全般

Q: AWS Transfer for SFTP とは何ですか?

A: AWS Transfer for SFTP (AWS SFTP) は、AWS にホストされたフルマネージド型のサービスです。SFTP 経由で Amazon S3 と直接ファイル転送できます。

Q: SFTP とは何ですか? また、どこで使用されていますか?

A: SFTP は Secure Shell (SSH) File Transfer Protocol の略称で、インターネット経由の安全なデータ転送に使用されるネットワークプロトコルです。このプロトコルは、SSH のセキュリティ機能と認証機能に完全対応し、金融サービス、医療、小売り、広告といった多種多様な業界のビジネスパートナー間のデータ交換で広く使用されています。

Q: AWS SFTP を使用すべきなのはなぜですか?

A: 現在、ベンダー、ビジネスパートナーやカスタマーといったサードパーティーのユーザーとのデータ交換に SFTP を使用している場合、AWS でこのデータを管理して処理、分析、アーカイブをするには、独自のカスタム SFTP サービスをホストする必要があります。そのためには、インフラストラクチャの運用と管理、サーバーのパッチング、稼動時間と可用性のモニタリング、ユーザーのプロビジョニングとそのアクティビティの監査を行うための 1 回限りの仕組みの構築に投資する必要があります。AWS SFTP はエンドユーザーのために既存の転送ワークフローを保ちながら操作負担を軽減させるフルマネージド型 SFTP サービスを提供することでこれらの課題を解決します。サービスは転送されたファイルをAmazon S3 バケットにオブジェクトとして保存しますので、それらをデーターレーク、処理またはアーカイブのワークフローの一部として使用できます。

Q: AWS SFTP を使用することの利点は何ですか?

A: AWS SFTP では、高可用性のフルマネージド型 SFTP サービスを利用できます。自動スケーリング機能が組み込まれているため、SFTP 関連インフラストラクチャを管理する必要がなくなります。AWS SFTP を使用すると、エンドユーザーのワークフローは変わらず、SFTP 経由でアップロードまたはダウンロードしたデータは Amazon S3 バケットに保存されます。Amazon S3 内のデータは、コンプライアンす条件に合った環境でデータ処理、分析、機械学習、およびアーカイブのために広い範囲の AWS サービスと使用できます。

Q: AWS SFTP の使用方法について教えてください。

A: シンプルな 3 つのステップで、永続的で可用性の高い "SFTP サーバー" を AWS に持つことができます。最初に、既存の SFTP ホスト名 (複数可) を SFTP サーバーエンドポイントに関連付けます。次に、サービスマネージド型か、Microsoft AD のようなディレクトリサービスから認証用の ID プロバイダーを選択してユーザーを設定します。最後に、S3 バケット (複数可) を選択して IAM ロールを割り当てて、アクセスできるようにします。サービスエンドポイント、ID プロバイダー、S3 バケットアクセスポリシーが有効になると、ユーザーは既存のクライアントおよび設定の使用を継続できます。また、ユーザーがアクセスするデータは S3 バケットに保存されます。

Q: ユーザーは FTP または FTP/S (FTP over SSL) を使用して、このサービスを使ってファイルを転送できますか?

A: いいえ、ユーザーはファイル転送に SFTP を使用する必要があります。たいていのファイル転送クライアントでは SFTP のオプションが提供されています。AWS SFTP を使用したファイル転送時にはこれを選択する必要があります。

サーバーエンドポイントアクセス

Q: 企業ドメイン名 (sftp.mydomainname.com) を SFTP エンドポイントとして引き続き使用できますか?

A: はい。ドメイン名を既にお持ちの場合、Amazon Route 53 または任意の DNS サービスを使用して、登録済みのドメインから AWS の SFTP サーバーエンドポイントにユーザーのトラフィックをルーティングできます。 詳細は、AWS SFTP がカスタムドメイン名のために Amazon Route 53 を使用する方法についてのドキュメントをご覧ください。

Q: ドメイン名を持っていなくてもこのサービスを使用できますか?

A: はい。ドメイン名をお持ちでない場合、ユーザーは AWS SFTP で提供されるホスト名を使用してサーバーエンドポイントにアクセスできます。別の方法として、Amazon Route 53 コンソールまたは API を使用して新しいドメインを登録し、この新しいドメインから SFTP サーバーエンドポイントにトラフィックをルーティングできます。

Q: 既にパブリックゾーンがあるドメインを使用できますか?

A: はい。そのドメインを SFTP サーバーのホスト名に CNAME として登録する必要があります。

Q: サーバーを作った後は AWS SFTP サーバーのホストキーは変更されますか?

