翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # AWS Transfer Family SFTP コネクタ AWS Transfer Family SFTP コネクタは、リモート SFTP サーバーとの接続を確立して、SFTP プロトコルを使用して Amazon ストレージとリモートサーバーの間でファイルを転送します。Amazon S3 から外部のパートナー所有の SFTP サーバーにファイルを送信したり、パートナーの SFTP サーバーから Amazon S3 にファイルを取得したり、リモートサーバー上のファイルを一覧表示、削除、名前変更、移動したりできます。SFTP コネクタは、サービスマネージド ( AWS マネージドインフラストラクチャを使用) と VPC (Amazon VPC Lattice を使用して VPC をルーティング) の 2 つの出力タイプをサポートしています。SFTP コネクタを使用すると、イベント駆動型の自動ファイル転送ワークフローを構築できます AWS 。 以下のビデオでは、Transfer Family の SFTP コネクタを簡単に紹介しています。 [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/Gm-FMGrVpAg/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Gm-FMGrVpAg) **Topics** + [SFTP コネクタの作成](configure-sftp-connector.md) + [SFTP コネクタの VPC 接続](sftp-connectors-vpc-overview.md) + [SFTP コネクタの使用](transfer-sftp-connectors.md) + [SFTP コネクタのモニタリング](track-connector-progress.md) + [SFTP コネクタの管理](manage-sftp-connectors.md) + [SFTP コネクタのスケーリングとクォータ](scale-and-limits-sftp-connector.md) + [SFTP コネクタを使用したリファレンスアーキテクチャ](reference-architectures.md) # SFTP コネクタの作成 このトピックでは、SFTP コネクタを作成する方法について説明します。各コネクタは、1 つのリモート SFTP サーバーに接続する機能を提供します。次の高レベルタスクを実行して SFTP コネクタを設定します。 **注記** Virtual Private Cloud を介してトラフィックをルーティングする VPC ベースのコネクタについては、「」を参照してください[VPC ベースの出力で SFTP コネクタを作成する](create-vpc-sftp-connector-procedure.md)。 1. コネクタの認証情報を に保存します AWS Secrets Manager。 1. シークレット ARN、リモートサーバーの URL またはリソース設定 ARN、コネクタでサポートされるアルゴリズムを含むセキュリティポリシー、およびその他の設定を指定して、コネクタを作成します。 1. コネクタを作成したら、リモート SFTP サーバーとの接続を確立できることをテストできます。 ## SFTP コネクタ出力タイプの選択 SFTP コネクタを作成するときは、Egress Type を「サービスマネージド」と「VPC Lattice」の間で選択します。 + **サービスマネージド** (デフォルト): コネクタは、 が所有する NAT ゲートウェイと IP アドレス AWS Transfer Family を使用して、パブリックインターネット経由で接続をルーティングします。このサービスは、接続を確立するためにリモートサーバーで許可リストに登録する必要があるコネクタに 3 つの静的 IP アドレスを提供します。 + **VPC Lattice**: コネクタは、Amazon VPC Lattice を使用して VPC 環境を介してトラフィックをルーティングします。これらのシナリオでは、SFTP コネクタに VPC 接続を使用します。 + **プライベート SFTP サーバー**: VPC からのみアクセス可能な SFTP サーバーに接続します。 + **オンプレミス接続**: AWS Direct Connect または AWS Virtual Private Network 接続を介してオンプレミス SFTP サーバーに接続する + **カスタム IP アドレス**: 独自の NAT ゲートウェイと Elastic IP アドレスをリモートサーバーに提示する + **一元化されたセキュリティコントロール**: 組織の中央入出力コントロールを介してファイル転送をルーティングする 次のマトリックスは、ユースケースに適したコネクタタイプを選択するのに役立ちます。 **SFTP コネクタ出力タイプのマトリックス** | 機能 | 出力タイプ = サービスマネージド | 出力タイプ = VPC Lattice | | --- | --- | --- | | パブリックにホストされた (インターネットにアクセスできる) SFTP サーバーへの接続 | サポート | サポートされている 1 | | プライベートホスト (オンプレミス) SFTP サーバーへの接続 | サポートされていません | サポートされている 2 | | プライベートホスト (VPC 内) SFTP サーバーへの接続 | サポート外 | サポート | | リモート SFTP サーバーに表示される静的 IP アドレス | サービスが提供する静的 IP アドレスでサポート | お客様所有の静的 IP アドレスでサポート | | 使用可能な帯域幅 | アカウントあたり 50 MBPS | 顧客所有の Resource Gateway と NAT Gateway から利用可能な高帯域幅 | | 顧客所有の NAT ゲートウェイとネットワークファイアウォールを介したインターネットへのトラフィックルーティング | サポート外。NAT ゲートウェイは Transfer Family サービスによって所有および管理されます。 | サポート | 1 *Egress Type = VPC Lattice の場合、パブリックホストサーバーへの接続は、Egress VPCs。* 2 *Egress Type = VPC Lattice の場合、プライベートにホストされたサーバーへの接続は、 AWS Direct Connect や VPN などの VPC 内の既存のネットワークを使用してサポートされます。* **Topics** + [SFTP コネクタ出力タイプの選択](#choosing-egress-type) + [Secrets Manager に SFTP コネクタの認証情報を保存する](sftp-connector-secret-procedure.md) + [サービスマネージド出力で SFTP コネクタを作成する](create-sftp-connector-procedure.md) + [VPC ベースの出力で SFTP コネクタを作成する](create-vpc-sftp-connector-procedure.md) + [SFTP コネクタをテストします。](test-sftp-connector.md) # Secrets Manager に SFTP コネクタの認証情報を保存する Secrets Manager を使用して、SFTP コネクタのユーザー資格情報を保存できます。シークレットを作成するときは、ユーザー名を指定する必要があります。追加で、パスワード、プライベートキー、またはその両方を提供できます。詳細については、「[SFTPコネクタのクォータ](scale-and-limits-sftp-connector.md#limits-sftp-connector)」を参照してください。 **注記** Secrets Manager にシークレットを保存すると、 AWS アカウント に料金が発生します。料金については、「[AWS Secrets Manager 料金](https://aws.amazon.com/secrets-manager/pricing)」を参照してください。 **SFTPコネクタのユーザー資格情報をSecrets Managerに保存するために** 1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/) で AWS Secrets Manager コンソールを開きます。 1. 左側のナビゲーションペインで **[サーバー]** を選択します。 1. [**シークレット**]ページで、[**新しいシークレットの保存**]を選択します。 1. [**シークレットタイプの選択**] ページの[**シークレットタイプ**] で[**その他のシークレットタイプ**] を選択します。 1. シークレットのキー/値情報を指定します。ユーザー名と、プライベートキーまたはパスワードを指定する必要があります。 1. **[キー/値のペア]** セクションで、**[キー/値]** タブを選択します。 + **キー** — **Username**と入力します。 + **value** – パートナーのサーバーへの接続が許可されているユーザーの名前を入力します。 1. キーペアを指定する場合は、**行の追加**を選択し、**キーと値のペア**セクションで**キーと値の**タブを選択します。 + **キー** — **PrivateKey**と入力します。 + **value** – プライベートキーを貼り付けます。 **ヒント**: 入力するプライベートキーデータは、このユーザー用にリモート SFTP サーバーに保存されているパブリックキーに対応している必要があります。 **注記** AWS Transfer Family SFTP コネクタによる認証にパスフレーズで保護されたプライベートキーを使用することはできません。 パブリック/プライベートキーペアを生成する方法の詳細については、「」を参照してください[macOS、Linux、または UNIX で SSH キーを作成する](macOS-linux-unix-ssh.md)。 1. パスワードを入力する場合は、**[行を追加]** を選択し、**[キー/値のペア]** セクションで [Key/Value] タブを選択します。 + **キー** — **Password**と入力します。 + [**値**] ー ユーザーのパスワードを入力します。 1. [**次へ**] を選択します。 1. **[シークレットの設定]** ページで、シークレットの名前と説明を入力します。名前には **aws/transfer/** というプレフィックスを使用することをお勧めします。例えば、シークレットを **aws/transfer/connector-1** と名付けることができます。 1. **[次へ]** を選択し、**[ローテーションの設定]** ページのデフォルトを受け入れます。次いで、**[次へ]** を選択します。 1. **[レビュー]** ページで **[ストア]** を選択し、シークレットを作成して保存します。 # サービスマネージド出力で SFTP コネクタを作成する この手順では、 AWS Transfer Family コンソールまたは を使用して SFTP コネクタを作成する方法について説明します AWS CLI。 ------ #### [ Console ] **SFTPコネクタを作成するには** 1. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) で AWS Transfer Family コンソールを開きます。 1. 左側のナビゲーションペインで、**SFTP コネクタ**を選択し、**SFTP コネクタの作成**を選択します。 1. **Connector 設定**セクション**の Egress type** で、**Service managed** を選択します。このオプションは、 AWS Transfer Family マネージド Egress インフラストラクチャを使用します。Transfer Family サービスは、各 SFTP コネクタの静的 IP アドレスを提供および管理します。 1. [**コネクタ構成**] セクションで、次の情報を入力します。 ![\[コネクタの設定を示す Transfer Family SFTP コネクタコンソール。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/create-connector-example-config.png) + **[URL]** には、リモート SFTP サーバーの URL を入力します。この URL は `sftp://partner-SFTP-server-url`、例えば次のような形式にする必要があります。`sftp://AnyCompany.com` **注記** オプションで、URL にポート番号を指定できます。形式は `sftp://partner-SFTP-server-url:port-number` です。デフォルトのポート番号 (ポートが指定されていない場合) はポート 22 です。 + **アクセスロール**で、使用する (IAM) ロールの Amazon リソースネーム AWS Identity and Access Management (ARN) を選択します。 + `StartFileTransfer` リクエストで使用されるファイルロケーションの親ディレクトリに対して、**このロールが読み取りと書き込みのアクセスを提供することを確認します**。 + **`secretsmanager:GetSecretValue` このロールがシークレットへのアクセス許可を提供していることを確認してください。** **注記** ポリシーでは、シークレットの ARN を指定する必要があります。ARN にはシークレット名が含まれていますが、名前に 6 つのランダムな英数字を追加します。シークレットの ARN の形式は次のとおりです。 ``` arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters ``` + 「**このロールに信頼関係が含まれていることを確認する**」ことで、ユーザーの転送要求に対応する際に、コネクタがリソースにアクセスできません。信頼関係の確立の詳細については、[信頼関係を確立するには](requirements-roles.md#establish-trust-transfer) を参照してください。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowListingOfUserFolder", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "HomeDirObjectAccess", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObjectVersion", "s3:GetObjectACL", "s3:PutObjectACL" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" }, { "Sid": "GetConnectorSecretValue", "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters" } ] } ``` **注記** アクセス ロールの場合、この例では 1 つのシークレットへのアクセスを許可します。ただし、ワイルドカード文字を使用すると、複数のユーザーとシークレットに対して同じ IAM ロールを再利用する場合に作業を節約できます。例えば、次のリソース ステートメントは、`aws/transfer` で始まる名前を持つすべてのシークレットに対するアクセス許可を付与します。 ``` "Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*" ``` SFTP 認証情報を含むシークレットを別の AWS アカウントに保存することもできます。クロスアカウントシークレットアクセスの有効化の詳細については、[「別のアカウントのユーザーの AWS Secrets Manager シークレットへのアクセス許可](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html)」を参照してください。 1. コネクタ設定を完了します。 + (オプション) **[Logging ロールでは]**、CloudWatch ログにイベントをプッシュするために使用するコネクタの IAM ロールを選択します。次のポリシー例では、SFTP コネクタのイベントをログに記録するために必要なアクセス許可を一覧表示します。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*" } ] } ``` 1. 「**SFTPの設定**」セクションで、以下の情報を入力する: ![\[Transfer Family SFTP コネクタコンソール。SFTP 設定が表示されます。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/create-connector-example-sftp-config.png) + **Connector 認証情報**では、ドロップダウンリストから、SFTP ユーザーのプライベートキーまたはパスワード AWS Secrets Manager を含む のシークレットの名前を選択します。シークレットを作成し、特定の方法で保存する必要があります。詳細については、「[Secrets Manager に SFTP コネクタの認証情報を保存する](sftp-connector-secret-procedure.md)」を参照してください。 + (オプション) `TrustedHostKeys`パラメータを空のままにしてコネクタを作成するオプションがあります。ただし、コネクタの設定でこのパラメータを指定するまで、コネクタはリモートサーバーでファイルを転送できません。コネクタの作成時に信頼されたホストキー (複数可) を入力するか、後で`TestConnection`コンソールアクションまたは API コマンドによって返されるホストキー情報を使用してコネクタを更新できます。つまり、**信頼されたホストキー**のテキストボックスでは、次のいずれかを実行できます。 + **コネクタの作成時に信頼されたホストキー (複数可) を指定します。**外部サーバーを識別するために使用されるホストキーのパブリック部分を貼り付けます。**[信頼できるホストキーを追加]** を選択してキーを追加することで、複数のキーを追加できます。SFTP サーバーに対して `ssh-keyscan` コマンドを使用して、必要なキーを取得できます。Transfer Family がサポートするトラステッドホストキーの形式とタイプの詳細については、を参照してください[「SFTPConnectorConfig」](https://docs.aws.amazon.com//transfer/latest/APIReference/API_SftpConnectorConfig.html)。 + *コネクタを作成するときは、信頼されたホストキー (複数可) テキストボックスを空のままにし、後でこの情報を使用してコネクタを更新します。*コネクタの作成時にホストキー情報がない場合は、現時点ではこのパラメータを空のままにして、コネクタの作成に進むことができます。コネクタを作成したら、新しいコネクタの ID を使用して、 AWS CLI またはコネクタの詳細ページで `TestConnection` コマンドを実行します。成功すると、 `TestConnection` は必要なホストキー情報を返します。その後、コンソールを使用して (または `UpdateConnector` AWS CLI コマンドを実行して) コネクタを編集し、 の実行時に返されたホストキー情報を追加できます`TestConnection`。 **重要** を実行してリモートサーバーのホストキーを取得する場合は`TestConnection`、返されるキーに対してout-of-band検証を実行してください。 新しいキーを信頼済みとして受け入れるか、接続先のリモート SFTP サーバーの所有者から受け取った既知のフィンガープリントを使用して、提示されたフィンガープリントを検証する必要があります。 + (オプション) **最大同時接続**については、ドロップダウンリストから、コネクタがリモートサーバーに作成する同時接続の数を選択します。コンソールのデフォルトの選択は **5** です。 この設定では、コネクタがリモートサーバーと同時に確立できるアクティブな接続の数を指定します。同時接続を作成すると、並列オペレーションを有効にしてコネクタのパフォーマンスを向上させることができます。 1. **暗号化アルゴリズムオプション**セクションで、**セキュリティポリシー**フィールドのドロップダウンリストから**セキュリティポリシー**を選択します。セキュリティポリシーを使用すると、コネクタがサポートする暗号化アルゴリズムを選択できます。使用可能なセキュリティポリシーとアルゴリズムの詳細については、「」を参照してください[AWS Transfer Family SFTP コネクタのセキュリティポリシー](security-policies-connectors.md)。 1. (オプション)[**Tags**] セクションの[**Key**] と[**Value**] に、1 つ以上のタグをキーと値のペアとして入力します。 1. すべての設定を確認したら、**SFTP コネクタの作成**を選択して SFTP コネクタを作成します。コネクタが正常に作成されると、割り当てられた静的 IP アドレスのリストと**接続のテスト**ボタンが画面に表示されます。ボタンを使用して、新しいコネクタの設定をテストします。 ![\[SFTP コネクタが正常に作成されたときに表示されるコネクタ作成画面。これには、接続をテストするためのボタンと、このコネクタのサービスマネージド静的 IP アドレスのリストが含まれています。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/connector-success-ip.png) 新しい SFTP **[コネクタの]** ID がリストに追加されたコネクタページが表示されます。コネクタの詳細を表示するには、[SFTP コネクタの詳細を表示します。](manage-sftp-connectors.md#sftp-connectors-view-info) を参照してください。 ------ #### [ CLI ] コネクタを作成するには、「[https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateConnector.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateConnector.html)」コマンドを使用します。このコマンドを使用して SFTP コネクタを作成するには、次の情報を指定する必要があります。 + リモート SFTP サーバーの URL。この URL は `sftp://partner-SFTP-server-url`、例えば次のような形式にする必要があります。`sftp://AnyCompany.com` + アクセスロール 使用する AWS Identity and Access Management (IAM)ロールの Amazon リソースネーム(ARN)を選択します。 + `StartFileTransfer` リクエストで使用されるファイルロケーションの親ディレクトリに対して、**このロールが読み取りと書き込みのアクセスを提供することを確認します**。 + **`secretsmanager:GetSecretValue` このロールがシークレットへのアクセス許可を提供していることを確認してください。** **注記** ポリシーでは、シークレットの ARN を指定する必要があります。ARN にはシークレット名が含まれていますが、名前に 6 つのランダムな英数字を追加します。シークレットの ARN の形式は次のとおりです。 ``` arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters ``` + 「**このロールに信頼関係が含まれていることを確認する**」ことで、ユーザーの転送要求に対応する際に、コネクタがリソースにアクセスできません。信頼関係の確立の詳細については、[信頼関係を確立するには](requirements-roles.md#establish-trust-transfer) を参照してください。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowListingOfUserFolder", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "HomeDirObjectAccess", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObjectVersion", "s3:GetObjectACL", "s3:PutObjectACL" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" }, { "Sid": "GetConnectorSecretValue", "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters" } ] } ``` **注記** アクセス ロールの場合、この例では 1 つのシークレットへのアクセスを許可します。ただし、ワイルドカード文字を使用すると、複数のユーザーとシークレットに対して同じ IAM ロールを再利用する場合に作業を節約できます。例えば、次のリソース ステートメントは、`aws/transfer` で始まる名前を持つすべてのシークレットに対するアクセス許可を付与します。 ``` "Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*" ``` SFTP 認証情報を含むシークレットを別の AWS アカウントに保存することもできます。クロスアカウントシークレットアクセスの有効化の詳細については、[「別のアカウントのユーザーの AWS Secrets Manager シークレットへのアクセス許可](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html)」を参照してください。 + (オプション) イベントを CloudWatch ログにプッシュするために使用するコネクタの IAM ロールを選択します。次のポリシー例では、SFTP コネクタのイベントをログに記録するために必要なアクセス許可を一覧表示します。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*" } ] } ``` + 次の SFTP 構成情報を入力します。 + SFTP ユーザーのプライベートキーまたはパスワード AWS Secrets Manager を含む のシークレットの ARN。 + 外部サーバーを識別するために使用されるホストキーの公開部分。必要に応じて、複数の信頼できるホスト キーを指定できます。 SFTP 情報を提供する最も簡単な方法は、SFTP 情報をファイルに保存することです。例えば、`testSFTPConfig.json` 次のサンプルテキストをという名前のファイルにコピーします。 ``` // Listing for testSFTPConfig.json { "UserSecretId": "arn:aws::secretsmanager:us-east-2:123456789012:secret:aws/transfer/example-username-key", "TrustedHostKeys": [ "sftp.example.com ssh-rsa AAAAbbbb...EEEE=" ] } ``` + コネクタのセキュリティポリシーを指定し、セキュリティポリシー名を入力します。 **注記** `SecretId` は、ARN 全体またはシークレットの名前 (前のリストの *example-username-key*) のいずれかになります。 次に、次のコマンドを実行してコネクタを作成します。 ``` aws transfer create-connector --url "sftp://partner-SFTP-server-url" \ --access-role your-IAM-role-for-bucket-access \ --logging-role arn:aws:iam::your-account-id:role/service-role/AWSTransferLoggingAccess \ --sftp-config file:///path/to/testSFTPConfig.json \ --security-policy-name security-policy-name \ --maximum-concurrent-connections integer-from-1-to-5 ``` VPC 出力タイプコネクタを記述すると、レスポンスに新しいフィールドが含まれます。 ``` { "Connector": { "AccessRole": "arn:aws:iam::123456789012:role/connector-role", "Arn": "arn:aws:transfer:us-east-1:123456789012:connector/c-1234567890abcdef0", "ConnectorId": "c-1234567890abcdef0", "Status": "ACTIVE", "EgressConfig": { "VpcLattice": { "ResourceConfigurationArn": "arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-12345678", "PortNumber": 22 } }, "EgressType": "VPC", "ServiceManagedEgressIpAddresses": null, "SftpConfig": { "TrustedHostKeys": [ "ssh-rsa AAAAB3NzaC..." ], "UserSecretId": "aws/transfer/connector-secret" }, "Url": "sftp://my.sftp.server.com:22" } } ``` トラフィック`ServiceManagedEgressIpAddresses`は AWS マネージドインフラストラクチャではなく VPC を通過するため、VPC 出力タイプコネクタでは は null です。 ------ # VPC ベースの出力で SFTP コネクタを作成する このトピックでは、VPC 接続で SFTP コネクタを作成するstep-by-stepについて説明します。VPC\$1LATTICE 対応コネクタは Amazon VPC Lattice を使用して仮想プライベートクラウド経由でトラフィックをルーティングし、プライベートエンドポイントへの安全な接続またはインターネットアクセスに独自の NAT ゲートウェイを使用します。 **VPC 接続を使用するタイミング** これらのシナリオでは、SFTP コネクタに VPC 接続を使用します。 + **プライベート SFTP サーバー**: VPC からのみアクセスできる SFTP サーバーに接続します。 + **オンプレミス接続**: AWS Direct Connect または AWS Site-to-Site VPN 接続を介してオンプレミス SFTP サーバーに接続します。 + **カスタム IP アドレス**: BYOIP シナリオを含む独自の NAT ゲートウェイと Elastic IP アドレスを使用します。 + **一元化されたセキュリティコントロール**: 組織の中央入出力コントロールを介してファイル転送をルーティングします。 ![\[SFTP コネクタの VPC ベースの出力を示すアーキテクチャ図。クロス VPC リソースアクセスが仮想プライベートクラウドを介した安全な接続をどのように実現するかを示しています。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/vpc-egress-diagram.png) ## VPC\$1LATTICE 対応 SFTP コネクタの前提条件 VPC\$1LATTICE 対応 SFTP コネクタを作成する前に、次の前提条件を満たす必要があります。 **VPC ベースの接続の仕組み** VPC Lattice を使用すると、VPC リソースを他の AWS サービスと安全に共有できます。 はサービスネットワーク AWS Transfer Family を使用してリソース共有プロセスを簡素化します。主なコンポーネントは次のとおりです。 + **リソースゲートウェイ**: VPC へのアクセスポイントとして機能します。これは、最低 2 つのアベイラビリティーゾーンを使用して VPC に作成します。 + **リソース設定**: 接続する SFTP サーバーのプライベート IP アドレスまたはパブリック DNS 名が含まれます。 VPC\$1LATTICE 対応コネクタを作成すると、 はフォワードアクセスセッション (FAS) AWS Transfer Family を使用して認証情報を一時的に取得し、リソース設定をサービスネットワークに関連付けます。 **必要なセットアップ手順** 1. **VPC インフラストラクチャ**: SFTP サーバー接続要件に必要なサブネット、ルートテーブル、セキュリティグループを含む VPC が適切に設定されていることを確認します。 1. **リソースゲートウェイ**: VPC Lattice `create-resource-gateway` コマンドを使用して、VPC にリソースゲートウェイを作成します。Resource Gateway は、少なくとも 2 つのアベイラビリティーゾーンのサブネットに関連付ける必要があります。詳細については、[「Amazon VPC Lattice ユーザーガイド」の「リソースゲートウェイ](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-gateway.html)」を参照してください。 ** 1. **リソース設定**: VPC Lattice `create-resource-configuration` コマンドを使用して、ターゲット SFTP サーバーを表すリソース設定を作成します。以下のいずれかを指定できます。 + プライベートエンドポイントのプライベート IP アドレス + パブリックエンドポイントのパブリック DNS 名 (IP アドレスはパブリックエンドポイントではサポートされていません) 1. **認証情報**: 「」の説明 AWS Secrets Manager に従って、SFTP ユーザー認証情報を に保存します[Secrets Manager に SFTP コネクタの認証情報を保存する](sftp-connector-secret-procedure.md)。 **重要** リソースゲートウェイとリソース設定は、同じ AWS アカウントで作成する必要があります。リソース設定を作成するときは、まずリソースゲートウェイを設定する必要があります。 VPC リソース設定の詳細については、*「Amazon VPC Lattice ユーザーガイド*」の[「リソース設定](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-configuration.html)」を参照してください。 **注記** SFTP コネクタの VPC 接続は、Amazon VPC Lattice リソース AWS リージョン が利用可能な で使用できます。詳細については、[「VPC Lattice に関するFAQs](https://aws.amazon.com/vpc/lattice/faqs/#topic-0)」を参照してください。アベイラビリティーゾーンのサポートはリージョンによって異なり、リソースゲートウェイには最低 2 つのアベイラビリティーゾーンが必要です。 ## VPC\$1LATTICE 対応 SFTP コネクタを作成する 前提条件を完了したら、、 AWS マネジメントコンソール、または AWS SDKs を使用して AWS CLI、VPC 接続を備えた SFTP コネクタを作成できます。 ------ #### [ Console ] **VPC\$1LATTICE 対応 SFTP コネクタを作成するには** 1. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) で AWS Transfer Family コンソールを開きます。 1. 左側のナビゲーションペインで、**SFTP コネクタ**を選択し、**SFTP コネクタの作成**を選択します。 1. **コネクタ設定**セクションの **Egress type** で、**VPC Lattice **を選択します。 このオプションは、クロス VPC リソースアクセスに Amazon VPC Lattice を使用して VPC 経由でトラフィックをルーティングします。このオプションを使用して、プライベートにホストされたサーバーエンドポイントに接続したり、VPC のセキュリティコントロールを介してトラフィックをルーティングしたり、独自の NAT ゲートウェイと Elastic IP アドレスを使用したりできます。リモート SFTP サーバーのアドレスは、VPC のリソース設定として表されます。リソース設定の詳細については、「Amazon [VPC Lattice ユーザーガイド」の「VPC リソースのリソース設定](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-configuration.html)」を参照してください。 1. コネクタ設定を完了します。 + **アクセスロール**で、使用する (IAM) ロールの Amazon リソースネーム AWS Identity and Access Management (ARN) を選択します。 + `StartFileTransfer` リクエストで使用されるファイルロケーションの親ディレクトリに対して、**このロールが読み取りと書き込みのアクセスを提供することを確認します**。 + **`secretsmanager:GetSecretValue` このロールがシークレットへのアクセス許可を提供していることを確認してください。** **注記** ポリシーでは、シークレットの ARN を指定する必要があります。ARN にはシークレット名が含まれていますが、名前に 6 つのランダムな英数字を追加します。シークレットの ARN の形式は次のとおりです。 ``` arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters ``` + 「**このロールに信頼関係が含まれていることを確認する**」ことで、ユーザーの転送要求に対応する際に、コネクタがリソースにアクセスできません。