🦔

【AWS/TransferFamilly For SFTP】初心者が構築した備忘録

2025/04/11に公開

どうも！前歯すきっ歯です🦷

サーバのconfigをTransferFamily for SFTP経由でS3へ格納する案件に関わるので、
その予習として今回はタイトルの勉強をしました！

0.本記事について

0-1.💪勉強のゴール💪

今回のゴールは以下2点です。
▼ゴール詳細---------------------------------------------------------------------------

以下構成図の環境を作成する。
EC2でSFTPのコマンドを実行して、TransferFmailly経由でS3へファイルを送信する

最終構成図

0-2.前提条件

以下3点を前提条件とします。

▼前提条件---------------------------------------------------------------------------

後述する手順開始時点の各PCやサーバの配置は以下構成図の通りです。以下項目が構築済みとします。
・NW周り(VPC、サブネット、ルートテーブル)
・EC2(OS:AmazonLinux2023)はデプロイ済み
ルーティングやEC2のセキュリティグループ等クラウド上の通信に必要な設定は完了しており、AWS内の通信には問題がない想定とします。
クライアントサーバ側(=EC2)の設定はSSHキーペアの作成まで終了している想定とします。

開始時構成図

0-3.本記事のあらすじ

以下がTransferFamily for SFTPを構築する本記事の流れです。
▼流れ---------------------------------------------------------------------------------

SFTPクライアントから送信したファイルを格納するS3のバケットを作成
VPCエンドポイントにアタッチするセキュリティグループを作成
TransferFamily内に作成するユーザーに付与するIAMロールを作成
TransferFamily for SFTPを作成
TransferFamily内ユーザー(=SFTP接続時にログインされるユーザー)を作成
クライアントサーバ(=EC2)からTransferFamilyへSFTP接続してファイルを送信

1.クライアントサーバから送信したファイルを格納するS3のバケットを作成

1-1.S3の前提知識

S3での設定項目について網羅的に記載されています。後述の設定項目で分からない部分があればこのリンク先を参照ください。記事内はAWS公式のリンクが多く(全て？)なので大変助かります。
▼リンク---------------------------------------------------------------------------------

【初心者向け】Simple Storage Service（S3）入門！完全ガイド

1-2.S3バケットの作成

S3コンソール内[汎用バケット]タブから[バケットを作成]を選択する。
S3にバケット名を入力し、[バケットを作成]を選択する。バケット名をtransfer-studyとする。
※今回はデータを入れるだけなのでデフォルト以外の設定は行いません。
S3が正常に作成されたことを確認する。

2.VPCエンドポイントにアタッチするセキュリティグループを作成

2-1.セキュリティグループを作成する

EC2コンソール内[セキュリティグループ]タブの[セキュリティグループを作成]を選択する。
セキュリティグループでSSH22番ポートの許可を設定して、画面右下[セキュリティグループを作成]を選択する。セキュリティグループはTransfer-EP-SGとする。

セキュリティグループが正常に作成されたことを確認する。

3.TransferFamily内に作成するユーザーに付与するIAMロールを作成

3-1.IAMロールの前提知識

3-1-1.IAMロールの記述方法

初心者だと「IAMロールは雰囲気で読めるけど、ちゃんと読めと言われると…」みたいな感じではないでしょうか？(自分がそうでした) IAMロール作成、付与しないとTransferFamilyを使用できないので、これを機にIAMロールを読めるように一緒に勉強しましょう～～～
▼リンク---------------------------------------------------------------------------------

【初心者向け】IAMポリシー(JSON)の見方
IAMロール記載方法の要点が抽出されて書かれています。
IAM JSON ポリシー要素リファレンス(AWS公式)
IAMポリシーの記述方法で詳細が分からない場合は上記をご覧ください！
Amazon S3 のアクション、リソース、条件キー(AWS公式)
S3に関するIAMポリシー一覧です。ユーザーに対してS3にどのような動作を許可しているのか知りたい方はを確認したい方は、この記事の中で知りたいアクション名を検索してH使ってください～！

