Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
使用している AWS Transfer Family サーバーに適切なエンドポイントの種類を教えてください。
所要時間2分
0
AWS Transfer Family サーバーに使用するエンドポイントのタイプを判断したいと考えています。
解決策
| エンドポイントの種類 | パブリックエンドポイント | 内部アクセスが可能な Amazon VPC エンドポイント | インターネットにアクセスできる Amazon VPC エンドポイント |
| サポートされるプロトコル | SFTP | SFTP、FTP、FTPS | SFTP、FTPS |
| アクセス | インターネット経由でパブリックエンドポイントにアクセスできます。Amazon Virtual Private Cloud (Amazon VPC) で特別な設定を行う必要はありません。 | VPC 内および VPC に接続された環境 (オンプレミスデータセンターなど) 内の VPC エンドポイントには、AWS Direct Connect または VPN 経由でアクセスできます。 | VPC エンドポイントにはインターネット経由でアクセス可能で、VPC およびオンプレミスのデータセンターなどの VPC 接続環境には AWS Direct Connect または VPN 経由でアクセス可能です。 |
| 静的 IP アドレス | 静的 IP アドレスをアタッチすることはできません。AWS は、変更される可能性のある IP アドレスを提供します。 | エンドポイントのプライベート IP アドレスは変更されません。 | エンドポイントには、AWS 所有の IP アドレスやユーザー独自の IP アドレス (BYOIP) などの Elastic IP アドレスをアタッチできます。エンドポイントの Elastic IP アドレスは変更されません。サーバーのプライベート IP アドレスも変わりません。 |
| 送信元 IP の許可リスト | パブリックエンドポイントは、送信元 IP アドレスによる許可リストをサポートしていません。パブリックエンドポイントはパブリックにアクセス可能で、ポート 22 経由でトラフィックをリッスンします。 | サーバーエンドポイントにアタッチされているセキュリティグループと、エンドポイントのサブネットにアタッチされたネットワークアクセスコントロールリスト (ネットワーク ACL) を使用してください。 | サーバーエンドポイントに含まれるセキュリティグループと、エンドポイントを含むサブネットにアタッチされているネットワーク ACL を使用してください。 |
| クライアントファイアウォールの許可リスト | サーバーの DNS 名を許可する必要があります。IP アドレスは変更される可能性があるため、クライアントファイアウォールの許可リストには IP アドレスを使用しないことがベストプラクティスです。 | プライベート IP アドレスまたはエンドポイントの DNS 名を許可します。 | サーバーの DNS 名またはサーバーに接続されている Elastic IP アドレスを許可します。 |
注: エンドポイントタイプ VPC_ENDPOINT は廃止されました。このエンドポイントタイプを使用して新しいサーバーを作成することはできません。
AWS Transfer Family サーバーのセキュリティを強化するには、次の手順を実行します。
- 内部アクセスが可能な VPC エンドポイントを使用して、VPC または VPC 接続環境内のクライアントのみがサーバーにアクセスできるようにします。
- クライアントがインターネット経由でエンドポイントにアクセスできるようにし、サーバーを保護するには、インターネットにアクセスできる VPC エンドポイントを使用します。次に、VPC のセキュリティグループを変更し、ユーザーのクライアントをホストする特定の IP アドレスからのトラフィックのみを許可します。
- 内部アクセスが可能な VPC エンドポイントの前に Network Load Balancer を配置します。ロードバランサーのリスナーポートをポート 22 から別のポートに変更すると、サーバーがポートスキャナーやボットから探査されにくくなります。SFTP サーバーでは、AWS Transfer Family は Network Load Balancer を設定しなくてもカスタムポート 2222、22000、2223 をサポートします。
注: Network Load Balancer を使用する場合、セキュリティグループを使用してソース IP アドレスからのアクセスを許可することはできません。
重要: Network Load Balancer と NAT ゲートウェイを AWS Transfer Family サーバーの前に配置しないでください - パスワードベースの認証が必要で、サーバーでカスタム ID プロバイダーを使用する場合は、強力なパスワードポリシーを適用してください。ユーザーに安全なパスワードの作成を要求し、ログイン試行の失敗回数を制限します。
関連情報
- 言語
- 日本語
AWS公式更新しました 4ヶ月前
コメントはありません
関連するコンテンツ
- 質問済み 2年前
- 質問済み 10ヶ月前
