全般

Q: AWS Transfer for SFTP とは何ですか?

A: AWS Transfer for SFTP (AWS SFTP) は、AWS にホストされたフルマネージド型のサービスです。SFTP 経由で Amazon S3 と直接ファイル転送できます。

Q: SFTP とは何ですか? また、どこで使用されていますか?

A: SFTP は Secure Shell File Transfer Protocol の略語で、インターネット経由の安全なデータ転送に使用されるネットワークプロトコルを表します。このプロトコルは、SSH の完全なセキュリティと認証機能に対応し、金融サービス、医療、小売り、広告といった業界のビジネスパートナー間のデータ交換で幅広く使用されています。

Q: AWS SFTP を使用する必要があるのはなぜですか?

A: 現在、ベンダーやビジネスパートナーといったサードパーティーのユーザーとのデータ交換に SFTP を使用している場合、AWS でこのデータを管理して処理、分析、アーカイブをするには、独自のカスタム SFTP サービスをオンプレミスまたはクラウド内でホストし管理する必要があります。そのためには、インフラストラクチャの運用と管理、稼動時間と可用性のモニタリング、ユーザーのプロビジョニングとそのアクティビティの監査を行うための 1 回限りの仕組みの構築に投資する必要があります。AWS Transfer では、SFTP 経由で AWS に転送されたデータを移動できるフルマネージド型サービスが利用可能になるため、この課題を解決できます。それと同時に、すべてのエンドユーザー向けの既存の転送ワークフローはこれまでと何も変わりません。

Q: AWS SFTP を使用することの利点は何ですか?

A: AWS SFTP では、高可用性のフルマネージド型 SFTP サービスを利用できます。スケーリング機能が組み込まれているため、SFTP 関連インフラストラクチャを管理する必要がなくなります。AWS Transfer を使用すると、エンドユーザーのワークフローは変わらず、SFTP 経由でアップロードまたはダウンロードしたデータは Amazon S3 バケットに保存されます。データは Amazon S3 内にあるため、データ処理分析と機械学習に利用できる AWS の幅広いサービスを使用したワークロードや、コンプライアンス要件を満たすために永続的に保存およびアーカイブするワークロードに簡単に統合できるようになりました。

Q: AWS SFTP の使用方法について教えてください。

A: シンプルな 3 つのステップで、永続的で可用性の高い "SFTP サーバー" を AWS に持つことができます。最初に、既存の SFTP ホスト名 (複数可) を SFTP サーバーエンドポイントに関連付けます。次に、サービスマネージド型か、Microsoft AD のようなディレクトリサービスから認証用の ID プロバイダーを選択してユーザーを設定します。最後に、S3 バケット (複数可) を選択して IAM ロールを割り当てて、アクセスできるようにします。サービスエンドポイント、ID プロバイダー、S3 バケットのアクセスポリシーが有効になったら、既存の SFTP クライアントワークフローを移植して、AWS と直接統合できます。

Q: ユーザーは FTP または FTP/S (FTP over SSL) を使用して、このサービスを使ってファイルを転送できますか?

A: いいえ、ユーザーはファイル転送に SFTP を使用する必要があります。たいていのファイル転送クライアントでは SFTP のオプションが提供されています。AWS SFTP を使用したファイル転送時にはこれを選択する必要があります。

サーバーエンドポイントアクセス

Q: 企業ドメイン名 (sftp.mydomainname.com) を SFTP エンドポイントとして引き続き使用できますか?

A: はい。ドメイン名を既にお持ちの場合、Amazon Route53 または任意の DNS サービスを使用して、登録済みのドメインから AWS の SFTP サーバーエンドポイントにユーザーのトラフィックをルーティングできます。

Q: ドメイン名を持っていなくてもこのサービスを使用できますか?

A: はい。ドメイン名をお持ちでない場合、ユーザーは、AWS SFTP で提供されるホスト名を使用して、サーバーエンドポイントにアクセスできます。別の方法として、Amazon Route 53 コンソールまたは API を使用して新しいドメインを登録し、この新しいドメインから SFTP サーバーエンドポイントにトラフィックをルーティングできます。

Q: 既にパブリックゾーンがあるドメインを使用できますか?

A: はい。そのドメインを SFTP サーバーのホスト名に CNAME として登録する必要があります。

Q: VPC のプライベート SFTP エンドポイントに AWS PrivateLink を使用できますか?

A: はい。このサービスエンドポイントでは AWS PrivateLink がサポートされており、VPC 内の SFTP 転送にプライベートエンドポイントを使用することができます。

Q: 固定 IP アドレスを使用して SFTP サーバーエンドポイントにアクセスできますか?