信頼関係の確立の詳細については、[信頼関係を確立するには](requirements-roles.md#establish-trust-transfer) を参照してください。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowListingOfUserFolder", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "HomeDirObjectAccess", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObjectVersion", "s3:GetObjectACL", "s3:PutObjectACL" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" }, { "Sid": "GetConnectorSecretValue", "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters" } ] } ``` **注記** アクセス ロールの場合、この例では 1 つのシークレットへのアクセスを許可します。ただし、ワイルドカード文字を使用すると、複数のユーザーとシークレットに対して同じ IAM ロールを再利用する場合に作業を節約できます。例えば、次のリソース ステートメントは、`aws/transfer` で始まる名前を持つすべてのシークレットに対するアクセス許可を付与します。 ``` "Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*" ``` SFTP 認証情報を含むシークレットを別の AWS アカウントに保存することもできます。クロスアカウントシークレットアクセスの有効化の詳細については、[「別のアカウントのユーザーの AWS Secrets Manager シークレットへのアクセス許可](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html)」を参照してください。 + **リソース設定 ARN** には、SFTP サーバーを指す VPC Lattice リソース設定の ARN を入力します。 ``` arn:aws:vpc-lattice:region:account-id:resourceconfiguration/rcfg-12345678 ``` + (オプション) **[Logging ロールでは]**、CloudWatch ログにイベントをプッシュするために使用するコネクタの IAM ロールを選択します。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*" } ] } ``` 1. 「**SFTPの設定**」セクションで、以下の情報を入力する: + **Connector 認証情報**で、SFTP ユーザーのプライベートキーまたはパスワード AWS Secrets Manager を含む のシークレットの名前を選択します。 + **信頼できるホストキー**の場合は、外部サーバーを識別するために使用されるホストキーのパブリック部分に貼り付けるか、空のままにして後で `TestConnection` コマンドを使用して を設定します。 このホストキーは VPC\$1LATTICE コネクタ用であるため、キー内のホスト名を削除します。 + (オプション) **最大同時接続**では、コネクタがリモートサーバーに作成する同時接続の数を選択します (デフォルトは 5)。 1. **暗号化アルゴリズムオプション**セクションで、ドロップダウンリストから**セキュリティポリシー**を選択します。 1. (オプション) **タグ**セクションで、キーと値のペアとしてタグを追加します。 1. **SFTP コネクタの作成** を選択して、VPC\$1LATTICE 対応 SFTP コネクタを作成します。 コネクタは、リソースの関連付けのプロビジョニング`PENDING`中に ステータスで作成されます。通常は数分かかります。ステータスが に変わると`ACTIVE`、コネクタを使用できるようになります。 ------ #### [ CLI ] 次のコマンドを使用して、VPC\$1LATTICE 対応 SFTP コネクタを作成します。 ``` aws transfer create-connector \ --url "sftp://my.sftp.server.com:22" \ --access-role arn:aws:iam::123456789012:role/TransferConnectorRole \ --sftp-config UserSecretId=my-secret-id,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \ --egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-1234567890abcdef0} \ --security-policy-name TransferSecurityPolicy-2024-01 ``` VPC 接続のキーパラメータは で`--egress-config`、SFTP サーバーターゲットを定義するリソース設定 ARN を指定します。 ------ ## VPC コネクタのステータスのモニタリング VPC\$1LATTICE 対応コネクタには非同期セットアッププロセスがあります。作成後、コネクタのステータスをモニタリングします。 + **保留中**: コネクタがプロビジョニングされています。サービスネットワークのプロビジョニングが進行中であり、通常は数分かかります。 + **ACTIVE**: コネクタは使用可能で、ファイルを転送できます。 + **エラー**: コネクタのプロビジョニングに失敗しました。トラブルシューティング情報については、エラーの詳細を確認してください。 `describe-connector` コマンドを使用してコネクタのステータスを確認します。 ``` aws transfer describe-connector --connector-id c-1234567890abcdef0 ``` PENDING 状態の間、`test-connection`API はプロビジョニングが完了するまで「Connector not available」を返します。 ## 制約事項と考慮事項 + **パブリックエンドポイント**: VPC 経由でパブリックエンドポイントに接続する場合は、リソース設定で DNS 名を指定する必要があります。パブリック IP アドレスはサポートされていません。 + **リージョンの可用性**: VPC 接続は一部の で利用できます AWS リージョン。クロスリージョンリソース共有はサポートされていません。 + **アベイラビリティーゾーンの要件**: リソースゲートウェイは、少なくとも 2 つのアベイラビリティーゾーンのサブネットに関連付ける必要があります。すべてのアベイラビリティーゾーンがすべてのリージョンで VPC Lattice をサポートしているわけではありません。 + **接続制限**: TCP 接続のアイドルタイムアウトが 350 秒のリソースあたり最大 350 接続。 ## コストに関する考慮事項 からの追加料金は、通常のサービス料金 AWS Transfer Family を超えて発生しません。ただし、Amazon Virtual Private Cloud リソースの共有に関連する Amazon VPC Lattice からの追加料金、およびインターネットへの送信に独自の NAT ゲートウェイを使用する場合の NAT ゲートウェイ料金が発生する場合があります。 AWS Transfer Family 料金の詳細については、[AWS Transfer Family 料金ページ](https://aws.amazon.com/aws-transfer-family/pricing/)を参照してください。 ## SFTP コネクタの VPC 接続の例 このセクションでは、さまざまなシナリオで VPC 接続を使用して SFTP コネクタを作成する例を示します。これらの例を使用する前に、VPC 接続ドキュメントの説明に従って VPC インフラストラクチャのセットアップが完了していることを確認してください。 ### 例: プライベートエンドポイント接続 この例では、VPC からのみアクセス可能なプライベート SFTP サーバーに接続する SFTP コネクタを作成する方法を示します。 **前提条件** 1. VPC にリソースゲートウェイを作成します。 ``` aws vpc-lattice create-resource-gateway \ --name my-private-server-gateway \ --vpc-identifier vpc-1234567890abcdef0 \ --subnet-ids subnet-1234567890abcdef0 subnet-0987654321fedcba0 ``` 1. プライベート SFTP サーバーのリソース設定を作成します。 ``` aws vpc-lattice create-resource-configuration \ --name my-private-server-config \ --resource-gateway-identifier rgw-1234567890abcdef0 \ --resource-configuration-definition ipResource={ipAddress="10.0.1.100"} \ --port-ranges 22 ``` **VPC\$1LATTICE 対応コネクタを作成する** 1. VPC 接続を使用して SFTP コネクタを作成します。 ``` aws transfer create-connector \ --access-role arn:aws:iam::123456789012:role/TransferConnectorRole \ --sftp-config UserSecretId=my-private-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \ --egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-1234567890abcdef0,PortNumber=22} ``` 1. コネクタのステータスが になるまでモニタリングします`ACTIVE`。 ``` aws transfer describe-connector --connector-id c-1234567890abcdef0 ``` リモート SFTP サーバーには、VPC CIDR 範囲内の Resource Gateway の IP アドレスからの接続が表示されます。 ### 例: VPC 経由のパブリックエンドポイント この例では、VPC を介してパブリック SFTP サーバーに接続をルーティングして、一元化されたセキュリティコントロールを活用し、独自の NAT Gateway IP アドレスを使用する方法を示します。 **前提条件** 1. VPC にリソースゲートウェイを作成します (プライベートエンドポイントの例と同じ)。 1. DNS 名を使用してパブリック SFTP サーバーのリソース設定を作成します。 ``` aws vpc-lattice create-resource-configuration \ --name my-public-server-config \ --resource-gateway-identifier rgw-1234567890abcdef0 \ --resource-configuration-definition dnsResource={domainName="sftp.example.com"} \ --port-ranges 22 ``` **注記** パブリックエンドポイントの場合、IP アドレスではなく DNS 名を使用する必要があります。 **コネクタを作成する** + SFTP コネクタを作成します。 ``` aws transfer create-connector \ --access-role arn:aws:iam::123456789012:role/TransferConnectorRole \ --sftp-config UserSecretId=my-public-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \ --egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-0987654321fedcba0,PortNumber=22} ``` トラフィックはコネクタから Resource Gateway に流れ、次に NAT Gateway を経由してパブリック SFTP サーバーに到達します。リモートサーバーには、NAT ゲートウェイの Elastic IP アドレスがソースとして表示されます。 ### 例: クロスアカウントプライベートエンドポイント この例では、リソース共有を使用して別の AWS アカウントのプライベート SFTP サーバーに接続する方法を示します。 **注記** クロス VPC リソース共有が他のメカニズムで既に有効になっている場合は AWS Transit Gateway、ここで説明するリソース共有を設定する必要はありません。Transit Gateway ルートテーブルなどの既存のルーティングメカニズムは、SFTP コネクタによって自動的に使用されます。リソース設定は、SFTP コネクタを作成するのと同じアカウントでのみ作成する必要があります。 **アカウント A (リソースプロバイダー) - リソース設定を共有する** 1. アカウント A にリソースゲートウェイとリソース設定を作成します (前の例と同じ)。 1. Resource Access Manager を使用して AWS 、リソース設定をアカウント B と共有します。 ``` aws ram create-resource-share \ --name cross-account-sftp-share \ --resource-arns arn:aws:vpc-lattice:us-east-1:111111111111:resourceconfiguration/rcfg-1234567890abcdef0 \ --principals 222222222222 ``` **アカウント B (リソースコンシューマー) - 共有を受け入れて使用する** 1. リソース共有の招待を受け入れます。 ``` aws ram accept-resource-share-invitation \ --resource-share-invitation-arn arn:aws:ram:us-east-1:111111111111:resource-share-invitation/invitation-id ``` 1. アカウント B で SFTP コネクタを作成します。 ``` aws transfer create-connector \ --access-role arn:aws:iam::222222222222:role/TransferConnectorRole \ --sftp-config UserSecretId=cross-account-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \ --egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:111111111111:resourceconfiguration/rcfg-1234567890abcdef0,PortNumber=22} ``` アカウント B のコネクタは、共有リソース設定を通じてアカウント A のプライベート SFTP サーバーにアクセスできるようになりました。 ### 一般的なトラブルシューティングのシナリオ VPC\$1LATTICE 対応コネクタを作成する際の一般的な問題の解決策を次に示します。 + **コネクタが保留中ステータスのまま:** Resource Gateway がアクティブで、サポートされているアベイラビリティーゾーンにサブネットがあることを確認します。コネクタがまだ PENDING 状態でスタックしている場合は、最初に使用したものと同じ設定パラメータ`UpdateConnector`を使用して を呼び出します。これにより、問題を解決する可能性のある新しいステータスイベントがトリガーされます。 + **接続タイムアウト**: セキュリティグループルールがポート 22 でのトラフィックを許可し、VPC ルーティングが正しいことを確認します。 + **DNS 解決の問題**: パブリックエンドポイントの場合、VPC に NAT ゲートウェイまたはインターネットゲートウェイを介したインターネット接続があることを確認します。 + **クロスアカウントアクセスが拒否**されました: リソース共有が受け入れられ、リソース設定 ARN が正しいことを確認します。オリジンアカウントがリソース共有を作成するときに、適切なアクセス許可ポリシーがリソース設定にアタッチされている場合は、、`vpc-lattice:AssociateViaAWSService``vpc-lattice:AssociateViaAWSService-EventsAndStates`、`vpc-lattice:CreateServiceNetworkResourceAssociation`、 のアクセス許可が必要です`vpc-lattice:GetResourceConfiguration`。 # SFTP コネクタをテストします。 SFTP コネクタを作成した後、新しいコネクタを使用してファイルを転送する前にテストすることをお勧めします。 **SFTP コネクタをテストするには** 1. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) で AWS Transfer Family コンソールを開きます。 1. 左側のナビゲーションペインで、**SFTP コネクタ**を選択し、コネクタを選択します。 1. [**アクション**] メニューから[**テスト接続**] を選択します。 ![\[Transfer Family コンソールでは、SFTP コネクタが選択され、[接続テスト] の接続テストアクションが強調表示されます。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/connector-test-choose.png) システムはテストが合格したかどうかを示すメッセージを返します。テストに失敗した場合、システムは失敗の理由に基づいたエラーメッセージを提供します。 ![\[SFTP コネクタのテスト接続パネルで、成功したテストが表示されています。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/connector-test-success.png) ![\[SFTP コネクタのテスト接続パネルで、失敗したテストが表示されています。エラーメッセージによれば、コネクタのアクセスロールが正しくないことが示されています。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/connector-test-fail-role.png) **注記** コネクタをテストするために API を使用するには、[「TestConnection」](https://docs.aws.amazon.com/transfer/latest/APIReference/API_TestConnection) API ドキュメントを参照してください。 # SFTP コネクタの VPC 接続 AWS Transfer Family SFTP コネクタは、Amazon VPC Lattice を使用した VPC 環境を介したリモート SFTP サーバーへの接続をサポートします。これにより、プライベートにホストされた SFTP サーバーに接続したり、VPC のセキュリティコントロールを介してインターネットトラフィックをルーティングしたり、独自の NAT ゲートウェイと Elastic IP アドレスを使用したりできます。 **出力タイプ** SFTP コネクタは、次の 2 つの出力タイプのいずれかを使用できます。 + **サービスマネージド** (デフォルト): コネクタは、 が所有する NAT ゲートウェイと IP アドレス AWS Transfer Family を使用して、パブリックインターネット経由で接続をルーティングします。 + **VPC\$1LATTICE**: コネクタは、クロス VPC リソースアクセスを使用して VPC 環境を介してトラフィックをルーティングします。 **VPC 接続を使用するタイミング** これらのシナリオでは、SFTP コネクタに VPC 接続を使用します。 + **プライベート SFTP サーバー**: VPC からのみアクセスできる SFTP サーバーに接続します。 + **オンプレミス接続**: AWS Direct Connect または AWS Site-to-Site VPN 接続を介してオンプレミス SFTP サーバーに接続します。 + **カスタム IP アドレス**: BYOIP シナリオを含む、独自の NAT ゲートウェイと Elastic IP アドレスを使用します。 + **一元化されたセキュリティコントロール**: 組織の中央の入出力コントロールを介してファイル転送をルーティングします。 **要件** VPC\$1LATTICE 対応 SFTP コネクタを作成する前に、以下が必要です。 + VPC および関連インフラストラクチャ (サブネット、ルートテーブル、セキュリティグループ) + VPC 内のリソースゲートウェイ (最低 2 つのアベイラビリティーゾーン) + ターゲット SFTP サーバーを指定するリソース設定 詳細なセットアップ手順については、「」を参照してください[VPC\$1LATTICE 対応 SFTP コネクタを作成する](create-vpc-sftp-connector-procedure.md#create-vpc-connector-procedure)。また、例については、「」を参照してください[SFTP コネクタの VPC 接続の例](create-vpc-sftp-connector-procedure.md#sftp-connectors-vpc-examples)。 # SFTP コネクタの使用 このトピックでは、SFTP コネクタを使用してサポートされているファイルオペレーションを実行する方法について説明します。また、[https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) の AWS Transfer Family コンソールでコネクタの詳細を選択することで、これらのオペレーションを実行するコマンドの例を見つけることもできます。 SFTP コネクタを作成したら、それを使用して、関連付けられているリモート SFTP サーバーで次のファイルオペレーションを実行できます。 + Amazon S3 からリモート SFTP サーバーにファイルを送信します。 + リモート SFTP サーバーから Amazon S3 にファイルを取得します。 + リモート SFTP サーバーのディレクトリからファイルとサブフォルダを一覧表示します。 + リモート SFTP サーバー上のファイルとディレクトリを削除、名前変更、または移動します。 コネクターの作成については、[SFTP コネクタの作成](configure-sftp-connector.md) を参照してください。 **Topics** + [ファイルの転送](transfer-files-and-track.md) + [リモートディレクトリの内容を一覧表示する](sftp-connector-list-dir.md) + [リモートサーバー上のファイルまたはディレクトリを移動、名前変更、または削除する](move-delete-remote-files.md) # ファイルの転送 **Topics** + [SFTP コネクタを使用してファイルを送受信します。](#send-retrieve-connector-details) ## SFTP コネクタを使用してファイルを送受信します。 SFTP コネクタを使用してファイルを送受信するには、 [https://docs.aws.amazon.com/transfer/latest/APIReference/API_StartFileTransfer.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_StartFileTransfer.html) API オペレーションを使用し、*ファイルの送信* (アウトバウンド転送) か*受信* (インバウンド転送) かに応じて、次のパラメータを指定します。各`StartFileTransfer`リクエストには 10 個の個別のパスを含めることができます。 **注記** デフォルトでは、SFTP コネクタは一度に 1 つのファイルを処理し、ファイルを順番に転送します。コネクタに同じユーザーからの同時セッションをサポートするリモートサーバーとの同時セッションを作成し、最大 5 つのファイルを並行して処理させることで、転送パフォーマンスを加速させるオプションがあります。 コネクタの同時接続を有効にするには、コネクタを作成または更新するときに**最大同時接続**数の設定を編集できます。詳細については、「[サービスマネージド出力で SFTP コネクタを作成する](create-sftp-connector-procedure.md)」を参照してください。 + **アウトバウンド転送** + `send-file-paths` には、パートナーの SFTP サーバーに転送するファイルのソースファイ ルパスが 1~10 個含まれています。 + `remote-directory-path`は、顧客の SFTP サーバ上でファイルを送信するリモートパスです。 + **インバウンド転送** + `retrieve-file-paths`には 1 本から 10 本のリモートパスが含まれます。