翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# SFTP、FTPS、または FTP サーバーエンドポイントの設定
<a name="sftp-for-transfer-family"></a>

このトピックでは、1 つ以上の SFTP、FTPS、および FTP プロトコルを使用する AWS Transfer Family サーバーエンドポイントの作成と使用について詳しく説明します。

**Topics**
+ [ID プロバイダーオプション](#identity-provider-details)
+ [AWS Transfer Family エンドポイントタイプのマトリックス](#endpoint-matrix)
+ [SFTP、FTPS、または FTP サーバーエンドポイントの設定](tf-server-endpoint.md)
+ [FTP および FTPS Network Load Balancer に関する考慮事項](#ftp-ftps-nlb-considerations)
+ [クライアントを使用してサーバーエンドポイント経由でファイルを転送する](transfer-file.md)
+ [サーバーエンドポイントのユーザーの管理](create-user.md)
+ [論理ディレクトリを使用して Transfer Family ディレクトリ構造を簡素化する](logical-dir-mappings.md)
+ [Transfer Family を使用して FSx for NetApp ONTAP ファイルシステムにアクセスする](fsx-s3-access-points.md)

## ID プロバイダーオプション
<a name="identity-provider-details"></a>

AWS Transfer Family には、ユーザーを認証および管理するためのいくつかの方法が用意されています。次の表は、Transfer Family で使用できる ID プロバイダを比較したものです。


| アクション | AWS Transfer Family サービスマネージド | AWS Managed Microsoft AD | Amazon API Gateway | AWS Lambda | 
| --- | --- | --- | --- | --- | 
| サポートされるプロトコル | SFTP | SFTP、FTPS、FTP | SFTP、FTPS、FTP | SFTP、FTPS、FTP | 
| SAML ベースの認証 | はい | いいえ | はい | はい | 
| パスワード認証 | いいえ | はい | はい | はい | 
| AWS Identity and Access Management (IAM) と POSIX | はい  | はい | はい | はい | 
| 論理ホームディレクトリ | はい  | はい | はい | はい | 
| パラメータ化されたアクセス（ユーザー名ベース） | はい  | はい | はい | はい | 
| アドホックアクセス構造 | はい | いいえ | はい | はい | 
| AWS WAF | いいえ | なし | はい | いいえ | 

注記:
+ IAM は Amazon S3 バッキングストレージへのアクセスを制御するために使用され、POSIX は Amazon EFS に使用されます。
+ アドホックとは、実行時にユーザープロファイルを送信する機能のことです。たとえば、ユーザー名を変数として渡すことで、ユーザーをホームディレクトリに配置できます。
+ 詳細については AWS WAF、「」を参照してください[ウェブアプリケーションファイアウォールを追加する](web-application-firewall.md)。
+ Transfer Family ID プロバイダーとして Microsoft Entra ID (以前の Azure AD) と統合された Lambda 関数の使用について説明するブログ記事があります。詳細については、[「Azure Active Directory AWS Transfer Family を使用した への認証」および AWS Lambda](https://aws.amazon.com/blogs/storage/authenticating-to-aws-transfer-family-with-azure-active-directory-and-aws-lambda/)「」を参照してください。
+ カスタム ID プロバイダーを使用する Transfer Family サーバーをすばやくデプロイするための CloudFormation テンプレートがいくつか用意されています。詳細については、「[Lambda 関数のテンプレート](custom-lambda-idp.md#lambda-idp-templates)」を参照してください。

以下の手順では、SFTP 対応サーバー、FTPS 対応サーバー、FTP 対応サーバー、または AS2 対応サーバーを作成できます。

**次のステップ**
+ [SFTP 対応サーバーの作成](create-server-sftp.md)
+ [FTPS 対応サーバーを作成する](create-server-ftps.md)
+ [FTP 対応サーバーの作成](create-server-ftp.md)
+ [AS2 の設定](create-b2b-server.md)

