全般
AWS トランスファーファミリーとは?
AWS Transfer Family は、SFTP、AS2、FTPS、FTP、およびウェブブラウザ 経由で Amazon S3 または Amazon EFS に直接ファイルを転送するためのフルマネージドサポートを提供しています。クライアント側の既存の認証、アクセス、ファイアウォールの設定を維持することで、File Transfer ワークフローをシームレスに移行、自動化、モニタリングできます。そのためお客様、パートナー、内部のチームやそのアプリケーションにとって、何も変更はありません。
SFTP とは何ですか?
SFTPは、セキュアシェル(SSH)ファイル転送プロトコルの略で、インターネット上でデータを安全に転送するために使用されるネットワークプロトコルです。このプロトコルは、SSH のセキュリティ機能と認証機能に完全対応し、金融サービス、医療、メディアと娯楽、小売り、広告など、多種多様な業界のビジネスパートナー間のデータ交換で幅広く使用されています。
FTP とは何ですか?
FTPは、データ転送に使用されるネットワークプロトコルであるファイル転送プロトコルの略です。FTP は制御とデータ転送に別のチャネルを使用します。制御チャネルは終了するまで、または非アクティブな状態のタイムアウトまで、オープンです。データチャネルは転送の期間を通じてアクティブです。FTP はクリアテキストを使用し、トラフィックの暗号化はサポートしていません。
FTPSとはなんですか?
FTPSはSSL経由のファイル転送プロトコルの略で、FTPの拡張です。FTP は制御とデータ転送に別のチャネルを使用します。制御チャネルは終了するまで、または非アクティブな状態のタイムアウトまで、オープンです。データチャネルは転送の期間を通じてアクティブです。FTPS は Transport Layer Security (TLS) を使用してトラフィックを暗号化し、制御チャネル接続とデータチャネル接続の両方を同時にまたは個別に暗号化できます。
AS2 とは何ですか?
AS2 は Applicability Statement 2 の略です。これは、HTTP/HTTPS (または任意の TCP/IP ネットワーク) を介してパブリックインターネットを介して企業間データを安全かつ確実に転送するために使用されるネットワークプロトコルです。
SFTP コネクタとは何ですか?
AWS Transfer Family の SFTP コネクタを使用すると、外部でホストされている SFTP サーバーと AWS ストレージサービス間で、簡単かつ確実にファイルを大規模にコピーできます。
AWS Transfer Family を使用する理由は何ですか?
AWS Transfer Family は、企業間 (B2B) ファイル転送の複数のプロトコルをサポートしているため、利害関係者、サードパーティベンダー、ビジネスパートナー、または顧客とデータを簡単かつ安全に交換できます。Transfer Family を利用しない場合は、独自の File Transfer サービスをホストして管理する必要があり、インフラストラクチャの運用と管理、サーバーのパッチング、アップタイムや可用性のモニタリング、ユーザーのプロビジョニングとアクティビティの監査を行うための 1 回限りの仕組みの構築に投資する必要があります。AWS Transfer Family は、B2B ファイル転送のために、SFTP、AS2、FTPS、FTP、ウェブブラウザ経由の安全なフルマネージド接続オプションを提供することでこれらの課題を解決し、ファイル転送関連のインフラストラクチャを管理する必要をなくします。エンドユーザーのワークフローは変わらず、選択したプロトコル経由でアップロードまたはダウンロードしたデータは Amazon S3 バケットまたは Amazon EFS ファイルシステムに保存されます。データは AWS 内にあるため、コンプライアンス要件を満たす環境で、データ処理、コンテンツ管理、分析、機械学習、およびアーカイブのために、AWS の幅広いサービスとあわせて簡単に使用できるようになりました。
AWS Transfer Family を利用して、AWS でイベント駆動型のマネージドファイル転送 (MFT) ワークフローを構築できますか?
はい。AWS Transfer Family は、サーバーとコネクタによるファイル転送オペレーションごとに Amazon EventBridge でイベント通知を発行します。Amazon EventBridge で AWS Transfer Family イベントをサブスクライブし、Amazon EventBridge またはこれらのイベントと統合する任意の他のオーケストレーションエンジンを使用して、イベント駆動型の MFT ワークフローをオーケストレートするために使用できます。詳細については、「ファイル処理のオートメーション」セクションをご覧ください。
AWS Transfer Family を使用するメリットは何ですか?
AWS Transfer Family は、自動スケーリング機能を備えたフルマネージド型の可用性の高いファイル転送サービスを提供するため、ファイル転送関連のインフラストラクチャを管理する必要がありません。エンドユーザーのワークフローは変わらず、選択したプロトコル経由でアップロードまたはダウンロードしたデータは Amazon S3 バケットまたは Amazon EFS ファイルシステムに保存されます。データは AWS 内にあるため、コンプライアンス要件を満たす環境で、データ処理、コンテンツ管理、分析、機械学習、およびアーカイブのために、AWS の幅広いサービスとあわせて簡単に使用できるようになりました。
SFTP、FTPS、および FTP サーバーエンドポイント用 AWS Transfer を使い始めるにはどうすればよいですか?
簡単な3つのステップで、SFTP、FTPS、FTPに対応した常時稼働のサーバーエンドポイントを構築できます。まず、エンドユーザーがエンドポイントに接続するためのプロトコルを選択します。次に、ユーザーアクセスを設定します。これを行うには、AWS Transfer Family 組み込み型認証マネージャー (サービスマネージド)、Microsoft Active Directory (AD) を使用するか、自社の ID プロバイダー、または Okta や Microsoft AzureAD といったサード パーティーの ID プロバイダーを統合します (「BYO」認証)。最後に、S3 バケットまたは EFS ファイルシステムにアクセスするサーバーを選択します。プロトコル、ID プロバイダー、およびファイルシステムへのアクセスが有効になると、ユーザーは既存の SFTP、FTPS、または FTP クライアントと設定を引き続き使用できます。ユーザーがアクセスするデータは選択したファイルシステムに保存されます。
AS2 用 AWS Transfer を使い始めるにはどうすればよいですか?
AS2 を使い始めるには、3 つの簡単なステップで取引相手とメッセージを交換できます。まず、証明書と秘密鍵、取引相手の証明書と証明書チェーンをインポートします。次に、お客様とパートナーの AS2 ID を使用してプロファイルを作成します。最後に、データ受信用のアグリーメントとデータ送信用のコネクタを使用して、お客様とパートナーのプロファイル情報をペアリングします。この時点で、トレーディングパートナーの AS2 サーバーとメッセージを交換する準備が整いました。
AWS Transfer SFTP コネクタを使い始めるにはどうすればよいですか?
3 つの簡単なステップを実行するだけで、リモート SFTP サーバーと Amazon S3 の間でファイルをコピーするために SFTP コネクタの使用を開始できます。最初に、SFTP コネクタがリモートサーバーへの認証に使用する認証情報を保存するシークレットを作成します。2 番目に、シークレットとリモートサーバーの URL を指定して、SFTP コネクタを作成します。3 番目に、コネクタが作成されたら、StartFileTransfer API を呼び出して、リモートサーバーと Amazon S3 バケットの間でコネクタを使用したファイルのコピーを開始できます。
SFTP と FTPS にはどのような違いがありますか? どんな時に使えばいいの?
FTPSとSFTPはどちらも安全な転送に使用できます。この 2 つは異なるプロトコルであるため、異なるクライアントとテクノロジーを使用して、コマンドとデータを送信するための安全なトンネルを提供しています。SFTP はより新しいプロトコルであり、コマンドとデータに単一のチャネルを使用し、必要とするオープンなポートは FTPS よりも少ないです。
SFTP、FTPS、および AS2 プロトコルにはどのような違いがありますか? AS2 プロトコルはいつ使用すべきですか?
SFTP、FTPS、AS2 はすべて安全な転送に使用できます。それぞれ異なるプロトコルであるため、異なるクライアントとテクノロジーを使用して、安全なデータ通信を実現します。暗号化されたメッセージや署名されたメッセージのサポートの他に、AS2 に組み込まれた Message Disposition Notification (MDN) のメカニズムは、メッセージが受信者によって正常に受信され復号化されたことを送信者にアラートします。これにより、送信者は、メッセージが転送中に改ざんされることなく配信されたことの証明が得られます。AS2 の利用は、小売、電子商取引、決済、サプライチェーンなど、ビジネスパートナーとのやり取りを行うワークフローで普及しており、ビジネスパートナーも AS2 を利用して、安全に送信、配送されるようにメッセージをやり取りすることができます。AS2 は、送信者と受信者の ID、メッセージの整合性、およびメッセージが正常に送信され、受信者によって復号化されたかどうかを確認するためのオプションを提供します。
ユーザーは既存のファイル転送クライアントとアプリケーションを引き続き使用できますか?
はい。選択したプロトコルに対してエンドポイントを有効化すれば、既存のすべてのファイル転送クライアントアプリケーションは引き続き動作します。よく使用される SFTP/FTPS/FTP クライアントの例として、WinSCP、FileZilla、CyberDuck、lftp、OpenSSH などのクライアントがあります。
ユーザーは Web ポータルを使用してファイルをアップロードおよびダウンロードできますか?
はい。お客様は、 Web Client for AWS Transfer Family を使用して、ユーザーがウェブポータルを使用してファイルをアップロードおよびダウンロードできるようにすることができます。技術者以外のユーザー向けに設計された直感的なウェブブラウザインターフェイスが追加されたことで、お客様は AWS Transfer for SFTP と同じ認証とアクセス制御の利点を利用できます。
外部の SFTP サイトに保存されているファイルにアクセスする方法を教えてください。
AWS Transfer SFTP コネクタを使用して、外部 SFTP サイトに保存されているファイルにアクセスできます。SFTP コネクタの使用を開始するには、SFTP コネクタのドキュメントをご覧ください
取引相手のビジネスシステムから私の S3 バケットにファイルを移動するにはどうすればよいですか?
AWS Transfer Family のフルマネージド型 SFTP/FTPS/AS2 機能を使用して、取引パートナーのビジネスシステムから生成された EDI ドキュメントを受け取ることができます。AWS Transfer Family の接続機能を使用して受信した EDI ドキュメントは、自動的に Amazon S3 にアップロードされ、AWS B2B データ交換を使用して JSON および XML 形式の出力に変換できます。または、他の EDI 接続ツールを使用して EDI ドキュメントを S3 にアップロードすることもできます。
ユーザーはこのサービスで HTTPS を使用してファイルを転送できますか?
いいえ。ユーザーは SFTP、AS2、FTPS、または FTP を使用してファイルを転送する必要があります。ほとんどのファイル転送クライアントでは、認証時に選択するオプションとして、これらのプロトコルのいずれかが提供されます。AWS サポートまたは AWS アカウントチームを通じて、サポートを希望する特定のプロトコルをお知らせください。
ユーザーはこのサービスで SCP コマンドを使用してファイルを転送できますか?
はい。Transfer Family を利用して SFTP プロトコルを通じて SCP コマンドをサポートし、S3 および EFS ストレージを使用したファイル転送の SCP ユースケースの多くに対応できます。SCP コマンドをサポートするには、SCP クライアントがデフォルトで SFTP 経由で SCP (OpenSSH 9.0 以降など) を使用していることを確認してください。ただし、SCP プロトコルは非推奨になっており、このサービスではサポートされていません。詳細については、ドキュメントにアクセスしてください。
サーバーエンドポイントオプション
Transfer Familyサーバーに接続しているユーザーのログインバナーをカスタマイズできますか?
はい。組織ポリシーや利用規約など、カスタマイズしたバナーをユーザーに表示するよう、Transfer Family サーバーを設定することができます。また、認証に成功したユーザーに対して、カスタマイズした本日のメッセージ (MOTD) を表示することも可能です。詳細については、ドキュメントをご覧ください。
会社のドメイン名 (sftp.mycompanyname.com) を使用してエンドポイントにアクセスできますか?