A: いいえ。ファイアウォールをホワイトリストに登録する目的で一般的に使用される固定 IP アドレスは、現在サポートされていません。

 

ユーザー認証

Q: ユーザーは既存の SFTP クライアントや転送アプリケーションを引き続き使用できますか?

A: はい。既存の SFTP クライアントや SFTP 転送アプリケーションは引き続き AWS SFTP と連携します。よく使用される SFTP クライアントの例として、WinSCP、FileZilla、CyberDuck、OpenSSH などのクライアントがあります。

Q: このサービスではユーザーはどのように認証されますか?
A: このサービスは 2 つの認証モードに対応しています。1 つはこのサービスを使用してユーザー ID の保存とアクセスを行うモードで、もう 1 つはカスタム ID プロバイダーを使用するモードです。

サービスマネージド型認証

Q: サービスマネージド型認証の使用方法を教えてください。

A: サービスを使ってユーザー ID の保存とアクセスを行っている場合、キーベースの認証を使用できます。

Q: ユーザー 1 人につきアップロードできる SSH キーはいくつですか?

A: ユーザー 1 人につきアップロードできる SSH キーの数は最大 10 個です。サーバーでは一致するキーが見つかって認証が成功するまで各キーを評価することになるため、追加するキーの数が増えるほどログイン時間は長くなります。

Q: サービスマネージド型認証でキーのローテーションはサポートされていますか?

A: はい。サービスを使ってキーのローテーションを設定する方法の詳細については、ドキュメントをご覧ください。

Q: パスワード認証にサービスマネージド型認証を使用できますか?

A: いいえ。認証のためにサービス内にパスワードを保存する機能は現時点ではサポートされていません。パスワード認証をご希望の場合は、AWS SimpleAD や Secrets Manager などの別の ID プロバイダーを使ってこの機能をサポートするテンプレートをダウンロードする方法に関するドキュメントをご覧ください。

Q: 匿名ユーザーはサポートされていますか?

A: いいえ。匿名ユーザーは現時点ではサポートされていません。

Q: ユーザーがセッション情報を再検証しなくても済むよう現在の SFTP ホストからキーをインポートすることはできますか?

A: いいえ。既存のホストキーをサービスにインポートする機能は現時点ではサポートされていません。

カスタム ID プロバイダー

Q: 既存の ID プロバイダーを利用して SFTP ユーザーを管理することはできますか?

A: AWS SFTP は既存の ID プロバイダーに接続できるため、認証情報が社内ディレクトリに保存されているユーザーを簡単に移行できます。ID プロバイダーの例としては、Microsoft Active Directory (AD)、Lightweight Directory Access Protocol (LDAP)、カスタム ID プロバイダーなどがあります。

Q: ユーザー認証のために既存の ID プロバイダーを統合するには、まずどうすればよいですか?

A: まず、AWS CloudFormation テンプレートを使用して、ユーザー認証とアクセスに必要な情報を提供することをお勧めします。詳細については、カスタム ID プロバイダーに関するウェブサイトをご覧ください。

Q: ユーザーを設定する際、アクセスを有効にするにはどのような情報を提供する必要がありますか?

A: ID プロバイダーの種類にかかわらず、ユーザー名、AWS IAM ロール、ホームディレクトリ情報を提供する必要があります。サービスを使ってユーザー ID の保存とアクセスを行っている場合は、SSH キーも提供する必要があります。

Q: AWS IAM ロールを提供する必要がある理由を教えてください。また、AWS IAM ロールはどのように使用されるのですか?

A: AWS IAM を使用して、ユーザーに提供するアクセスのレベルを指定します。これには、クライアントで有効にする必要がある操作、ユーザーにアクセス権を付与する Amazon S3 バケット (バケット全体、バケットの一部を問わない) が含まれます。

Q: ホームディレクトリ情報を提供する必要がある理由を教えてください。また、ホームディレクトリ情報はどのように使用されるのですか?

A: ユーザーに設定するホームディレクトリでユーザーのログインディレクトリを指定します。ユーザーが SFTP サーバーにログインするとすぐに、これが、対応する SFTP クライアントでランディングディレクトリとして使用されるディレクトリパスになります。指定する IAM ロールでユーザーにホームディレクトリへのアクセス権を提供する必要があります。

Q: 数百規模のユーザーがいます。ユーザーのアクセス設定は類似していますが、アクセスするバケットの部分は異なります。同じ IAM ロールとポリシーを使用してアクセスを有効にするようユーザーを設定することはできますか?

