AWS Transfer for SFTP の Workshopをやってみた

AWS Transfer for SFTP の Workshopをやってみた

#AWS Transfer Family
#AWS Transfer for SFTP
#ワークショップ
#AWS
平井裕二

平井裕二

facebook logohatena logotwitter logo
Clock Icon2023.07.24

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

AWS Transfer Familyを利用する機会があり、今までに触ったことがなかったため、Workshopをやってみました。

AWS Transfer Familyは、Amazon S3 やAmazon EFS に対してファイルを送受信できる転送サービスです。

今回利用したWorkshopは、文章は英語のみですが、Google翻訳すると、違和感なく文章を読み進めることができました。

Workshopを行う前にやること

事前に以下の動画でサービスを把握することをおすすめします。


下記記事は、Transfer Familyの設定項目や構成例を把握できるため、一読ください

Workshopで理解できること

  • AWS Transfer for SFTPサーバーの構築方法が学べます
  • クライアントPCからAWS Transfer for SFTP サーバーへのアクセスでIP制限する方法が学べます
  • 論理ディレクトリを使用して、ユーザーのアクセス制御方法が理解できます。

論理ディレクトリについては、下記の記事が分かりやすいです。

TransferFamilyの論理ディレクトリについて調べてみた
https://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/logical-dir-mappings.html

作成する構成

Workshopでは、下記の構成を作成します。

引用:https://github.com/aws-samples/aws-transfer-sftp-ip-whitelisting-workshop/tree/master

目次

  • モジュール 1
    • リソースを作成する
      • CloudFormationで、AWS Transfer for SFTP サーバー以外のリソースをデプロイします
      • AWS Transfer for SFTP サーバーを手動で作成します
  • モジュール 2
    • ユーザーを作成し、SFTP サーバー経由でS3にファイルをアップロードする
      • クライアントPCからAWS Transfer for SFTP サーバーへのアクセスでIP制限ができることをテストします
  • モジュール 3
    • 論理ディレクトリを使用して、ユーザーのアクセスを制御する
      • 複数のユーザーのアクセスを管理するため、特定のディレクトリに対して、各ユーザーごとにアクセス制限をかけます。さらに、複数のバケットにまたがるフォルダにアクセスできるユーザーを作成します
  • モジュール 4
    • リソース削除
  • オプション モジュール 5
    • VPC ピアリングを使用して内部 IP アクセスを許可する

事前準備

  • SFTPクライアントソフトをインストール
    • 私はFileZillaをインストールしました

各章の注意点やコメント

  • モジュール 1
    • CloudFormationのテンプレートは、東京リージョンが用意されておりませんでした。私はバージニアリージョンを利用しました。
    • ドキュメントには説明がなかった部分が2つありました。
      • セキュリティグループのアタッチが必要でしたので、とりあえずデフォルトセキュリティグループをアタッチしました
      • 追加の詳細を設定は、デフォルトのままです。
    • VPCエンドポイントが自動作成されておりました。SFTP サーバーとの間のすべてのネットワーク トラフィックは、このエンドポイントを経由します。

      • このエンドポイントのセキュリティグループを編集して、SFTP クライアントからのIPを許可します。
  • モジュール 2
    • 下記コマンドでSSH鍵を作成しました 
      $ ssh-keygen -P "" -f transfer-key -N ""Enter
$ cat transfer-key.pub 
ssh-rsa AAAAB3NzaC1yc
    • FileZillaの場合、以下の設定でファイルをアップロードできました。
  • モジュール 3
    • ユーザーに対してアクセス制限をするには、スクリプトを用意して実行する必要があり、不便に思いました。マネジメントコンソールからできれば便利ですね。
      • Workshopで紹介されたスクリプト自体は使い回せるので、使う機会はありそうだと思います。
    • スクリプトの実行は、CloudShell上で行うのが簡単でおすすめです。

最後に

今回は、AWS Transfer for SFTPのWorkshopをやってみました。

AWS Transfer for SFTPサーバーへのIP制限や論理ディレクトリを使用してユーザーごとのアクセス制御を理解できました。

AWS Transfer Familyで対応しているプロトコルには、FTPやFTPSなどがあり、ユーザーの管理方法も複数あるため、今後色々試してみたいと思います。

Share this article

facebook logohatena logotwitter logo

関連記事

【Security Hub修復手順】[Transfer.2]Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください

【Security Hub修復手順】[Transfer.2]Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください

User avatar
平井裕二
2024.10.22
AWS Transfer Family로 리전 간 장애 대응을 할 수 있을까?

AWS Transfer Family로 리전 간 장애 대응을 할 수 있을까?

User avatar
Kim Jaewook
2024.10.05
AWS Transfer Family를 이용해서 로컬 파일을 S3 버킷으로 전송해 봤습니다.

AWS Transfer Family를 이용해서 로컬 파일을 S3 버킷으로 전송해 봤습니다.

User avatar
Kim Jaewook
2024.09.25
AWS Transfer Family のサーバー状態を監視する Lambda 関数を作成してみた

AWS Transfer Family のサーバー状態を監視する Lambda 関数を作成してみた

User avatar
片方 裕人
2024.06.05
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.