はい。このサービスは、エンドポイントにアクセスするためのドメイン名をデフォルトで提供します。ドメイン名を既にお持ちの場合、Amazon Route 53 または任意の DNS サービスを使用して、登録済みのドメインから AWS のサーバーエンドポイントにユーザーのトラフィックをルーティングできます。(インターネット転送エンドポイントにのみ適用可能な) カスタムドメイン名について、AWS Transfer Family が Amazon Route 53 を使用する方法に関するドキュメントを参照してください。
VPC 内のリソースにのみアクセスできるようにサーバーを設定できますか?
はい。サーバーを作成する際、または既存のサーバーを更新する際に、エンドポイントをパブリックインターネット上でアクセス可能にするか、または自分の VPC 内にホストするか、いずれかを指定することができます。VPC にホストしたエンドポイントをサーバーとして使用すると、同じ VPC にあるクライアント、指定したその他の VPC のクライアント、または AWS Direct Connect、AWS VPN、VPC ピアリングなど、VPC を拡張するネットワーク技術を使用するオンプレミス環境にあるクライアントのみにアクセスを制限できます。サブネットのネットワークアクセスコントロールリスト (NACL) またはセキュリティグループを使用して、さらに VPC 内の特定のサブネットのリソースにアクセスを制限できます。詳細については、AWS PrivateLink を使用して VPC 内にサーバーエンドポイントを作成する方法に関するドキュメントを参照してください。
インターネットに直接接続されたエンドポイントで FTP を使用できますか?
いいえ。FTP を有効にすると、FTP はデータを平文で送信するため、VPC ホストエンドポイントの内部アクセスオプションしか使用できなくなります。トラフィックがパブリックネットワークを経由する場合は、SFTP や FTPS のようなセキュアなプロトコルを使用する必要があります。
VPC なしで FTP を使用できますか?
いいえ。FTP サーバーエンドポイントをホストするためには VPC が必須です。CloudFormation テンプレートのドキュメントを参照して、サーバー作成時にエンドポイントをホストする VPC リソースの作成を自動化してください。
エンドユーザーは固定 IP アドレスを使用して、ファイアウォール内のサーバーのエンドポイントへのアクセスを許可リストに登録できますか?
はい。サーバーの VPC にホストされたエンドポイントを選択し、インターネットに直接接続するオプションを選択すると、サーバーエンドポイントの固定 IP を有効にできます。これにより、エンドポイントの IP アドレスとして割り当てられているエンドポイントに Elastic IP (BYO IP を含む) を直接接続できるようになります。ドキュメントのインターネット向けエンドポイントの作成に関するセクション「VPC 内でのサーバーエンドポイントの作成」を参照してください。
エンドユーザーの送信元 IP アドレスで受信トラフィックを制限できますか?
はい。ユーザーのソース IP アドレスによって着信トラフィックを制限するには、3 つのオプションがあります。VPC 内でサーバーエンドポイントをホストしている場合は、セキュリティグループを使用してソースの IP アドレスを一覧表示できるようにする方法、または AWS ネットワークファイアウォールサービスを使用する方法に関するこのブログ記事を参照してください。パブリック EndpointType Transfer サーバーと API Gateway を使用して ID 管理システムを統合している場合は、AWS WAF を使用して、エンドユーザーのソース IP アドレスによってアクセスを許可、ブロック、またはレート制限することもできます。
サーバーのエンドポイントを共有 VPC 環境でホストできますか?
はい。共有 VPC 環境を使用して、サーバーエンドポイントをデプロイできます。この環境は、セキュリティ、コスト監視、スケーラビリティのために AWS Landing Zone などのツールを使用して AWS 環境をセグメント化するときに通常使われます。AWS Transfer Family による共有 VPC 環境で VPC ホストエンドポイントを使用する方法については、このブログ投稿を参照してください。
遠隔地にいるエンドユーザーのファイル転送のパフォーマンスを向上させるにはどうすればよいですか?
AWS Global Accelerator を転送サーバーエンドポイントで使用すると、ファイル転送のスループットと往復時間を改善できます。詳細については、このブログ記事をご覧ください。
エンドユーザーのクライアントがサーバーエンドポイントに接続するときに使用できる暗号化アルゴリズムを選択できますか?
はい。セキュリティとコンプライアンスの要件に基づいて、利用可能なサービスマネージドセキュリティポリシーのいずれかを選択して、サーバーエンドポイントによって通知される暗号化アルゴリズムを制御できます。エンドユーザーの File Transfer クライアントがお使いのサーバーへの接続を試みる場合、接続の交渉にはポリシーで指定されたアルゴリズムのみが使用されます。事前定義されたセキュリティポリシーに関するドキュメントを参照してください。
AWS Transfer Family は量子的に安全なパブリックキーの交換をサポートしていますか?
はい。AWS Transfer Family は、SFTP File Trasnfer 用の耐量子パブリックキー交換のサポートを開始しました。定義済みのハイブリッド PQ セキュリティポリシーの 1 つを SFTP サーバーに関連付けることで、PQ 暗号化アルゴリズムをサポートするクライアントとの量子安全な鍵交換が可能になります。
エンドユーザーは固定 IP アドレスを使用して、エンドポイントタイプが PUBLIC のサーバーにアクセスできますか?
いいえ。ファイアウォールのホワイトリスト登録に通常使用される固定 IP アドレスは、現在 PUBLIC Endpoint タイプではサポートされていません。 VPC でホストされているエンドポイントを使用して、エンドポイントに静的 IP アドレスを割り当ててください。
SFTP サーバーのエンドポイントタイプである PUBLIC にアクセスするために、エンドユーザーがリストを許可するには、どの IP 範囲が必要ですか?
PUBLIC エンドポイントタイプを使用している場合、ユーザーはここに公開されている AWS IP アドレス範囲のリストを許可する必要があります。AWS IP アドレス範囲を最新の状態に保つ方法の詳細については、ドキュメントを参照してください。
SFTP 用 AWS Transfer サーバーのホストキーは、サーバーを作成した後に変更されることはありますか?
いいえ。サーバーの作成時に割り当てられたサーバーのホストキーは、新しいホストキーを追加して元のホストキーを手動で削除しない限り、変わりません。
どのタイプの SFTP サーバホストキーがサポートされていますか?
SFTP サーバーのホストキーでは、RSA、ED25519、および ECDSA キータイプがサポートされています。
現在の SFTP サーバーからキーをインポートして、ユーザーがサーバーの信頼性を再度確認する必要がないようにすることはできますか?
はい。サーバー作成時にホストキーをインポートしたり、サーバーの更新時に複数のホストキーをインポートすることができます。SFTP 対応サーバーのホストキーの管理に関するドキュメントを参照してください。
複数のホストキーを使用して SFTP サーバーの信頼性を検証できますか?
はい。各キー種の最も古いホストキーを使用して、SFTP サーバーの真正性を検証することができます。RSA、ED25519、ECDSA のホストキーを追加することで、3 つの別個のホストキーを使用して SFTP サーバーを識別することができます。
SFTP サーバーの信頼性を検証するために使用されるホストキーはどれですか?
A: SFTP サーバーの真正性を検証するために、各キータイプの中で最も古いホストキーが使用されます。
Q: 安全な接続を確保するために、SFTP サーバーのホストキーをローテーションさせることができますか?
はい。A: SFTP サーバーのホストキーのローテーションは、ホストキーの追加と削除によりいつでも行うことができます。SFTP 対応サーバーのホストキーの管理に関するドキュメントを参照してください。
エンドユーザーの FTPSクライアントはどのようにして私のFTPSサーバーの身元を確認しますか?
FTPS アクセスを有効にする場合は、Amazon 証明書マネージャー (ACM) から証明書を提供する必要があります。この証明書を使用して、エンドユーザークライアントは FTPS サーバーの ID を確認します。新しい証明書のリクエストまたは既存の証明書の ACM へのインポートについては、ACM のドキュメントを参照してください。
FTPSとFTPのアクティブモードとパッシブモードをサポートしていますか?
エンドユーザーのクライアントがサーバーとの接続を開始できるパッシブモードのみをサポートしています。パッシブモードではクライアント側で必要なオープンなポートの数が少なく、サーバーエンドポイントの、保護されたファイアウォールの後ろにいるエンドユーザーとの互換性が高まります。
明示的FTPSモードと暗黙的FTPSモードをサポートしていますか?
明示的な FTPS モードのみサポートしています。
クライアントとサーバーの間にファイアウォールまたはルーターが設定されている場合、FTPS/FTPプロトコルでファイルを転送できますか?
はい。ファイアウォールやルーターを経由するファイル転送は、デフォルトでは EPSV (extended passive connection mode) を使用してサポートされています。EPSV モードをサポートしない FTPS/FTP クライアントを使用している場合は、このブログ記事を参照してサーバーを PASV モードに設定し、サーバーの互換性を幅広いクライアントに広げてください。
AWS Transfer Family は SFTP サーバーのためにデフォルト以外のポートをサポートしていますか?
はい。標準のポート 22 に加えて、AWS Transfer Family は代替ポート 2222 および 22000 もサポートしています。デフォルトでは、ポート 22 が SFTP サーバー用に設定されています。サーバーのセキュリティを強化するために、ポート 22、2222、またはその両方を使用するように SSH トラフィックを設定できます。こちらのドキュメントをご覧ください。
ウェブアプリケーション
AWS Transfer Family ウェブアプリとは何ですか?
AWS Transfer Family ウェブアプリは、ウェブブラウザを介して Amazon S3 との間でデータを転送するためのシンプルなインターフェイスをエンドユーザーに提供できる、完全に管理された、カスタマイズ可能で安全で信頼性の高いポータルです。
Transfer Family ウェブアプリを使い始めるにはどうすればいいですか?
ウェブアプリの使用を開始してシンプルなウェブインターフェイスを有効にすると、エンドユーザーは Amazon S3 に保存されているデータを簡単な 3 つのステップで閲覧、アップロード、ダウンロードできるようになります。まず、アイデンティティセンターディレクトリ、Microsoft Active (AD)、または Okta や Entra ID などのサードパーティー ID プロバイダー (IdP) を使用して、アイデンティティセンターインスタンスを作成します。次に、Transfer Family コンソールでウェブアプリを作成し、ディレクトリからユーザーとグループにアプリケーションを使用するように割り当てます。最後に、S3 Access Grants でユーザーまたはグループの権限を設定します。詳細については、ブログまたはドキュメントをご覧ください。
Transfer Family ウェブアプリを作成するにはサーバーを作成する必要がありますか?
いいえ。Transfer Family のウェブアプリとサーバーは独立したスタンドアロンリソースであり、接続されていません。サーバーから独立したウェブアプリを作成します。
Transfer Family ウェブアプリではどのような認証方法がサポートされていますか?
ウェブアプリは AWS IAM アイデンティティセンターをサポートします。IAM アイデンティティセンターでは、IAM アイデンティティセンターの ID ストアでユーザー ID を作成して管理する、または簡単に Microsoft Active Directory、Okta Universal Directory、Microsoft Entra ID (以前の Azure AD)、または他のサポートされている IdP などの既存のアイデンティティソースに接続することができます。IAM アイデンティティセンターは、Okta Universal Directory または Microsoft Entra ID (以前の Azure AD) などのほとんどの SAML 2.0 IdP に接続できます。詳しくは、IAM アイデンティティセンターのドキュメントをご覧ください。
Transfer Family ウェブアプリ用に既存の IDP から ID をプロビジョニングする方法を教えてください。
既存の IdP からのアイデンティティは、IAM アイデンティティセンターにプロビジョニングしてからアクセス許可を割り当てる必要があります。Okta Universal Directory、Microsoft Entra ID (以前の Azure AD)、OneLogin、PingFederate からのユーザーおよびグループの情報は、System for Cross-domain Identity Management (SCIM) 標準を使用して自動的に同期できます。他の IdP については、IAM アイデンティティセンターコンソールを使用して、IdP からのユーザーをプロビジョニングできます。詳しくは、IAM アイデンティティセンターのドキュメントをご覧ください。
Transfer Family ウェブアプリで Microsoft Active Directory を使用できますか?
