TransferFamilyの論理ディレクトリについて調べてみた
お久しぶりです。新卒の南です。 今回は案件でAWS Transfer Familyを使う機会がありました。
今回は機能の一つである論理ディレクトリに関してまとめられている記事が少なかったので、解説していきます。
論理ディレクトリとは?
論理ディレクトリを使用することでストレージ階層内の目的の場所にユーザーのルートディレクトリを設定できます。
chrootコマンドみたいな感じですね。
この機能を使うことによってSFTPサーバのディレクトリ構造を簡素化することができ、自由に仮想ディレクトリ構造を構築できます。
論理ディレクトリを利用するメリット
S3バケット名を隠すことができる
第一のメリットとして、サーバーを利用するユーザーがS3バケット名を気にすることなく利用することが出来ます。
classmethodというS3バケットに対してSFTPサーバーを設定し、cm-minamiというホームディレクトリを設定した場合、ユーザーには
論理ディレクトリを使わない場合 $ pwd /classmethod/cm-minami
といった感じで表示がされますが、論理ディレクトリを使うことでS3バケット名を隠すことができます。
論理ディレクトリを使った場合 $ pwd /
また、スコープダウンポリシーによって
/classmethod/cm-minami
でアクセス制御されている場合、cd ..コマンドで上位の階層に移動してしまった際、Permission deniedになってしまいます。
そうなってしまった場合、ユーザーは一度ログアウトして再びログインしなければなりませんが、論理ディレクトリを利用することでこの状況が発生するのを防止できます。
論理ディレクトリを使わない場合 $ pwd /classmethod/cm-minami $ cd .. $ pwd /classmethod $ ls Couldn't read directory: Permission denied
論理ディレクトリを使った場合 $ pwd / $ cd .. $ pwd / $ ls #cm-minami以下のファイルが表示される
ここからはあまり知られていない隠れたメリットになります。(個人的にはこっち方がメインのメリットな気が)
複数のS3バケットを組み合わせることができる
論理ディレクトリを利用することで、S3バケットの任意の場所にあるターゲットと組み合わせて独自のディレクトリ構造を作成することができます。
設定の際は実際に論理ディレクトリで表示させたいエントリーと任意のS3バケットの場所のターゲットをペアで設定することになります。
こちらのような構成の場合、以下のようなエントリーとターゲットの組み合わせとなります。
[ {"Entry": "/archive", "Target": "/bucketA/pics"}, {"Entry": "/projectX", "Target": "/bucketB/PROJECTX"}, {"Entry": "/projectY", "Target": "/bucketB/project_y"}, {"Entry": "/projectZ", "Target": "/bucketC/projectZ/projectZ-v2"} ]
S3のアクセスポイントも利用可能
S3 アクセスポイントで、バケット名形式のエイリアス(別名)が利用可能になったことで、こちらもターゲットとして指定することが可能となりました!
