Network Load Balancer (NLBs) または NAT ゲートウェイを AWS Transfer Family サーバーの前に配置しないでください。この設定によりコストが増加し、パフォーマンスの問題が発生する可能性があります。詳細については、「[NLBsと NATs を AWS Transfer Family サーバーの前に配置しない](infrastructure-security.md#nlb-considerations)」を参照してください。
+ サーバを起動または停止するには、「[サーバーのオンラインとオフラインを切り替える](#edit-online-offline)」を参照してください。
+ サーバーを削除するには、「[サーバーを削除する](configuring-servers.md#delete-server)」を参照してください。
+ ユーザーのプロパティを編集するには、「[アクセスコントロールの管理](users-policies.md)」を参照してください。
![\[サーバーのサーバー詳細コンソールページ。エンドポイントの詳細パラメータが表示されます。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/edit-server-details-top.png)![\[サーバーの詳細コンソールページには、サービスマネージドユーザーのリストが表示されます。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/edit-server-details-endpoints.png)![\[サーバーの詳細コンソールページには、契約の詳細が表示されます。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/edit-server-details-users.png)![\[サーバーの詳細コンソールページには、サーバーのサーバーホストキーが表示されます。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/edit-server-details-agreements.png)![\[サーバーの詳細コンソールページには、サーバーのサーバーホストキーが表示されます。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/edit-server-details-hostkeys.png)
**注記**
サーバーホストキーの **[説明]** と **[インポートされた日付]** の値は、2022 年 9 月時点で新しくなりました。これらの値は、複数のホストキー特徴量をサポートするために導入されました。この特徴量では、複数のホストキーが導入される前に使用されていたすべてのホストキーを移行する必要がありました。
移行されたサーバーホストキーの **[インポートされた日付]** の値は、サーバーの最終更新日に設定されます。つまり、移行されたホストキーに表示される日付は、サーバーホストキーの移行前に、何らかの方法でサーバーを最後に変更した日付に対応しています。
移行された唯一のキーは、最も古い、または唯一のサーバーホストキーです。その他のキーには、インポートした時点の実際の日付が反映されます。さらに、移行されたキーには、移行されたものであることを簡単に識別できるように説明が付いています。
移行は 9 月 2 日から 9 月 13 日の間に行われました。この範囲内の実際の移行日は、サーバーのリージョンによって異なります。
![\[モニタリングセクションを示すサーバーの詳細画面。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/edit-server-details-additional.png)![\[タグセクションを示すサーバーの詳細画面。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/edit-server-details-monitoring.png)![\[タグセクションを示すサーバーの詳細画面。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/edit-server-details-tags.png)
## ファイル転送プロトコルを編集する
AWS Transfer Family コンソールで、ファイル転送プロトコルを編集できます。ファイル転送プロトコルは、クライアントをサーバーのエンドポイントに接続します。
**プロトコルを編集するには**
1. [**Server details**] (サーバーの詳細) ページで [**Protocols**] (プロトコル) の隣にある [**Edit**] (編集) を選択します。
1. [**Edit protocols**] (プロトコルの編集) ページで、1 つ以上のプロトコルチェックボックスをオンまたはオフにして、以下のファイル転送プロトコルを追加または削除します。
+ Secure Shell (SSH) File Transfer Protocol (SFTP) – SSH 経由のファイル転送
SFTP の詳細については、「[SFTP 対応サーバーの作成](create-server-sftp.md)」を参照してください。
+ File Transfer Protocol Secure (FTPS) – TLS 暗号化によるファイル転送
FTP の詳細については、「[FTPS 対応サーバーを作成する](create-server-ftps.md)」を参照してください。
+ File Transfer Protocol (FTP) - 暗号化されていないファイル転送
FTPS の詳細については、「[FTP 対応サーバーの作成](create-server-ftp.md)」を参照してください。
**注記**
既存のサーバーが SFTP についてのみ有効で FTPS と FTP を追加したい場合、FTPS および FTP と互換性のある適切な ID プロバイダーとエンドポイントタイプの設定ができていることを確認する必要があります。