はい。IAM アイデンティティセンターは、AWS Directory Service を使ってオンプレミスの Active Directory (AD) または AWS Managed Microsoft AD ディレクトリに接続できます。詳しくは、IAM アイデンティティセンターのドキュメントをご覧ください。
Transfer Family ウェブアプリケーションを使用したファイル転送では、どの AWS ストレージサービスがサポートされていますか?
Transfer Family ウェブアプリを使用して、Amazon S3 との間でファイルを転送できます。
Amazon S3 Access Grants は Transfer Family ウェブアプリとどのように連携しますか?
ウェブアプリでは、各エンドユーザーに、S3 Access Grants で定義されている S3 の場所と権限に関する独自のビューが表示されます。ユーザーがオブジェクトを閲覧、アップロード、ダウンロードすると、ウェブアプリは S3 Access Grants によって発行された一時的な IAM 認証情報を使用して S3 のデータに安全にアクセスします。S3 Access Grants の詳細については、S3 ユーザーガイドをご覧ください。
Transfer Family ウェブアプリを使用してユーザーとグループにどのレベルのアクセスを付与できますか?
ウェブアプリのアクセス制御は、読み取り、書き込み、読み取り書き込みの 3 つのアクセスレベルを提供する S3 Access Grants によって実行されます。これらのアクセスレベルでは、ファイルのリスト、アップロード、ダウンロード、コピーなど、関連する許可された操作が可能になります。READ を使用すると、S3 からオブジェクトを表示および取得できます。WRITE では、S3 への書き込みや S3 からの削除が可能です。READWRITE では、読み取りと書き込みの両方を行うことができます。
Transfer Family ウェブアプリの外観をカスタマイズすることはできますか?
はい。ウェブポータルをカスタマイズするには、AWS Transfer Family コンソールで会社のロゴ、ファビコン、ページタイトルを更新するか、AWS CLI または API を使用します。
Transfer Family ウェブアプリの URL をカスタマイズすることはできますか?
はい。Amazon CloudFront を使用して、カスタムドメイン名をウェブアプリケーションに関連付けることができます。複数の AWS アプリケーションをエンドユーザーと共有する予定がある場合は、AWS IAM アイデンティティセンターを使用してアイデンティティセンターアプリケーションポータルへのサインイン URL をカスタマイズすることもできます。
Transfer Family ウェブアプリでは、ユーザーはどのような操作を実行できますか?
S3 Access Grants と IAM ロールで付与されたアクセス権に応じて、ユーザーにはファイルのリスト、アップロード、ダウンロード、コピー、削除を許可できます。アクセス制御の管理の詳細については、ドキュメントを参照してください。
ウェブアプリは Storage Browser for Amazon S3 とどのように関連していますか?
Storage Browser for S3 は、ウェブアプリケーションに追加することで S3 に保存されているデータ用のシンプルなインターフェイスをエンドユーザーに提供できる、オープンソースコンポーネントです。ウェブアプリは Storage Browser for S3 を使用して構築され、フルマネージドサービスと同じエンドユーザー機能を提供します。
Transfer Family ウェブアプリの複数のアイデンティティソースを IAM アイデンティティセンターに接続することはできますか?
いいえ。どのような場合も、IAM アイデンティティセンターに接続できるのは単一のディレクトリ、または単一の SAML 2.0 アイデンティティプロバイダーのみです。ただし、接続されているアイデンティティソースを別のソースに変更することは可能です。
SFTP コネクター
リモート SFTP サーバーとの接続を確立するには、どのような認証方法がサポートされていますか?
リモートサーバーの要件に応じて、SSH キーペアまたはパスワード、あるいはその両方を使用してリモートサーバーへの接続を認証できます。AWS Secrets Manager アカウントでのコネクタの認証情報の保存と管理の詳細については、ドキュメントにアクセスしてください。
Q: SFTP コネクタを使用したファイル転送は、どの AWS ストレージサービスがサポートしていますが?
A: SFTP コネクタを使用して、Amazon S3 との間でファイルをリモートの SFTP サーバーに転送できます。
SFTP コネクタではどの SSH ホストキーアルゴリズムがサポートされていますか?
RSA および ECDSA ホストキーアルゴリズムをサポートしています。サポートされているキータイプの詳細については、こちらのドキュメントをご覧ください。
接続を作成するときにリモート SFTP サーバーの ID を確認する方法を教えてください。
コネクタはホストのフィンガープリントを使用してリモートサーバーの識別情報を検証します。リモートサーバーから提供されたフィンガープリントが コネクタ設定にアップロードされたフィンガープリントと一致しない場合、接続は失敗し、エラーの詳細が CloudWatch にログ記録されます。リモートサーバーの SSH キーの公開部分を識別のためにアップロードする方法の詳細については、こちらの SFTP コネクタのドキュメントにアクセスしてください。
Q: Amazon S3 バケットと SFTP コネクタを他の AWS
はい。Amazon S3 バケットと SFTP コネクタリソースを異なる AWS アカウントにプロビジョニングできます。
リモート SFTP サーバーに接続するために SFTP コネクタで使用できる暗号アルゴリズムを選択できますか?
はい。セキュリティと互換性の要件に基づいて、使用可能なサービスマネージドセキュリティポリシーのいずれかを選択して、SFTP コネクタによってアドバタイズされる暗号化アルゴリズムを制御できます。コネクタがリモートサーバーへの接続を試みると、コネクタにアタッチされたポリシーで指定されたアルゴリズムのみが接続のネゴシエーションに使用されます。事前定義済みのセキュリティポリシーに関するドキュメントをご覧ください。
ある AWS アカウントで SFTP コネクタを作成し、それを使用して別の AWS アカウントからファイルを転送できますか?
はい。ある AWS アカウントで SFTP コネクタを作成し、コネクタにアタッチされている IAM ロールに適切な許可を付与することで、それを使用して別のアカウントからファイルを転送できます。
ファイルを転送せずにリモートサーバーへの接続を確認する方法を教えてください。
AWS マネジメントコンソールまたは TestConnection API/CLI/CDK コマンドを使用して、リモートサーバーへの接続をテストできます。 コネクタを作成したらすぐにリモートサーバーへの接続をテストして、正しく構成されていることを確認することをお勧めします。必要に応じて、コネクタに関連付けられた静的 IP アドレスがリモートサーバーによって許可リストに登録されていることを確認してください。詳細については、SFTP コネクタのドキュメントにアクセスしてください。
SFTP コネクタではどのようなファイル転送操作がサポートされていますか?
SFTP コネクタを使用すると、Amazon S3 からリモート SFTP サーバーへのファイルの送信、リモート SFTP サーバーから Amazon S3 へのファイルの取得、およびリモート SFTP サーバー上のディレクトリに保存されているファイルの一覧表示を行うことができます。SFTP コネクタの使用方法の詳細については、SFTP コネクタのドキュメントをご覧ください。
ファイル名が事前にわからない場合、リモート SFTP サーバーからファイルを取得するにはどうすればよいですか?
SFTP コネクタの StartDirectoryListing API オペレーションを使用して、リモート SFTP サーバー上のディレクトリに保存されているファイルをリストで表示できます。これにより、StartFileTransfer API オペレーションを使用してファイルを転送する際に、リストに記載されているファイル名を渡すことによって、リモートサーバーからターゲットファイルを取得できるようになります。詳細については、リモート SFTP サーバーから新しいファイルを同期するためのサンプルソリューションを参照するか、セルフペースの MFT ワークショップを受講してください。
SFTP コネクタを使用して、コピーするファイルのファイル名パターンをワイルドカードで指定するにはどうすればよいですか?
SFTP コネクタを使用してリモート SFTP サーバー上のディレクトリからすべてのファイルをリストで表示し、ファイル名のパターンのワイルドカード基準に基づいてファイルリストをフィルタリングするカスタムロジックを構築できます。その後、StartFileTransfer API オペレーションで SFTP コネクタを使用してこれらのファイルを転送できます。
ファイル転送のステータスを追跡する方法を教えてください。
ListFileTransferResults API コマンドを使用して、ファイル転送オペレーションの現在のステータスをモニタリングできます。さらに、SFTP コネクタは、データリネージの維持に役立つよう、ファイル転送のステータス、オペレーションタイプ (送信または取得)、タイムスタンプ、ファイルパス、エラーの説明 (ある場合) などの詳細なログを Amazon CloudWatch に出力します。
SFTP コネクタを使用してファイル転送をスケジュールできますか?
はい。Amazon EventBridge スケジューラを使用してファイル転送をスケジュールできます。EventBridge Scheduler を使用してビジネスのニーズを満たすスケジュールを作成し、AWS Transfer Family の StartFileTransfer API または StartDirectoryListing API をスケジュールのユニバーサルターゲットとして指定します。
AWS Step Function のステートマシンから SFTP コネクタを使用してファイル転送を呼び出すことはできますか?
はい。AWS Step Functions は、AWS Transfer Family を含むさまざまな AWS サービスと統合されているため、SFTP コネクタの StartFileTransfer アクションをステートマシンから直接呼び出すことができます。AWS Transfer Family を使用して SFTP コネクタを作成したら、Step Functions の AWS SDK インテグレーションを利用して StartFileTransfer API を呼び出します。AWS Step Functions と SFTP コネクタを使用してファイル転送とファイル処理ワークフローをオーケストレートする方法の詳細については、セルフペースのイベント駆動型 MFT ワークショップを受講してください。
SFTP コネクタを使用して転送されたファイルのイベント駆動型の処理をオーケストレートできますか?
はい。SFTP コネクタを使用したあらゆるファイル転送オペレーションは、Amazon EventBridge のデフォルトのイベントバスにイベント通知を発行します。SFTP コネクタイベントをサブスクライブし、Amazon EventBridge またはこれらのイベントと統合する任意の他のワークフローオーケストレーションサービスを利用して、転送されたファイルのイベント駆動型の処理をオーケストレートするために使用できます。
ビジネスパートナーがファイアウォールでコネクタの IP アドレスを許可リストに登録できるようにするために、SFTP コネクタに静的 IP アドレスを使用することはできますか?
はい。静的 IP アドレスはデフォルトでコネクタに関連付けられており、ビジネスパートナーのファイアウォールで接続を許可リストに登録するために使用できます。コネクタに関連付けられている静的 IP アドレスは、AWS Transfer Family コンソールのコネクタの詳細ページに移動するか、または DescribeConnector の API/CLI/CDK コマンドを使用して確認できます。
静的 IP アドレスは、アカウント内のすべての SFTP コネクタで同じですか?
はい。AWS アカウントがあるリージョン内のすべての SFTP コネクタは、一連の静的 IP アドレスを共有します。特定のタイプのコネクタ間で IP アドレスを共有すると、許可リストのドキュメントの量が少なくなり、外部パートナーとの間で必要となるオンボーディング通信も少なくなります。
SFTP コネクタを使用してプライベートネットワーク内のサーバーに接続できますか?
いいえ。現在、SFTP コネクタは、インターネットにアクセスできるエンドポイントを提供するサーバーとの接続にのみ使用できます。プライベートネットワーク経由でのみアクセス可能なサーバーに接続する必要がある場合は、AWS サポートまたは AWS アカウントチームを通じてお知らせください。
マルチプロトコルアクセス
同じサーバーエンドポイントで複数のプロトコルを有効にできますか?
はい。設定中に、クライアントがエンドポイントに接続するために有効化したいプロトコル (複数可) を選択できます。サーバーホスト名、IP アドレス、および ID プロバイダーが選択されたプロトコル全体で共有されます。同様に、エンドポイントの設定が、使用するすべてのプロトコルの要件を満たしている限り、既存の AWS Transfer Family エンドポイントに対する追加のプロトコルサポートを有効にすることもできます。
プロトコルごとに個別のサーバーエンドポイントを作成すべきか、複数のプロトコルで同じエンドポイントを有効にするべきか?
