AWS Transfer Family のプロトコルをFTPS 、ユーザー管理をカスタム ID プロバイダーで構築してみた

AWS Transfer Family のプロトコルをFTPS 、ユーザー管理をカスタム ID プロバイダーで構築してみた

#AWS Transfer Family
#AWS
#AWS Lambda
平井裕二

平井裕二

facebook logohatena logotwitter logo
Clock Icon2023.08.18

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

AWS Transfer Familyで、プロトコルがFTPS、ユーザー管理をカスタムIDプロバイダーの場合、構築方法を記事としてまとめました。

各設定は下記の通りです。

  • ユーザー管理
    • カスタムIDプロバイダー(Lambdaのみ)
  • プロトコル
    • FTPS
  • エンドポイントタイプ
    • VPC(インターネット向け)

ただし、プロトコルは、可能な限りSFTPを利用しましょう。

Transfer Familyの基本的な設定などは、下記をご参照下さい。

事前準備

以下を事前に用意しておきます。

  • VPCとパブリックサブネット
  • Elastic IPを2つ
  • S3バケットを作成
  • Route53のパブリックホストゾーンでxxxx.siteを登録
    • 別のDNS管理サーバーを使用してもよいです。
  • FTPSの証明書として利用するACMを作成
    • *.xxxx.sitexxxx.siteで登録

事前に作成しておく構成は、以下の通りです。

完成構成図

作成するリソースは、以下の通りです。

  • Transfer FamilyのVPCエンドポイントにアタッチするセキュリティグループ
  • Transfer FamilyがS3バケットにアクセスするためのIAMロール
  • Transfer Familyのユーザー認証用のLambda
  • Transfer Family

セキュリティグループを作成

Transfer Familyを作成する時、VPCエンドポイントにアタッチするセキュリティグループが必要なため、事前に作成します。

Transfer FamilyのFTPSサーバーは、ポート21(コントロールチャネル)とポート範囲8192〜8200(データチャネル)を利用するため、開けておきます。

0.0.0.0/0の全開放ではなく、可能であれば、特定のIPのみに限定しましょう。

IAMロール作成

Transfer FamilyがS3バケットにアクセスするためのIAMロールを作成します。

AmazonS3FullAccessポリシーをアタッチしたTransferを信頼するロールを作成します。

名前をTransfer-Family-Roleとしました。

Lambdaを作成

Transfer Familyのユーザー管理は、今回カスタムIDプロバイダー を利用するため、認証用のLambdaを作成します。

本来であれば、SecretManagerを利用する方がよいですが、今回は検証のため、Lambdaのコード内にユーザー情報を入れます。

実行ロールを基本的な Lambda アクセス権限で新しいロールを作成にし、ランタイムはPython 3.11で作成します。

コードは下記の通りの最小コードにしています。あくまでもサンプルコードとご認識ください。IAMロールのARNは、各々変えてください。

def lambda_handler(event, context):
    if event["username"] == "class" and event["password"] == "method":
        return { 'Role': 'arn:aws:iam::アカウントID:role/Transfer-Family-Role' }
    return {}

処理としては、ユーザー情報を判定し、作成するTransfer Familyにロール情報を渡しています。

後ほど、Transfer FamilyがLambdaを呼ぶための権限をLambdaに設定しますが、Transfer FamilyのARNが必要なため、Transfer Family作成後に行います。

Transfer Familyの構築

Transfer Familyのサーバーを構築します。

プロトコルはFTPSを選択します。

[カスタムIDプロバイダー]では、先程作成したLambdaを選択します。

エンドポイントは、VPCのインターネット向けを選択します。

カスタムホスト名は、sftp.xxxx.siteとしました。

sftpというのは、SFTPでも利用したため、この名前になっております。本来は、ftpsの方がよかったですね。

先程作成したセキュリティグループを選択します。

ドメインはS3を選択します。

詳細設定はデフォルトのままで作成します。

Route53に自動設定

Transfer Familyが作成されますと、Route53では自動的に新しいホストゾーンとCNAMEレコードが追加されます。

このCNAMEレコードの値は、Transfer Familyのエンドポイント名で、CNAMEは、Transfer Familyのカスタムホスト名です。

Lambdaのアクセス権限設定

Transfer FamilyがLambdaを呼ぶための権限をLambdaに設定します。

Lambdaのリソースベースポリシーステートメントからアクセス権限を追加をクリックします。

下記の用に入力します

  • ステートメントID(一意であればよい)
    • transferfamily-GetUserConfigLambdaPermission
  • プリンシパル
    • transfer.amazonaws.com
  • ソースのARN(作成したTransfer FamilyのARN)
    • arn:aws:transfer:ap-northeast-1:アカウントID:server/s-c4b3a3d676f24fb6b
  • アクション
    • lambda:InvokeFunction

テスト

Lambdaのコード内のユーザー情報を入力します。送信元IPは、セキュリティグループのインバウンドルールを特定のIPにしている場合は、その値にしましょう。

下記は成功したときの応答です。

下記は失敗したときの応答です。

接続してみる

PC(MacBook)のクライアントソフトウェアとして、FileZiilaを利用します。

暗号化は、明示的なFTP over TLSが必要、ポートは21に接続します。

下記の応答があれば、成功です。S3バケットにファイル転送できます。

参考

Share this article

facebook logohatena logotwitter logo

関連記事

【Security Hub修復手順】[Transfer.2]Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください

【Security Hub修復手順】[Transfer.2]Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください

User avatar
平井裕二
2024.10.22
AWS Transfer Family로 리전 간 장애 대응을 할 수 있을까?

AWS Transfer Family로 리전 간 장애 대응을 할 수 있을까?

User avatar
Kim Jaewook
2024.10.05
AWS Transfer Family를 이용해서 로컬 파일을 S3 버킷으로 전송해 봤습니다.

AWS Transfer Family를 이용해서 로컬 파일을 S3 버킷으로 전송해 봤습니다.

User avatar
Kim Jaewook
2024.09.25
AWS Transfer Family のサーバー状態を監視する Lambda 関数を作成してみた

AWS Transfer Family のサーバー状態を監視する Lambda 関数を作成してみた

User avatar
片方 裕人
2024.06.05
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.