![\[\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/edit-protocols.png)
**FTPS** を選択する場合は、 AWS Certificate Manager (ACM) に保存されている証明書を選択する必要があります。この証明書は、クライアントが FTPS 経由でサーバーに接続するときにサーバーを識別するために使用されます。
新しいパブリック証明書をリクエストするには、*AWS Certificate Manager ユーザーガイド*の「[パブリック証明書をリクエストする](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html)」を参照してください。
既存の証明書を ACM にインポートするには、*AWS Certificate Manager ユーザーガイド*の「[ACM に証明書をインポートする](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html)」を参照してください。
プライベート IP アドレス経由で FTPS を使用するためにプライベート証明書を要求するには、「AWS Certificate Manager ユーザーガイド」の「[プライベート証明書の要求](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html)」を参照してください。
以下の暗号化アルゴリズムとキーサイズの証明書がサポートされています。
+ 2048 ビット RSA (RSA\$12048)
+ 4096 ビット RSA (RSA\$14096)
+ 楕円素数曲線 256 ビット (EC\$1Prime256v1)
+ 楕円素数曲線 384 ビット (EC\$1secp384R1)
+ 楕円素数曲線 521 ビット (EC\$1secp521R1)
**注記**
証明書は、FQDN または IP アドレスが指定された有効な SSL/TLS X.509 バージョン 3 証明書で、発行者に関する情報が含まれている必要があります。
1. [**Save**] (保存) を選択します。[**Server details**] (サーバーの詳細) ページが再表示されます。
## サーバーエンドポイントを編集する
AWS Transfer Family コンソールでは、サーバーエンドポイントタイプとカスタムホスト名を変更できます。さらに、VPC エンドポイントでは、アベイラビリティーゾーン情報を編集できます。
**サーバーエンドポイントの詳細を編集するには**
1. [**Server details**] (サーバーの詳細) ページで [**Endpoint details**] (エンドポイントの詳細) の隣にある [**Edit**] (編集) を選択します。
1. **エンドポイントタイプ**を編集する前に、まずサーバーを停止する必要があります。次に、**エンドポイント設定の編集**ページの**エンドポイントタイプ**で、次のいずれかの値を選択できます。
+ [**公開**] ー このオプションは、インターネット経由でサーバーにアクセスできるようにします。
+ [**VPC**] ー このオプションは、仮想プライベートクラウド(VPC)内でサーバーにアクセスできます。VPC については、「[Virtual Private Cloud でサーバーを作成する](create-server-in-vpc.md)」を参照してください。
1. [**Custom hostname**] (カスタムホスト名) の場合、次のいずれかを選択します。
+ [**なし**] ー カスタムドメインを使用したくない場合は、「**なし**」を選択します。
が提供するサーバーホスト名を取得します AWS Transfer Family。サーバーホスト名の形式は `serverId.server.transfer.regionId.amazonaws.com` です。
+ [**Amazon Route 53 DNS エイリアス**] ー Route 53 で自動的に作成されたDNSエイリアスを使用するには、このオプションを選択します。
+ [**ほかの DNS**] ー 外部 DNS サービスですでに所有しているホスト名を使用するには、[**ほかの DNS**]を選択します。
[**Amazon Route 53 DNS alias**] (Amazon Route 53 DNS エイリアス) または [**Other DNS**] (その他のDNS) を選択することでサーバーのエンドポイントに関連付ける名前解決メソッドを指定します。
たとえば、カスタムドメインは `sftp.inbox.example.com` である場合があります。カスタムホスト名は、ユーザーが提供し、DNS サービスが解決できる DNS 名を使用します。Route 53 を DNS リゾルバーとして使用するか、独自の DNS サービスプロバイダーを使用できます。 AWS Transfer Family が Route 53 を使用してカスタムドメインから SFTP エンドポイントにトラフィックをルーティングするしくみについては、「[カスタムホスト名の使用](requirements-dns.md)」を参照してください。
![\[[エンドポイント設定の編集] コンソールページ。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/edit-endpoint-configuration.png)
1. VPC エンドポイントの場合、ア**ベイラビリティーゾーン**ペインで情報を変更できます。
1. [**Save**] (保存) を選択します。[**Server details**] (サーバーの詳細) ページが再表示されます。
## ログ設定を編集する
AWS Transfer Family コンソールで、ログ記録設定を変更できます。
