翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
SFTP、FTPS、または FTP サーバーエンドポイントの設定
このトピックでは、1 つ以上の SFTP、FTPS、および FTP プロトコルを使用する AWS Transfer Family サーバーエンドポイントの作成と使用について詳しく説明します。
トピック
ID プロバイダーオプション
AWS Transfer Family には、ユーザーを認証および管理するためのいくつかの方法が用意されています。次の表は、Transfer Family で使用できる ID プロバイダを比較したものです。
| アクション | AWS Transfer Family サービスマネージド | AWS Managed Microsoft AD | Amazon API Gateway | AWS Lambda |
|---|---|---|---|---|
| サポートされるプロトコル | SFTP | SFTP、FTPS、FTP | SFTP、FTPS、FTP | SFTP、FTPS、FTP |
|
SAML ベースの認証 |
あり |
なし |
あり |
あり |
|
パスワード認証 |
なし |
あり |
あり |
あり |
|
AWS Identity and Access Management (IAM) と POSIX |
はい |
あり |
あり |
あり |
|
論理ホームディレクトリ |
はい |
あり |
あり |
あり |
| パラメータ化されたアクセス(ユーザー名ベース) | はい | あり | あり | あり |
|
アドホックアクセス構造 |
あり |
なし |
あり |
あり |
|
AWS WAF |
なし |
なし |
あり |
なし |
注記:
-
IAM は Amazon S3 バッキングストレージへのアクセスを制御するために使用され、POSIX は Amazon EFS に使用されます。
-
アドホックとは、実行時にユーザープロファイルを送信する機能のことです。たとえば、ユーザー名を変数として渡すことで、ユーザーをホームディレクトリに配置できます。
-
詳細については AWS WAF、「」を参照してくださいウェブアプリケーションファイアウォールを追加する。
-
Transfer Family ID プロバイダーとして Microsoft Entra ID (以前の Azure AD) と統合された Lambda 関数の使用について説明するブログ記事があります。詳細については、「Azure Active Directory AWS Transfer Family を使用した への認証」および AWS Lambda
「」を参照してください。 -
カスタム ID プロバイダーを使用する Transfer Family サーバーをすばやくデプロイするための AWS CloudFormation テンプレートがいくつか用意されています。詳細については、「Lambda 関数のテンプレート」を参照してください。
以下の手順では、SFTP 対応サーバー、FTPS 対応サーバー、FTP 対応サーバー、または AS2 対応サーバーを作成できます。
次のステップ
AWS Transfer Family エンドポイントタイプのマトリックス
Transfer Family サーバーを作成する際には、使用するエンドポイントのタイプを選択します。以下の表は、各エンドポイントタイプの特性を説明しています。
| 特徴 | Public | VPC-インターネット | VPC-インターナル | VPC_エンドポイント (非推奨) |
|---|---|---|---|---|
| サポートされるプロトコル | SFTP | SFTP, FTPS, AS2 | SFTP, FTP, FTPS, AS2 | SFTP |
| アクセス | インターネット経由で。このエンドポイント タイプでは、VPC に特別な構成は必要ありません。 | インターネット経由、VPC 内、または AWS Direct Connect VPN 経由のオンプレミスデータセンターなどの VPC 接続環境内。 | AWS Direct Connect または VPN 経由のオンプレミスデータセンターなど、VPC および VPC 接続環境内から。 | AWS Direct Connect または VPN 経由のオンプレミスデータセンターなど、VPC および VPC 接続環境内から。 |
| 静的 IP アドレス | 静的 IP アドレスをアタッチすることはできません。 は、変更される可能性のある IP アドレス AWS を提供します。 |
Elastic IP アドレスをエンドポイントに接続できます。 AWS所有の IP アドレスまたは(「独自の IP アドレス (Bring your own IP address) を使用できます」)。エンドポイントに接続されている Elastic IP アドレスは変更されません。 サーバーに接続されているプライベート IP アドレスも変更されません。 |
エンドポイントに接続されているプライベート IP アドレスは変更されません。 | エンドポイントに接続されているプライベート IP アドレスは変更されません。 |
| 送信元 IP 許可リスト |
このエンドポイント タイプは、送信元 IP アドレスによる許可リストをサポートしません。 エンドポイントはパブリックにアクセスでき、ポート 22 経由のトラフィックをリッスンします。 注記VPC がホストするエンドポイントの場合、SFTP Transfer Family サーバーはポート 22 (デフォルト)、2222、2223、または 22000 で動作できます。 |
送信元 IP アドレスによるアクセスを許可するには、サーバー エンドポイントに接続されているセキュリティ グループと、エンドポイントが存在するサブネットに接続されているネットワーク ACL を使用できます。 |