FTP (VPC 内のアクセスでのみサポート) を使用する必要があり、インターネット経由で SFTP、AS2、または FTPS をサポートする必要がある場合は、FTP 用に別のサーバーエンドポイントが必要になります。複数のプロトコルを介して接続するクライアントのために同じエンドポイントのホスト名と IP アドレスを使用する場合は、複数のプロトコルのために同じエンドポイントを使用できます。さらに 1 つの認証情報を SFTP と FTPS に使用したい場合は、単一の ID プロバイダーを設定して使用して、両方のプロトコルにわたって接続するクライアントを認証できます。
同じエンドユーザーが複数のプロトコルでエンドポイントにアクセスするように設定できますか?
はい。1 人のユーザーに複数のプロトコルにわたるアクセスを設定できます。これは ID プロバイダーにプロトコルに固有の認証情報が設定されている場合に可能です。FTP を有効化している場合は、FTP には別の認証情報を使用することを推奨します。FTP に別の認証情報を設定する方法については、ドキュメントを参照してください。
FTP ユーザー用に別の認証情報を管理する必要があるのはなぜですか?
SFTP および FTPS と異なり、FTP は認証情報をクリアテキストで送信します。FTP の認証情報を SFTP または FTPS から隔離することを推奨します。そうすれば、もし不注意により FTP の認証情報が共有または公開されても、SFTP または FTPS を使用しているワークロードは引き続き安全だからです。
私のユーザーはブラウザを使用して AWS Transfer Family SFTP エンドポイントにアクセスできますか?
はい。AWS Transfer Family SFTP エンドポイントを使用してブラウザベースのインターフェイスを提供できるこのオープンソースソリューションをデプロイできます。
サーバーエンドポイントの ID プロバイダーオプション
このサービスではどのような ID プロバイダーオプションがサポートされていますか?
このサービスでは、ユーザー ID をサービス内に保存するサービスマネージド、Microsoft Active Directory、および任意の ID プロバイダーを統合できるカスタム ID プロバイダーの 3 つのオプションをサポートしています。サービスマネージド型認証は、SFTP のみに有効化されたサーバーエンドポイントをサポートしています。
サービスマネージド認証を使用してユーザーを認証するにはどうすればよいですか?
サービスマネージド認証を使用して、SSH キーを使用して SFTP ユーザーを認証できます。
SFTP ユーザー 1 人あたり何個の SSH キーをアップロードできますか? どのキータイプがサポートされていますか?
ユーザー 1 人あたり最大 10 個の SSH キーをアップロードできます。RSA、ED25519、ECDSA のキーがサポートされています。
サービスマネージド認証では SSH キーローテーションはサポートされていますか?
はい。SFTP ユーザーのキーローテーションを設定する方法の詳細については、ドキュメントを参照してください。
Microsoft AD を使い始めるにはどうすればよいですか?
サーバーを作成するときに、AWS マネージド Microsoft AD のディレクトリ、オンプレミス環境、または Amazon EC2 のセルフマネージド AD のディレクトリを ID プロバイダーとして選択します。次に、セキュリティ識別子 (SID) によるアクセスを有効にする AD グループを指定する必要があります。AD グループを IAM ロール、スコープダウンポリシー (S3 のみ)、POSIX プロファイル (EFS のみ)、ホームディレクトリの場所、論理ディレクトリマッピングなどのアクセス制御情報に関連付けると、グループのメンバーは AD 認証情報を使用して、有効なプロトコル (SFTP、FTPS、FTP) を介してファイルを認証および転送できます。
AD ユーザーが S3 バケットのさまざまな部分に個別にアクセスできるように設定する方法を教えてください。
ユーザーを設定する際には、ユーザー名などのユーザー情報に基づいて実行時に評価されるスコープダウンポリシーを指定します。すべてのユーザーに同じスコープダウンポリシーを使用して、バケットの一意のプレフィックスに対するアクセス権を、ユーザー名を基に付与できます。ユーザー名は論理ディレクトリマッピングの評価にも使用できます。これを行うには、S3 バケットまたは EFS ファイルシステムの内容をユーザーに表示する方法を、標準化されたテンプレートで指定します。詳細については、 AD グループへのアクセス権の付与に関するドキュメントをご覧ください。
サポートされているすべてのプロトコルのアイデンティティプロバイダオプションとして Microsoft AD を使用できますか?
はい。Microsoft AD を使用して、SFTP、FTPS、および FTP 経由でアクセスするユーザーを認証できます。
有効な AD グループのアクセスを取り消すことはできますか?
はい。個々の AD グループに付与されたファイル転送のアクセス権は取り消すことができます。いったん取り消されると、AD グループのメンバーは AD 認証情報を使用してファイルを転送できなくなります。
なぜカスタム認証モードを使うべきなのですか?
カスタムモード (「BYO」認証) では、既存のIDプロバイダーを利用してすべてのプロトコルタイプ (SFTP、FTPS、FTP) のエンドユーザーを管理できるため、ユーザーの移行を簡単かつシームレスに行うことができます。認証情報は社内ディレクトリまたは社内の ID データストアに格納して、エンドユーザー認証のために統合できます。ID プロバイダーの例としては、 Okta 、Microsoft AzureAD、またはプロビジョニングポータル全体の一部として使用しているカスタムビルド ID プロバイダーなどがあります。
ID プロバイダーを AWS Transfer Family サーバーと統合するにはどのようなオプションがありますか?
ID プロバイダーを AWS Transfer Family サーバーと統合するには、AWS Lambda 関数または Amazon API ゲートウェイエンドポイントを使用できます。ID プロバイダーに接続するための RESTful API が必要な場合や、AWS WAF の地理的ブロックおよびレート制限機能を利用する場合は、Amazon API Gateway を使用してください。AWS Cognito、Okta、AWS Secrets Manager などの一般的なアイデンティティプロバイダーの統合について詳しくは、ドキュメントをご覧ください。
クライアントのソースIPに基づいてアクセス制御を適用できますか?
はい。AWS Lambda または API Gateway を使用してカスタム ID プロバイダーを接続する際に、クライアントソース IP がお客様の ID プロバイダーに渡されます。これにより、クライアントの IP アドレスに基づいてアクセスを許可、拒否、制限することができ、信頼できると指定した IP アドレスからのみデータにアクセスできるようになります。
ユーザーが自分の SFTP サーバーに接続しようとしたときに、複数の認証方法を要求できますか?
はい。SFTP 経由でデータにアクセスする場合、複数の認証方法を適用してセキュリティを強化できます。SFTP サーバーは、パスワードと SSH キー、パスワードまたは SSH キーの両方、パスワードのみ、または SSH キーのみを要求するように設定できます。カスタマー ID プロバイダーを使用して複数の認証方法を有効にする方法の詳細については、ドキュメントを参照してください。
パスワード認証にサービス管理オプションを使用できますか?
いいえ。認証用にサービス内にパスワードを保存することは現在サポートされていません。パスワード認証が必要な場合は、AWS Directory Service でディレクトリを選択して Active Directory を使用するか、このブログの「Secrets Manager によるパスワード認証の有効化」で説明されているアーキテクチャに従ってください。
匿名ユーザーはサポートされていますか?
いいえ。匿名ユーザーは現在、どのプロトコルでもサポートされていません。
個々の AD ユーザーまたはディレクトリ内のすべてのユーザーにアクセスを提供できますか?
いいえ。AD グループによるアクセス設定のみをサポートしています。
AD を使用して SSH キーを使用してユーザーを認証できますか?
いいえ。Microsoft AD の AWS Transfer Family サポートは、パスワードベースの認証にのみ使用できます。認証モードを混在させて使用する場合は、カスタムオーソライザーオプションを選択してください。
AS2 トレーディングパートナー
AS2 ドラモンドの AWS Transfer Family サポートは認定されていますか?
はい。AS2 の AWS Transfer Family サポートは、ドラモンドグループの公式の AS2 クラウド認定シールを取得しました。AWS Transfer Family AS2 の機能は、他の 14 のサードパーティ AS2 ソリューションとのセキュリティとメッセージ交換の互換性について徹底的に検証されています。詳細については、発表をご覧ください。
AS2 取引パートナーを一意に識別する方法を教えてください。
取引相手は、AS2 識別子 (AS2 ID) を使用して一意に識別されます。同様に、トレーディングパートナーは AS2 ID を使用してメッセージを特定します。
AWS Transfer ファミリーの既存の機能のうち、AS2 で利用できるものはどれですか? 利用できない機能はどれですか?
SFTP、FTPS、FTP と同様に、AWS Transfer Family の既存の Amazon S3 サポート、ネットワーキング機能 (VPC エンドポイント、セキュリティグループ、Elastic IP)、AS2 のアクセスコントロール (AWS IAM) を使用できます。ユーザー認証、論理ディレクトリ、カスタムバナー、ストレージバックエンドとしての Amazon EFS は、AS2 ではサポートされていません。
否認防止とはどのようなもので、なぜ重要なのでしょうか?
AS2 特有の否認防止は、メッセージが 2 者間で正常に交換されたことを検証するものです。AS2 における否認防止は、Message Disposition Notifications (MDN) を使用して達成されます。MDN がトランザクションでリクエストされた場合、送信者がメッセージを送信し、受信者がそれを正常に受信し、送信者が送信したメッセージが受信者によって受信されたものと同じメッセージであることを確認します。
AS2 プロトコルを使用したメッセージ送信にはどのような手順が必要ですか?
メッセージ送信には、送信者からのものと受信者からのものの 2 つの側面があります。送信者が送信するメッセージを決定すると、メッセージは (送信者の秘密キーを使用して) 署名され、(受信者の証明書を使用して) 暗号化され、ハッシュを使用してメッセージの整合性が計算されます。この署名され暗号化されたメッセージは、電信で受信者に送信されます。メッセージが受信されると、(受信者の秘密キーを使用して) 復号化され、(送信者の公開キーを使用して) 検証され、処理され、リクエストがあれば署名された Message Disposition Notifications (MDN) が送信者に送り返され、メッセージの配信が成功したことを確認します。AS2 がメッセージ送信を処理する方法については、ドキュメントを参照してください。
メッセージ送信にはどのようなオプションがありますか?
可能なオプションの組み合わせは、送信者の観点から決定されます。送信者は、データの暗号化のみ、署名のみ (または両方) を選択し、Message Disposition Notifications (MDN) をリクエストすることを選択できます。送信者が MDN をリクエストすることを選択した場合、署名付きまたは未署名の MDN をリクエストすることができます。受信者はこれらのオプションを尊重することが期待されます。
メッセージ処理通知 (MDN) のリクエストはオプションですか?
はい。送信者は MDN をリクエストするかどうか、署名付きまたは未署名の MDN をリクエストするかどうか、また MDN に署名するために使用すべき署名アルゴリズムを、選択することができます。
同期 (同期) mDNS と非同期 (非同期) mDNS をサポートしていますか? どのオプションをいつ使うべきか?
現在、同期と非同期の MDN 応答の両方をサポートしています。これにより、AS2 メッセージを受信した後、同期 MDN または非同期 MDN で取引相手に応答することができます。同期型 MDN は、メッセージと同じ接続チャネルで送信されるため、よりシンプルであり、推奨されるオプションです。MDN を送信する前にメッセージの処理に時間が必要な場合は、非同期型 MDN をお勧めします。取引パートナーにメッセージを送信する際に非同期 mDN をリクエストして受信する必要がある場合は、AWS サポートまたはアカウントマネージャーを通じてお問い合わせください。
送受信されたペイロードとmDNを追跡および検索するにはどうすればよいですか?
AWS Transfer Family は、交換されたペイロードと mDN から重要な AS2 情報を抽出し、それらを JSON ファイルとして Amazon S3 バケットに保存します。これらの JSON ファイルは、S3 Select や Amazon Athena でクエリしたり、Amazon OpenSearch や Amazon DocumentDB を使用してファイルのインデックスを作成して分析することができます。
受信した mDN を (要求した送信者として) アーカイブできますか?