**注記**
サーバーの作成時に CloudWatch ログ記録 IAM ロールが Transfer Family によって作成された場合、IAM ロールは `AWSTransferLoggingAccess` と呼ばれます。トランスファーファミリーのすべてのサーバーに使用できます。
**ロギング設定を変更するには**
1. [**Server details**] (サーバーの詳細) ページで [**Additional details**] (その他の詳細) の隣にある [**Edit**] (編集) を選択します。
1. 設定に基づいて、ロギングロール、構造化 JSON ロギング、またはその両方を選択します。詳細については、「[サーバーのロギングを更新します。](log-server-manage.md#log-server-update)」を参照してください。
## セキュリティポリシーを編集する
この手順では、 AWS Transfer Family コンソールまたは を使用して Transfer Family サーバーのセキュリティポリシーを変更する方法について説明します AWS CLI。
**注記**
エンドポイントが FIPS 対応の場合、FIPS セキュリティポリシーを非 FIPS セキュリティポリシーに変更することはできません。
------
#### [ Console ]
**コンソールを使用してセキュリティポリシーを編集するには**
1. [**Server details**] (サーバーの詳細) ページで [**Additional details**] (その他の詳細) の隣にある [**Edit**] (編集) を選択します。
1. [**暗号アルゴリズムオプション**]セクションで、サーバーで使用可能な暗号アルゴリズムを含むセキュリティ・ポリシーを選択します。
セキュリティポリシーの詳細については、「[AWS Transfer Family サーバーのセキュリティポリシー](security-policies.md)」を参照してください。
1. **[保存]** を選択します。
**サーバーの詳細**ページに戻り、更新されたセキュリティポリシーを確認できます。
------
#### [ AWS CLI ]
**CLI を使用してセキュリティポリシーを編集するには**
1. 次のコマンドを実行して、サーバーにアタッチされている現在のセキュリティポリシーを表示します。
```
aws transfer describe-server --server-id your-server-id
```
この`describe-server`コマンドは、次の行を含むサーバーの詳細をすべて返します。
```
"SecurityPolicyName": "TransferSecurityPolicy-2018-11"
```
この場合、サーバーのセキュリティポリシーは です`TransferSecurityPolicy-2018-11`。
1. コマンドには、セキュリティポリシーの正確な名前を必ず指定してください。たとえば、次のコマンドを実行してサーバーを に更新します`TransferSecurityPolicy-2023-05`。
```
aws transfer update-server --server-id your-server-id --security-policy-name "TransferSecurityPolicy-2023-05"
```
**注記**
使用可能なセキュリティポリシーの名前は、「」に記載されています[AWS Transfer Family サーバーのセキュリティポリシー](security-policies.md)。
成功すると、コマンドは次のコードを返し、サーバーのセキュリティポリシーを更新します。
```
{
"ServerId": "your-server-id"
}
```
------
## SFTP サーバーの管理ワークフローを変更する
AWS Transfer Family コンソールでは、サーバーに関連付けられたマネージドワークフローを変更できます。
**管理対象ワークフローを変更するには**
1. [**Server details**] (サーバーの詳細) ページで [**Additional details**] (その他の詳細) の隣にある [**Edit**] (編集) を選択します。
1. 「**追加詳細の編集**」ページの「**管理ワークフロー**」セクションで、すべてのアップロードに対して実行するワークフローを選択します。
**注記**
ワークフローがまだない場合は、「**新しいワークフローを作成する**」を選択し、ワークフローを作成します。
1. 使用するワークフロー ID を選択します。
1. 実行ロールを選択します。これは、Transfer Family がワークフローのステップを実行するときに引き受ける役割です。詳細については、「[ワークフローの IAM ポリシー](workflow-execution-role.md)」を参照してください。**[保存]** を選択します。
![\[[管理されたワークフロー] のコンソールセクション。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/workflows-addtoserver.png)
1. [**Save**] (保存) を選択します。[**Server details**] (サーバーの詳細) ページが再表示されます。
## SFTP サーバーのディスプレイバナーを変更します
AWS Transfer Family コンソールでは、サーバーに関連付けられた表示バナーを変更できます。
**表示バナーを変更するには**
1. [**Server details**] (サーバーの詳細) ページで [**Additional details**] (その他の詳細) の隣にある [**Edit**] (編集) を選択します。
1. **[詳細情報の編集]** ページの **[表示バナー]** セクションで、使用可能なディスプレイバナーのテキストを入力します。
1. [**Save**] (保存) を選択します。[**Server details**] (サーバーの詳細) ページが再表示されます。
