全般

Q: AWS Transfer for SFTP とは何ですか?

A: AWS Transfer for SFTP (AWS SFTP) は、AWS にホストされたフルマネージド型のサービスです。SFTP 経由で Amazon S3 と直接ファイル転送できます。

Q: SFTP とは何ですか? また、どこで使用されていますか?

A: SFTP は Secure Shell (SSH) File Transfer Protocol の略称で、インターネット経由の安全なデータ転送に使用されるネットワークプロトコルです。このプロトコルは、SSH のセキュリティ機能と認証機能に完全対応し、金融サービス、医療、メディアと娯楽、小売り、広告など、多種多様な業界のビジネスパートナー間のデータ交換で幅広く使用されています。

Q: AWS SFTP を使用すべきなのはなぜですか?

A: 現在、ベンダー、ビジネスパートナーやカスタマーといったサードパーティーのユーザーとのデータ交換に SFTP を使用している場合、AWS でこのデータを管理して処理、分析、アーカイブをするには、独自の SFTP サービスをホストする必要があります。そのためには、インフラストラクチャの運用と管理、サーバーのパッチング、稼動時間と可用性のモニタリング、ユーザーのプロビジョニングとそのアクティビティの監査を行うための 1 回限りの仕組みの構築に投資する必要があります。AWS SFTP は、エンドユーザーのために既存の転送ワークフローを保ちながら操作負担を軽減させるフルマネージド型 SFTP サービスを提供することで、これらの課題を解決します。このサービスでは、転送されたファイルがオブジェクトとして Amazon S3 バケットに格納されます。そのため、データ レイクでファイルから値を抽出できます。Customer Relationship Management (CRM) または Enterprise Resource Planning (ERP) ワークフローで使用したり、AWS でのアーカイブ化に使用したりすることもできます。

Q: AWS SFTP を使用することの利点は何ですか?

A: AWS SFTP では、高可用性のフルマネージド型 SFTP サービスを利用できます。自動スケーリング機能が組み込まれているため、SFTP 関連インフラストラクチャを管理する必要がなくなります。AWS SFTP を使用すると、エンドユーザーのワークフローは変わらず、SFTP 経由でアップロードまたはダウンロードしたデータは Amazon S3 バケットに保存されます。Amazon S3 内のデータは、コンプライアンす条件に合った環境でデータ処理、分析、機械学習、およびアーカイブのために広い範囲の AWS サービスと使用できます。

Q: AWS SFTP の使用方法について教えてください。

A: シンプルな 3 つのステップで、永続的で可用性の高い "SFTP サーバー" を AWS に持つことができます。最初に、既存の SFTP ホスト名 (複数可) を SFTP サーバーエンドポイントに関連付けます。次に、サービスマネージド型か、Microsoft AD のようなディレクトリサービスから認証用の ID プロバイダーを選択してユーザーを設定します。最後に、S3 バケット (複数可) を選択して IAM ロールを割り当てて、アクセスできるようにします。サービスエンドポイント、ID プロバイダー、S3 バケットアクセスポリシーが有効になると、ユーザーは既存のクライアントおよび設定の使用を継続できます。また、ユーザーがアクセスするデータは S3 バケットに保存されます。

Q: CloudFormation を使用し、SFTP のサーバーやユーザーのデプロイを自動化できますか?

A: はい。CloudFormation テンプレートをデプロイすることで、SFTP サーバー/ユーザーの作成を自動化したり、ID プロバイダーを統合したりできます。AWS Transfer for SFTP リソースを CloudFormation テンプレートで使用する方法については、利用ガイドをご覧ください

Q: ユーザーは SCP、FTP または FTP/S (FTP over SSL) を使用して、このサービスでファイルを転送できますか?

A: いいえ、ユーザーはファイル転送に SFTP を使用する必要があります。たいていのファイル転送クライアントでは SFTP のオプションが提供されています。AWS SFTP を使用したファイル転送時にはこれを選択する必要があります。 

サーバーエンドポイントオプション

Q: 企業ドメイン名 (sftp.mydomainname.com) を使用して SFTP エンドポイントにアクセスできますか?