送信元 IP アドレスによるアクセスを許可するには、サーバー エンドポイントにアタッチされているセキュリティ グループと、エンドポイントが存在するサブネットにアタッチされているネットワーク アクセス コントロール リスト (ネットワーク ACL) を使用できます。 |
送信元 IP アドレスによるアクセスを許可するには、サーバー エンドポイントに接続されているセキュリティ グループと、エンドポイントが存在するサブネットに接続されているネットワーク ACL を使用できます。 |
| クライアントファイアウォールの許可リスト |
サーバーの DNS 名を許可する必要があります。 IP アドレスは変更される可能性があるため、クライアント ファイアウォールの許可リストに IP アドレスを使用することは避けてください。 |
サーバーの DNS 名、またはサーバーに接続されている Elastic IP アドレスを許可できます。 |
エンドポイントのプライベート IP アドレスまたは DNS 名を許可できます。 |
エンドポイントのプライベート IP アドレスまたは DNS 名を許可できます。 |
| IP アドレスタイプ | IPv4 (デフォルト) またはデュアルスタック (IPv4 および IPv6) | IPv4 のみ (デュアルスタックはサポートされていません) | IPv4 (デフォルト) またはデュアルスタック (IPv4 および IPv6) | IPv4 のみ (デュアルスタックはサポートされていません) |
注記
このエンドポイント VPC_ENDPOINT タイプは現在非推奨となっており、新しいサーバーの作成には使用できません。を使用する代わりにEndpointType=VPC_ENDPOINT、VPC エンドポイントタイプ (EndpointType=VPC) を使用します。このタイプは、前の表で説明されているように、内部フェーシングまたはインターネットフェーシングとして使用できます。
-
非推奨の詳細については、「」を参照してくださいVPC_ENDPOINT のサポート終了。
-
VPC エンドポイントのアクセス許可の管理については、「」を参照してくださいTransfer Family サーバーの VPC エンドポイントアクセスの制限。
AWS Transfer Family サーバーのセキュリティ体制を強化するには、次のオプションを検討してください。
-
VPC エンドポイントを内部アクセスで使用して、サーバーが VPC 内のクライアント、または AWS Direct Connect や VPN 経由のオンプレミスデータセンターなどの VPC 接続環境にのみアクセスできるようにします。
-
クライアントがインターネット経由でエンドポイントにアクセスできるようにし、サーバーを保護するには、インターネットに接続されたアクセスを持つ VPC エンドポイントを使用します。次に、ユーザーのクライアントをホストする特定の IP アドレスからのトラフィックのみを許可するように VPC のセキュリティ グループを変更します。
-
パスワード ベースの認証が必要で、サーバーでカスタム ID プロバイダーを使用している場合は、パスワード ポリシーでユーザーが弱いパスワードを作成できないようにし、ログイン試行の失敗回数を制限することがベスト プラクティスです。
AWS Transfer Family はマネージドサービスであるため、シェルアクセスは提供されません。基盤となる SFTP サーバーに直接アクセスして、Transfer Family サーバー上で OS ネイティブ コマンドを実行することはできません。
-
内部アクセスのある VPC エンドポイントの前で Network Load Balancer を使用します。ロード バランサーのリスナー ポートをポート 22 から別のポートに変更します。これにより、ポート 22 がスキャンに最も一般的に使用されるため、ポート スキャナーやボットがサーバーを調査するリスクは軽減されますが、排除されるわけではありません。詳細については、ブログ記事「Network Load Balancer がセキュリティグループをサポートするようになりました
」を参照してください。 注記
Network Load Balancer を使用する場合、 AWS Transfer Family CloudWatch ログには、実際のクライアント IP アドレスではなく、NLB の IP アドレスが表示されます。
FTP および FTPS Network Load Balancer に関する考慮事項
AWS Transfer Family サーバーの前に Network Load Balancer を配置しないことをお勧めしますが、FTP または FTPS 実装でクライアントからの通信ルートに NLB または NAT が必要な場合は、次の推奨事項に従ってください。
-
NLB の場合は、ポート 8192-8200 の代わりにポート 21 をヘルスチェックに使用します。
-
AWS Transfer Family サーバーで、 を設定して TLS セッションの再開を有効にします
TlsSessionResumptionMode = ENFORCED。注記
これはセキュリティを強化するため、推奨モードです。
-
クライアントは、後続の接続に TLS セッションの再開を使用する必要があります。
-
一貫した暗号化パラメータを確保することで、より強力なセキュリティ保証を提供します。
-
ダウングレード攻撃の可能性を防ぐのに役立ちます。
-
パフォーマンスを最適化しながら、セキュリティ標準への準拠を維持します。
-
-
可能であれば、NLB の使用から移行して、パフォーマンスと接続制限を最大限に活用 AWS Transfer Family します。
NLB の代替方法に関する追加のガイダンスについては、 AWS サポートを通じて AWS Transfer Family 製品管理チームにお問い合わせください。セキュリティ体制の改善の詳細については、ブログ記事AWS Transfer Family 「サーバーのセキュリティを向上させるための 6 つのヒント
NLBs「」を参照してくださいNLBsと NATs をサーバーの前に AWS Transfer Family 配置しない。