## サーバーのオンラインとオフラインを切り替える
AWS Transfer Family コンソールでは、サーバーをオンラインにすることも、オフラインにすることもできます。
**サーバーをオンラインにするには**
1. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) で AWS Transfer Family コンソールを開きます。
1. ナビゲーションペインで [**Servers**] (サーバー) を選択します。
1. オフラインになっているサーバーのチェックボックスをオンにします。
1. [**Actions**] (アクション) で [**Start**] (開始) を選択します。
サーバーがオフラインからオンラインに切り替わるまでに数分かかる場合があります。
**注記**
サーバーを停止してオフラインにしても、現状ではそのサーバーのサービス料金は発生し続けます。サーバーの追加料金が発生しないようにするには、そのサーバーを削除してください。
**サーバーをオフラインにするには**
1. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) で AWS Transfer Family コンソールを開きます。
1. ナビゲーションペインで [**Servers**] (サーバー) を選択します。
1. オンラインになっているサーバーのチェックボックスをオンにします。
1. [**Actions**] (アクション) で [**Stop**] (停止) を選択します。
サーバーのスタートアップ時またはシャットダウン時には、サーバーをファイルオペレーションに利用することはできません。コンソールには、開始状態や停止状態が表示されません。
エラー状態 `START_FAILED`または が見つかった場合は`STOP_FAILED`、 AWS サポート に連絡して問題を解決してください。
# ID プロバイダー設定の編集
サーバーの ID プロバイダータイプは、任意のタイプから他のタイプに変更できます。使用可能な ID プロバイダーのタイプは次のとおりです。
+ **サービスマネージド** – ユーザー認証情報をサービス内に保存します。
+ **AWS Directory Service** – AWS Managed Microsoft AD または AWS Directory Service for Entra ID ドメインサービスを使用する
+ **カスタム** – Lambda 関数または Amazon API Gateway を使用して既存の ID プロバイダーと統合する
ID プロバイダーのタイプを変更する場合は、移行に応じて特定の情報を提供する必要があります。以下のセクションでは、変更のタイプごとに必要な情報について説明します。
**重要**
ID プロバイダーを変更する際の考慮事項:
**ユーザー移行** – ID プロバイダータイプを変更しても、既存のユーザー設定は自動的に移行されません。新しい ID プロバイダーシステムでユーザーを設定する必要があります。
**テスト** – 本番環境に変更を加える前に、新しい ID プロバイダー設定を徹底的にテストします。
アクセス**許可** – 変更を行う前に、新しい ID プロバイダーに必要な IAM アクセス許可とロールが設定されていることを確認します。
## サービスマネージド ID プロバイダーへの変更
他の ID プロバイダータイプからサービスマネージドに変更する場合は、以下を行う必要があります。
+ ID プロバイダータイプとして**管理されるサービス**を選択する
+ 他の ID プロバイダーからの既存のユーザー設定は転送されないため、変更の完了 AWS Transfer Family 後に で直接新しいユーザーを作成する
例: カスタム ID プロバイダーからサービスマネージドに変更する場合は、サービス内のすべての AWS Transfer Family ユーザーアカウントと関連するアクセス許可を再作成する必要があります。
## AWS Directory Service への変更
他の ID プロバイダータイプから AWS Directory Service に変更する場合は、以下を指定する必要があります。
+ **ディレクトリ** – 既存の AWS Managed Microsoft AD または AWS Directory Service for Entra ID ドメインサービスディレクトリを選択します。
+ **アクセス** — 特定のグループへのアクセスを制限するか、ディレクトリ内のすべてのユーザーへのアクセスを許可するかを選択します。
+ **アクセスロール** – ディレクトリへのアクセスを に許可 AWS Transfer Family する IAM ロール
例: サービスマネージドから AWS Directory Service に変更する場合は、既存の`d-1234567890`ディレクトリを選択し、`TransferUsers`グループへのアクセスを制限して、IAM `TransferDirectoryAccessRole` ロールを指定します。
## カスタム ID プロバイダーへの変更
他の ID プロバイダータイプからカスタム ID プロバイダーに変更する場合は、Lambda 関数または Amazon API Gateway のいずれかを選択し、必要な設定を指定する必要があります。
### Lambda 関数の使用
Lambda 関数統合の場合、以下を指定します。
+ **関数** – 認証を処理する既存の Lambda 関数を選択します。
+ **認証方法** (SFTP プロトコルの場合) — パスワード、パブリックキー、またはその両方を選択します。
例: AWS Directory Service からカスタム Lambda ID プロバイダーに変更する場合は、`TransferCustomAuth`関数を選択し、認証方法として**パスワード**を選択します。