A: はい。ドメイン名を既にお持ちの場合、Amazon Route 53 または任意の DNS サービスを使用して、登録済みのドメインから AWS のサーバーエンドポイントにユーザーのトラフィックをルーティングできます。インターネット転送エンドポイントにのみ適用可能なカスタムドメイン名について、AWS Transfer が Amazon Route 53 を使用する方法に関するドキュメントを参照してください。

Q: ドメイン名を持っていなくてもこのサービスを使用できますか?

A: はい。ドメイン名をお持ちでない場合、ユーザーは AWS SFTP で提供されるホスト名を使用してサーバーエンドポイントにアクセスできます。別の方法として、Amazon Route 53 コンソールまたは API を使用して新しいドメインを登録し、この新しいドメインから SFTP サーバーエンドポイントにトラフィックをルーティングできます。

Q: 既にパブリックゾーンがあるドメインを使用できますか?

A: はい。そのドメインを SFTP サーバーのホスト名に CNAME として登録する必要があります

Q: SFTP サーバーエンドポイントを、VPC 内のみでアクセスできるように設定できますか?

A: はい。サーバーを作成する際、または既存のサーバーを更新する際に、エンドポイントをパブリックインターネット上でアクセス可能にするか、または自分の VPC 内のみでアクセス可能にするか、いずれかを指定することができます。自分のサーバーの VPC エンドポイントを使用すると、同じ VPC にあるクライアント、ユーザーが指定したその他 VPC のクライアント、または、AWS Direct Connect、AWS VPN、VPC ピアリングなど、自分の VPC を拡張するネットワーク技術を使用している、オンプレミス環境にあるクライアントのみに、アクセスを可能にすることができます。サブネットのネットワークアクセスコントロールリスト (NACL) またはエンドポイントセキュリティグループを使用して、VPC 内の特定のサブネットのリソースへのアクセスをさらに制限できます。詳細は、AWS PrivateLink を使った VPC 内におけるサーバーエンドポイントの作成についてのドキュメントをご覧ください。

Q: エンドユーザーは、固定 IP アドレスを使用して、ファイアウォール内の SFTP サーバーのエンドポイントへのアクセスをホワイトリストに登録できますか?

A: はい。サーバーの VPC エンドポイントを選択し、インターネットに直接接続するオプションを選択すると、サーバーエンドポイントの固定 IP を有効にできます。これにより、エンドポイントの IP アドレスとして割り当てられているサーバーのエンドポイントに Elastic IP (BYO IP を含む) を接続できるようになります。ドキュメントのインターネットに面したエンドポイントの作成に関しては、VPC 内でのサーバーエンドポイントの作成セクションを参照してください。

Q: エンドユーザーのソース IP アドレスによって着信トラフィックを制限できますか?

A: はい。サーバーへの着信トラフィックを制御するセキュリティグループをサーバーの VPC エンドポイントにアタッチできます。ドキュメントのインターネットに面したエンドポイントの作成に関しては、VPC 内でのサーバーエンドポイントの作成セクションを参照してください。

Q: エンドポイントの種類が PUBLIC のSFTP サーバーに、SFTP クライアントで固定 IP アドレスを使用してアクセスできますか?

A: いいえ。ファイアウォールのホワイトリストに登録する目的で一般的に使用される固定 IP アドレスは、種類が PUBLIC のエンドポイントでは現在サポートされていません。

Q: PUBLIC である SFTP サーバーのエンドポイントタイプにアクセスするには、エンドユーザーはどの IP 範囲をホワイトリストに登録する必要がありますか?

A: PUBLIC エンドポイントタイプをご使用の場合、ユーザーはここで公開されている AWS IP アドレス範囲をホワイトリストに登録する必要があります。AWS IP Address Rangesの詳細についての最新情報はマニュアルをご覧ください。

Q: サーバーを作った後は AWS SFTP サーバーのホストキーは変更されますか?

A: いいえ。サーバーを作成した際に割り当てられたサーバーのホストキーは、サーバーを削除して新しく作成するまでは同じままです。

Q: ユーザーがセッション情報を再検証しなくても済むよう現在の SFTP ホストからキーをインポートできますか?

A: はい。新しいサーバーを作成したり、既存のサーバーを更新したりするとき、RSA ホストキーを指定できます。このキーは、エンドユーザークライアントでサーバーを識別する目的で使用されます。サーバーのホストキーをアップロードするには、AWS CLI/SDKの使用に関するドキュメントをご覧ください

ユーザー認証

Q: ユーザーは既存の SFTP クライアントや転送アプリケーションを引き続き使用できますか?