はい。トレーディングパートナーから MDN を受信すると、サービスはお客様の証明書を使用して MDN を検証し、お客様の Amazon S3 バケットにメッセージを保存します。S3 ライフサイクルポリシーを活用することで、メッセージをアーカイブすることを選択できます。
メッセージを取引パートナーのエンドポイントに配信する準備ができたときに、AWS Transfer Family に通知する方法を教えてください。
データを配信する準備ができたら、受信者の AS2 サーバー情報を含む AS2 コネクターを使用して StartFileTransfer API を呼び出す必要があります。これにより、取引相手のサーバーにメッセージを送信するようサービスに通知されます。AS2 経由で取引相手にメッセージを送信するには、コネクタに関するドキュメントを参照してください。
メッセージに異なるインバウンドロケーションとアウトバウンドロケーションを使用するように、取引パートナーをそれぞれ分離することはできますか?
はい。トレーディングパートナーのプロファイルをセットアップする際に、トレーディングパートナーごとに異なるフォルダを使用することができます。
取引パートナーの既存のキーと証明書を AWS Transfer Family AS2 エンドポイントで使用できますか?
はい。パートナーの既存のキーと証明書をインポートし、更新とローテーションを管理することができます。証明書のインポートに関するドキュメントを参照してください。
取引相手の証明書の有効期限がいつ切れるかを知るにはどうすればいいですか?
AWS Transfer Family コンソールを使用すると、有効期限ごとに分類された証明書のダッシュボードを表示できます。また、証明書の有効期限が切れる前に通知を受け取るように設定することができますので、運用の中断を防ぐために十分な時間をかけて証明書をローテーションすることができます。
静的 IP アドレスを使用して取引パートナーの AS2 サーバーに接続できますか?
はい。静的 IP アドレスはデフォルトでコネクタに関連付けられており、取引パートナーの AS2 サーバーで接続を許可リストに登録するために使用できます。コネクタに関連付けられている静的 IP アドレスは、AWS Transfer Family コンソールのコネクタの詳細ページに移動するか、または DescribeConnector の API/CLI/CDK コマンドを使用して確認できます。
ユーザー名とパスワードの認証情報を使用した認証を必要とする取引パートナーの AS2 ホストに接続できますか?
はい。基本認証を使用して取引パートナーの AS2 サーバーに接続する機能がサポートされています。AS2 コネクタでの基本認証の設定に関するドキュメントをご覧ください。
固定 IP アドレスを使用して取引パートナーの AS2 サーバーにメッセージを送信できますか?
はい。AS2 コネクタは、リモート AS2 サーバーにメッセージを送信するとき、および非同期の Message Disposition Notification (MDN) 応答を返すときに、静的 IP アドレスを使用します。コネクタに関連付けられた静的 IP アドレスを特定するには、AWS Transfer Family マネジメントコンソールでコネクタまたはサーバーの詳細のページに移動するか、または DescribeConnector もしくは DescribeServer API/CLI/CDK コマンドを使用します。
固定 IP 対応エンドポイント経由で取引パートナーから AS2 メッセージを受信できますか?
はい。AS2 サーバーエンドポイントは、インターネットに接続された VPC ホスト型エンドポイントでセキュリティグループを使用することによって、IP 許可リストのコントロールの設定をサポートします。
AS2 非同期 MDN 応答は静的 IP アドレスを使用しますか?
はい。AS2 非同期 MDN 応答は静的 IP アドレスを使用します。非同期 MDN 応答の送信に使用される静的 IP アドレスは、AWS Transfer Family マネジメントコンソールのサーバーの詳細ページに移動するか、または DescribeServer の API/CLI/CDK コマンドを使用して確認できます。
取引パートナーから受信した AS2 メッセージの処理をオーケストレートするにはどうすればよいですか?
受信したすべての AS2 メッセージは、Amazon EventBridge のデフォルトのイベントバスにイベントを発行します。これらのイベントをサブスクライブし、Amazon EventBridge または他のワークフローオーケストレーションサービスを利用して、受信したメッセージのイベント駆動型の処理をオーケストレートするために使用できます。例えば、これらのイベントを使用して、着信メッセージを S3 の他の場所にコピーしたり、カスタム Lambda を利用してメッセージのコンテンツをスキャンし、マルウェアが含まれていないかどうかを確認したりできるほか、Amazon CloudSearch などのサービスによるインデックス作成や検索を可能にするために、コンテンツに基づいてメッセージにタグを付けることもできます。
AWS B2B Data Interchange を利用して、インバウンド AS2 メッセージの EDI コンテンツを自動的に変換できますか?
はい。AWS B2B Data Interchange を利用して、インバウンド AS2 メッセージの X12 EDI コンテンツを JSON や XML などの一般的なデータ表現に自動的に変換できます。これを実行するには、AWS Transfer Family の AS2 Payload Receive Completed イベントのイベントパターンと照合する Amazon EventBridge ルールを作成し、AWS B2B Data Interchange の StartTransformerJob API を、ルールのユニバーサルターゲットとして指定します。インバウンド AS2 メッセージの X12 EDI コンテンツを AWS B2B Data Interchange で変換することで、ダウンストリームビジネスアプリケーションおよびシステムへの EDI データの統合を自動化および加速できます。
取引パートナーに対する AS2 メッセージの送信を自動化するにはどうすればよいですか?
AS2 メッセージの送信は、Amazon EventBridge スケジューラを使用してスケジュールするか、または Amazon EventBridge ルールを使用してトリガーすることによって自動化できます。AS2 メッセージを送信するための自動化された時間ベースのワークフローを作成するには、EventBridge スケジューラを使用してビジネスニーズを満たすスケジュールを作成し、AWS Transfer Family の StartFileTransfer API を、スケジュールのユニバーサルターゲットとして指定します。AS2 メッセージを送信するための自動化されたイベント駆動型のワークフローを作成するには、EventBridge に発行されたイベントと照合する Amazon EventBridge ルールを作成し、AWS Transfer Family の StartFileTransfer API を、ルールのユニバーサルターゲットとして指定します。
自分の取引に送信された AS2 メッセージまたは MDN 応答をアーカイブできますか?
はい。送信されたすべての AS2 メッセージと MDN は、Amazon EventBridge のデフォルトのイベントバスにイベントを発行します。これらのイベントをサブスクライブし、取引パートナーに正常に送信された AS2 メッセージや MDN を削除またはアーカイブするために使用できます。
アウトバウンド AS2 メッセージの送信に失敗した場合、またはインバウンド AS2 メッセージの処理に失敗した場合に通知を受け取ることはできますか?
はい。AWS Transfer Family は、成功または失敗した AS2 メッセージまたは送受信された MDN ごとにイベントを Amazon EventBridge に発行します。これらのイベントは、Amazon EventBridge のデフォルトのイベントバスに発行され、Amazon SNS などのサービスを使用して、ユーザー、またはユーザーのパートナーに対する E メール通知をトリガーするために使用できます。
Transfer Family のマネージドワークフローを使用して、取引パートナーから AS2 経由で受信したメッセージを処理できますか?
いいえ。現在、マネージドワークフローは AS2 エンドポイントについてサポートされていません。AS2 メッセージの処理をオーケストレートするには、Amazon EventBridge で発行される Transfer Family のイベント通知を使用することをお勧めします。詳細については、「ファイル処理のオートメーション」セクションをご覧ください。
AS3 と AS4 はサポートされていますか?
いいえ。現時点では、AWS Transfer Family は AS3 または AS4 のサポートを提供していません。
ファイル処理のオートメーション
AWS Transfer Family を利用して転送されたファイルの処理を自動化するためのオプションにはどのようなものがありますか?
2 つのオプションがあります。1) AWS Transfer Family は、SFTP、AS2、FTPS、FTP 経由で転送されたファイルについてのファイル転送イベント通知を Amazon EventBridge に発行します。ユーザーはこれらのイベントを使用して、EventBridge と統合できるサービスを利用してファイルの処理をトリガーできます。2) AWS Transfer Family は、事前構築済みのファイル処理ステップを使用して、SFTP、FTPS、および FTP サーバーエンドポイント経由でアップロードされたファイルのアップロード後の処理を自動的かつ簡単に実行できるようにするマネージドワークフローを提供します。マネージドワークフローをサーバーエンドポイントに関連付ける場合、そのエンドポイント経由でアップロードされるすべてのファイルは、同じワークフローステップを使用して処理されます。
Amazon EventBridge でイベント通知を発行する Transfer Family オペレーションはどれですか?
AWS Transfer Family は、サーバーとコネクタのリソースの両方について、各ファイル転送オペレーションの成功または失敗の完了時に Amazon EventBridge でイベント通知を発行します。Amazon EventBridge に発行される Transfer Family イベントの詳細については、ドキュメントをご覧ください。
なぜマネージドワークフローが必要なのですか?
ビジネスパートナーと交換するファイルを処理する必要がある場合は、カスタムコードを実行するためのインフラストラクチャをセットアップし、実行時のエラーや異常を継続的に監視し、データへのすべての変更と変換が監査および記録されていることを確認する必要があります。さらに、技術的なものとビジネス的なものの両方のエラーシナリオを考慮し、フェイルセーフモードが適切にトリガーされるようにする必要があります。また、トレーサビリティーが必要な場合は、データがシステムのさまざまなコンポーネントを通過する際に、データの系統を追跡する必要があります。ファイル処理ワークフローの個別のコンポーネントを維持することは、ビジネスのためにできるであろう差別化のための仕事に集中する時間を奪うことになります。マネージドワークフローは、複数のタスクを管理する複雑さを取り除き、組織全体で複製可能な標準化されたファイル処理ソリューションを提供します。また、各ステップで例外処理とファイルのトレーサビリティが組み込まれており、ビジネス要件と法的要件を満たすのに役立ちます。
アップロード後処理の管理ワークフローとは何ですか?
AWS Transfer Family マネージドワークフローは、SFTP、FTPS、および FTP サーバーエンドポイント経由でアップロードされたファイルを処理するための一連の直線的なステップを作成、実行、モニタリングできるようにするための事前構築済みのフレームワークを提供します。この機能で、ファイルのコピー、タグ付け、復号などの一般的なファイル処理タスクを実行するための事前構築済みのステップを使用することで、時間を節約できます。また、Lambda 関数を使用して、PII、ウイルス/マルウェア、または不正なファイル形式やタイプなどのエラーがないかどうかを確認するためのファイルのスキャンなどのタスクのファイル処理をカスタマイズすることもできるため、異常を迅速に検出してコンプライアンス要件を満たすことができます。マネージドワークフローをサーバーエンドポイントに関連付ける場合、そのエンドポイント経由でアップロードされるすべてのファイルは、同じワークフローステップを使用して処理されます。
マネージドワークフローを使用するメリットとは?
マネージドワークフローを使用すると、サーバーエンドポイントにアップロードされたすべてのファイルについて、直線的なファイル処理タスク (アップロードされたファイルのユーザー固有のフォルダへの移動や、PGP キー、マルウェアスキャン、およびタグ付けを使用したファイルの復号など) を実行することで、ダウンストリームアプリケーションによって利用される前にデータを簡単に前処理できます。Infrastructure as Code (IaC) を使用してワークフローをデプロイすることで、組織内の複数のビジネスユニットにまたがる共通のアップロード後ファイル処理タスクを迅速に複製し、標準化することができます。 完全にアップロードされたファイルに対してのみトリガーされるマネージドワークフローをサーバーエンドポイントに関連付けたり、不完全なアップロードを処理するために、部分的にアップロードされたファイルについてのみトリガーされる別のマネージドワークフローを関連付けたりすることで、きめ細かいコントロールが可能になります。また、ワークフローには組み込みの例外処理も用意されており、ワークフローの実行においてエラーや例外が発生した場合にファイル処理の結果に簡単に対応できるため、ビジネスおよび技術的な SLA の維持に役立ちます。ワークフロー内の各ファイル処理ステップでは、詳細なログも生成され、これを監査してデータリネージを追跡できます。
転送されたファイルの処理をオーケストレートするには、いつ Amazon EventBridge を利用する必要がありますか? また、いつ AWS Transfer Family マネージドワークフローを使用する必要がありますか?