![\[Lambda ID プロバイダーの場合、基になる Lambda 関数を変更できます。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/edit-server-idp-lambda.png)
### Amazon API Gateway の使用
Amazon API Gateway 統合の場合、以下を指定します。
+ **API Gateway URL** – API Gateway エンドポイントの呼び出し URL
+ **呼び出しロール** – API Gateway の呼び出し AWS Transfer Family を に許可する IAM ロール
+ **認証方法** (SFTP プロトコルの場合) — パスワード、パブリックキー、またはその両方を選択します。
例: サービスマネージド型から API Gateway に変更する場合は、URL を指定し`https://abcdef123.execute-api.us-east-1.amazonaws.com/prod`、IAM `TransferApiGatewayInvocationRole` ロールを指定して、認証方法として**パブリックキー**を選択します。
![\[API ゲートウェイ ID プロバイダの場合、ゲートウェイ URL または呼び出しロール、あるいはその両方を更新できます。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/edit-server-idp-apigateway.png)
### Amazon API Gateway から Lambda 関数への変更
カスタム ID プロバイダー統合の一般的な移行は、Amazon API Gateway から Lambda 関数に変更されています。この変更により、同じ認証ロジックを維持しながらアーキテクチャを簡素化できます。
この移行の主な考慮事項:
+ **同じ関数、異なるアクセス許可** – API Gateway と直接 Lambda 統合の両方に同じ Lambda 関数を使用できますが、リソースポリシーを更新する必要があります。
+ **リソースポリシーの要件** – を Lambda 統合に直接変更する場合、関数のリソースポリシーは、 に加えて関数を呼び出す`transfer.amazonaws.com`アクセス許可を付与する必要があります`apigateway.amazonaws.com`。
**この変更を行うには**
1. が関数`transfer.amazonaws.com`を呼び出すことができるように Lambda 関数のリソースポリシーを更新します。
1. AWS Transfer Family コンソールで、ID プロバイダーを API Gateway から Lambda 関数に変更します。
1. 既存の Lambda 関数を選択します。
1. 設定をテストして、認証が正しく機能することを確認します。
直接 Lambda 統合のリソースポリシーの例:
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": [
"transfer.amazonaws.com",
"apigateway.amazonaws.com"
]
},
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:us-east-1:123456789012:function:function-name"
}]
}
```
## ID プロバイダーの移行中のユーザー保存
ID プロバイダータイプを変更する場合、問題が発生した場合に効率的なロールバックを可能にするために、特定のシナリオで既存のユーザー設定が保持されます。
+ **サービスマネージドからカスタム ID プロバイダーおよびバック** – サービスマネージドからカスタム ID プロバイダーに変更してからサービスマネージドに戻すと、すべてのユーザーは最後の既知の設定に保持されます。
+ から**AWS Directory Service カスタム ID プロバイダーに戻り**、 からカスタム ID プロバイダー AWS Directory Service に変更してから に戻ると AWS Directory Service、委任アクセスグループのすべての定義が最後の既知の設定に保持されます。
この保存動作により、ユーザーアクセス設定を失うことなく、カスタム ID プロバイダー設定を安全にテストし、以前の設定にロールバックできます。
## ID プロバイダーを変更する際の重要な考慮事項
+ **ユーザー移行** – ID プロバイダータイプを変更しても、既存のユーザー設定は自動的に移行されません。新しい ID プロバイダーシステムでユーザーを設定する必要があります。
+ **テスト** – 本番環境に変更を加える前に、新しい ID プロバイダー設定を徹底的にテストします。
+ アクセス**許可** – 変更を行う前に、新しい ID プロバイダーに必要な IAM アクセス許可とロールが設定されていることを確認します。
# SFTP 対応サーバーのホストキーを管理
サーバーホストキーは、Transfer Family サーバーが発信者に一意の ID を提供し、正しいサーバーであることを確認するために使用されるプライベートキーです。この保証は、発信者の `known_hosts` ファイルに正しいパブリックキーが存在することによって適用されます。(`known_hosts`ファイルは、接続したサーバーのパブリックキーを保存するためにほとんどの SSH クライアントで使用される標準機能です)。サーバー`ssh-keyscan`で を実行することで、サーバーホストキーに対応するパブリックキーを取得できます。
**重要**
サーバーのホストキーを誤って変更することは、破壊的な操作になり得えます。SFTP クライアントの設定方法によっては、信頼できるホストキーが存在しないというメッセージが表示されたり、すぐに障害が発生したり、脅迫的なプロンプトが表示されることがあります。接続を自動化するスクリプトがあれば、そのスクリプトも失敗する可能性が高いでしょう。