## AWS Transfer Family エンドポイントタイプのマトリックス
<a name="endpoint-matrix"></a>

Transfer Family サーバーを作成する際には、使用するエンドポイントのタイプを選択します。以下の表は、各エンドポイントタイプの特性を説明しています。


**エンドポイントタイプマトリックス**  

| 特性 | Public | VPC-インターネット | VPC-インターナル | VPC\_エンドポイント (非推奨) | 
| --- | --- | --- | --- | --- | 
| サポートされるプロトコル | SFTP | SFTP, FTPS, AS2 | SFTP, FTP, FTPS, AS2 | SFTP | 
| アクセス | インターネット経由で。このエンドポイント タイプでは、VPC に特別な構成は必要ありません。 | インターネット経由、VPC 内、または Direct Connect VPN 経由のオンプレミスデータセンターなどの VPC 接続環境内。 |  Direct Connect または VPN 経由のオンプレミスデータセンターなど、VPC および VPC 接続環境内から。 |  Direct Connect または VPN 経由のオンプレミスデータセンターなど、VPC および VPC 接続環境内から。 | 
| 静的 IP アドレス | 静的 IP アドレスをアタッチすることはできません。 は、変更される可能性のある IP アドレス AWS を提供します。 | Elastic IP アドレスをエンドポイントに接続できます。 AWS所有の IP アドレスまたは([「独自の IP アドレス (Bring your own IP address) を使用できます」](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html))。エンドポイントに接続されている Elastic IP アドレスは変更されません。<br />サーバーに接続されているプラ​​イベート IP アドレスも変更されません。 | エンドポイントに接続されているプラ​​イベート IP アドレスは変更されません。 | エンドポイントに接続されているプラ​​イベート IP アドレスは変更されません。 | 
| 送信元 IP 許可リスト | このエンドポイント タイプは、送信元 IP アドレスによる許可リストをサポートしません。<br />エンドポイントはパブリックにアクセスでき、ポート 22 経由のトラフィックをリッスンします。 VPC がホストするエンドポイントの場合、SFTP Transfer Family サーバーはポート 22 (デフォルト）、2222、2223、または 22000 で動作できます。  | 送信元 IP アドレスによるアクセスを許可するには、サーバー エンドポイントに接続されているセキュリティ グループと、エンドポイントが存在するサブネットに接続されているネットワーク ACL を使用できます。 | 送信元 IP アドレスによるアクセスを許可するには、サーバー エンドポイントにアタッチされているセキュリティ グループと、エンドポイントが存在するサブネットにアタッチされているネットワーク アクセス コントロール リスト (ネットワーク ACL) を使用できます。 | 送信元 IP アドレスによるアクセスを許可するには、サーバー エンドポイントに接続されているセキュリティ グループと、エンドポイントが存在するサブネットに接続されているネットワーク ACL を使用できます。 | 
| クライアントファイアウォールの許可リスト | サーバーの DNS 名を許可する必要があります。<br />IP アドレスは変更される可能性があるため、クライアント ファイアウォールの許可リストに IP アドレスを使用することは避けてください。 | サーバーの DNS 名、またはサーバーに接続されている Elastic IP アドレスを許可できます。 | エンドポイントのプライベート IP アドレスまたは DNS 名を許可できます。 | エンドポイントのプライベート IP アドレスまたは DNS 名を許可できます。 | 
| IP アドレスタイプ | IPv4 (デフォルト) またはデュアルスタック (IPv4 および IPv6) | IPv4 のみ (デュアルスタックはサポートされていません) | IPv4 (デフォルト) またはデュアルスタック (IPv4 および IPv6) | IPv4 のみ (デュアルスタックはサポートされていません) | 

**注記**  
このエンドポイント `VPC_ENDPOINT` タイプは現在非推奨となっており、新しいサーバーの作成には使用できません。を使用する代わりに`EndpointType=VPC_ENDPOINT`、VPC エンドポイントタイプ (`EndpointType=VPC`) を使用します。このタイプは、前の表で説明したように、**内部**フェーシングまたは**インターネットフェーシング**として使用できます。  
非推奨の詳細については、「」を参照してください[VPC\_ENDPOINT のサポート終了Transfer Family コンソール、API AWS CLI、SDKs、または を使用して、サーバーのエンドポイントタイプを変更できます CloudFormation。サーバーのエンドポイントタイプを変更するには、「[AWS Transfer Family サーバーエンドポイントタイプを VPC\_ENDPOINT から VPC に更新する](update-endpoint-type-vpc.md)」を参照してください。](create-server-in-vpc.md#deprecate-vpc-endpoint)。
VPC エンドポイントのアクセス許可の管理については、「」を参照してください[Transfer Family サーバーの VPC エンドポイントアクセスの制限](create-server-in-vpc.md#limit-vpc-endpoint-access)。

