![[レポート] AWS Transfer Family Web AppsとVPCエンドポイントでS3へのセキュアなブラウザアクセスを実現するセッションに参加しました #AWSreInvent #STG220](https://images.ctfassets.net/ct0aopd36mqt/4pUQzSdez78aERI3ud3HNg/fe4c41ee45eccea110362c7c14f1edec/reinvent2025_devio_report_w1200h630.png?w=3840&fm=webp)
[レポート] AWS Transfer Family Web AppsとVPCエンドポイントでS3へのセキュアなブラウザアクセスを実現するセッションに参加しました #AWSreInvent #STG220
はじめに
皆様こんにちは、あかいけです。
AWS re:Invent 2025に参加しており、
「Private and secure web browser-based access to your data in S3」というセッションを聞いてきました。
S3にデータを保存している企業は多いと思いますが、技術者ではないユーザーがそのデータに簡単にアクセスする方法って意外と悩ましいですよね。
S3コンソールを使わせるのはハードルが高いし、カスタムソリューションを構築するのはコストがかかる…。
このセッションではそんなお悩みを解決する一つの方法として、AWS Transfer Family Web Appsを使って、ノーコードでブラウザベースのS3アクセスを実現する方法と、新しく対応したVPCエンドポイントについて解説されていたので、その内容をまとめてみました。
セッション概要
タイトル
[NEW LAUNCH] Private and secure web browser-based access to your data in S3 (STG220)
概要
Learn how AWS Transfer Family web apps provide a no-code, fully managed solution that enables non-technical users to securely access and share data stored in Amazon S3. We'll explore how this browser-based interface simplifies file transfers for your workforce, partners, and customers—no client software required. We'll also highlight our newest feature: VPC endpoint support for private access, further enhancing security controls. Whether you're modernizing legacy file transfer systems, centralizing data sharing across your organization, or building secure collaboration workflows with external partners, you'll learn how Transfer Family web apps can simplify secure file access while maintaining enterprise-grade security.
AWS Transfer Family ウェブアプリが、コード不要のフルマネージドソリューションを提供することで、技術に詳しくないユーザーでも Amazon S3 に保存されたデータに安全にアクセスし、共有できるようにする方法を学びます。このブラウザベースのインターフェースが、クライアントソフトウェアを必要とせずに、従業員、パートナー、そして顧客によるファイル転送をいかに簡素化するかを探ります。また、セキュリティ制御をさらに強化する、プライベートアクセスのための VPC エンドポイントサポートという最新機能についても紹介します。従来のファイル転送システムを近代化する場合、組織全体でデータ共有を一元化する場合、あるいは外部パートナーとの安全なコラボレーションワークフローを構築する場合でも、Transfer Family ウェブアプリが、エンタープライズグレードのセキュリティを維持しながら、安全なファイルアクセスをいかに簡素化できるかを学びます。
スピーカー
- Ed Laura (Senior Solutions Architect, AWS)
セッション情報
- レベル: 200 - Intermediate
- セッションタイプ: Lightning talk
- トピック: Storage
- 関連サービス: AWS Transfer Family
セッション内容
アジェンダ
セッションは以下の流れで構成されていました。
- Overview: AWS Transfer Family Web Appsの概要
- Demo: エンドユーザー体験のデモ
- New Features: 新機能(VPCエンドポイントサポート)
- Additional Resources: 追加リソースの紹介
解決したい課題
セッションの冒頭では、多くの企業が直面している課題が紹介されました。
The problem(課題)
顧客はS3に保存されたデータに対して、人間のユーザー(特に非技術者)が簡単にアクセスできるシンプルなインターフェースを必要としています。
従来の課題
- 厳格なセキュリティ要件: セキュアなソリューションが必要
- 高額なソリューション: 代替手段はコストがかかることが多い
- カスタムソリューションの構築: 独自開発は手間とコストがかかる
AWS Transfer Familyの全体像
AWS Transfer Familyは、モジュール式のマネージドファイル転送(MFT)機能を提供しています。
3つの主要コンポーネント
- File transfer servers: SFTPクライアントからの接続を受け付けるサーバー
- File transfer connectors: リモートSFTPサーバーへのファイル送受信を行うコネクタ
- Web UI: 人間のユーザー向けのブラウザベースインターフェース(今回のメイン)