A: いいえ – サーバーを停止または削除しなければ変更されません。サーバーを作成した際に割り当てられたサーバーのホストキーは、サーバーを停止して再起動するまで、または新しいサーバーを作成するまでは同じままです。

Q: 自分の SFTP サーバーエンドポイントを、自分の VPC 内のみでアクセスできるようにセットアップすることは可能ですか?

A: はい。SFTP サーバーを作成する際、または既存のサーバーを更新する際に、自分のサーバーエンドポイントをパブリックインターネット上でアクセス可能にするか、または自分の VPC 内のみでアクセス可能にするか、いずれかを指定することができます。詳細は、AWS PrivateLink を使った VPC 内における SFTP サーバーエンドポイントの作成についてのドキュメントをご覧ください。

Q: 自分の SFTP クライアントで、固定 IP アドレスを使って自分の SFTP サーバーの VPC エンドポイントにアクセスすることはできますか?

A: できます。自分の SFTP サーバーの VPC エンドポイントに構築すれば、固定 IP を有効化することが可能です。自分の VPC 内で、有効化された Elastic IP を持つ Network Load Balancer (NLB) を作成し、そのターゲットとして自分の SFTP サーバーの VPC エンドポイントを指定します。関連付けられた Elastic IP は、ユーザーに 1 つまたは複数の静的 IP アドレスを付与します。これは変更することはできません。これらの IP は、SFTP クライアントユーザーによるファイアウォールのホワイトリスト登録を目的として使用できます。このセットアップに関する詳細は、Network Load Balancer のドキュメントをご覧ください。

Q: 着信トラフィックにフィルターをかけて、自分の SFTP サーバーの VPC エンドポイントにアクセスすることは可能ですか?

A: はい。自分の SFTP サーバーの VPC エンドポイントを使用すると、同じ VPC にあるクライアント、ユーザーが指定したその他 VPC のクライアント、または、AWS Direct Connect、AWS VPN、VPC ピアリングなど、自分の VPC を拡張するネットワーク技術を使用している、オンプレミス環境にあるクライアントのみに、アクセスを可能にすることができます。NLB を作成し、そのターゲットを自分の SFTP サーバーの VPC エンドポイントとして指定すると、インターネットトラフィックがこのエンドポイントにアクセスできるようになります。VPC にある既存のファイアウォール、または自分のサブネットにおけるネットワークアクセスコントロールリスト (NACL) のルールは、着信したソース IP アドレスのアクセスを制限することができます。このセットアップについての詳細は、Network Load Balancer のドキュメントをご覧ください。

Q: 自分の SFTP クライアントで、固定 IP アドレスを使って自分のパブリック SFTP サーバーのエンドポイントにアクセスすることはできますか?

A: いいえ。ファイアウォールのホワイトリストに登録する目的で一般的に使用される固定 IP アドレスは、パブリックエンドポイントでは現在サポートされていません。

Q: 自分の SFTP サーバーのパブリックエンドポイントにアクセスするには、エンドユーザーは、どの IP 範囲をホワイトリストに登録する必要がありますか?

A: エンドユーザーは、こちらで公開されている AWS IP アドレスの範囲を、ホワイトリストに登録する必要があります。AWS IP Address Rangesの詳細についての最新情報はマニュアルを参照してください。 

 

 

ユーザー認証

Q: ユーザーは既存の SFTP クライアントや転送アプリケーションを引き続き使用できますか?

A: はい。既存の SFTP クライアントや SFTP 転送アプリケーションは引き続き AWS SFTP と連携します。よく使用される SFTP クライアントの例として、WinSCP、FileZilla、CyberDuck、OpenSSH などのクライアントがあります。

Q: このサービスではユーザーはどのように認証されますか?

A: このサービスは 2 つの認証モードに対応しています。1 つはこのサービスを使用してユーザー ID の保存とアクセスを行うモードで、もう 1 つはカスタム ID プロバイダーを使用するモードです。

サービスマネージド型認証

Q: サービスマネージド型認証の使用方法を教えてください。

A: サービスを使ってユーザー ID の保存とアクセスを行っている場合、キーベースの認証を使用できます。

Q: ユーザー 1 人につき、いくつの SSH キーをアップロードできますか?

A: ユーザー 1 人につきアップロードできる SSH キーの数は最大 10 個です。サーバーでは一致するキーが見つかって認証が成功するまで各キーを評価することになるため、追加するキーの数が増えるほどログイン時間は長くなることにご注意ください。

Q: サービスマネージド型認証でキーのローテーションはサポートされていますか?

A: はい。サービスを使ってキーのローテーションを設定する方法の詳細については、ドキュメントをご覧ください。

Q: パスワード認証にサービスマネージド型認証を使用できますか?