各パスは、パートナーのSFTPサーバーからTransfer Familyサーバーにファイルを転送する場所を指定します。 + `local-directory-path`は、ファイルが保存されている Amazon S3 の場所(バケットとオプションのプレフィックス)です。 ファイルを送信するには、`send-file-paths`と`remote-directory-path`パラメータを指定します。`send-file-paths`パラメータには最大 10 個のファイルを指定できます。以下のコマンド例では、Amazon S3 ストレージにある `/amzn-s3-demo-source-bucket/file1.txt` と `/amzn-s3-demo-source-bucket/file2.txt` という名前のファイルを、パートナーの SFTP サーバー上の `/tmp` ディレクトリに送信します。この例のコマンドを使うには、`amzn-s3-demo-source-bucket` を自分のバケツに置き換えます。 ``` aws transfer start-file-transfer --send-file-paths /amzn-s3-demo-source-bucket/file1.txt /amzn-s3-demo-source-bucket/file2.txt \ --remote-directory-path /tmp --connector-id c-1111AAAA2222BBBB3 --region us-east-2 ``` ファイルを取得するには、 `retrieve-file-paths` および `local-directory-path`パラメータを指定します。次の の例では、パートナーの SFTP サーバー`/my/remote/file1.txt``/my/remote/file2.txt`上の ファイルと を取得し、Amazon S3 の場所 /amzn-s3-demo-bucket/*prefix* に配置します。このコマンド例を実行するには、`user input placeholders` をユーザー自身の情報に置き換えます。 ``` aws transfer start-file-transfer --retrieve-file-paths /my/remote/file1.txt /my/remote/file2.txt \ --local-directory-path /amzn-s3-demo-bucket/prefix --connector-id c-2222BBBB3333CCCC4 --region us-east-2 ``` 前の例では、SFTP サーバー上の絶対パスを指定しています。相対パスを使用することもできます。相対パスは、SFTPユーザーのホームディレクトリへの相対パスです。例えば、SFTP ユーザーが`marymajor`で、SFTP サーバー上のホームディレクトリが`/users/marymajor/`の場合、次のコマンドは`/amzn-s3-demo-source-bucket/file1.txt`を`/users/marymajor/test-connectors/file1.txt`に送信します。 ``` aws transfer start-file-transfer --send-file-paths /amzn-s3-demo-source-bucket/file1.txt \ --remote-directory-path test-connectors --connector-id c-2222BBBB3333CCCC4 --region us-east-2 ``` # リモートディレクトリの内容を一覧表示する リモート SFTP サーバーからファイルを取得する前に、リモート SFTP サーバー上のディレクトリのコンテンツを取得できます。これを行うには、 [https://docs.aws.amazon.com/transfer/latest/APIReference/API_StartDirectoryListing.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_StartDirectoryListing.html) API オペレーションを使用します。 次の の例では、コネクタの設定で指定されているリモート SFTP サーバーの `home`フォルダの内容を一覧表示します。結果は Amazon S3 の場所 に配置され`/amzn-s3-demo-bucket/connector-files`、 という名前のファイルに配置されます`c-AAAA1111BBBB2222C-6666abcd-11aa-22bb-cc33-0000aaaa3333.json`。 ``` aws transfer start-directory-listing \ --connector-id c-AAAA1111BBBB2222C \ --output-directory-path /amzn-s3-demo-bucket/example/connector-files \ --remote-directory-path /home ``` この AWS CLI コマンドは、リスト ID と結果を含むファイルの名前を返します。 ``` { "ListingId": "6666abcd-11aa-22bb-cc33-0000aaaa3333", "OutputFileName": "c-AAAA1111BBBB2222C-6666abcd-11aa-22bb-cc33-0000aaaa3333.json" } ``` **注記** 出力ファイルの命名規則は です`connector-ID-listing-ID.json`。 JSON ファイルには、次の情報が含まれています。 + `filePath`: リモートサーバーの SFTP コネクタのリストリクエストのディレクトリに対するリモートファイルの完全なパス。 + `modifiedTimestamp`: ファイルが最後に変更された時刻、秒単位、協定世界時 (UTC) 形式。このフィールドはオプションです。リモートファイル属性にタイムスタンプが含まれていない場合、ファイルリストから除外されます。 + `size`: ファイルのサイズ、バイト単位。このフィールドはオプションです。リモートファイル属性にファイルサイズが含まれていない場合、ファイルリストから除外されます。 + `path`: リモートサーバーの SFTP コネクタのリストリクエストのディレクトリに対するリモートディレクトリの完全なパス。 + `truncated`: リスト出力にリモートディレクトリに含まれるすべての項目が含まれているかどうかを示すフラグ。`truncated` 出力値が true の場合、オプションの`max-items`入力属性で指定された値を増やして、より多くの項目を一覧表示できます (最大許容リストサイズは 10,000 項目まで)。 以下は、リモートディレクトリに 2 つのファイルと 2 つのサブディレクトリ (パス`c-AAAA1111BBBB2222C-6666abcd-11aa-22bb-cc33-0000aaaa3333.json`) が含まれている出力ファイル () の内容の例です。 ``` { "files": [ { "filePath": "/home/what.txt", "modifiedTimestamp": "2024-01-30T20:34:54Z", "size" : 2323 }, { "filePath": "/home/how.pgp", "modifiedTimestamp": "2024-01-30T20:34:54Z", "size" : 4691 } ], "paths": [ { "path": "/home/magic" }, { "path": "/home/aws" }, ], "truncated": "false" } ``` # リモートサーバー上のファイルまたはディレクトリを移動、名前変更、または削除する **Topics** + [リモート SFTP サーバー上のファイルまたはディレクトリを移動または名前を変更する](#move-remote-file) + [リモート SFTP サーバー上のファイルまたはディレクトリを削除する](#delete-remote-file) ## リモート SFTP サーバー上のファイルまたはディレクトリを移動または名前を変更する SFTP コネクタを使用して、リモート SFTP サーバー上のファイルとディレクトリを移動または名前変更できます。コネクタを使用した処理を成功させるには、リモートサーバーがこれらのオペレーションをサポートしている必要があることに注意してください。 一般的なユースケースは次のとおりです。 + リモートサーバーは、同じファイル名でタイムスタンプが異なる新しいファイルを 1 時間ごとに生成または受信します。メインフォルダを最新の状態に保つには (最新のファイルのみを含むように)、コネクタを使用して古いファイルをアーカイブされたフォルダに移動できます。 + コネクタを使用してリモートディレクトリ内のすべてのファイルを一覧表示し、すべてのファイルをローカルストレージに転送します。その後、コネクタを使用して、リモートサーバーのアーカイブされたフォルダにファイルを移動できます。 コマンドは単一の送信元と送信先のファイルまたはディレクトリを引数として取るため、処理するファイルまたはディレクトリごとに`StartRemoteMove`呼び出しを使用する必要があります。ただし、コネクタが同じユーザーからの同時セッションをサポートするリモートサーバーとの同時セッションを作成し、最大 5 つのファイルを並行して移動/名前を変更することで、パフォーマンスを向上させることができます。 次の例では、リモート SFTP サーバーのファイルを から `/source/folder/sourceFile` に移動し`/destination/targetFile`、 オペレーションの一意の識別子を返します。 ``` aws transfer --connector-id c-AAAA1111BBBB2222C start-remote-move \ --source-path /source/folder/sourceFile --target-path /destination/targetFile ``` **注記** 移動/名前変更オペレーションの場合、Transfer Family は標準`SFTP SSH_FXP_RENAME`コマンドを使用して移動/名前変更オペレーションを実行します。 ## リモート SFTP サーバー上のファイルまたはディレクトリを削除する SFTP コネクタを使用して、リモート SFTP サーバーのファイルまたはディレクトリを削除できます。コネクタを使用した処理を成功させるには、リモートサーバーがこれらのオペレーションをサポートしている必要があることに注意してください。 **注記** リモートディレクトリの削除オペレーションは、空のディレクトリでのみサポートされます。 一般的なユースケースは次のとおりです。 + コネクタを使用してリモート SFTP サーバーからファイルを取得し、Amazon S3 バケットに保存してから暗号化します。最後に、コネクタを使用してリモートサーバー上の暗号化されていないファイルを削除できます。 + コネクタを使用してリモートディレクトリ内のすべてのファイルを一覧表示し、すべてのファイルをローカルストレージに転送します。その後、コネクタを使用して、転送したすべてのファイルを削除できます。必要に応じてリモートディレクトリを削除することもできます。 コマンドは 1 つのファイルまたはディレクトリを引数として取るため、削除するファイルまたはディレクトリごとに`StartRemoteDelete`呼び出しを使用する必要があります。ただし、コネクタが同じユーザーからの同時セッションをサポートするリモートサーバーとの同時セッションを作成し、最大 5 つのファイル/ディレクトリを並行して削除することで、パフォーマンスを向上させることができます。 次の例では、パス のリモート SFTP サーバーのファイルを削除し`/delete/folder/deleteFile`、 オペレーションの一意の識別子を返します。 ``` aws transfer start-remote-delete --connector-id c-AAAA1111BBBB2222C \ --delete-path /delete/folder/deleteFile ``` **注記** 削除オペレーションでは、Transfer Family は標準の `SSH_FXP_REMOVE` コマンドを使用してファイルを削除し、ディレクトリ`SSH_FXP_RMDIR`を削除します。 # SFTP コネクタのモニタリング コネクタオペレーションのステータスは、次のいずれかの方法でモニタリングできます。ニーズに合ったアプローチを選択します。 ## コネクタ API を使用してファイル転送リクエストのステータスをクエリする ファイル転送オペレーションの進行状況を追跡するには、 [https://docs.aws.amazon.com//transfer/latest/APIReference/API_ListFileTransferResults.html](https://docs.aws.amazon.com//transfer/latest/APIReference/API_ListFileTransferResults.html) API オペレーションを使用します。