A: はい。既存の SFTP クライアントや SFTP 転送アプリケーションは引き続き AWS SFTP と連携します。よく使用される SFTP クライアントの例として、WinSCP、FileZilla、CyberDuck、OpenSSH などのクライアントがあります。

Q: このサービスではユーザーはどのように認証されますか?

A: このサービスは 2 つの認証モードに対応しています。1 つはこのサービスを使用してユーザー ID の保存とアクセスを行うモードで、もう 1 つはカスタム ID プロバイダーを使用するモードです。

サービスマネージド型認証

Q: どのようにサービスマネージド型の認証機能を使用してユーザー認証できますか?

A: サービスを使ってユーザー ID の保存とアクセスを行っている場合、SSH キーベースの認証を使用できます。

Q: ユーザー 1 人につき、いくつの SSH キーをアップロードできますか?

A: ユーザー 1 人につきアップロードできる SSH キーの数は最大 10 個です。サーバーでは一致するキーが見つかって認証が成功するまで各キーを評価することになるため、追加するキーの数が増えるほどログイン時間は長くなることにご注意ください。

Q: サービスマネージド型認証でキーのローテーションはサポートされていますか?

A: はい。サービスを使ってキーのローテーションを設定する方法の詳細については、ドキュメントをご覧ください。

Q: サービス管理ユーザーをユーザーが指定したホームディレクトリ (“chroot”) に固定できますか?

はい。新しいユーザーを追加、または既存のユーザーを更新する際に、制限ありのチェックボックスを選択できます。これにより、ユーザーのクライアントのルートが S3 バケットで割り当てられたホームディレクトリに移行し、そこに chroot 操作されます。 

Q: パスワード認証にサービスマネージド型認証を使用できますか?

A: いいえ。SFTP の場合、認証のためにサービス内にパスワードを保存する機能は現在サポートされていません。SFTP にパスワード認証が必要な場合、「Secrets Manager を使用してパスワード認証を有効にする」に関するブログ記事をご覧ください。

Q: 匿名ユーザーはサポートされていますか?

A: いいえ。匿名ユーザーは現在サポートされていません。

カスタム ID プロバイダー

Q: 既存の ID プロバイダーを利用して SFTP ユーザーを管理することはできますか?

A: AWS SFTP は既存の ID プロバイダーに接続できるため、認証情報が社内ディレクトリに保存されているユーザーを移行できます。ID プロバイダーの例としては、Microsoft Active Directory (AD)、Lightweight Directory Access Protocol (LDAP)、カスタム ID プロバイダーなどがあります。

Q: ユーザー認証のために既存の ID プロバイダーを統合するには、まずどうすればよいですか?

A: まず、AWS CloudFormation のテンプレートを使って、ユーザー認証とアクセスに必要な情報を提供することをお勧めします。詳細については、カスタム ID プロバイダーに関するウェブサイトをご覧ください。

Q: カスタム ID プロバイダー経由でユーザーを設定するとき、ユーザーへのアクセスを有効にするためにどの情報が使用されますか?

A: ユーザーは認証に使用されるユーザー名とパスワード (または SSH キー) を指定する必要があります。バケットへのアクセスは、ID プロバイダー照会用のAPI Gateway と Lambda により提供される AWS IAM ロールで決定されます。ホームディレクトリ情報も指定する必要があります。セキュリティを強化し、使い勝手をよくするため、指定のホームフォルダーに固定することをお勧めします。AWS SFTP でカスタム ID プロバイダーを使用する際は、エンドユーザー体験をシンプルにする方法に関するブログ記事をご覧ください

Q: AWS IAM ロールを提供する必要がある理由を教えてください。また、AWS IAM ロールはどのように使用されるのですか?

A: AWS IAM を使用して、ユーザーに提供するアクセスのレベルを指定します。これには、クライアントで有効にする必要がある操作、ユーザーにアクセス権を付与する Amazon S3 バケット (バケット全体、バケットの一部を問わない) が含まれます。

Q: ホームディレクトリ情報を提供する必要がある理由を教えてください。また、ホームディレクトリ情報はどのように使用されるのですか?