デフォルトでは、 は SFTP 対応サーバーのホストキー AWS Transfer Family を生成します。サーバーホストキーをインポートしてホスト ID を保持し、クライアント信頼ストアの更新を回避できます。 には、これを行ういくつかの理由[ホストキーをインポートするタイミング](#host-key-import-use-cases)が記載されています。ホストキーを指定しない場合、新しいホストキーが生成されます。
AWS Transfer Family は、さまざまなタイプの複数のホストキー (RSA、ECDSA、ED25519) をサポートし、幅広いクライアントホスト署名アルゴリズムとの互換性を提供します。RSA キーは **rsa-\$1** アルゴリズムを有効にし、ECDSA キーは **ecdsa-\$1** アルゴリズムを有効にし、ED25519 キーは **ed25519** アルゴリズムを有効にします。サーバーの作成時にキータイプを計画します。クライアントがサーバーとのやり取りを開始した後に追加のキータイプを導入すると、一部のクライアントにとって破壊的になり、既存のホストキーを置き換えるのと同じくらい問題になる可能性があるためです。
SFTP 対応サーバーの真正性を確認するプロンプトがユーザーに再度表示されないようにするには、オンプレミスサーバーのホストキーを SFTP 対応サーバーにインポートします。また、この操作により、中間者 (MITM) 攻撃の可能性に関する警告がユーザーに表示されなくなります。
追加のセキュリティ対策として、ホストキーを定期的にローテーションすることもできます。詳細については、「[サーバーのホストキーをローテーションする](server-host-key-rotate.md)」を参照してください。
**注記**
サーバーホストキーは、SFTP プロトコルをサポートするサーバーによって使用されます。
## ホストキーをインポートするタイミング
はホストキーを自動的に生成 AWS Transfer Family しますが、独自のホストキーをインポートすると運用上の利点が得られるシナリオがいくつかあります。
+ *サーバーの移行* - 既存のサーバーから に移行 AWS Transfer Family し、既存のクライアントのクライアントトラストストア (`known_hosts` ファイル) を更新しないようにします。
+ *ディザスタリカバリとフェイルオーバー* - 同じパブリック DNS 名を共有する AWS Transfer Family サーバーが複数あります (たとえば、1 つは米国東部 (オハイオ)、もう 1 つは米国西部 (オレゴン))。両方のサーバーで同じホストキーを使用すると、クライアント認証に失敗することなくシームレスにフェイルオーバーできます。
+ *運用継続性* - インフラストラクチャ全体で一貫したサーバー ID を維持するために、今後ホストキーマテリアルを他のサーバー (AWS Transfer Family またはその他のサーバー) で使用できるようにする必要があります。
+ *アルゴリズム制御* - より多くのホストキーアルゴリズムを提供することでクライアントの互換性を高める必要があります。または、特定のアルゴリズムと互換性のあるキーのみを提供することで、クライアントが使用できるアルゴリズムを制御する必要があります。
以下のトピックでは、サーバーホストキーを管理するための詳細な手順について説明します。
+ [サーバーホストキーを追加する](server-host-key-add.md) - サーバーにホストキーを追加する
+ [サーバーのホストキーを削除する](server-host-key-delete.md) - サーバーからホストキーを削除する
+ [サーバーのホストキーをローテーションする](server-host-key-rotate.md) - セキュリティを強化するためにホストキーをローテーションする
+ [サーバーホストキーの追加情報](server-host-key-other.md) - ホストキーの詳細の表示と管理
# サーバーホストキーを追加する
AWS Transfer Family コンソールで、サーバーホストキーを追加できます。異なる形式のホストキーを追加すると、クライアントが接続したときにサーバーを識別したり、セキュリティプロファイルを改善したりするのに役立ちます。たとえば、元のキーが RSA キーの場合、ECDSA キーを追加することができます。
**注記**
SFTP クライアントは、キーのアルゴリズムに一致する設定で最も古いキーを使用して接続します。各キータイプ (RSA、ECDSA、または ED25519) の最も古いキーは、そのタイプのサーバーのアクティブなキーです。
**Transfer Family サーバーに複数のタイプのホストキーがある場合のセキュリティノート**
サーバーに複数のタイプのホストキーがある場合、SFTP クライアントはタイプ別に設定を割り当てることができます。したがって、サーバーに RSA、ECDSA、ED25519 ホストキーが存在する場合、選択はタイプ別の設定によって決まります。
最新の SFTP クライアントでは、ECDSA ホストキーと ED25519 ホストキーが存在する場合に優先されます。これは、サーバーに以前に RSA キーしかない場合に ECDSA または ED25519 キーを追加する場合に重要になります。新しい ECDSA または ED25519 キーを追加すると、クライアントのセキュリティ警告として表示される可能性があります。
クライアントには、キーが実際に変更されていない場合、キーは変更されたものとして表示されます。新しいキーは、既存の RSA キーに加えて追加されました。新しいタイプのサーバーホストキーを追加する場合は、この点に注意してください。
**サーバーホストキーを追加するには**
1. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) で AWS Transfer Family コンソールを開きます。
1. 左側のナビゲーションペインで、**[サーバー]** を選択し、それから、SFTP プロトコルを使用するサーバーを選択します。