API オペレーションは、特定のファイル転送オペレーションで転送される個々のファイルのステータスに関するリアルタイムの更新と詳細情報を返します。ファイル転送を指定するには、コネクタ ID と転送 ID を指定します。次の の例では、コネクタ ID `a-11112222333344444`と transfer-ID のファイルのリストを返します`aa1b2c3d4-5678-90ab-cdef-EXAMPLE11111`。 ``` aws transfer list-file-transfer-results --connector-id a-11112222333344444 --transfer-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 ``` **注記** ファイル転送の結果は、 `ListFileTransferResults` API オペレーションを呼び出してから最大 7 日間使用できます。 SFTP コネクタを使用するファイル転送リクエストのログとイベントを表示することもできます。Transfer Family の Amazon EventBridge イベントについては、「」を参照してください[SFTP コネクタイベント](events-detail-reference.md#event-detail-sftp-connector-events)。Transfer Family CloudWatch ログエントリを表示する方法については、「」を参照してください[Transfer Family ログストリームの表示](view-log-entries.md)。 ## Amazon EventBridge で SFTP コネクタイベントを表示する SFTP コネクタによって実行されるオペレーションごとに、Transfer Family は自動的にイベントを生成し、Amazon EventBridge アカウントのデフォルトのイベントバスに送信します。イベントには、オペレーションのステータスなど、オペレーションに関する詳細メタデータが含まれます。EventBridge でこれらのイベントをサブスクライブし、オペレーションステータスなどの特定のイベント基準にフィルターを適用して、ステータスに基づいてダウンストリームアクションを自動的にトリガーできます。SFTP コネクタオペレーションによって生成されるイベントの詳細については、「」を参照してください[SFTP コネクタイベント](events-detail-reference.md#event-detail-sftp-connector-events)。 ## Amazon CloudWatch で SFTP コネクタログを表示する すべての SFTP コネクタオペレーションは、CloudWatch で詳細なログを生成します。SFTP コネクタによって生成されたログエントリの例については、「」を参照してください[SFTP コネクタのログエントリの例](cw-example-logs.md#example-sftp-connector-logs)。 ## VPC 出力タイプのコネクタのモニタリング VPC 出力タイプコネクタは、標準サービスマネージドコネクタ以外にも追加のモニタリング機能と考慮事項を提供します。 ### コネクタステータスのモニタリング VPC\$1LATTICE コネクタには、プロビジョニングと運用状態のモニタリングに役立つ追加情報が含まれています。 + **EgressType フィールド**: VPC\$1LATTICE 出力タイプコネクタ`VPC`を示します + **EgressConfig フィールド**: リソース設定 ARN とポート情報が含まれます `describe-connector` API を使用してコネクタのステータスをモニタリングします。 ``` aws transfer describe-connector --connector-id c-1234567890abcdef0 ``` ### VPC Lattice コストモニタリング VPC 出力タイプのコネクタには、監視する必要がある追加の VPC Lattice 料金が発生します。 + **リソースプロバイダー料金**: リソースプロバイダーとしてのデータ処理に対して 0.006 USD/GB が請求されます (VPC Lattice から直接請求されます) + **リソースコンシューマー料金**: AWS Transfer Family が 0.01 USD/GB のリソースコンシューマーコストを吸収 (最初の 1 PB) + **NAT Gateway 料金**: VPC 経由でアクセスされるパブリックエンドポイントの場合、追加の NAT Gateway 料金とデータ転送料金が適用される場合があります + **Transfer Family 料金**: 標準の 0.40 USD/GB データ処理料金が引き続き適用されます AWS コストと請求コンソールを使用して VPC Lattice の使用状況とコストをモニタリングし、VPC Lattice サービスでフィルタリングします。 ### VPC コネクタのネットワークモニタリング VPC 出力タイプコネクタのネットワークアクティビティとパフォーマンスをモニタリングします。 + **VPC フローログ**: VPC フローログを有効にして、リソースゲートウェイと SFTP サーバー間のネットワークトラフィックパターンをモニタリングする + **VPC Lattice アクセスログ**: VPC Lattice は、送信元/送信先の IP アドレス、接続タイミング、データ転送ボリュームを示すアクセスログを提供します。 + **セキュリティグループのモニタリング**: セキュリティグループのルールとトラフィックパターンをモニタリングして、適切なネットワークアクセスコントロールを確保する + **DNS 解決モニタリング**: サービスネットワークエンドポイントの DNS 解決時間と障害をモニタリングする VPC Lattice アクセスログエントリの例: ``` { "eventTimestamp": "2025-01-16T20:59:08.531Z", "serviceNetworkArn": "arn:aws:vpc-lattice:us-east-1:123456789012:servicenetwork/sn-1234567890abcdef0", "sourceVpcArn": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-12345678", "resourceConfigurationArn": "arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-12345678", "protocol": "tcp", "sourceIpPort": "10.0.1.100:33760", "destinationIpPort": "10.0.2.200:22", "gatewayIpPort": "10.0.1.150:1769", "resourceIpPort": "10.0.2.200:22" } ``` ### モニタリングによるトラブルシューティング モニタリングデータを使用して、一般的な VPC コネクタの問題をトラブルシューティングします。 + **保留ステータス**: DNS 解決の進行状況をモニタリングし、転送を試みる前に ACTIVE ステータスを待機する + **接続タイムアウト**: ポート 22 でブロックされたトラフィックの VPC フローログとセキュリティグループのルールを確認する + **転送の失敗**: CloudWatch ログで詳細なエラーメッセージを確認し、VPC Lattice アクセスログでネットワークレベルの問題を確認します。 + **パフォーマンスの問題**: VPC Lattice アクセスログで接続タイミングとスループットメトリクスをモニタリングする # SFTP コネクタの管理 このトピックでは、SFTP コネクタを表示および更新する方法について説明します。 **注記** 各コネクタには、コネクタの存続期間中変更されない静的 IP アドレスが自動的に割り当てられます。これにより、既知の IP アドレスからのインバウンド接続のみを受け入れるリモート SFTP サーバーに接続できます。コネクタには、 で同じプロトコル (SFTP または AS2) を使用してすべてのコネクタによって共有される静的 IP アドレスのセットが割り当てられます AWS アカウント。 VPC\$1LATTICE 対応コネクタの場合、リモート SFTP サーバーには、 AWS Transfer Family サービスマネージド IP アドレスではなく、VPC CIDR 範囲の IP アドレスが表示されます。 ## SFTP コネクタのアップデート コネクタの既存のパラメータ値を変更するには、`update-connector`コマンドを実行します。以下のコマンドは、`region-id`から`secret-ARN`のリージョン内のコネクター`connector-id`のシークレットをに更新します。このコマンド例を実行するには、`user input placeholders` をユーザー自身の情報に置き換えます。 ``` aws transfer update-connector --sftp-config '{"UserSecretId":"secret-ARN"}' \ --connector-id connector-id --region region-id ``` ### VPC 接続設定の更新 サービスマネージド型と VPC 出力タイプの切り替えやリソース設定 ARN の変更など、既存のコネクタの VPC 接続設定を更新できます。 コネクタをサービスマネージド型から VPC 出力に切り替えるには: ``` aws transfer update-connector \ --connector-id connector-id \ --egress-type VPC \ --egress-config ResourceConfigurationArn=resource-configuration-arn ``` VPC\$1LATTICE 対応コネクタのリソース設定 ARN を更新するには: ``` aws transfer update-connector \ --connector-id connector-id \ --egress-config ResourceConfigurationArn=new-resource-configuration-arn ``` **注記** VPC 接続設定を更新すると、再設定プロセス`PENDING`中にコネクタのステータスが に変わります。`describe-connector` コマンドを使用してコネクタのステータスをモニタリングします。 ## SFTP コネクタの詳細を表示します。 AWS Transfer Family コンソールで、SFTP コネクタの詳細とプロパティのリストを確認できます。 **コネクタの詳細を表示するには** 1. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) で AWS Transfer Family コンソールを開きます。 1. 左側のナビゲーションペインで、[**Connectors (コネクタ)**] を選択します。 1. [**コネクタ ID**] 列の識別子を選択すると、選択したコネクタの詳細ページが表示されます。 SFTP コネクタのプロパティは、コネクタの詳細ページで **[編集]** を選択して変更できます。 ### VPC コネクタのステータスのモニタリング VPC\$1LATTICE 対応コネクタには、プロビジョニングプロセスをモニタリングするのに役立つ追加のステータス情報が含まれています。 + **ステータス**: `PENDING`、`ACTIVE`、または を表示します `ERRORED` + **EgressType**: `VPC`または を表示 `SERVICE_MANAGED` + **EgressConfig**: VPC コネクタのリソース設定 ARN が含まれます + **エラー**: コネクタが `ERRORED`状態の場合に詳細なエラー情報を提供します VPC コネクタの場合、トラフィックは代わりに VPC IP アドレスを使用するため、 `ServiceManagedEgressIpAddresses`フィールドは null になります。 **注記** 次の AWS Command Line Interface (AWS CLI) コマンドを実行すると、この情報の多くを別の形式で取得できます。このコマンド例を実行するには、`user input placeholders` をユーザー自身の情報に置き換えます。 ``` aws transfer describe-connector --connector-id your-connector-id ``` 詳細については、API リファレンスの[https://docs.aws.amazon.com/transfer/latest/APIReference/API_DescribeConnector.