3-1-2.AssumeRoleについて

この後の[3-2]でTransferFamillyのAsuumeRoleの使われ方を解説するので、ここでは個人的に読みやすかったAssumeRoleのネット記事を置いておきます。
▼リンク---------------------------------------------------------------------------------

AssumeRole について DiveDeep する

3-2.TransferFamillyにおけるAssumeRoleの使われ方

AssumeRoleって、結局どう使われているのか目に見えないし、ネット調べても自分の知りたいことに置き換えて読むことができないものが多いし、理解するのが難しいですよね…。わかります。今から解説していきます！

3-2-1.登場人物の紹介

▼登場人物---------------------------------------------------------------------------------

▼それぞれの関係性--------------------------------------------------------------------------

3-2-2.TransferFamillyがAssumeRoleする流れ

まずec2-userがTransferFamillyにsftpuserとしてsftp接続をします。
Transferの心の声が聞こえてきます。
TransferがRoleAを引き受けよう(Assume)とする。
STSがPolicyB(信頼ポリシー)に「TransferがRoleAを引き受ける許可」があるか確認する。
STSがTranferに一時トークンを発行する。
一時トークンの許可によりPolicyA記載のS3のアップロードが可能になる。

3-3.IAMポリシーの作成(アイデンティティポリシー/sftpuserがS3を使える許可)

IAMコンソール内[ポリシー]タブの[ポリシーの作成]を選択する。
ポリシーエディタで[json]を選択する。
以下アイデンティティポリシーのJSONをポリシーエディタにコピペする。
※transfer-studyの部分には、1-2で作成したS3のバケット名が入ります。

アイデンティティポリシー/sftpuserがS3を使える許可

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Action": [
				"s3:ListBucket",
				"s3:GetBucketLocation"
			],
			"Effect": "Allow",
			"Resource": [
				"arn:aws:s3:::transfer-study"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"s3:PutObject",
				"s3:GetObject",
				"s3:DeleteObject"
			],
			"Resource": "arn:aws:s3:::transfer-study/*"
		}
	]
}

IAMポリシー名(今回はTransfer-to-S3)を入力して、画面右下[ポリシーの作成]を選択する。
IAMポリシーが作成されたことを確認する。

3-4.信頼ポリシー(AssumeRole)とIAMロールの作成

IAMコンソール内[ロール]タブの[ロールの作成]を選択する。
信頼されたエンティティタイプで[AWSのサービス]を選択し、ユースケースで[transfer]を選択する。

3-3で作成したIAMポリシーを検索、選択する。
IAMロールの名前(Transfer-to-S3)を入力し、信頼ポリシーとアイデンティティポリシーの内容を確認する。問題がなければ、画面右下[ロールの作成]を選択します。

IAMロールが作成されたことを確認する。

4.TransferFamily for SFTPを作成

4-1.TransferFamilyの前提知識

TransferFamillyには大きく分けて4つの構成例があります。今回は[S3接続/VPCでホスト＆内部向け]を選択しますが、ご自分の環境と照らし合わせどの構成が適切か判断してください。
▼リンク---------------------------------------------------------------------------------

AWS Transfer for SFTPの構成例まとめ (2020年4月版)

4-2.TransferFamily for SFTPを作成

TransferFamillyのコンソールから[サーバーを作成]を選択する。
今回はSFTP接続を行うので、[SFTP～のファイル転送]を選択する。
TransferFamilly内にユーザーを新規作成するので、[サービスマネージド]を選択する。
以下画像の通り選択する。