A: はい。ユーザー全体に提供するアクセス権が類似していて、ユーザーがアクセスする Amazon S3 バケットの部分をユーザー名に基づいて異なるようにする場合は、使用する IAM ロールとポリシーの数を少なくすることで実現できます。ポリシー変数のリアルタイム評価によってアクセスの範囲を縮小する方法の詳細については、ドキュメントをご覧ください。

データのアップロードとダウンロード

Q: AWS SFTP を使って転送されたファイルは Amazon S3 バケットにどのように保存されるのですか?

A: SFTP を介して転送されたファイルはオブジェクトとして Amazon S3 バケットに保存されます。ファイルとオブジェクト間は 1 対 1 でマッピングされるため、処理や分析用の AWS のサービスを使用してこれらのオブジェクトへのネイティブアクセスが可能となります。

Q: バケットに保存されている Amazon S3 オブジェクトはユーザーにどのように表示されるのですか?

A: ユーザーの認証情報に基づき、認証が成功した後、AWS SFTP では Amazon S3 のオブジェクトとフォルダがファイルとディレクトリとしてユーザーの転送アプリケーションに表示されます。

Q: AWS SFTP ではどのようなファイル操作がサポートされていますか? また、どのような操作がサポートされていませんか?

A: ファイルやディレクトリの作成、読み取り、更新、削除などの一般的な SFTP コマンドがサポートされています。ファイルは Amazon S3 バケットに個々のオブジェクトとして保存されます。ディレクトリは S3 コンソールと同じ構文を使用して、S3 でフォルダオブジェクトとして管理されます。シンボリックリンクとハードリンクは現時点ではサポートされていません。

Q: ユーザーに実行を許可する操作を制御できますか?

A: はい。ユーザー名にマッピングしている AWS IAM ロールを使用してファイル操作を有効/無効に設定できます。

Q: ファイルをアップロードした SFTP ユーザーを確認するにはどうすればよいですか?
A: Amazon CloudWatch を使用して SFTP ユーザーのアクティビティを確認できます。Amazon CloudWatch のログ記録を有効にする方法の詳細については、ドキュメントをご覧ください。

Q: Amazon S3 にファイルをアップロードした後、ファイルの処理を自動化できますか?
A: はい。Amazon S3 イベントを使用して、クエリ、分析、機械学習などの幅広い AWS のサービスを使ってアップロードしたファイルの処理を自動化できます。Lambda と Amazon S3 を使用したアップロード後の処理の一般的な例については、ドキュメントをご覧ください。

 

 

セキュリティとコンプライアンス

Q: データのセキュリティは転送中も確保されますか?

A: はい。SFTP プロトコルの基礎を成すセキュリティで、コマンドやファイルデータは、安全で暗号化されたトンネルを介して転送されます。

Q: このサービスを使用して転送されたデータを保管時に暗号化するにはどのような方法がありますか?

A: 転送されたファイルをバケットでの保管時に暗号化するには、Amazon S3 Server-Side Encryption (SSE-S3) または Amazon KMS (SSE-KMS) を使用できます。

Q: AWS SFTP ではどのコンプライアンスプログラムをサポートしていますか?

A: AWS SFTP は PCI-DSS と GDPR に準拠し、HIPAA に対応しています。

Q: サービスでは、アップロードしたファイルの整合性をどのように確保していますか?

A: SFTP サーバーからアップロードされたすべてのファイルは、ファイルのアップロード前とアップロード後の MD5 チェックサムを比較することで検証されます。

Q: 使用状況をモニタリングしてユーザーのアクティビティを管理するには、どのようにすればよいですか?

A: Amazon CloudWatch を使用して SFTP ユーザーのアクティビティを確認できます。Amazon CloudWatch のログ記録を有効にする方法の詳細については、ドキュメントをご覧ください。

 

請求

Q: AWS SFTP を使用するには、どれくらいの料金がかかりますか?

A: 料金は AWS SFTP で使用したリソースに対して発生します。これには、SFTP サーバーのエンドポイント、SFTP データのアップロードとダウンロードが含まれます。詳細については、料金表ページをご覧ください。

Q: サーバーエンドポイントの料金はどのくらいですか?

A: サーバーを作成すると、AWS でフルマネージド型の、可用性の高い SFTP エンドポイントをご利用いただけるようになります。料金は、サーバーを作成してから削除するまでの稼働時間に対して請求されます。

Product-Page_Standard-Icons_01_Product-Features_SqInk
料金の詳細を確認する

AWS SFTP は、ファイル転送サービスの実行にかかる運用コストを削減できる、フルマネージド型のサービスです。

詳細 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
無料のアカウントにサインアップ

AWS 無料利用枠にすぐにアクセスできます。 

サインアップ 
Product-Page_Standard-Icons_03_Start-Building_SqInk
コンソールで構築を開始する

AWS コンソールで AWS SFTP を使用して構築を開始します。

サインイン