A: いいえ。認証のためにサービス内にパスワードを保存する機能は現時点ではサポートされていません。パスワード認証をご希望の場合は、AWS SimpleAD や Secrets Manager などの別の ID プロバイダーを使ってこの機能をサポートするテンプレートをダウンロードする方法に関するドキュメントをご覧ください。

Q: 匿名ユーザーはサポートされていますか?

A: いいえ。匿名ユーザーは現時点ではサポートされていません。

Q: ユーザーがセッション情報を再検証しなくても済むよう現在の SFTP ホストからキーをインポートすることはできますか?

A: いいえ。既存のホストキーをサービスにインポートする機能は現時点ではサポートされていません。

カスタム ID プロバイダー

Q: 既存の ID プロバイダーを利用して SFTP ユーザーを管理することはできますか?

A: AWS SFTP は既存の ID プロバイダーに接続できるため、認証情報が社内ディレクトリに保存されているユーザーを簡単に移行できます。ID プロバイダーの例としては、Microsoft Active Directory (AD)、Lightweight Directory Access Protocol (LDAP)、カスタム ID プロバイダーなどがあります。

Q: ユーザー認証のために既存の ID プロバイダーを統合するには、まずどうすればよいですか?

A: まず、AWS CloudFormation のテンプレートを使って、ユーザー認証とアクセスに必要な情報を提供することをお勧めします。詳細については、カスタム ID プロバイダーに関するウェブサイトをご覧ください。

Q: ユーザーを設定する際、アクセスを有効にするにはどのような情報を提供する必要がありますか?

A: ID プロバイダーの種類にかかわらず、ユーザー名、AWS IAM ロール、ホームディレクトリ情報を提供する必要があります。サービスを使ってユーザー ID の保存とアクセスを行っている場合は、SSH キーも提供する必要があります。

Q: AWS IAM ロールを提供する必要がある理由を教えてください。また、AWS IAM ロールはどのように使用されるのですか?

A: AWS IAM を使用して、ユーザーに提供するアクセスのレベルを指定します。これには、クライアントで有効にする必要がある操作、ユーザーにアクセス権を付与する Amazon S3 バケット (バケット全体、バケットの一部を問わない) が含まれます。

Q: ホームディレクトリ情報を提供する必要がある理由を教えてください。また、ホームディレクトリ情報はどのように使用されるのですか?

A: ユーザーに設定するホームディレクトリで、ユーザーのログインディレクトリを指定します。ユーザーが SFTP サーバーにログインしたら、これが彼らの SFTP クライアントがランディングディレクトリーとして利用するディレクトリーパスです。与えられたIAMロールが必ずユーザーにホームディレクトリーへの直接アクセスを提要するようにしなければなりません。

Q: 数百規模のユーザーがいます。ユーザーのアクセス設定は類似していますが、アクセスするバケットの部分は異なります。同じ IAM ロールとポリシーを使用してアクセスを有効にするようユーザーを設定することはできますか?

A: はい。ユーザー全体に提供するアクセス権が類似していて、ユーザーがアクセスする Amazon S3 バケットの部分をユーザー名に基づいて異なるようにする場合は、使用する IAM ロールとポリシーの数を少なくすることで実現できます。ポリシー変数のリアルタイム評価によってアクセスの範囲を縮小する方法の詳細については、ドキュメントをご覧ください。

データのアップロードとダウンロード

Q: AWS SFTP を使って転送されたファイルは、Amazon S3 バケットにどのように保存されるのですか?

A: SFTP を介して転送されたファイルは、オブジェクトとして Amazon S3 バケットに保存されます。ファイルとオブジェクト間は 1 対 1 でマッピングされるため、処理や分析用の AWS のサービスを使用して、これらのオブジェクトにネイティブにアクセスすることが可能となります。

Q: バケットに保存されている Amazon S3 オブジェクトは、ユーザーにどのように表示されるのですか?

A: ユーザーの認証情報に基づき、認証が成功した後、AWS SFTP では Amazon S3 のオブジェクトとフォルダがファイルとディレクトリとしてユーザーの転送アプリケーションに表示されます。

Q: AWS SFTP ではどのようなファイル操作がサポートされていますか? また、サポートされていないのはどのような操作ですか?

A: ファイルやディレクトリの作成、読み取り、更新、削除などの一般的な SFTP コマンドがサポートされています。ファイルは Amazon S3 バケットに個々のオブジェクトとして保存されます。ディレクトリは、S3 コンソールと同じ構文を使用して、S3 でフォルダオブジェクトとして管理されます。ディレクトリの名前変更の操作、シンボリックリンクとハードリンクは現時点ではサポートされていません。

Q: どの操作の実行をユーザーに許可するか、制御することはできますか?

