AWS Transfer Family S3向けのSFTP対応サーバー

2021/09/12 2021/09/12

S3バケットは作成済です。

IAMロールの作成

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "transfer.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Allow",

"Principal": {

"Service": "transfer.amazonaws.com"

"Action": "sts:AssumeRole"

}

]

}

IAMロール作成時にTransferを選択するとtransfer.amazonaws.comの信頼ポリシーができました。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowListingOfUserFolder",
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::yamashita-transfer"
            ]
        },
        {
            "Sid": "HomeDirObjectAccess",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObjectVersion",
                "s3:GetObjectACL",
                "s3:PutObjectACL"
            ],
            "Resource": "arn:aws:s3:::yamashita-transfer/*"
        }
    ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Sid": "AllowListingOfUserFolder",

"Action": [

"s3:ListBucket"

"Effect": "Allow",

"Resource": [

"arn:aws:s3:::yamashita-transfer"

]

{

"Sid": "HomeDirObjectAccess",

"Effect": "Allow",

"Action": [

"s3:PutObject",

"s3:GetObject",

"s3:DeleteObject",

"s3:DeleteObjectVersion",

"s3:GetObjectVersion",

"s3:GetObjectACL",

"s3:PutObjectACL"

"Resource": "arn:aws:s3:::yamashita-transfer/*"

}

]

}

実行ポリシーはユーザーガイドのとおりで作成しました。

SSHキーの作成

ssh-keygen -P "" -m PEM -f aws-ft
chmod 600 aws-ft

ssh-keygen -P "" -m PEM -f aws-ft

chmod 600 aws-ft

macOSで作成しました。
後でSFTP対応サーバーのユーザー追加でaws-ft.pub(公開鍵)の内容を貼り付けます。
aws-ft(秘密鍵)は認証時に使用します。

SFTP対応サーバーの作成

プロトコル選択でSFTPを選択しました。

IPプロバイダーでサービスマネージドを選択しました。

エンドポイントのタイプはパブリックアクセス可能にしました。

ドメインでS3を選択しました。

CloudWatch ログ記録では、新しいロールを作成しました。
暗号化アルゴリズムはデフォルトのままです。

作成されたサーバーを選択して、[ユーザーを追加]ボタンを押下しました。

ユーザー名を入力してあらかじめ作成しておいたTransfer用のIAMロールを指定しました。
追加でポリシーでの権限の絞り込みができるようですが、今回はこのままにしました。
ホームディレクトリであらかじめ作っておいたS3バケットを選択しました。
ユーザー名と同じプレフィックスが自動的に設定されました。
[制限付き]にチェックしたことで指定したプレフィックス以下しかコントロールできなくなります。

接続テスト

sftp -i aws-ft yamashita@s-074dd40c9cd84fdb8.server.transfer.us-east-1.amazonaws.com
Warning: Permanently added the RSA host key for IP address '44.193.96.237' to the list of known hosts.
Connected to s-074dd40c9cd84fdb8.server.transfer.us-east-1.amazonaws.com.

sftp> put sftp-test.txt