組織ガバナンスの IAM 条件キー

AWS Transfer Family には、任意の IAM ポリシーでリソース設定を制限できる IAM 条件キーが用意されています。これらの条件キーは、ユーザーまたはロールにアタッチされたアイデンティティベースのポリシー、または組織ガバナンスのためのサービスコントロールポリシー (SCPsで使用できます。

サービスコントロールポリシーは、 AWS 組織全体に適用される IAM ポリシーであり、複数のアカウントにわたって予防的ガードレールを提供します。SCPs で使用すると、これらの条件キーは組織全体でセキュリティ要件とコンプライアンス要件を適用するのに役立ちます。

以下の資料も参照してください。

Transfer Family のアクション、リソース、および条件キー
サービスコントロールポリシー (SCP)
サービスコントロールポリシーを使用して予防ガードレールを適用する方法を説明する動画

使用可能な条件キー

AWS Transfer Family では、IAM ポリシーで使用できる以下の条件キーがサポートされています。

transfer:RequestServerEndpointType: エンドポイントタイプ (PUBLIC、VPC、VPC_ENDPOINT) に基づいてサーバーの作成と更新を制限します。一般に、パブリック向けエンドポイントの防止に使用されます。
transfer:RequestServerProtocols: サポートされているプロトコル (SFTP、FTPS、FTP、AS2) に基づいてサーバーの作成と更新を制限します。
transfer:RequestServerDomain: ドメインタイプ (S3、EFS) に基づいてサーバーの作成を制限します。
transfer:RequestConnectorProtocol: プロトコル (AS2、SFTP) に基づいてコネクタの作成を制限します。

サポートされているアクション

条件キーは、次の AWS Transfer Family アクションに適用できます。

CreateServer: RequestServerEndpointType、RequestServerProtocols、および RequestServerDomain条件キーをサポート
UpdateServer: RequestServerEndpointTypeおよび RequestServerProtocols条件キーをサポート
CreateConnector: RequestConnectorProtocol条件キーをサポート

SCP ポリシーの例

次の SCP の例では、組織全体でのパブリック AWS Transfer Family サーバーの作成を防止します。


{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "DenyPublicTransferServers",
        "Effect": "Deny",
        "Action": ["transfer:CreateServer", "transfer:UpdateServer"],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "transfer:RequestServerEndpointType": "PUBLIC"
            }
        }
    }]
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ID とアクセスのトラブルシューティング

コンプライアンス検証