AWS Transfer Family サーバーにはどのタイプのエンドポイントを使用した方がよいですか?

最終更新日: 2020 年 6 月 8 日

AWS Transfer Family サーバーにはどのタイプのエンドポイントを使用した方がよいですか?

解決方法

次の表を参照して、ユースケースに最適な AWS Transfer Family エンドポイントタイプを確認してください。  

エンドポイントタイプ パブリックエンドポイント 内部アクセスを持つ Amazon Virtual Private Cloud (Amazon VPC) エンドポイント インターネット向けアクセスを持つ VPC エンドポイント VPC_ENDPOINT
サポートされているプロトコル SFTP SFTP、FTP、FTPS SFTP、FTPS SFTP
アクセス インターネット経由。このエンドポイントタイプでは、VPC での特別な設定は必要ありません。 AWS Direct Connect または VPN 経由のオンプレミスデータセンターなど、VPC および VPC 接続環境内から。 インターネット経由、および AWS Direct Connect または VPN 経由のオンプレミスデータセンターなど、VPC および VPC 接続環境内から。 AWS Direct Connect または VPN 経由のオンプレミスデータセンターなど、VPC および VPC 接続環境内から。
静的 IP アドレス 静的 IP アドレスを添付することはできません。AWS は、変更される可能性のある IP アドレスを提供します。 エンドポイントに添付されたプライベート IP アドレスは変更されません。

Elastic IP アドレスをエンドポイントに添付できます。これらは、AWS が所有する IP アドレスまたは独自の IP アドレス (BYOIP) にすることができます。エンドポイントに添付された Elastic IP アドレスは変更されません。

サーバーに添付されたプライベート IP アドレスも変更されません。

エンドポイントに添付されたプライベート IP アドレスは変更されません。
送信元 IP 許可リスト このエンドポイントタイプは、送信元 IP アドレスによる許可リストをサポートしていません。

エンドポイントはパブリックにアクセス可能であり、ポート 22 経由でトラフィックをリッスンします。
送信元 IP アドレスによるアクセスを許可するには、サーバーエンドポイントに添付されたセキュリティグループと、エンドポイントがあるサブネットに添付されたネットワークアクセスコントロールリスト (ネットワーク ACL) を使用できます。 送信元 IP アドレスによるアクセスを許可するには、サーバーエンドポイントに添付されたセキュリティグループと、エンドポイントがあるサブネットに添付されたネットワーク ACL を使用できます。 送信元 IP アドレスによるアクセスを許可するには、サーバーエンドポイントに添付されたセキュリティグループと、エンドポイントがあるサブネットに添付されたネットワーク ACL を使用できます。
クライアントファイアウォールの許可リスト サーバーの DNS 名を許可する必要があります。

IP アドレスは変更される可能性があるため、クライアントファイアウォールの許可リストに IP アドレスを使用しないでください。
エンドポイントのプライベート IP アドレスまたは DNS 名を許可できます。 サーバーの DNS 名、またはサーバーに添付された Elastic IP アドレスを許可できます。 エンドポイントのプライベート IP アドレスまたは DNS 名を許可できます。

注意: VPC_ENDPOINT エンドポイントタイプは、AWS コマンドラインインターフェイス (AWS CLI) または AWS Transfer Family API を使用してサーバーを作成する場合にのみ使用できます。

AWS Transfer Family サーバーのセキュリティ体制を高めるには、次のオプションを検討してください。

  • 内部アクセスを持つ VPC エンドポイントを使用して、VPC 内のクライアントや、AWS Direct Connect または VPN 経由でオンプレミスのデータセンターなどの VPC 接続環境でのみサーバーにアクセスできるようにします。
  • クライアントがインターネット経由でエンドポイントにアクセスし、サーバーを保護できるようにするには、インターネット向けアクセスを持つ VPC エンドポイントを使用します。次に、ユーザーのクライアントをホストする特定の IP アドレスからのトラフィックのみを許可するように VPC のセキュリティグループを変更します。
  • 内部アクセスを持つ VPC エンドポイントの前面で Network Load Balancer を使用します。ロードバランサーのリスナーポートをポート 22 から別のポートに変更します。これにより、ポート 22 がスキャンに最もよく使用されるため、ポートスキャナーやボットがサーバーを探すリスクが軽減されます。ただし、排除できるわけではありません。ただし、Network Load Balancer を使用する場合、セキュリティグループを使用して送信元 IP アドレスからのアクセスを許可することはできません。
  • パスワードベースの認証を必要とし、サーバーでカスタム ID プロバイダーを使用する場合は、以下のアグレッシブパスワードポリシーを設定することを強くお勧めします。ユーザーが簡単に推測できるパスワードを作成できないようにし、ログイン試行の失敗回数が制限されるように、パスワードポリシーを使用することをお勧めします。