AWS Transfer Family サーバーエンドポイントとコネクタは、ファイル転送オペレーションが完了すると、ファイルの場所、送信者のユーザー名、サーバー ID またはコネクタ ID、転送ステータスなどのオペレーションに関する情報とともに、イベント通知を Amazon EventBridge に自動的に発行します。これらのイベントは、ファイルのソースに基づいた条件付きロジックの使用など、ファイル処理の定義できめ細かなコントロールが必要な場合、または他の AWS サービス、サードパーティーのアプリケーション、および独自のアプリケーションと統合するためにイベント駆動型のアーキテクチャを構築する必要がある場合に使用できます。一方、AWS Transfer Family マネージドワークフローは、SFTP、FTPS、および FTP サーバーエンドポイント経由でアップロードされるすべてのファイルに適用される、共通の直線的なファイル処理ステップを定義するための事前構築済みフレームワークを提供します。アップロードされたすべてのファイルを、同じ共通のファイル処理ステップを使用して処理する必要がある場合、きめ細かなロジックや条件付きロジックを適用することなく、マネージドワークフローをエンドポイントに関連付けることができます。
マネージドワークフローの使用を開始するにはどうすればよいですか?
複数のサーバー間で同じマネージドワークフローを使用できますか?
はい。同じワークフローを複数のサーバーに関連付けることができるため、設定のメンテナンスと標準化が容易になります。
各ワークフローステップで処理するファイルを選択できますか?
はい。当初アップロードされたファイルまたは前のワークフローステップの出力ファイルのいずれかを処理するようにワークフローステップを設定することができます。これにより、Simple Storage Service (Amazon S3) にアップロードされた後のファイルの移動や名前の変更を簡単に自動化することができます。例えば、ファイルのアーカイブや保持のためにファイルを別の場所に移動するには、ワークフローで 2 つのステップを構成します。最初のステップは、ファイルを別の Simple Storage Service (Amazon S3) の場所にコピーすることであり、2 番目のステップは、当初アップロードされたファイルを削除することです。ワークフローステップのファイル保存場所の選択に関する詳細については、ドキュメントをお読みください。
ワークフローを使用してファイルに対してどのようなアクションを実行できますか?
転送サーバーがクライアントからファイルを受信すると、次の一般的なアクションを実行できます。
PGP キーを使用したファイルの復号。PGP によるファイルの暗号化と復号化に関するこのブログ記事を参照してください。
到達した場所から消費されるべき場所にデータを移動またはコピーする。
アーカイブまたは新しい場所にコピーした後、元のファイルを削除してください。
ファイルの内容に応じてタグ付けし、下流のサービス (S3 のみ) でインデックスを付けて検索できるようにする
独自の Lambda 関数をワークフローのカスタムステップとして提供することによる、任意のカスタムファイル処理ロジック。例えば、データ分析にファイルを取り込む前に、ファイルタイプの互換性チェック、ファイルのマルウェアスキャン、個人を特定できる情報 (PII) の検出、メタデータの抽出を実行するなどです。
ワークフローを使用して PGP を使用してファイルを自動的に復号化できますか?
マネージドワークフローの各ステップでどのファイルを処理するかを選択するためのオプションにはどのようなものがありますか?
サーバーエンドポイントに最初にアップロードされたファイル、またはワークフローの前のステップからの出力ファイルのいずれかを処理するようにワークフローステップを設定できます。これにより、Simple Storage Service (Amazon S3) にアップロードされた後のファイルの移動や名前の変更を簡単に自動化することができます。例えば、ファイルのアーカイブや保持のためにファイルを別の場所に移動するには、ワークフローで 2 つのステップを構成します。最初のステップは、ファイルを別の Simple Storage Service (Amazon S3) の場所にコピーすることであり、2 番目のステップは、当初アップロードされたファイルを削除することです。ワークフローステップのファイルの場所の選択の詳細については、ドキュメントをご覧ください。
最初にアップロードしたファイルを記録保持するために保存できますか?
はい。マネージドワークフローを使用すると、記録の保持のために元のファイルを保存しながら、元のファイルのコピーを複数作成できます。
マネージドワークフローを使用して、ユーザー固有の Amazon S3 フォルダにファイルを動的にルーティングできますか?
はい。ワークフローのコピー手順でユーザーネームを変数として利用できます。これにより、Simple Storage Service (Amazon S3) のユーザー固有のフォルダにファイルを動的にルーティングできます。これは、ファイルをコピーするときに宛先フォルダの場所をハードコーディングする必要性を排除し、Simple Storage Service (Amazon S3) でのユーザー固有のフォルダの作成が自動化するため、ファイルオートメーションワークフローをスケールすることを可能にします。詳細については、ドキュメントをお読みください。
AWS Step Functions を使用してファイル処理ステップを調整しています。AWS Transfer Family マネージドワークフローは、現在の AWS Step Functions のセットアップとどのように異なりますか?
AWS Step Functions は、AWS Lambda を他のサービスと組み合わせて、ビジネスアプリケーションの実行を簡単なステップで定義できるサーバーレスオーケストレーションサービスです。AWS Step Functions を使用してファイル処理のステップを実行するには、AWS Lambda 関数と Amazon S3 のイベントトリガーを使用して、お客様独自のワークフローを組み立てます。マネージドワークフローは、直線的な一連の処理を簡単にオーケストレートするためのフレームワークを提供し、以下の点で既存のソリューションとは異なります。1) 完全なファイルのアップロード時のみ実行するワークフローと、部分的なファイルのアップロード時のみ実行するワークフローをきめ細かく定義できる、2) ワークフローは S3 だけでなく EFS (アップロード後のイベントを提供しない) に対しても自動的にトリガーされる、3) ワークフローは PGP 複合のような共通ファイル処理のコードや事前に作られたオプションを提供しません 4) お客様は CloudWatch ログで File Trasnfer と処理をエンドツーエンドで可視化できる、という点です。
マネージドワークフローのアクティビティをモニタリングするにはどうすればよいですか?
マネージドワークフローアクティビティのログ記録のためにサポートされている機能の詳細については、「モニタリング」セクションをご覧ください。
マネージドワークフローを使用してファイル配信通知をカスタマイズできますか?
はい。ファイル配信通知のためのマネージドワークフローの使用については、このブログ記事をご覧ください。
部分的なアップロードでマネージドワークフローをトリガーできますか?
はい。ファイルの完全なアップロードとファイルの部分的なアップロードでトリガーされる個別のワークフローを定義できます。
ユーザーのダウンロード時にワークフローアクションをトリガーできますか?
いいえ。処理は、受信エンドポイントを使用してファイルが到着したときにのみ呼び出すことができます。
マネージドワークフローでサポートされていない Transfer Family アクションはどれですか?
現在、マネージドワークフローは、SFTP、FTPS、および FTP サーバーエンドポイント経由でアップロードされたファイルのためにのみトリガーでき、実行ごとに 1 つのファイルを処理します。マネージドワークフローは、AS2 経由で交換されるメッセージ、サーバーエンドポイント経由のファイルダウンロード、および SFTP コネクタを使用して転送されるファイルについてはサポートされていません。
セッション内の複数のファイルに対して同じワークフローをトリガーできますか?
いいえ。現在、ワークフローは 1 回の実行で 1 つのファイルを処理します。
どのユーザーがファイルをアップロードしたかに基づいて、マネージドワークフローをきめ細かくトリガーできますか?
いいえ。マネージドワークフローは、ユーザーごとにきめ細かく呼び出すことはできません。Amazon EventBridge で発行されるファイル転送イベント通知を使用して、どのユーザーがファイルをアップロードしたかに基づいて、条件付きファイル処理ロジックを定義できます。
Transfer Family ウェブアプリにマネージドワークフローを使用できますか?
いいえ。マネージドワークフローはウェブアプリではサポートされていません。S3 イベント通知を使用して、自動アップロード後処理ワークフローを開始することをお勧めします。
Amazon S3 アクセス
AWS Transfer Family のサーバーは Amazon S3 とどのように通信しますか?
AWS Transfer Family サーバーと Amazon S3 間のデータ転送は、AWS の内部ネットワークを介して行われ、パブリックインターネットを経由しません。このため、AWS Transfer Family サーバーから Simple Storage Service (Amazon S3) へ転送するデータには、AWS PrivateLink を使用する必要はありません。Transfer Family サービスは、トラフィックがインターネットを経由しないようにするために Simple Storage Service (Amazon S3) 用の AWS PrivateLink エンドポイントを必要としないので、ストレージサービスとの通信にそれらを使用することはできません。これはすべて、AWS のストレージサービスと Transfer Family サーバーが同じリージョンにあると仮定します。
AWS IAM ロールを提供する必要があるのはなぜですか? また、その使用方法について教えてください。
AWS IAM は、ユーザーに提供するアクセスレベルを決定するために使用されます。これには、クライアントで有効にする操作、ユーザーにアクセス権を付与する Amazon S3 バケット (バケット全体、バケットの一部を問わない) が含まれます。
SFTP/FTPS/FTP ユーザーにホームディレクトリ情報を提供する必要があるのはなぜですか? また、その情報はどのように使用されますか?
A: ユーザーに設定するホームディレクトリで、ユーザーのログインディレクトリを指定します。これが、サーバーへの認証が成功すると、ユーザーのクライアントが位置するディレクトリパスになります。与えられたIAMロールにより、必ずユーザーがホームディレクトリへアクセスできるようにしなければなりません。
同じようなアクセス設定をしているが、バケットの部分が異なる何百ものユーザーがいます。同じ IAM ロールとポリシーを使用してアクセスを有効にするようユーザーを設定することはできますか?
はい。単一の IAM ロールをすべてのユーザーにアサインし、ディレクトリの論理マッピングを使用できます。このマッピングで、Amazon S3 のどの絶対パスがエンドユーザーに表示されるか、またクライアントがどのようにこれらのパスをエンドユーザーに表示するかを指定できます。chroot と論理ディレクトリを使用して AWS SFTP/FTPS/FTP 構造を簡素化する方法については、このブログをご覧ください。
Amazon S3 バケットに保存されているファイルは、AWS Transfer を使用してどのように転送されますか?
A: サポート対象のプロトコルを介して転送されたファイルは、オブジェクトとして Amazon S3 バケットに保存されます。ファイルとオブジェクト間は 1 対 1 でマッピングされるため、処理や分析用の AWS のサービスを使用して、これらのオブジェクトにネイティブにアクセスすることが可能となります。
バケットに保存されている Amazon S3 オブジェクトはどのようにユーザーに表示されますか?
A: ユーザーの認証情報に基づき認証が成功した後、サービスでは Amazon S3 のオブジェクトとフォルダがファイルとディレクトリとしてユーザーの転送アプリケーションに表示されます。
SFTP/FTPS/FTP ユーザーにはどのようなファイル操作がサポートされていますか? サポートされていない操作は何ですか?
ファイルやディレクトリを作成、読み取り、更新、削除するための一般的なコマンドがサポートされています。ファイルは Amazon S3 バケットに個々のオブジェクトとして保存されます。ディレクトリは S3 コンソールと同じ構文を使用して、S3 内のフォルダオブジェクトとして管理されます。
ディレクトリのリネーム操作、追加操作、所有権、許可、タイムスタンプの変更、シンボリックリンクとハードリンクの使用は、現在サポートされていません。
ユーザーが実行できる操作を制御できますか?
はい。ユーザー名にマッピングしている AWS IAM ロールを使用して、ファイル操作を有効/無効にできます。エンドユーザーのアクセスを制御するには、IAM ポリシーとロールの作成に関するドキュメントを参照してください。
エンドユーザーに複数の Amazon S3 バケットへのアクセスを提供できますか?
はい。ユーザーがアクセスできるバケットは、AWS IAM ロールと、そのユーザーに割り当てたオプションの scope-down policy によって決定されます。そのユーザーのホームディレクトリとして使用できるバケットは 1 つのみです。
S3 アクセスポイントを AWS Transfer Family で使用して、共有データセットへのユーザーアクセスを簡素化できますか?
