AWS Transfer Family サーバーにはどのタイプのエンドポイントを使用した方がよいですか?
最終更新日: 2020 年 6 月 8 日
AWS Transfer Family サーバーにはどのタイプのエンドポイントを使用した方がよいですか?
解決方法
次の表を参照して、ユースケースに最適な AWS Transfer Family エンドポイントタイプを確認してください。
エンドポイントタイプ | パブリックエンドポイント | 内部アクセスを持つ Amazon Virtual Private Cloud (Amazon VPC) エンドポイント | インターネット向けアクセスを持つ VPC エンドポイント | VPC_ENDPOINT |
---|---|---|---|---|
サポートされているプロトコル | SFTP | SFTP、FTP、FTPS | SFTP、FTPS | SFTP |
アクセス | インターネット経由。このエンドポイントタイプでは、VPC での特別な設定は必要ありません。 | AWS Direct Connect または VPN 経由のオンプレミスデータセンターなど、VPC および VPC 接続環境内から。 | インターネット経由、および AWS Direct Connect または VPN 経由のオンプレミスデータセンターなど、VPC および VPC 接続環境内から。 | AWS Direct Connect または VPN 経由のオンプレミスデータセンターなど、VPC および VPC 接続環境内から。 |
静的 IP アドレス | 静的 IP アドレスを添付することはできません。AWS は、変更される可能性のある IP アドレスを提供します。 | エンドポイントに添付されたプライベート IP アドレスは変更されません。 | Elastic IP アドレスをエンドポイントに添付できます。これらは、AWS が所有する IP アドレスまたは独自の IP アドレス (BYOIP) にすることができます。エンドポイントに添付された Elastic IP アドレスは変更されません。 サーバーに添付されたプライベート IP アドレスも変更されません。 |
エンドポイントに添付されたプライベート IP アドレスは変更されません。 |
送信元 IP 許可リスト | このエンドポイントタイプは、送信元 IP アドレスによる許可リストをサポートしていません。 エンドポイントはパブリックにアクセス可能であり、ポート 22 経由でトラフィックをリッスンします。 |
送信元 IP アドレスによるアクセスを許可するには、サーバーエンドポイントに添付されたセキュリティグループと、エンドポイントがあるサブネットに添付されたネットワークアクセスコントロールリスト (ネットワーク ACL) を使用できます。 | 送信元 IP アドレスによるアクセスを許可するには、サーバーエンドポイントに添付されたセキュリティグループと、エンドポイントがあるサブネットに添付されたネットワーク ACL を使用できます。 | 送信元 IP アドレスによるアクセスを許可するには、サーバーエンドポイントに添付されたセキュリティグループと、エンドポイントがあるサブネットに添付されたネットワーク ACL を使用できます。 |
クライアントファイアウォールの許可リスト | サーバーの DNS 名を許可する必要があります。 IP アドレスは変更される可能性があるため、クライアントファイアウォールの許可リストに IP アドレスを使用しないでください。 |
エンドポイントのプライベート IP アドレスまたは DNS 名を許可できます。 | サーバーの DNS 名、またはサーバーに添付された Elastic IP アドレスを許可できます。 | エンドポイントのプライベート IP アドレスまたは DNS 名を許可できます。 |
注意: VPC_ENDPOINT エンドポイントタイプは、AWS コマンドラインインターフェイス (AWS CLI) または AWS Transfer Family API を使用してサーバーを作成する場合にのみ使用できます。
AWS Transfer Family サーバーのセキュリティ体制を高めるには、次のオプションを検討してください。
- 内部アクセスを持つ VPC エンドポイントを使用して、VPC 内のクライアントや、AWS Direct Connect または VPN 経由でオンプレミスのデータセンターなどの VPC 接続環境でのみサーバーにアクセスできるようにします。
- クライアントがインターネット経由でエンドポイントにアクセスし、サーバーを保護できるようにするには、インターネット向けアクセスを持つ VPC エンドポイントを使用します。次に、ユーザーのクライアントをホストする特定の IP アドレスからのトラフィックのみを許可するように VPC のセキュリティグループを変更します。
- 内部アクセスを持つ VPC エンドポイントの前面で Network Load Balancer を使用します。ロードバランサーのリスナーポートをポート 22 から別のポートに変更します。これにより、ポート 22 がスキャンに最もよく使用されるため、ポートスキャナーやボットがサーバーを探すリスクが軽減されます。ただし、排除できるわけではありません。ただし、Network Load Balancer を使用する場合、セキュリティグループを使用して送信元 IP アドレスからのアクセスを許可することはできません。
- パスワードベースの認証を必要とし、サーバーでカスタム ID プロバイダーを使用する場合は、以下のアグレッシブパスワードポリシーを設定することを強くお勧めします。ユーザーが簡単に推測できるパスワードを作成できないようにし、ログイン試行の失敗回数が制限されるように、パスワードポリシーを使用することをお勧めします。