フルマネージド型の Amazon S3 ファイル転送用の AWS Transfer Family ウェブアプリケーションの発表

12 月 1 日は、最新の AWS Transfer Family リソースである AWS Transfer Family ウェブアプリケーションをご紹介します。認証されたユーザーが特定の Amazon Simple Storage Service (Amazon S3) バケット内のファイルを一覧表示、アップロード、ダウンロード、コピー、削除できるようにする、フルマネージドノーコードウェブアプリケーションを作成できます。組織内外の非デベロッパーの Line Of Business ユーザーは、デスクトップクライアント、スクリプト、付箋に書かれた消えかかっている指示、またはローカル IT のヘルプを必要とせずに、ファイルデータを簡単に交換できます。

ウェブアプリケーション管理者は、認証、アクセス、および許可を完全に制御でき、ページタイトルとファビコンを使用してウェブアプリケーションをカスタマイズできます。このブログ記事を書いている間に作成したウェブアプリケーションを次に示します:

ファイルをクリックしてダウンロードしたり、フォルダをクリックして開いたり、列をクリックして並べ替えたりできます。縦の三点リーダーのメニューには、追加のオプションがあります:

各ウェブアプリケーションは、最大 160 GiB のファイルのアップロードとダウンロードをサポートし、大きなファイルにはマルチパートアップロードを使用します。ファイルは、TLS によって保護された HTTPS 接続を介して転送され、自動再試行と CRC32 エンドツーエンド完全性チェックが行われます。

Transfer Family ウェブアプリケーションのすべて
独自のウェブアプリケーションを作成する方法をわずか 1 分ほどでご説明します。しかし、まずは重要な機能と利点をいくつか見てみましょう…

セキュリティ – Transfer Family ウェブアプリケーションは AWS IAM アイデンティティセンターを使用するため、既存の SAML または OIDC ID プロバイダー、または組み込みの Identity Store を使用できます。いずれの場合でも、S3 Access Grants を使用すると、ファイルの表示、ダウンロード、削除、アップロード、およびディレクトリの作成が許可されているユーザーとグループを完全にきめ細かく制御できます。また、組織は、AWS Transfer Family の SOC、PCI DSS、FedRAMP、HIPAA などのプログラムへのコンプライアンスの恩恵も享受できます。

カスタマイズ – 各 Transfer Family ウェブアプリケーションをページタイトルとファビコンでカスタマイズできます。また、ウェブアプリケーションの前に Amazon CloudFront ディストリビューションを配置し、HTTPS アクセスとパブリック証明書を使用してカスタムドメイン名でホストすることもできます。

AWS エコシステム – Transfer Family ウェブアプリケーションは AWS でホストされるため、スケーラブルで可用性に優れています。すべてのファイルは指定された S3 バケットに保存され、耐久性はイレブンナイン (99.999999999%) です。S3 バージョニング、S3 サーバーアクセスログ記録、S3 イベント通知などの S3 の機能を活用できます。また、Amazon EventBridge を使用して、アップロード後の複雑なワークフローをオーケストレートすることもできます。

Transfer Family ウェブアプリケーションの作成
Transfer Family ウェブアプリケーションを作成するステップを見ていきましょう。各ウェブアプリケーションは特定の AWS リージョンに存在するため、AWS Transfer Family コンソールを開き、目的のリージョン (この記事では us-east-2) を選択し、左側で [ウェブアプリケーション] を選択します:

その後、[ウェブアプリケーションを作成] をクリックして続行します:

必要に応じて IAM アイデンティティセンターに接続し、Transfer Family ウェブアプリケーションが S3 および S3 Access Grants にアクセスすることを許可する IAM サービスロール (詳細) を作成または選択します:

[名前] タグを追加し、同時ウェブアプリケーションユーザーの最大数を設定して、[次へ] をクリックします。

次に、ウェブアプリケーションを設計し、ページタイトルとロゴ (両方ともオプション) を設定してから、[次へ] をクリックします:

次のページで設定を確認し、[作成] をクリックして先に進みます:

これでウェブアプリケーションが作成され、使用する準備はほとんど整いました (まだ許可とユーザーを設定する必要があります):

ウェブアプリケーションに関連付けられたバケットのために間もなく作成する CORS ポリシーで [アクセスエンドポイント] を使用するので、コピーして保存します。

許可とユーザーの設定
ウェブアプリケーションを通じてアクセスできる S3 バケットに必要な読み取りおよび書き込み許可を提供する IAM カスタム信頼ポリシーを作成します (詳細)。このポリシーは、この後すぐに作成する S3 Access Grant で参照されます:

それから、IAM アイデンティティセンターでユーザーとグループの初期セットを作成します (後で追加できます):

次に、ウェブアプリケーションと同じリージョンに S3 バケットを作成し、S3 Access Grant を作成します。各 S3 Access Grant は、特定の IAM アイデンティティセンター ID (ユーザーまたはグループ) が、読み取りおよび/または書き込みのために特定のスコープ (バケットまたはバケットのプレフィックス付き部分) にアクセスすることを許可します:

また、ウェブアプリケーションがブラウザからバケットにアクセスできるように、CORS ポリシー (詳細) をバケットにアタッチする必要があります:

最後のステップは、新しいウェブアプリケーションにユーザーを関連付けることです。AWS Transfer Family の [ウェブアプリケーション] ページに戻り、自分のアプリケーションを見つけて、[ユーザーとグループを割り当てる] をクリックします:

自分のディレクトリに新しいユーザーを追加するか、または既存のユーザーを選択できます:

まずは自分自身を追加します:

割り当てが完了すると、[アクセスエンドポイント] (上記参照) をユーザーと共有でき、ユーザー (ここでは自分) はウェブアプリケーションにログインできます:

[ウェブアプリケーションエンドポイント] と [アクセスエンドポイント] は、デフォルトでは同じです。ウェブアプリケーションのために CloudFront ディストリビューションを設定すると、[アクセスエンドポイント] にエンドポイントの URL が反映されます。

設定プロセスを通じた高速パスをご紹介しました。お気づきかもしれませんが、個人レベルおよびグループレベルで読み取りおよび書き込みアクセスを制御するオプションが多数あります。本番ウェブアプリケーションを設定する前に、これらのオプションをすべて調べて完全に理解してください。

知っておくべきこと
S3 Transfer Family ウェブアプリケーションについて知っておくべきことがいくつかあります:

リージョン – ウェブアプリケーションは 9 つの AWS リージョンで作成できます。最新のリストについては、ウェブアプリケーションのドキュメントをご覧ください。

料金 – 料金はウェブアプリケーション/時間単位です。

API と CLI – create-web-app、describe-web-app、他の AWS Transfer Family アクションを使用することで、プログラムでウェブアプリケーションを作成および管理できます。

Storage Browser for S3 – Transfer Family ウェブアプリケーションは、Storage Browser for Amazon S3 を使用して構築され、フルマネージドオファリングで同じエンドユーザー機能を提供します。

開始方法 – Transfer Family ウェブアプリケーションは、Transfer Family コンソールで使用を開始できます。

– Jeff;

原文はこちらです。