はい。S3 アクセスポイントのエイリアスを AWS Transfer Family と併用することで、単一のバケットポリシーを管理することなく、大規模なデータセットへのきめ細かなアクセスを提供することができます。S3 アクセスポイントのエイリアスと AWS Transfer Family の論理ディレクトリを組み合わせることで、さまざまなアプリケーション、チーム、部門に対してきめ細かなアクセスコントロールを作成できると同時に、バケットポリシーの管理にかかるオーバーヘッドを削減できます。詳細と開始方法については、 AWS Transfer Family と Amazon S3 アクセスポイントによるデータアクセス制御の強化に関するブログ投稿をご覧ください。
AWS アカウント A を使用してサーバーを作成し、AWS アカウント B が所有する Amazon S3 バケットにユーザーをマッピングすることはできますか?
はい。CLI と API を使用して、サポート対象のプロトコルで送信されたファイルを格納するバケットとサーバー間のクロスアカウントアクセスを設定できます。コンソールのドロップダウンには、アカウント A にあるバケットしか表示されません。さらに、ロールが、アカウント A に属しているユーザーに割り当てられていることを確認する必要もあります。
Amazon S3 にアップロードされたファイルの処理を自動化できますか?
はい。AWS Transfer Family は、ファイル転送オペレーションの完了時に Amazon EventBridge でイベント通知を発行します。ユーザーはこれらのイベントを使用して、ファイルのアップロード後の処理を自動化できます。あるいは、アップロードされたすべてのファイルを、条件付きロジックなしで同じファイル処理ステップを使用して処理する必要がある場合は、AWS Transfer Family マネージドワークフローを使用して、ユーザーが SFTP、FTPS、または FTP サーバーエンドポイント経由でアップロードするファイルごとに自動的に呼び出される共通の直線的なファイル処理ステップを定義できます。 Transfer Family ウェブアプリでは、S3 イベント通知を使用してアップロード後の処理を自動化できます。
ファイルをアップロードするユーザーに基づいて処理ルールをカスタマイズできますか?
はい。ユーザーがファイルをアップロードすると、アップロードに使用されたユーザー名とサーバー ID が、関連する S3 オブジェクトのメタデータの一部として格納されます。アップロード後の処理で使用する情報についてのドキュメントをご覧ください。また、エンドユーザーの情報は、Amazon EventBridge で AWS Transfer Family によって発行される自動ファイルアップロードイベント通知でも確認できます。この情報を使用して、ユーザーに基づいてファイルのアップロード後の処理をきめ細かくオーケストレートできます。
Amazon S3 イベント通知は、Amazon EventBridge の AWS Transfer Family サービスイベントとどのように異なりますか? また、ファイルのアップロード後の処理をトリガーするには何を使用する必要がありますか?
Amazon S3 は、バケット内に作成された新しいオブジェクトについてのイベント通知を発行できます。一方、AWS Transfer Family は、各ファイル転送オペレーションの成功または失敗の完了時にイベント通知を発行します。AWS Transfer Family は、次の点で Amazon S3 イベント通知とは異なります。1) Transfer Family からのイベント通知を使用する場合、ファイルの完全なアップロードおよびファイルの部分的なアップロードについてのアップロード後の処理を定義する際に、きめ細かく制御できます。2) Transfer Family イベントは、S3 と EFS の両方におけるファイルアップロードについて発行されます。3) Transfer Family によって生成されたイベントには、送信者のユーザー名、サーバー ID、転送ステータスなどのオペレーションに関する情報が含まれており、これらの属性に対する条件付きロジックに基づいて、ファイル処理をきめ細かく定義できます。
現在、エンドユーザーが S3 ディレクトリを表示できるようになるまでに数分かかります。これを加速する方法はありますか?
はい。エンドユーザーがディレクトリのリスティングを数分から数秒に高速化できるように、S3 ディレクトリのリスティングを最適化できます。2023 年 11 月 17 日よりも後にコンソールを通じて新しいサーバーを作成する場合、ストレージとして Amazon S3 を利用しているときは、サーバーでは最適化された S3 ディレクトリのリスティングがデフォルトで有効になります。これはいつでもオンまたはオフに切り替えることができます。この機能をオフにすると、S3 ディレクトリのリスティングがデフォルトのパフォーマンスに復元されます。CloudFormation、CLI、または API を使用してサーバーを作成している場合、最適化された S3 ディレクトリのリスティングはデフォルトで無効になっていますが、いつでも有効にすることができます。最適化された S3 ディレクトリのリスティングを有効にする方法については、ドキュメントをご覧ください。
エンドユーザーがファイルに安全にアクセスできるようにするために、論理ディレクトリに加えて個別のセッションポリシーも必要ですか?
セッションポリシーの使用方法や他の内部的な要件によりますが、通常は、ユーザーが意図したファイルのみにアクセスできるようにする上で、セッションポリシーと論理ディレクトリの両方は必要ありません。論理ディレクトリマッピングでは、ユーザーは指定された論理パスとサブディレクトリへのアクセスのみが許可され、論理ルートを横断する相対パスは禁止されます。相対要素を含む可能性のある相対表記を使用してすべてのパスを検証し、これらのパスを S3 に渡す前に解決を積極的にブロックして、ユーザーが論理マッピングを超えて移動するのを防ぎます。
Amazon EFS アクセス
AWS Transfer Family と連携するように EFS ファイルシステムを設定するにはどうすればよいですか?
Amazon EFS ファイルシステムを使用するように AWS Transfer Family を設定する前に、AWS Transfer Family ユーザーに割り当てる予定の POSIX ID (ユーザー ID/グループ ID) を使用してファイルとフォルダの所有権を設定する必要があります。さらに、別のアカウントのファイルシステムにアクセスする場合は、アカウント間のアクセスを有効にするために、ファイルシステムでリソースポリシーも設定する必要があります。 EFS で AWS Transfer Family を使用する手順については、このブログ投稿を参照してください。
AWS トランスファーファミリーは Amazon EFS とどのように通信しますか?
AWS Transfer Family サーバーと Amazon EFS 間のデータ転送は、AWS の内部ネットワークを介して行われ、パブリックインターネットを経由しません。このため、AWS Transfer Family サーバーから Amazon EFS に転送するデータには、AWS PrivateLink を使用する必要はありません。Transfer Family サービスは、トラフィックがインターネットを経由しないようにするために Amazon EFS 用の AWS PrivateLink エンドポイントを必要としないので、ストレージサービスとの通信にそれらを使用することはできません。これはすべて、AWS のストレージサービスと Transfer Family サーバーが同じリージョンにあると仮定します。
ファイルシステムにファイルをアップロード/ダウンロードするためのアクセスをユーザーに提供する方法を教えてください。
Amazon EFS は、オペレーティングシステムのユーザー ID、グループ ID、およびセカンダリグループ ID で構成される POSIX ID を使用してファイルシステムへのアクセスを制御します。AWS Transfer Family コンソール/CLI /API でユーザーを設定するときは、EFS ファイルシステムにアクセスするためにユーザー名、ユーザーの POSIX 設定、IAM ロールを指定する必要があります。また、EFS ファイルシステム ID と、オプションでそのファイルシステム内のディレクトリをユーザーのランディングディレクトリとして指定する必要があります。AWS Transfer Family ユーザーがファイル転送クライアントを使用して正常に認証されると、指定されたホームディレクトリ、または指定された EFS ファイルシステムのルート内に直接配置されます。オペレーティングシステムの POSIX ID は、ファイル転送クライアントを介して行われるすべてのリクエストに適用されます。EFS 管理者は、AWS Transfer Family ユーザーにアクセスさせたいファイルとディレクトリが、EFS ファイルシステム内の対応する POSIX ID によって所有されていることを確認する必要があります。EFS のサブディレクトリの所有権の設定の詳細については、ドキュメントを参照してください。ストレージに Amazon EFS を使用している場合、Transfer Family はアクセスポイントをサポートしないことに注意してください。
Amazon EFS ファイルシステムに保存されているプロトコルでファイルはどのように転送されますか?
有効なプロトコルで転送されたファイルは、Amazon EFS ファイルシステムに直接保存され、標準のファイルシステムインターフェイスを介して、または Amazon EFS ファイルシステムにアクセスできる AWS サービスからアクセスできます。
Amazon S3 と Amazon EFS を使用する場合、プロトコルではどのようなファイル操作がサポートされていますか?
A: ファイル、ディレクトリ、およびシンボリックリンクを作成、読み取り、更新、および削除するための SFTP/FTPS/FTP コマンドがサポートされています。EFS および S3 でサポートされているコマンドについては、以下の表を参照してください。
Command |
Amazon S3 |
Amazon EFS |
cd |
サポート対象 |
サポート対象 |
ls/dir |
サポート対象 |
サポート対象 |
pwd |
サポート対象 |
サポート対象 |
put |
サポート対象 |
サポート対象 |
get |
サポート対象 |
サポート対象 (シンボリックリンクとハードリンクの解決を含む) |
rename |
サポート対象1 |
サポート対象1 |
chown |
サポート対象外 |
サポート対象2 |
chmod |
サポート対象外 |
サポート対象2 |
chgrp |
サポート対象外 |
サポート対象3 |
ln -s/symlink |
サポート対象外 |
サポート対象 |
mkdir |
サポート対象 |
サポート対象 |
rm/delete |
サポート対象 |
サポート対象 |
rmdir |
サポート対象4 |
サポート対象 |
chmtime |
サポート対象外 |
サポート対象 |
1.ファイル名の変更のみがサポートされています。ディレクトリの名前変更および既存のファイルを上書きするためのファイルの名前変更はサポートされていません。
2.ルート、つまり uid=0 のユーザーのみが、ファイルとディレクトリの所有権と許可を変更できます。
3.ルート (例: uid=0)、またはファイルのグループをセカンダリグループの 1 つに変更することしかできないファイルの所有者向けにサポートされています。
4.空でないフォルダでのみサポートされています。
ユーザーがアクセスできるファイルやフォルダー、実行を許可する操作と実行できない操作を制御する方法を教えてください。
AWS Transfer Family ユーザーに提供する IAM ポリシーによって、そのユーザーがファイルシステムへの読み取り専用、読み取り/書き込み、およびルートアクセス権を持っているかどうかが決まります。さらに、ファイルシステム管理者は、ユーザー ID とグループ ID を使用して、ファイルシステム内のファイルとディレクトリにアクセスするための所有権と許可を設定できます。これは、ID がサービス内に保管されているか (サービス管理)、ID 管理システム内に保管されているか (「BYO 認証」) にかかわらず、ユーザーに適用されます。
各ユーザーがファイルシステム内の異なるディレクトリにアクセスし、そのディレクトリ内のファイルにのみアクセスするように制限できますか?
はい。ユーザーを設定するときに、ユーザーごとに異なるファイルシステムとディレクトリを指定できます。認証が成功すると、EFS は、有効化されたプロトコルを使用して行われたすべてのファイルシステムリクエストに対してディレクトリを適用します。
ファイルシステムの名前をユーザーに公開されないように隠すことはできますか?
はい。AWS Transfer Family 論理ディレクトリマッピングを使用すると、絶対パスをエンドユーザーに表示されるパス名にマッピングすることで、エンドユーザーにファイルシステム内のディレクトリが表示されないようにすることができます。これには、指定されたホームディレクトリにユーザーを「chroot」できることも含まれます。
シンボリックリンクはサポートされていますか?
はい。ユーザーがアクセスできるディレクトリにシンボリックリンクが存在し、ユーザーがそれらにアクセスしようとすると、リンクはターゲットに解決されます。論理ディレクトリマッピングを使用してユーザーのアクセスを設定する場合、シンボリックリンクはサポートされません。
個々のSFTP/FTPS/FTPユーザーに、複数のファイルシステムへのアクセスを提供できますか?
はい。AWS Transfer Family ユーザーを設定する際、ユーザー設定の一部として提供する IAM ポリシーで 1 つ以上のファイルシステムを指定することで、複数のファイルシステムへのアクセスを許可できます。
AWS Transfer Family 経由で EFS ファイルシステムにアクセスするには、どのオペレーティングシステムを使用できますか?