 AWS Transfer Family サーバーのセキュリティ体制を強化するには、次のオプションを検討してください。
+ 内部アクセスを持つ VPC エンドポイントを使用して、サーバーが VPC 内のクライアント、または Direct Connect や VPN 経由のオンプレミスデータセンターなどの VPC 接続環境にのみアクセスできるようにします。
+ クライアントがインターネット経由でエンドポイントにアクセスできるようにし、サーバーを保護するには、インターネットに接続されたアクセスを持つ VPC エンドポイントを使用します。次に、ユーザーのクライアントをホストする特定の IP アドレスからのトラフィックのみを許可するように VPC のセキュリティ グループを変更します。
+ パスワード ベースの認証が必要で、サーバーでカスタム ID プロバイダーを使用している場合は、パスワード ポリシーでユーザーが弱いパスワードを作成できないようにし、ログイン試行の失敗回数を制限することがベスト プラクティスです。
+ AWS Transfer Family はマネージドサービスであるため、シェルアクセスは提供されません。基盤となる SFTP サーバーに直接アクセスして、Transfer Family サーバー上で OS ネイティブ コマンドを実行することはできません。
+ 内部アクセスのある VPC エンドポイントの前で Network Load Balancer を使用します。ロード バランサーのリスナー ポートをポート 22 から別のポートに変更します。これにより、ポート 22 がスキャンに最も一般的に使用されるため、ポート スキャナーやボットがサーバーを調査するリスクは軽減されますが、排除されるわけではありません。詳細については、ブログ記事[「Network Load Balancer がセキュリティグループをサポートするようになりました](https://aws.amazon.com/blogs/containers/network-load-balancers-now-support-security-groups/)」を参照してください。
**注記**  
Network Load Balancer を使用する場合、 AWS Transfer Family CloudWatch ログには、実際のクライアント IP アドレスではなく、NLB の IP アドレスが表示されます。

## FTP および FTPS Network Load Balancer に関する考慮事項
<a name="ftp-ftps-nlb-considerations"></a>

 AWS Transfer Family サーバーの前に Network Load Balancer を配置しないことをお勧めしますが、FTP または FTPS 実装でクライアントからの通信ルートに NLB または NAT が必要な場合は、次の推奨事項に従ってください。
+ NLB の場合、ポート 8192-8200 の代わりに、ヘルスチェックにポート 21 を使用します。
+  AWS Transfer Family サーバーで、 を設定して TLS セッションの再開を有効にします`TlsSessionResumptionMode = ENFORCED`。
**注記**  
これはセキュリティを強化するため、推奨されるモードです。  
クライアントは、後続の接続に TLS セッションの再開を使用する必要があります。
一貫した暗号化パラメータを確保することで、より強力なセキュリティ保証を提供します。
ダウングレード攻撃の可能性を防ぐのに役立ちます。
パフォーマンスを最適化しながら、セキュリティ標準への準拠を維持します。
+ 可能であれば、NLB の使用から移行して、パフォーマンスと接続制限を最大限に活用 AWS Transfer Family します。

NLB の代替方法に関する追加のガイダンスについては、 AWS サポートを通じて AWS Transfer Family 製品管理チームにお問い合わせください。セキュリティ体制の改善の詳細については、ブログ記事[AWS Transfer Family 「サーバーのセキュリティを向上させるための 6 つのヒント](https://aws.amazon.com/blogs/security/six-tips-to-improve-the-security-of-your-aws-transfer-family-server/)」を参照してください。

 NLBs「」で提供されています[NLBsと NATs を AWS Transfer Family サーバーの前に配置しない](infrastructure-security.md#nlb-considerations)。