1. サーバーの詳細ページで **[サーバーホストキー]** セクションまでスクロールします。
![\[「サーバーホストキー」コンソールセクション。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/server-host-keys.png)
1. 「**ホストキーの追加**」を選択します。
**[サーバーホストキーを追加]** ページが表示されます。
1. 「**サーバーホストキー**」セクションに、クライアントが SFTP 対応サーバーを介してサーバーに接続するときにサーバーを識別するために使用する RSA、ECDSA、または ED25519 プライベートキーを入力します。
**注記**
サーバーホストキーを作成するときは、必ず `-N ""` (パスフレーズなし) を指定してください。キーペアの生成方法の詳細については、[macOS、Linux、または UNIX で SSH キーを作成する](macOS-linux-unix-ssh.md)を参照してください。
1. (オプション) 複数のサーバーホストキーを区別するための説明を追加します。キーにタグを追加することもできます。
1. **[キーの追加]** を選択します。[**Server details**] (サーバーの詳細) ページが再表示されます。
AWS Command Line Interface (AWS CLI) を使用してホストキーを追加するには、[ImportHostKey](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ImportHostKey) API オペレーションを使用して新しいホストキーを指定します。新しい SFTP 対応サーバーを作成する場合は、[CreateServer](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateServer) API オペレーションのパラメータとしてホストキーを指定します。を使用して AWS CLI 、既存のホストキーの説明を更新することもできます。
次の`import-host-key` AWS CLI コマンド例では、指定された SFTP 対応サーバーのホストキーをインポートします。
```
aws transfer import-host-key --description key-description --server-id your-server-id --host-key-body file://my-host-key
```
# サーバーのホストキーを削除する
AWS Transfer Family コンソールで、サーバーホストキーを削除できます。
**サーバーのホストキーを削除するには**
1. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) で AWS Transfer Family コンソールを開きます。
1. 左側のナビゲーションペインで、**[サーバー]** を選択し、それから、SFTP プロトコルを使用するサーバーを選択します。
1. サーバーの詳細ページで **[サーバーホストキー]** セクションまでスクロールします。
![\[「サーバーホストキー」コンソールセクション。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/server-host-keys.png)
1. 「**サーバーホストキー**」セクションでキーを選択し、「**アクション**」で「**削除**」を選択します。
1. 表示される確認ダイアログボックスで **delete** と入力し、「**Delete**」を選択してホストキーを削除することを確認します。
ホストキーが「**サーバー**」ページから削除されます。
を使用してホストキーを削除するには AWS CLI、 [https://docs.aws.amazon.com/transfer/latest/APIReference/API_DeleteHostKey](https://docs.aws.amazon.com/transfer/latest/APIReference/API_DeleteHostKey) API オペレーションを使用してサーバー ID とホストキー ID を指定します。
次の`delete-host-key` AWS CLI コマンド例では、指定された SFTP 対応サーバーのホストキーを削除します。
```
aws transfer delete-host-key --server-id your-server-id --host-key-id your-host-key-id
```
# サーバーのホストキーをローテーションする
サーバーホストキーは定期的にローテーションできます。このトピックでは、サーバーが適用するキーを選択する方法と、これらのキーをローテーションする手順について説明します。
## クライアントがサーバーホストキーを選択する方法
Transfer Family が適用するサーバーキーを選択する方法は、ここで説明するように、SFTP クライアントの条件によって異なります。古いキーと新しいキーが 1 つあることを前提としています。
+ SFTP クライアントには、サーバー用の以前のパブリックホストキーはありません。クライアントがサーバーに初めて接続すると、次のいずれかが発生します。
+ 接続が失敗するように設定されている場合、クライアントは接続に失敗します。
+ または、クライアントは使用可能なアルゴリズムに一致する最初のキーを選択し、そのキーを信頼できるかどうかをユーザーに尋ねます。その場合、クライアントは`known_hosts`ファイル (またはクライアントが信頼決定を記録するために使用するローカル設定ファイルまたはリソース) を自動更新し、そのキーを入力します。
+ SFTP クライアントには、`known_hosts`ファイルに古いキーがあります。クライアントは、新しいキーが存在する場合でも、このキーのアルゴリズムまたは別のアルゴリズムにこのキーを使用することを好みます。これは、クライアントが `known_hosts` ファイルにあるキーに対する信頼度が高いためです。