A: はい。ユーザー名にマッピングしている AWS IAM ロールを使用して、ファイル操作を有効/無効にし、設定します。

Q: SFTP ユーザーに、2 つ以上の Amazon S3 バケットへのアクセスを付与することはできますか?

A: はい。ユーザーがアクセスできるバケットは、AWS IAM ロールと、そのユーザーに割り当てたオプションの scope-down policy によって決定されます。そのユーザーのホームディレクトリとして使用できるバケットは 1 つのみです。

Q: AWS アカウント A を使ってサーバーを作成し、AWS アカウント B が所有している Amazon S3 バケットに SFTP ユーザーをマッピングすることは可能ですか?

A: はい。CLI と API を使うと、サーバーと、SFTP に使用したいバケットの間の、アカウントを横断したアクセスをセットアップすることができます。コンソールのドロップダウンには、アカウント A にあるバケットしか表示されません。さらに、ロールが、アカウント A に属しているユーザーに割り当てられていることを確認する必要もあります。

Q: ファイルをアップロードした SFTP ユーザーを確認するにはどうすればよいですか?
A: Amazon CloudWatch を使用して SFTP ユーザーのアクティビティを確認できます。Amazon CloudWatch のログ記録を有効にする方法の詳細については、ドキュメントをご覧ください。

Q: Amazon S3 にファイルをアップロードした後、ファイルの処理を自動化できますか?
A: はい。Amazon S3 イベントを使用して、クエリ、分析、機械学習などの幅広い AWS のサービスを使ってアップロードしたファイルの処理を自動化できます。Lambda と Amazon S3 を使用したアップロード後の処理の一般的な例については、ドキュメントをご覧ください。

 

セキュリティとコンプライアンス

Q: データのセキュリティは転送中も確保されますか?

A: はい。SFTP プロトコルの基礎を成すセキュリティで、コマンドやファイルデータは、安全で暗号化されたトンネルを介して転送されます。

Q: AWS SFTP を使用して転送されたデータを保管時に暗号化するには、どのような方法がありますか?

A: バケット保管されたファイルを暗号化するには、Amazon S3 Server-Side Encryption (SSE-S3) または Amazon KMS (SSE-KMS) を使用できます。

Q: AWS SFTP ではどのコンプライアンスプログラムをサポートしていますか?

A: AWS SFTP は PCI-DSS と GDPR に準拠し、HIPAA に対応しています。

Q: サービスでは、アップロードしたファイルの整合性をどのように確保していますか?

A: SFTP サーバーからアップロードされたすべてのファイルは、ファイルのアップロード前とアップロード後の MD5 チェックサムを比較することで検証されます。

Q: 使用状況をモニタリングしてユーザーのアクティビティを管理するには、どのようにすればよいですか?

A: Amazon CloudWatch を使用して SFTP ユーザーのアクティビティを確認できます。Amazon CloudWatch のログ記録を有効にする方法の詳細については、ドキュメントをご覧ください。

 

請求

Q: AWS SFTPを使う際にどのような料金が発生しますか?

A: 料金は AWS SFTP で使用したリソースに対して発生します。これには、SFTP サーバーのエンドポイントの時間単位料金、および SFTP データのアップロードとダウンロードの料金が含まれます。料金にはワークフローの要求に基づいてリアルタイムで自動スケーリングする高可用性のフルマネージド型 SFTP サービスが含まれます。詳細については、AWS SFTP 料金表のページをご参照ください。

Q: AWS SFTP サーバーの料金はどのくらいですか?

A: 料金は専用 SFTP サーバーを作成および設定してからサーバーを削除するまでの時間単位料金になります。更に、料金はSFTP サーバー経由でアップロードおよびダウンロードされたデーターの量に基づきます。詳細については、AWS SFTP 料金表のページをご参照ください。

Q: サーバーを停止しました。停止後のサーバーに関する料金はありますか?

A: はい、コンソールを使用してサーバーの停止、またはCLIコマンド「stop-server」かAPIコマンド「StopServer」の使用は料金に影響を及ぼしません。料金は専用 SFTP サーバーを作成および設定してからサーバーを削除するまでの時間単位料金になります。

Product-Page_Standard-Icons_01_Product-Features_SqInk
料金の詳細について

AWS SFTP は、ファイル転送サービスの実行にかかる運用コストを削減できる、フルマネージド型のサービスです。

詳細 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
無料のアカウントにサインアップ

AWS 無料利用枠にすぐにアクセスできます。 

サインアップ 
Product-Page_Standard-Icons_03_Start-Building_SqInk
コンソールで構築を開始する

AWS コンソールで AWS SFTP を使用して構築を開始します。

サインイン