Microsoft Windows、Linux、macOS、または SFTP/FTPS/FTP をサポートする任意のオペレーティングシステム用に構築されたクライアントとアプリケーションを使用して、EFS ファイルシステムに保存されているファイルをアップロードしてアクセスできます。すべてのオペレーティングシステムでファイルシステムにアクセスできるようにするには、サーバーと、EFS ファイルシステムへの適切なアクセス許可を持つユーザーを設定するだけです。
EFS にアップロードされたファイルの処理を自動化するにはどうすればよいですか?
次の 2 つのオプションがあります。1) AWS Transfer Family はファイル転送オペレーションの完了時に Amazon EventBridge でイベント通知を発行し、ユーザーはこれらのイベントを使用してファイルのアップロード後の処理を自動化できます。2) アップロードされたすべてのファイルを、条件付きロジックなしで同じファイル処理ステップを使用して処理する必要がある場合は、AWS Transfer Family マネージドワークフローを使用して、SFTP、FTPS、または FTP サーバーエンドポイント経由でアップロードされた各ファイルに適用される、共通の直線的なファイル処理ステップを定義できます。
どのユーザーが EFS にファイルをアップロードしたかを知るにはどうすればよいですか?
新しいファイルの場合、ファイルをアップロードしたユーザーに関連付けられた POSIX ユーザー ID が、EFS ファイルシステムのファイルの所有者として設定されます。さらに、Amazon CloudWatch を使用して、ファイルの作成、更新、削除、および読み取り操作に関するユーザーのアクティビティを追跡できます。Amazon CloudWatch ログ記録を有効にする方法の詳細については、ドキュメントをご覧ください。
AWS Transfer Family を使用して別のアカウントのファイルシステムにアクセスできますか?
はい。CLI と API を使用して、AWS Transfer Family リソースと EFS ファイルシステム間のクロスアカウントアクセスを設定できます。AWS Transfer Family コンソールは、同じアカウントのファイルシステムのみを一覧表示します。さらに、ファイルシステムにアクセスするためにユーザーに割り当てられた IAM ロールがアカウント A に属していることを確認する必要があります。
使用している EFS ファイルシステムでクロスアカウントアクセス用の適切なポリシーが有効になっていない場合はどうなりますか?
クロスアカウントアクセスが有効になっていないクロスアカウント EFS ファイルシステムにアクセスするように AWS Transfer Family サーバーを設定した場合、SFTP/FTP/FTPS ユーザーはファイルシステムへのアクセスを拒否されます。サーバーで CloudWatch ログ記録を有効にしている場合、クロスアカウントアクセスエラーは CloudWatch Logs に記録されます。
AWS Transfer Family を使用して別の AWS リージョンの EFS ファイルシステムにアクセスすることはできますか?
いいえ。AWS Transfer Family を使用して同じ AWS リージョンの EFS ファイルシステムにのみアクセスできます。
AWS Transfer Family はすべての EFS ストレージクラスで使用できますか?
はい。AWS Transfer を使用してファイルを EFS に書き込み、EFS Lifecycle Management を設定して、一定期間アクセスされていないファイルを低頻度アクセス (IA) ストレージクラスに移行できます。
私のアプリケーションで SFTP/FTPS/FTP を使用して、同じファイルへのデータの読み取りと書き込みを同時に行うことはできますか?
はい。Amazon EFS にはファイルシステムインターフェイスとファイルシステムのアクセスセマンティクス (強い整合性やファイルのロックなど) が用意されており、最大数千の NFS/SFTP/FTPS/FTP クライアントからの同時アクセスが可能なストレージが提供されます。
AWS Transfer Family を使用してファイルシステムにアクセスすると、EFS バーストクレジットが消費されますか?
はい。AWS Transfer Family サーバーを使用して EFS ファイルシステムにアクセスすると、スループットモードに関係なく、EFS バーストクレジットが消費されます。 使用可能なパフォーマンスモードとスループットモードに関するドキュメントを参照して、パフォーマンスに関する役立つヒントを確認してください。
セキュリティとコンプライアンス
パブリックネットワーク経由で転送中のデータを保護するには、どのプロトコルを使用すればよいですか?
A: パブリックネットワーク上でのセキュアな送信のためには、SFTP または FTPS を使用する必要があります。SSH および TLS 暗号化アルゴリズムに基づくプロトコルの基盤となるセキュリティにより、データとコマンドはセキュアな暗号化されたチャネルを通して送信されます。
保存中のデータを暗号化する方法にはどのようなものがありますか?
バケットに保存されているファイルを、Amazon S3 サーバー側暗号化 (SSE-S3) または Amazon KMS (SSE-KMS) のどちらを使用して暗号化するかを選択できます。 EFS に保管されているファイルの場合、保管中のファイルの暗号化に AWS またはカスタマーマネージド CMK を選択できます。Amazon EFS を使用してファイルデータとメタデータを保存時に暗号化するオプションの詳細については、ドキュメントを参照してください。
AWS Transfer Family はどのコンプライアンスプログラムをサポートしていますか?
AWS Transfer Family は PCI-DSS、GDPR、FedRAMP、および SOC 1、2、3 に準拠しています。このサービスは HIPAA にも準拠しています。コンプライアンスプログラムによる対象サービスの詳細をご覧ください。
AWS トランスファーファミリーは FISMA に準拠していますか?
AWS 東西リージョンと GovCloud (米国) リージョンは FISMA に準拠しています。FedRAMP の認定を受けた AWS Transfer Family は、該当リージョン内で FISMA への準拠が認められます。この 2 つのリージョンの FedRAMP Authorization により、FedRAMP 中および FedRAMP 高のコンプライアンスが証明されています。コンプライアンスは、システムセキュリティ計画の範囲に含まれる NIST SP 800-53 による毎年の評価と記録により証明されています。アーティファクトではテンプレートと CRM (Customer Responsibility Matrix) を使用できます。CRM は、FedRAMP で要求されているこうした NIST の規制を満たすための基準や責任を示すものです。アーティファクトは、East/West と GovCloud の両方の AWS アカウントでアクセスできるマネジメントコンソールから使用できます。このトピックについてさらに質問がある場合は、コンソールを参照してください。
サービスでは、アップロードしたファイルの完全性をどのように実現していますか?
サービスを通じてアップロードされたすべてのファイルは、ファイルのアップロード前とアップロード後の MD5 チェックサムを比較することで検証されます。
転送中のファイルを暗号化/復号するオプションにはどのようなものがありますか?
AWS Transfer Family マネージドワークフローを使用すると、ファイルが AWS Transfer Family の SFTP、FTPS、または FTP サーバーエンドポイントにアップロードされる際に、PGP キーを使用してファイルを自動的に復号できます。詳細については、マネージドワークフローのドキュメントを参照してください。あるいは、Amazon Eventbridge で発行される AWS Transfer Family イベント通知をサブスクライブし、独自の暗号化/復号ロジックを使用して転送されたファイルのきめ細かなイベント駆動型の処理をオーケストレートすることもできます。
モニタリング
エンドユーザーとその File Trasnfer アクティビティをモニタリングするにはどうすればよいですか?
Amazon CloudWatch に配信される JSON 形式のログを使用して、エンドユーザーとその File Trasnfer アクティビティをモニタリングできます。新しい形式を使用すれば、JSON 形式のフィールドを自動的に検出する CloudWatch Log Insights を使用して、ログを簡単に分析してクエリできます。また、CloudWatch コントリビューターインサイトを使用して、トップユーザー、ユニークユーザーの総数、およびそれらの継続的な使用状況を追跡することもできます。また、AWS Transfer Family マネジメントコンソールからアクセスできる、事前に作成された CloudWatch メトリックスとグラフも提供しています。詳細については、ドキュメントをご覧ください。
複数のサーバーにわたってユーザーと File Transfer アクティビティを追跡する統合メトリクスを作成できますか?
はい。複数の AWS Transfer Family サーバーからのログストリームを 1 つの CloudWatch ロググループにまとめることができます。これにより、統合されたログメトリクスと可視化を作成できるようになり、CloudWatch ダッシュボードに追加することで、サーバーの使用状況やパフォーマンスの追跡に活用することができます。
ワークフローをモニタリングするにはどうすればいいですか?
ワークフローの実行は、ワークフローの合計実行数、成功した実行数、失敗した実行数などの AWS CloudWatch メトリクスを使用してモニタリングできます。AWS マネジメントコンソールを使って、進行中のワークフローの実行状況を検索し、リアルタイムで確認することもできます。ワークフローの実行の詳細なログを取得するには、CloudWatch Logs を利用します。
AWS Transfer Family のログはどのようにフォーマットされますか?
AWS Transfer Family は、すべてのリソース (サーバー、コネクタ、ワークフローを含む) とすべてのプロトコル (SFTP、FTPS、FTP、AS2 を含む) において、JSON 形式でログを提供します。
AWS Transfer Family を利用してファイル転送についての通知を受け取るにはどうすればよいですか?
Transfer Family のマネージドワークフローを使用して、SFTP、FTPS、および FTP サーバーエンドポイント経由でアップロードされたファイルについての通知を受け取ることができます。このブログ記事をご覧ください。あるいは、Amazon EventBridge で AWS Transfer Family イベントをサブスクライブし、Amazon Simple Notice Service (SNS) を利用して通知を受け取ることもできます。
ファイル検証チェックが失敗した場合、通知を送ることはできますか?
はい。事前設定済みのワークフロー検証ステップに対してファイル検証チェックが失敗した場合は、例外ハンドラーを使用してモニタリングシステムを呼び出したり、Amazon SNS トピック経由でチームメンバーに警告したりできます。
請求
このサービスの利用料金はどのように請求されますか?
A: 有効にした各プロトコルに対して、サーバーエンドポイントを作成し構成してから削除するまでの間、1 時間単位で課金されます。また、SFTP、FTPS、または FTP サーバー経由でアップロードおよびダウンロードされたデータの量、AS2 経由で交換されたメッセージの数、および Decrypt ワークフローステップを使用して処理されたデータの量に基づいて請求されます。SFTP コネクタを使用する場合、転送されたデータ量とコネクタの呼び出しの数についての料金が請求されます。Transfer Family ウェブアプリケーションでは、ウェブアプリケーション単位に対してのみ料金が発生します。詳細については、料金のページをご覧ください。
複数のプロトコルに同一のサーバーエンドポイントを使用する場合と、プロトコルごとに異なるエンドポイントを使用する場合では、請求は異なりますか?
いいえ。複数のプロトコルで同一のエンドポイントが有効であるか、プロトコルごとに異なるエンドポイントを使用しているかにかかわらず、有効にしたプロトコルごとの時間数と、各プロトコルを通じて転送されたデータ量に基づいて請求されます。
サーバーを停止しました。停止している間も料金が発生しますか?
はい。サーバーの停止は料金には影響しません。これは停止にコンソールを使用した場合でも、CLI コマンド「stop-server」または API コマンド「StopServer」を実行した場合でも同様です。サーバーエンドポイントを作成しアクセスを構成してから削除するまでの間、各プロトコルに対して、1 時間単位で請求されます。
マネージドワークフローを利用した場合、どのように請求されますか?
PGP キーを使用して復号するデータの量に基づいて、Decrypt ワークフローステップの料金が請求されます。マネージドワークフローを使用するためのその他の追加料金はありません。ワークフローの設定に応じて、Amazon S3、Amazon EFS、AWS Secrets Manager、AWS Lambda の使用についても課金されます。
SFTP コネクタを使用した場合、時間単位で課金されますか?
いいえ。SFTP コネクタには時間単位の課金はありません。SFTP コネクタの料金の詳細については、料金ページをご覧ください。
ウェブアプリを使用して転送されたデータに対して課金されますか?
いいえ。Transfer Family ウェブアプリを介して転送されるデータには追加料金は発生しませんが、S3 データ転送料金は引き続き適用されます。詳細については、料金ページを参照してください