これにより細かいアクセス制御も簡単になります。
詳細については次回のブログをお待ちください。
論理ディレクトリの設定方法
現時点(2022/08/19)でマネジメントコンソール上では論理ディレクトリを設定することができません。 AWSCLIもしくはCloudformationを利用する必要があります。
今回はAWS CLIを使った方法を紹介します。
SFTPサーバーや必要なIAMロール周りは以下のCfnテンプレートを参考ください。
AWSTemplateFormatVersion: '2010-09-09' Resources: #S3バケットの作成 HomeS3bucketA: Type: AWS::S3::Bucket Properties: VersioningConfiguration: Status: Enabled BucketName: !Join - '-' - - 'sample-bucket-a' - !Ref 'AWS::AccountId' HomeS3bucketB: Type: AWS::S3::Bucket Properties: VersioningConfiguration: Status: Enabled BucketName: !Join - '-' - - 'sample-bucket-b' - !Ref 'AWS::AccountId' HomeS3bucketC: Type: AWS::S3::Bucket Properties: VersioningConfiguration: Status: Enabled BucketName: !Join - '-' - - 'sample-bucket-c' - !Ref 'AWS::AccountId' #S3アクセス用のIAM Role作成 SFTPRole: Type: AWS::IAM::Role #DeletionPolicy: Retain Properties: RoleName: "sample-sftp-role" AssumeRolePolicyDocument: Version: "2012-10-17" Statement: - Effect: "Allow" Principal: Service: - "transfer.amazonaws.com" Action: - "sts:AssumeRole" SFTPPolicy: Type: 'AWS::IAM::Policy' #DeletionPolicy: Retain Properties: PolicyName: "sample-sftp-policy" PolicyDocument: Statement: - Effect: Allow Action: - s3:ListBucket - s3:GetBucketLocation Resource: - !GetAtt HomeS3bucketA.Arn - !GetAtt HomeS3bucketB.Arn - !GetAtt HomeS3bucketC.Arn - Effect: Allow Action: - s3:PutObject - s3:GetObject - s3:DeleteObjectVersion - s3:DeleteObject - s3:GetObjectVersion Resource: -!Join - '' - - 'arn:aws:s3:::' - !Ref HomeS3bucketA - /* -!Join - '' - - 'arn:aws:s3:::' - !Ref HomeS3bucketB - /* -!Join - '' - - 'arn:aws:s3:::' - !Ref HomeS3bucketC - /* Roles: - !Ref SFTPRole #ログ書き込み用のIAM Role作成 SFTPLogRole: Type: AWS::IAM::Role #DeletionPolicy: Retain Properties: RoleName: "sample-sftp-log-role" AssumeRolePolicyDocument: Version: '2012-10-17' Statement: - Effect: Allow Principal: Service: transfer.amazonaws.com Action: sts:AssumeRole SFTPLogPolicy: Type: 'AWS::IAM::Policy' #DeletionPolicy: Retain Properties: PolicyName: "sample-sftp-log-policy" PolicyDocument: Statement: - Effect: Allow Action: - logs:CreateLogStream - logs:DescribeLogStreams - logs:CreateLogGroup - logs:PutLogEvents Resource: '*' Roles: - !Ref SFTPLogRole #SFTP Serverの作成 SFTPServer: Type: AWS::Transfer::Server #DeletionPolicy: Retain Properties: EndpointType: PUBLIC IdentityProviderType: SERVICE_MANAGED LoggingRole: !GetAtt SFTPLogRole.Arn SecurityPolicyName: TransferSecurityPolicy-2020-06
ユーザの作成
今回はこちらの構成で作成してみます。
Keyを作成していない場合はssh-keygenで作成しておきます。
aws transfer create-user --server-id="s-XXXXXXXXXXXXXXXXXXX" --user-name="cm-minami" --role="arn:aws:iam::XXXXXXXXXXXXXXX:role/" --ssh-public-key-body="`cat ~/.ssh/id_rsa.pub`" --home-directory-type LOGICAL --home-directory-mapping ‘[ {"Entry": "/archive", "Target": "/bucketA/pics"}, {"Entry": "/projectX", "Target": "/bucketB/PROJECTX"}, {"Entry": "/projectY", "Target": "/bucketB/project_y"}, {"Entry": "/projectZ", "Target": "/bucketC/projectZ/projectZ-v2"} ]’
このユーザーでログインすると、/archive, /projectX, /projectY, /projectZ があるルートディレクトリに移動します。
$ pwd / $ ls archive projectX projectY projectZ
注意点
- エントリーが「/」の場合、重複するパスは設定できない為マッピングを1つしか設定できません。
- ターゲットに異なるS3バケットを指定する際はIAMロールで各S3バケットに対する許可が必要になります。
- 論理ディレクトリを設定する場合はホームディレクトリ(HomeDirectoryパラメータ)を指定することはできません。
最後に
論理ディレクトリを利用することで、ユーザーによって細かいアクセス制御を行いたい場合に便利になります。 個人的にはコンソール画面で論理ディレクトリを設定出来れば嬉しいのですが、現状APIでのみ設定可能なのでアップデートに期待ですね!