A: ユーザーに設定するホームディレクトリで、ユーザーのログインディレクトリを指定します。ユーザーが SFTP サーバーにログインしたら、これが彼らの SFTP クライアントがランディングディレクトリーとして利用するディレクトリーパスです。与えられたIAMロールにより、必ずユーザーがホームディレクトリへアクセスできるようにしなければなりません。

Q: 数百規模のユーザーがいます。ユーザーのアクセス設定は類似していますが、アクセスするバケットの部分は異なります。指定のホームフォルダーだけにアクセスを固定できますか?

A: はい。論理ディレクトリマッピングを使用し、Amazon S3 バケットの絶対パスをユーザーに表示する方法を指定できます。ID プロバイダー統合の Lambda 機能で、ルートを指定する「/」として「Entry」を指定し、ホームディレクトリパスになる S3 バケットの絶対位置として「Target」を指定する必要があります。場合によっては、スコープダウンポリシーを使用する必要があります。マッピングは、エンドユーザーがアクセスできる唯一の S3 バケットの場所になるためです。chroot と論理ディレクトリで AWS SFTP 構造をシンプルにする方法に関するこちらのブログをご覧ください。

データのアップロードとダウンロード

Q: AWS SFTP を使って転送されたファイルは、Amazon S3 バケットにどのように保存されるのですか?

A: SFTP を介して転送されたファイルは、オブジェクトとして Amazon S3 バケットに保存されます。ファイルとオブジェクト間は 1 対 1 でマッピングされるため、処理や分析用の AWS のサービスを使用して、これらのオブジェクトにネイティブにアクセスすることが可能となります。

Q: バケットに保存されている Amazon S3 オブジェクトは、ユーザーにどのように表示されるのですか?

A: ユーザーの認証情報に基づき認証が成功した後、AWS SFTP では Amazon S3 のオブジェクトとフォルダがファイルとディレクトリとしてユーザーの転送アプリケーションに表示されます。 論理ディレクトリマッピングを指定する方法でも、S3 バケットのパスをユーザーに表示する方法をカスタマイズできます。

Q: AWS SFTP ではどのようなファイル操作がサポートされていますか? また、サポートされていないのはどのような操作ですか?

A: ファイルやディレクトリの作成、読み取り、更新、削除などの一般的な SFTP コマンドがサポートされています。ファイルは Amazon S3 バケットに個々のオブジェクトとして保存されます。ディレクトリは S3 コンソールと同じ構文を使用して、S3 内のフォルダオブジェクトとして管理されます。ディレクトリ名、所有権、許可、タイムスタンプの変更、シンボリックリンクとハードリンクの使用は、現在サポートされていません。

Q: どの操作の実行をユーザーに許可するか、制御することはできますか?

A: はい。ユーザー名にマッピングしている AWS IAM ロールを使用して、ファイル操作を有効/無効にし、設定します。

Q: SFTP ユーザーに、2 つ以上の Amazon S3 バケットへのアクセスを付与することはできますか?

A: はい。ユーザーに割り当てる AWS IAM ロールに関連付けられている IAM ポリシーに複数の S3 バケットを含めると、バケットはユーザーにアクセスできます。また、論理ディレクトリマッピングを使用することで、複数の S3 バケットからのフォルダーを 1 つの名前空間としてユーザーに提示できます。詳細については、こちらのブログをご覧ください。

Q: AWS アカウント A を使ってサーバーを作成し、AWS アカウント B が所有している Amazon S3 バケットに SFTP ユーザーをマッピングすることは可能ですか?

A: はい。CLI と API を使うと、サーバーと、SFTP に使用したいバケットの間の、アカウントを横断したアクセスをセットアップすることができます。コンソールのドロップダウンには、アカウント A にあるバケットしか表示されません。さらに、ロールが、アカウント A に属しているユーザーに割り当てられていることを確認する必要もあります。

Q: ファイルをアップロードした SFTP ユーザーを確認するにはどうすればよいですか?

A: Amazon CloudWatch を使用して SFTP ユーザーのアクティビティを確認できます。Amazon CloudWatch のログ記録を有効にする方法の詳細については、ドキュメントをご覧ください。

Q: Amazon S3 にファイルをアップロードした後、ファイルの処理を自動化できますか?

A: はい。Amazon S3 イベントを使用してアップロードしたファイルの処理を自動化し、幅広い AWS のサービスを使ってクエリ、分析、機械学習などができます。Lambda と Amazon S3 を使用したアップロード後の処理の一般的な例については、ドキュメントをご覧ください。

Q: AWS SFTP サーバーを使用してアップロード/ダウンロードされたデータの量を表示できますか?