+ SFTP クライアントは、キーファイルに新しい`known_hosts`キー (使用可能なアルゴリズムのいずれか) を持っています。クライアントは古いキーを無視します。古いキーは信頼されておらず、新しいキーを使用するためです。
+ SFTP クライアントには、`known_hosts`ファイル内に両方のキーがあります。クライアントは、サーバーが提供する使用可能なキーのリストに一致するインデックスで最初のキーを選択します。
Transfer Family は、SFTP クライアントが`known_hosts`ファイル内のすべてのキーを持つことを優先します。これにより、Transfer Family サーバーに接続する際の柔軟性が最も高いためです。キーローテーションは、同じ Transfer Family サーバーの `known_hosts` ファイルに複数のエントリが存在する可能性があるという事実に基づいています。
## サーバーホストキーのローテーション手順
例えば、Transfer Family サーバーに次のサーバーホストキーのセットを追加したとします。
**サーバーホストキー**
| ホストキータイプ | サーバーに追加された日付 |
| --- | --- |
| RSA | 2020 年 4 月 1 日 |
| ECDSA | 2020 年 2 月 1 日 |
| ED25519 | 2019年12月1日 |
| RSA | 2019 年 10 月 1 日 |
| ECDSA | 2019 年 6 月 1 日 |
| ED25519 | 2019 年 3 月 1 日 |
**サーバーのホストキーをローテーションするには**
1. 新しいサーバーホストキーを追加します。この手順は、「[サーバーホストキーを追加する](server-host-key-add.md)」で説明されています。
1. 以前に追加した同じタイプのホストキーを 1 つ以上削除します。この手順は、「[サーバーのホストキーを削除する](server-host-key-delete.md)」で説明されています。
1. 前述の動作に従って、すべてのキーが表示され、アクティブにすることができます[クライアントがサーバーホストキーを選択する方法](#server-key-behavior)。
# サーバーホストキーの追加情報
ホストキーを選択すると、そのキーの詳細を表示できます。
![\[ホストキーの詳細コンソール画面。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/server-host-keys-details.png)
ホストキーは、サーバー詳細画面の「**アクション**」メニューから削除したり、説明を編集したりできます。ホストキーを選択し、メニューから適切なアクションを選択します。
![\[サーバーホストキーの「アクション」メニュー。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/server-host-keys-actions.png)
# コンソールで使用状況をモニターする
[**Server details**] (サーバーの詳細) ページでサーバーのメトリクスに関する情報を取得できます。これにより、ファイル転送のワークロードを 1 か所でモニタリングできます。一元化されたダッシュボードを使用して、パートナーと交換したファイルの数を追跡し、その詳細な使用状況を追跡できます。詳細については、「[SFTP、FTPS、FTP サーバーの詳細を表示する](configuring-servers-view-info.md)」を参照してください。Transfer Family で使用できるメトリクスの説明を次の表に示します。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/monitor-usage-transfer-console.html)
- [**Monitoring**] (モニタリング) セクションには、4 つの個別グラフが含まれています。これらのグラフには、受信バイト数、出力バイト数、受信ファイル数、出力ファイル数が表示されます。
![\[BytesIn、BytesOut、FilesIn、FilesOut の各グラフを表示するモニタリングコンソールセクション。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/metrics.png)
AS2 プロトコルが有効になっているサーバーの場合、**監視**情報の下に **AS2 監視**セクションがあります。このセクションには、受信メッセージ数 (成功と失敗の両方) の詳細が含まれています。
![\[AS2 監視 コンソールのセクションには、インバウンドメッセージとインバウンドメッセージ/失敗の詳細が表示されます。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/as2-metrics-inbound.png)
選択したグラフを独自のウィンドウで開くには、展開アイコン(![\[Expand icon\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/expand.png))を選択します。また、グラフの縦の省略記号アイコン(![\[Vertical ellipsis icon\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/vertical-ellipsis.png))をクリックすると、以下の項目を含むドロップダウンメニューを開くことができる:
+ 「**拡大**」 ー 選択したグラフを専用のウィンドウで開きます。
+ 「**リフレッシュ**」 ー 最新のデータでグラフを再読み込みします。
+ 「**メトリクスで表示する**」 ー Amazon CloudWatch の対応するメトリクスの詳細を開きます。
+ 「**ログを表示する**」 ー CloudWatch の対応するロググループを開きます。