データをS3へ格納するので[Amazon S3]を選択する。
以下画像の通り選択する。

【補足/各項目の意味】

各項目の内容は以下の通りです。

マネージドワークフロー：S3へファイルをアップロードした後に追加の操作を自動で行う。

以下のリンクでS3へアップロードした後に自動でファイルをコピーしているので、気になる方はご覧ください。

リンク：https://dev.classmethod.jp/articles/202210-aws-transfer-family-sftp/

暗号化アルゴリズム：TransferFamillyで使う暗号化アルゴリズムを選択する。

最新のものほど多くの暗号化アルゴリズムを利用できる傾向にあります。

また、AWSは最新の暗号化アルゴリズムを使うことを推奨しています。

リンク：https://docs.aws.amazon.com/transfer/latest/userguide/security-policies.html
サーバーを最新のセキュリティ ポリシーに更新することを強くお勧めします。

TransferSecurityPolicy-2024-01コンソール、API、または CLI を使用してサーバーを作成するときにサーバーにアタッチされるデフォルトのセキュリティ ポリシーです。

最適化されたディレクトリ：SFTP接続時にchrootするときに必要となる。

以下リンクに詳細があります。

リンク：https://docs.aws.amazon.com/transfer/latest/userguide/logical-dir-mappings.html

表示バナー：ログイン時に表示させる言葉を指定できる。

詳細は後の手順をご覧ください。

SetStat：プログラム等で内部的に使われることがある。(例：WinSCPで使われる)

SetStatを有効化しないとWinSCP等での接続時にはエラーが出てしまうそうです。以下リンクで実例が紹介されています。

リンク：https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html

リンク：https://dev.classmethod.jp/articles/how-to-avoid-errors-when-transferring-files-from-winscp-to-s3-of-aws-transfer-family/

設定内容を確認してTransferFamillyを作成する。
内容が重複するので以下トグルにまとめます。

設定内容の確認

TransferFamillyが作成できたことを確認して。[ユーザーを作成]を選択。
※続きは次の章に記載します。

5.TransferFamily内ユーザー(=SFTP接続時にログインされるユーザー)を作成

5-1.クライアントサーバ側の設定

クライアントサーバ側では公開鍵を作成している前提とします。
自分の記事で恐縮ですが、作成方法に関しては以下記事をご覧ください。
▼リンク---------------------------------------------------------------------------------

【Amazon Linux 2023】初心者がSFTP接続＆ファイル送信するシェルスクリプトを/etc/crontabで定期実行した備忘録

【注意/公開鍵のビット数制限】

TransferFamillyに登録する公開鍵は2048ビット以下の必要があります。
2048ビットより大きいビット数の公開鍵を登録すると以下のエラーが出ます。
AmazonLinux2023でビット数を指定せずにキーペアを作成すると3072ビットなのでご注意ください。
参考までに、実行結果は以下のようになります。

AmazonLinux2023でのssh-keygenコマンド実行結果

WebServer上でのSSH鍵作成デフォルトssh-keygenで失敗した例

[ec2-user@web01 ~]$ ssh-keygen -t rsa -f TransferKey
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in TransferKey
Your public key has been saved in TransferKey.pub
The key fingerprint is:
SHA256:******************************************** ec2-user@web01
The key's randomart image is:
+---[RSA 3072]----+
|    ..*.         |
|   o O o         |
|    @ B .        |
|  .= B + o   .   |
| E. * o S . . o  |
|+. o + o . + . . |
| =. . ..  . o    |
|..+  .+. . .     |
|oo   .+=+..      |
+----[SHA256]-----+
[ec2-user@web01 ~]$

5-2.TransferFamily内ユーザー(=SFTP接続時にログインされるユーザー)を作成

4-2 手順9の続きです。画像のように入力する。ユーザー名はsftpuser、ホームディレクトリをtransfer-study/sftpuserとする。

【補足/公開鍵の中身の入れ方】
TransferFamillyに対してssh-copy-idコマンドやscpコマンドは使えないので、クライアントサーバ内の公開鍵をcatコマンドで表示させてコピペしました。

公開鍵の表示

[ec2-user@web01 ~]$ cat .ssh/TransferTest.pub
ssh-rsa *************************************************