これらすべてがAmazon S3バケットと連携し、イベント駆動型のワークフローを構築できます。
主な特徴
- 柔軟なID連携: 様々なIDプロバイダーと統合可能
- ファイル処理の自動化: イベントトリガーによる自動処理
- AWSサービスとの統合: AI、分析、データベースなど各種AWSサービスと連携
AWS Transfer Family Web Apps
Transfer Family Web Appsの特徴は以下の通りです。
- シンプルなブラウザ体験: 使いやすいブラウザベースのインターフェース
- 簡単な設定: ノーコードで構成可能
- 企業ブランドでカスタマイズ可能: 会社のロゴやカスタムURLを設定可能
- コンプライアンス対応: HIPAA、FedRAMPなどの規制に準拠
デモ: エンドユーザー体験
セッションでは、実際のWeb Appsのデモが行われました。
ログイン画面
ユーザーはIDプロバイダー(Active Directoryなど)の認証情報を使用してログインします。普段使い慣れたユーザー名とパスワードでそのままアクセスできるのがポイントです。
Read/Writeユーザーの画面
Read/Write権限を持つユーザーは以下のような操作が可能です。
- ディレクトリの閲覧と検索
- フォルダの作成
- ファイルのアップロード(ドラッグ&ドロップ対応)
- ファイルのダウンロード
- ファイルの移動・コピー
ブラウザからネイティブにフォルダを作成したり、ファイルをアップロードしたりできます。
複数ファイルの一括アップロードも可能で、既存ファイルの上書きオプションも用意されています。
新しいフォルダの作成も非常にシンプルです。
Read-Onlyユーザーの画面
グループによってアクセス権限を制御できます。この例では「Financial Analyst」として読み取り専用でログインしており、アクセスできるフォルダが限定されています。
- ファイルのダウンロードは可能
- フォルダの作成やファイルのアップロードは不可
- アクセス可能なデータのみ表示される
ユースケース
Workforce sharing(社内共有)
グローバルな従業員に対して、シームレスにアクセスをスケールできます。
Partner Sharing(パートナー共有)
外部パートナーとのデータ共有を、ディレクトリで一元管理できます。
セットアップ方法
Web Appsのセットアップは3ステップで完了します。
- IAM Identity Centerでユーザー認証を設定: 既存のIdentity Centerインスタンスに接続、または新規作成
- S3 Access Grantsでユーザーアクセスを定義: どのユーザーグループがどのデータにアクセスできるかを制御
- Transfer Familyでウェブアプリを作成・デザイン: コード不要でアプリを作成し、公開エンドポイントを取得
アーキテクチャ
構成要素は以下の通りです。
- エンドユーザーは各種IDプロバイダー(Ping Identity、Microsoft Entra ID、Okta、CyberArk、OneLogin、JumpCloud、Active Directoryなど)で認証
- AWS IAM Identity Centerを経由
- S3 Access Grantsでアクセス制御
- Amazon S3にデータを保存
新機能: VPCエンドポイントのサポート
今回のセッションで紹介された新機能が、VPCエンドポイントのサポートです。
これによりAWS Transfer Family Web Appへのセキュアでプライベートなアクセスを実現します。
メリット
- 承認されたネットワークからのアクセス制御: 企業ネットワークやVPNからの接続ユーザーのみにアクセスを制限
- セキュリティ・規制要件への準拠: 機密データの取り扱いに関するセキュリティおよび規制要件に対応
- 承認されたクライアントIPからのアクセスのみ許可: セキュリティを強化するため、承認済みIPアドレスからのアクセスのみを許可
パブリック/プライベートアクセスの選択
VPCエンドポイントの導入により、2つのアクセスオプションが選択可能になりました。
パブリックインターネット経由
従来通り、インターネット経由でWeb Appsにアクセスする方法です。認証済みユーザーであれば、どこからでもアクセス可能です。
VPN/Direct Connect経由(プライベートアクセス)
VPCエンドポイントを使用して、社内ネットワークからのみアクセスを許可する方法です。
- VPNまたはDirect Connect経由で接続
- VPC内にセキュリティグループとVPCエンドポイントを配置
- インターネットに公開されないため、よりセキュアな環境を実現
これにより、内部ユーザー向けにはプライベートアクセスを、外部パートナー向けにはパブリックアクセスを、というように柔軟な構成が可能になります。
まとめ
- Transfer Family Web Apps: ノーコードでS3へのブラウザアクセスを実現するフルマネージドソリューション
- シンプルなエンドユーザー体験: 技術者でないユーザーでも直感的に操作可能
- 柔軟なアクセス制御: グループベースでRead/Write権限を細かく制御
- VPCエンドポイントサポート(New): プライベートネットワークからのセキュアなアクセスを実現
- 多様なIDプロバイダー統合: Active Directory、Okta、Ping Identityなど主要なIdPと連携
セッションで印象的だったのは上記の点であり、S3にデータを保存していて、非技術者にも安全にデータを共有したいというニーズがある場合、Transfer Family Web Appsは非常に有効な選択肢だと感じました。
特にVPCエンドポイントサポートの追加により、より厳格なセキュリティ要件を持つエンタープライズでも採用しやすくなったのではないでしょうか。
さいごに
以上、「Private and secure web browser-based access to your data in S3」のセッションレポートでした。
カスタムソリューションを構築せずに、S3のデータを非技術者と安全に共有できるのは魅力的ですね。
またVPCエンドポイントサポートの追加により、セキュリティ面でも選択肢が広がりました。
この記事が皆様のファイル共有システムの検討時に参考になれば幸いです。
