AWS Transfer Family サーバーにはどのタイプのエンドポイントを使用すればよいですか?
最終更新日: 2021 年 10 月 4 日
AWS Transfer Family サーバーのために使用する必要があるエンドポイントのタイプを知りたいと考えています。
解決方法
次の表を参照して、ユースケースに最適な AWS Transfer Family エンドポイントタイプを確認してください。
| エンドポイントタイプ | パブリックエンドポイント | 内部アクセスを持つ Amazon Virtual Private Cloud (Amazon VPC) エンドポイント | インターネット向けアクセスを持つ VPC エンドポイント | VPC_ENDPOINT (DEPRECATED) |
| サポートされているプロトコル | SFTP | SFTP、FTP、FTPS | SFTP、FTPS | SFTP |
| アクセス | インターネット経由。このエンドポイントタイプでは、VPC での特別な設定は必要ありません。 | AWS Direct Connect または VPN 経由のオンプレミスデータセンターなど、VPC および VPC 接続環境内から。 | インターネット経由、および AWS Direct Connect または VPN 経由のオンプレミスデータセンターなど、VPC および VPC 接続環境内から。 | AWS Direct Connect または VPN 経由のオンプレミスデータセンターなど、VPC および VPC 接続環境内から。 |
| 静的 IP アドレス | 静的 IP アドレスをアタッチすることはできません。AWS は、変更される可能性のある IP アドレスを提供します。 | エンドポイントに添付されたプライベート IP アドレスは変更されません。 | Elastic IP アドレスをエンドポイントに添付できます。これらは、AWS が所有する IP アドレスまたは独自の IP アドレス (BYOIP) にすることができます。エンドポイントに添付された Elastic IP アドレスは変更されません。 サーバーに添付されたプライベート IP アドレスも変更されません。 |
エンドポイントにアタッチされたプライベート IP アドレスは変更されません。 |
| 送信元 IP 許可リスト | このエンドポイントタイプは、送信元 IP アドレスによる許可リストをサポートしていません。 エンドポイントはパブリックにアクセス可能であり、ポート 22 経由でトラフィックをリッスンします。 |
送信元 IP アドレスによるアクセスを許可するには、サーバーエンドポイントに添付されたセキュリティグループと、エンドポイントがあるサブネットに添付されたネットワークアクセスコントロールリスト (ネットワーク ACL) を使用できます。 | 送信元 IP アドレスによるアクセスを許可するには、サーバーエンドポイントに添付されたセキュリティグループと、エンドポイントがあるサブネットに添付されたネットワーク ACL を使用できます。 | 送信元 IP アドレスによるアクセスを許可するには、サーバーエンドポイントにアタッチされたセキュリティグループと、エンドポイントがあるサブネットにアタッチされたネットワーク ACL を使用できます。 |
| クライアントファイアウォールの許可リスト | サーバーの DNS 名を許可する必要があります。 IP アドレスは変更される可能性があるため、クライアントファイアウォールの許可リストに IP アドレスを使用しないでください。 |
エンドポイントのプライベート IP アドレスまたは DNS 名を許可できます。 | サーバーの DNS 名、またはサーバーに添付された Elastic IP アドレスを許可できます。 | エンドポイントのプライベート IP アドレスまたは DNS 名を許可できます。 |
注: VPC_ENDPOINT エンドポイントタイプは非推奨となり、新しいサーバーの作成には使用できなくなりました。詳細については、「Discontinuing the use of VPC_ENDPOINT」(VPC_ENDPOINT の使用の中止) を参照してください。
AWS Transfer Family サーバーのセキュリティ体制を強化するために、次のオプションを検討してください。
- 内部アクセスを持つ VPC エンドポイントを使用して、VPC 内のクライアントや、AWS Direct Connect または VPN 経由でオンプレミスのデータセンターなどの VPC 接続環境でのみサーバーにアクセスできるようにします。
- クライアントがインターネット経由でエンドポイントにアクセスし、サーバーを保護できるようにするには、インターネット向けアクセスを持つ VPC エンドポイントを使用します。次に、ユーザーのクライアントをホストする特定の IP アドレスからのトラフィックのみを許可するように VPC のセキュリティグループを変更します。
- 内部アクセスを持つ VPC エンドポイントの前面で Network Load Balancer を使用します。ロードバランサーのリスナーポートをポート 22 から別のポートに変更します。これにより、ポート 22 がスキャンに最もよく使用されるため、ポートスキャナーやボットがサーバーをプローブするリスクが軽減されます。ただし、排除できるわけではありません。ただし、Network Load Balancer を使用する場合、セキュリティグループを使用して送信元 IP アドレスからのアクセスを許可することはできません。
- パスワードベースの認証を必要とし、サーバーでカスタムアイデンティティプロバイダーを使用する場合は、以下のアグレッシブなパスワードポリシーを設定するのがベストプラクティスです。ユーザーが簡単に推測できるパスワードを作成できないようにし、ログイン試行の失敗回数が制限されるようにする、パスワードポリシーを使用するのがベストプラクティスです。