ユーザーが作成されたことを確認する。

6.クライアントサーバ(=EC2)からTransferFamilyへSFTP接続してファイルを送信

6-1.接続先がTransferFamillyのときの指定方法

TransferFamillyに接続するときは接続先としてVPCエンドポイントのリージョンのDNS名を利用します。

TransferFamillyに接続する時のコマンド

sftp -i [クライアントサーバの秘密鍵] [ログインするユーザー名]@[VPCエンドポイントのリージョンのDNS名]

AWS公式の手順でもリージョンのエンドポイントのDNS名を選択しているようです。

クライアントを使用してサーバーエンドポイント経由でファイルを転送する

6-2.クライアントサーバからSFTP接続をしてファイル送信する

TransferFamillyの[エンドポイントのタイプ]を選択する。
VPCのコンソールに飛ぶので、チェックボックスを選択する。
2つあるDNS名のうち上のDNS名(リージョンのDNS名)をコピーする。
クライアントサーバにログインして、sftp接続のコマンドを打ち、ファイルを送信する。
※クライアントサーバ側の秘密鍵の名前を/home/ec2-user/.ssh/TransferTest、/home/ec2-user配下にtestという名前のファイルがあるとします。

クライアントサーバからTransferFamillyにSFTP接続する

[ec2-user@クライアントサーバ .ssh]$ sftp -i TransferTest sftpuser@[リージョンのDNS名]
Connected to Transfer Familly for SFTP!!!
Connected to [リージョンのDNS名]
sftp>
sftp> put /home/ec2-user/test
Uploading /home/ec2-user/test to /transfer-study/sftpuser/test
test                                100%    5     1.5KB/s   00:00
sftp>
sftp> ^D
[ec2-user@クライアントサーバ .ssh]$

S3のコンソールからファイルが格納されていることを確認する。

6-3.リージョンとAZ どちらのDNSを使って接続すればいいの？

6-3-1.結論とその理由

【結論】リージョンのDNS名を選択します。
▼理由---------------------------------------------------------------------------------

リージョンのDNS名が何かしらの理由で使えなくなっても、AZ固有のDNS名を利用できるから。
その逆に、AZ固有のDNS名を利用していてもリージョンのDNS名に切り替えることはできません。
リンク先のように複数AZを利用してTransferFamillyをデプロイしている場合、AZのDNS名を選択すると片方のDNSエンドポイントのみしか利用できなくなってしまうから。

6-3-2.クライアントサーバから2つのDNSにnslookupしてみる

興味本位でnslookupしてみました。以下が実行結果です。どちらのDNS名もちゃんとプライベートサブネット内のNICに結びついているみたいですね！（肝心なところがマスクでごめんなさい）

クライアントサーバからリージョンのDNS名に対してnslookupする

[ec2-user@web01 ~]$ nslookup [リージョンのDNS名]
Server:		10.0.0.2
Address:	10.0.0.2#53

Non-authoritative answer:
Name:	[リージョンのDNS名]
Address: [プライベートサブネットNICのIP]

クライアントサーバからAZ固有のDNS名に対してnslookupする

[ec2-user@web01 ~]$ nslookup [AZ固有のDNS名]
Server:		10.0.0.2
Address:	10.0.0.2#53

Non-authoritative answer:
Name:	[AZ固有のDNS名]
Address:  [プライベートサブネットNICのIP]

7.おわりに

TransferFamillyは自前でSFTPサーバーを立てるよりも高額なので、下記リンクのようにSFTPサーバーをEC2で自作しS3に接続する人もいるようですね～。高額ではありますが、スペックを選ばなくてよかったり、監視等の運用の手間が減る点はPaaSであるTransferFamillyのいいところではありますよね！ご参考までに！

自前でEC2にSFTPサーバーを構築してS3に転送する

本記事をご覧いただきありがとうございました。
技術的な誤り等あればお気軽にコメントお願いします！