この記事の目次
SFTPの基礎
Amazon S3など、AWSにファイルを転送する際、安全に転送できるSFTPに対応したファイル転送アプリを利用します。
そしてAWSでは、AWS Transfer Familyにより、SFTPによるファイル転送が利用可能です。それではSFTPとは、どのような仕組みなのでしょうか。
ここでは、他のファイルを転送する仕組みと比較しながら、SFTPの特徴を紹介します。
SFTPとは何か
SFTPは、SSH File Transfer Protocolの略で、昔からFTPとして知られているファイル転送の仕組みを、SSHを利用したセキュアな通信を利用するための仕組みです。 なお、SSHとは、Secure Shellの略で、通信データを暗号化することで、送信の途中でのぞき見されないようにする技術です。 そしてSFTPは、昔からよく使われているFTPと同じ手順で、しかもデータを暗号化し安全に送れる点が特徴になっています。FTPとSFTPの違い
昔からファイル転送にはFTPが使われていましたが、FTPではデータをそのまま送信していたので、アカウント名やパスワードを途中で読み取られる危険性がありました。 そのため、以前ならWebブラウザもFTPによるファイル転送をサポートしていたのですが、セキュアな送信でないことから、今では使えません。 その点、SFTPは、データが全て暗号化されるので、そのような危険がありません。また、FTPクライアントアプリのほとんどが対応しているので、使い慣れたアプリをそのまま利用できます。 なお、SFTPと同じように、データ通信をTLSまたはSSLで暗号化するFTPSという方法もあり、AWS Transfer Familyでは、この方法もサポートしています。 この方法も、ほとんどのFTPクライアントアプリが対応しているので、AWSではSFTPと同じように利用できます。scpとSFTPの違い
AWSへのファイル転送を実現するAWS Transfer Familyでは、SFTP、FTP、FTPSの3つの方法に対応しています。 この他に、オープンソースのSSHを利用したファイル転送コマンドscpがあり、多くのLinuxで利用できます。そして、SSHを利用していることから、送信データが暗号化されるので、途中で読まれる心配はありません。 ただし、scpには「通信が途切れた場合に、自動的に再接続して送り直す」といったFTPに備わるフェイルセーフ機能がありません。その観点からも、SFTPの利用をおすすめします。AWSでSFTPを利用する方法
先ほど解説したように、SFTPは安全にファイル転送するための仕組みです。また、AWSでは、AWS Transfer FamilyによりSFTPを利用できます。ただし、AWS Transfer Familyを利用するためには、手続きが必要です。
ここからは、AWS Transfer Familyを使用し、SFTPを使うための手続きについて紹介します。
Amazon S3バケットを作成する
AWSでSFTPを利用する場合、転送したファイルを格納する領域が必要です。そして、その受け皿となるAWSのストレージサービスが、Amazon S3です。 SFTPの設定を実施する前に、Amazon S3の領域を作っておきましょう。SFTP対応サーバーを作成する
AWS Transfer FamilyでSFTPを利用するには、SFTP対応サーバーを作成する必要があります。AWS Transfer Familyの専用ページにアクセスし、サーバーを作成してください。なお、サーバー作成時に、次の4つの項目が求められます (1) プロトコルの選択 SFTP、FTPS、FTPの3つから、選択します。ここで、SFTPを選んでください。 (2) IDプロバイダータイプを選択 利用する予定のIDプロバイダータイプを指定します。 (3) エンドポイントとホスト名の設定 エンドポイントとは、SFTPでアクセスするクライアント端末のことです。インターネットに公開するか、それともAmazon VPCの仮想ネットワークのどちらかを選択します。さらに、SFTPサーバーのホスト名もここで設定可能です。 (4) その他の設定 ログの設定や暗号化する際に使用するキーなど、必要に応じて設定します。ユーザーを作成する
先ほどの手順でサーバーができたら、続いてアクセスの際に使用するユーザーを作成してください。AWS Transfer Familyの管理コンソールのUserセクションから、簡単に作成できます。 この場合Amazon S3に用意したバケットに対する操作を許可するポリシーが必要です。また、SFTPでアクセスする際、パスワードを使わず、SSHの公開鍵で認証します。「SSH public keys」も必ず設定してください。 この手順によりユーザーが作成できたら、SFTPによるファイル転送が可能です。AWS Transfer Family設定時の注意点
クラウドを利用する場合、SFTPが使えるサイトが多く、SFTPを使い慣れている方もいるでしょう。しかし、そういった方の中にも、AWS Transfer Familyの設定がうまくできないという方もいるのではないでしょうか。
AWS Transfer Familyには、Q&AをまとめたWebページも用意されていますが、それを読んでもよく解らない、という点もあるでしょう。
ここでは、AWS Transfer Family設定時の特に注意してほしい点について説明します。
SSH public keyの設定が必要
AWS Transfer FamilyによりSFTPで接続する際は、パスワードを使いません。ユーザー作成時に、SSH public keyを登録することで、SSHのパスワードを省略する手順と同じ手順で認証します。 そのため、あらかじめアクセスするFTPクライアント側でSSH public keyを生成し、それをユーザー作成時に登録する必要があります。 AWSの公式ドキュメントにOS毎の生成手順が解説されていますので、それを参考にして作成してください。ポリシーの設定に注意
AWS Transfer Familyでユーザーを作成する際、必ずポリシーを設定しなければなりません。 そのポリシーとして、AWS Transfer Familyを利用するためのポリシーとAmazon S3に接続するためのポリシーの2つが必要です。 もし、SFTPで接続できたのに、「権利が無い」といったメッセージが表示される場合は、SFTPの接続で利用したユーザーに割り当てたロールの信頼関係に、次のように2つ設定されているかチェックしてみてください。アクセスコントロールポリシードキュメントの例
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "transfer.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"Service": "s3.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
この例では、「transfer.amazonaws.com」と「s3.amazonaws.com」の2つが設定されているので、SFTPを介してAmazon S3にアクセスできます。
まとめ
これまで説明したように、AWSのようなクラウド上にファイルを転送する場合は、暗号化されたSFTPを使うのが一般的です。そして、AWSでは、AWS Transfer Familyを利用することで、Amazon S3へのファイル転送にSFTPを利用できます。
なお、AWS Transfer FamilyでSFTPを使うには、SSHで暗号化して送信するために公開鍵をあらかじめ登録したり、接続に利用するユーザーのロールを設定する必要があるなど、少し手間がかかります。
しかしながら、1度設定してしまえば、使い慣れたFTPソフトなどで簡単に使えるので、ぜひAWS SFTPを利用してください。]]>