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_DescribeConnector.html)を参照してください。 # SFTP コネクタのスケーリングとクォータ **Topics** + [SFTPコネクタのクォータ](#limits-sftp-connector) + [SFTP コネクタのスケーリング](#scaling-sftp-connector) ## SFTPコネクタのクォータ SFTP コネクタには次のクォータが設定されています。 **注記** SFTP コネクタのその他のサービスクォータは、 の[AWS Transfer Family エンドポイントとクォータ](https://docs.aws.amazon.com//general/latest/gr/transfer-service.html)に記載されています*Amazon Web Services 全般のリファレンス*。 **SFTP Connector クォータ** | 名前 | デフォルト | 引き上げ可能 | | --- | --- | --- | | 最大テスト接続トランザクション/秒(TPS) | 1 アカウントにつき毎秒 1 リクエスト | いいえ | | 保留中のファイル転送の最大キューサイズ | 1,000 | いいえ | | 最大ファイルサイズ | 150 ギビバイト (GiB) | いいえ | | 1 ファイルあたりの最大転送時間 | 12 時間ごと | いいえ | | 1 ファイルあたりの最大リクエスト待機時間 | 12 時間ごと | いいえ | | アカウントあたりのコネクタの最大帯域幅 (SFTP コネクタと AS2 コネクタの両方がこの値に影響します) | 50 MBps | いいえ | | ディレクトリリストオペレーションの項目の最大数 | 10,000 | いいえ | **注記** デフォルトでは、SFTP コネクタは一度に 1 つのファイルを処理し、ファイルを順番に転送します。コネクタで同じユーザーからの同時セッションをサポートするリモートサーバーとの同時セッションを作成し、最大 5 つのファイルを並行して処理することで、転送パフォーマンスを高速化できます。 コネクタの同時接続を有効にするには、コネクタを作成または更新するときに**最大同時接続**数の設定を編集できます。詳細については、「[サービスマネージド出力で SFTP コネクタを作成する](create-sftp-connector-procedure.md)」を参照してください。 SFTP コネクタの認証情報を保存するには、各 Secrets Manager シークレットに関連付けられたクォータがあります。同じシークレットを使用して複数のタイプのキーを保存すると、複数の目的でこれらのクォータが発生する可能性があります。 + 1 つのシークレットの合計長: 12,000 文字 + **Password** 文字列の最大長: 1024 文字 + **PrivateKey** 文字列の最大長: 8192 文字 + **Username** 文字列の最大長: 100 文字 ## SFTP コネクタのスケーリング このセクションでは、 AWS Transfer Family SFTP コネクタワークロードをスケールする方法に関する考慮事項について説明します。SFTP コネクタを使用してワークロードをスケーリングする場合は、次の 3 つのクォータを考慮する必要があります。 + **最大キューサイズ。**これは、リクエストされたコネクタのキュー内の保留中のオペレーションの最大数を指します。保留中のオペレーションとは、以前に送信された転送リクエストのうち、まだ完了していないものを指します。 保留中のリクエストの最大キュー深度は現在、コネクタあたり 1,000 に設定されています ([AWS Transfer Family サービスクォータ](https://docs.aws.amazon.com//general/latest/gr/transfer-service.html)で定義)。短期間に何千もの転送オペレーションをリクエストすると、ワークロードがこのサービス制限を超える可能性があり、保留中の最大リクエスト数を超えた`ThrottlingException`というメッセージが表示されます。 ワークロードがこのクォータの対象である場合は、 を介して Transfer Family サービスチーム AWS サポート またはアカウントチームに連絡して、スケーラビリティ要件について相談してください。 以下のアクションのいずれかまたは両方を実行することもできます。 + ファイルボリュームを複数のコネクタに分散します。 + コネクタにリモートサーバーとの同時セッションを作成して、キューからの複数のリクエストを並行して処理させます。 + **同時セッションの数。**デフォルトでは、SFTP コネクタは一度に 1 つのファイルを転送し、キューからファイルを順番に転送します。 コネクタに複数のファイルを並行して転送させることで、転送パフォーマンスを向上させるオプションがあります。同じユーザーからの同時セッションをサポートするリモートサーバーとの同時セッションを作成し、最大 5 つのファイルを並行して処理できます。SFTP コネクタを作成するときは、コネクタを作成または更新するときに**最大同時接続**数の設定に最大 5 の値を選択します。詳細については、「[サービスマネージド出力で SFTP コネクタを作成する](create-sftp-connector-procedure.md)」を参照してください。 + **`StartFileTransfer`リクエストのレート。**各 SFTP コネクタで転送するには、1 秒あたり最大 100 個のファイルパスをリクエストできます。リクエストされたファイルパスは、処理のためにコネクタのキューに追加されます。コマンドを再帰的に使用して、個々の`StartFileTransfer`コマンドで提供されるファイルの数に関係なく、コネクタごとに 1 秒あたり最大 100 のファイルパスをリクエストできます`StartFileTransfer`。 # SFTP コネクタを使用したリファレンスアーキテクチャ このセクションでは、SFTP コネクタを使用した自動ファイル転送ワークフローの設定に使用できる参考資料を一覧表示します。Amazon EventBridge の SFTP コネクタイベントを使用して、ファイル転送アクションと の前処理アクションと後処理アクションをオーケストレーションすることで、独自のイベント駆動型アーキテクチャを設計できます AWS。 ## ブログ記事 次のブログ記事では、SFTP コネクタを使用して MFT ワークフローを構築するためのリファレンスアーキテクチャを提供します。これには、SFTP コネクタを使用してリモート SFTP サーバーに送信する前に PGP を使用してファイルを暗号化する、[SFTP コネクタと PGP AWS Transfer Family 暗号化を使用した安全で準拠のマネージドファイル転送の設計が含まれます。](https://aws.amazon.com/blogs//storage/architecting-secure-and-compliant-managed-file-transfers-with-aws-transfer-family-sftp-connectors-and-pgp-encryption/) ## ワークショップ + 次のワークショップでは、SFTP コネクタを設定し、コネクタを使用してリモート SFTP サーバーからファイルを送受信するための実践的なラボ、[Transfer Family - SFTP ワークショップ](https://catalog.workshops.aws/transfer-family-sftp/en-US)について説明します。 + 次のワークショップでは、外部 SFTP サーバーから Amazon S3 へのファイル転送と、それらのファイルの一般的な前処理と後処理を含む、完全に自動化されたイベント駆動型ワークフローを構築するための実践的なラボを提供します。[イベント駆動型 MFT ワークショップ](https://catalog.us-east-1.prod.workshops.aws/workshops/e55c90e0-bbb0-47e1-be83-6bafa3a59a8a/en-US)です。 この動画では、このワークショップのウォークスルーを紹介します。 [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/oojopisG4lA/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/oojopisG4lA) ## ソリューション AWS Transfer Family には、次のソリューションが用意されています。 + [ファイル転送同期ソリューションは](https://github.com/aws-samples/file-transfer-sync-solution)、フォルダ構造全体を含むリモート SFTP ディレクトリを SFTP コネクタを使用してローカル Amazon S3 バケットと同期するプロセスを自動化するリファレンスアーキテクチャを提供します。リモートディレクトリの一覧表示、変更の検出、新規または変更されたファイルの転送のプロセスを調整します。 + [Serverlessland - を使用したリモート SFTP サーバーと S3; 間の選択的ファイル転送 AWS Transfer Family](https://serverlessland.com/patterns/awstransfer-s3-sam?ref=search)は、リモート SFTP ロケーションに保存されているファイルを一覧表示し、選択的ファイルを Amazon S3 に転送するためのサンプルパターンを提供します。 ## VPC リファレンスアーキテクチャ 次のリファレンスアーキテクチャは、VPC\$1LATTICE 対応 SFTP コネクタをデプロイするための一般的なパターンを示しています。これらの例は、 AWS アーキテクチャ全体で VPC Lattice リソースを作成する必要がある場所を理解するのに役立ちます。 ### Egress インフラストラクチャを共有する単一アカウント このアーキテクチャでは、出力インフラストラクチャ (NAT ゲートウェイ、VPN トンネル、または Direct Connect) は、SFTP コネクタと同じアカウント内の VPC に設定されます。すべてのコネクタは、同じ Resource Gateway と NAT Gateway を共有できます。 ![\[NAT Gateway、Resource Gateway、VPC Lattice コンポーネントなどの共有 Egress インフラストラクチャを持つ 1 つのアカウント内の VPC_LATTICE 対応 SFTP コネクタを示すアーキテクチャ図。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/vpc-customer-architecture-1.png) このパターンは、次の場合に最適です。 + すべての SFTP コネクタは 1 つの 内で管理されます。 AWS アカウント + Egress インフラストラクチャは、SFTP コネクタと同じアカウント内の VPC でセットアップされます。 ### 一元化された Egress インフラストラクチャによるクロスアカウント このアーキテクチャでは、出力インフラストラクチャ (NAT ゲートウェイ、VPN トンネル、Direct Connect、または B2B ファイアウォール) は、ネットワークチームが管理する中央の Egress アカウントで設定されます。SFTP コネクタは、MFT 管理チームが管理する MFT アプリケーションアカウントに作成されます。クロスアカウントネットワークは、Transit Gateway を使用して確立され、既存のネットワークルールに準拠します。 ![\[VPC_LATTICE 対応の SFTP コネクタを、別のネットワークチームアカウントによって管理される一元的な出力インフラストラクチャを備えたクロスアカウントセットアップで示すアーキテクチャ図。\]](http://docs.aws.amazon.com/ja_jp/transfer/latest/userguide/images/vpc-customer-architecture-2.png) このパターンは、次の場合に最適です。 + ネットワークインフラストラクチャは、専用アカウントの別のチームによって管理されます。 + SFTP コネクタが作成されたアカウントと Egress インフラストラクチャがセットアップされているアカウントの間には、既存のルート ( など AWS Transit Gateway ) があります。SFTP コネクタは、2 つのアカウントを接続する既存のルートを活用できます。 + 一元化されたセキュリティコントロールと B2B ファイアウォールが必要です + ネットワークチームとアプリケーションチーム間の職務の分離を維持する必要があります