A: はい。サーバーを使用してアップロード/ダウンロードしたデータは Amazon CloudWatch で指標としてトラッキングされます。トラッキングとモニタリングに使用できる指標を表示する方法については、こちらのドキュメントをご覧ください。

セキュリティとコンプライアンス

Q: データのセキュリティは転送中も確保されますか?

A: はい。SFTP プロトコルの基礎を成すセキュリティで、コマンドやファイルデータは、安全で暗号化されたトンネルを介して転送されます。

Q: AWS SFTP を使用して転送されたデータを保管時に暗号化するには、どのような方法がありますか?

A: バケット保管されたファイルを暗号化するには、Amazon S3 Server-Side Encryption (SSE-S3) または Amazon KMS (SSE-KMS) を使用できます。

Q: AWS SFTP ではどのコンプライアンスプログラムをサポートしていますか?

A: AWS SFTP は PCI-DSS と GDPR に準拠し、HIPAA に対応しています。 AWS SFTP はSOC 1、2、3 にも準拠しています。コンプライアンスプログラムによる対象範囲内のサービスをご確認ください。

Q: AWS は SFTP FISMA に準拠してますか?

A: AWS の East/West リージョンと GovCloud (US) リージョンは準拠しています。この 2 つのリージョンの FedRAMP Authorization により、FedRAMP 中および FedRAMP 高のコンプライアンスが証明されています。コンプライアンスは、システムセキュリティ計画の範囲に含まれる NIST SP 800-53 による毎年の評価と記録により証明されています。アーティファクトではテンプレートが使用できます。また、FedRAMP が要求するこれらの NIST を満たす責任を詳細まで示す CRM (Customer Responsibility Matrix) も使用できます。アーティファクトは、East/West と GovCloud の両方の AWS アカウントでアクセスできる管理コンソールから使用できます。このトピックについての疑問点があれば、コンソールでご確認ください

Q: サービスでは、アップロードしたファイルの整合性をどのように確保していますか?

A: SFTP サーバーからアップロードされたすべてのファイルは、ファイルのアップロード前とアップロード後の MD5 チェックサムを比較することで検証されます。

Q: 使用状況をモニタリングしてユーザーのアクティビティを管理するには、どのようにすればよいですか?

A: Amazon CloudWatch を使用して SFTP ユーザーのアクティビティを確認できます。Amazon CloudWatch のログ記録を有効にする方法の詳細については、こちらのドキュメントをご覧ください。 また、AWS CloudTrail でユーザーの代理として行った Amazon S3 API 呼び出しの記録を表示できます。

請求

Q: AWS SFTPを使う際にどのような料金が発生しますか?

A: 料金は AWS SFTP で使用したリソースに対して発生します。これには、SFTP サーバーのエンドポイントの時間単位料金、および SFTP データのアップロードとダウンロードの料金が含まれます。料金にはワークフローの要求に基づいてリアルタイムで自動スケーリングする高可用性のフルマネージド型 SFTP サービスが含まれます。詳細については、AWS SFTP 料金表のページをご覧ください。

Q: AWS SFTP サーバーの料金はどのくらいですか?

A: 料金は専用 SFTP サーバーを作成および設定してからサーバーを削除するまでの時間単位料金になります。更に、料金はSFTP サーバー経由でアップロードおよびダウンロードされたデーターの量に基づきます。詳細については、AWS SFTP 料金表のページをご覧ください。

Q: サーバーを停止しました。停止後のサーバーに関する料金はありますか?

A: はい、コンソールを使用してサーバーの停止、またはCLIコマンド「stop-server」かAPIコマンド「StopServer」の使用は料金に影響を及ぼしません。料金は専用 SFTP サーバーを作成および設定してからサーバーを削除するまでの時間単位料金になります。

SFTP 料金の詳細
料金の詳細を確認する

AWS SFTP は、ファイル転送サービスの実行にかかる運用コストを削減できる、フルマネージド型のサービスです。

詳細 
無料の AWS アカウントにサインアップ
無料のアカウントにサインアップ

AWS 無料利用枠にすぐにアクセスできます。 

サインアップ 
SFTP で構築を開始する
コンソールで構築を開始する

AWS コンソールで AWS SFTP を使用して構築を開始します。

サインイン