Cloud Service
AWS Transfer Family
SFTPやFTPS、FTPでS3やEFSへファイルを転送できる、サーバー運用が不要なマネージドな転送サービス。
- 1.SFTP/FTPS/FTPのエンドポイントをマネージドに提供し、S3やEFSへのファイル転送を実現する。
- 2.転送サーバーの構築・パッチ適用・冗長化を肩代わりし、既存の転送クライアントをそのまま使える。
- 3.認証はサービス管理やディレクトリ連携を選べ、IAMで保存先への最小権限アクセスを制御する。
解決する課題
取引先や社内システムとのファイル授受で、いまだに SFTP や FTPS、FTP が使われている現場は数多くあります。これらのプロトコルを受けるには転送サーバーを自分で立て、OS やソフトウェアのパッチを当て、可用性のために冗長化し、ユーザー認証を管理する必要があります。サーバー1台にこれだけの運用が乗ってきます。AWS Transfer Family は、こうした転送サーバーの運用をマネージドサービスとして肩代わりし、受け取ったファイルを直接 S3 や EFS に置けるようにします。
- 既存の取引先が使う SFTP/FTPS/FTP のクライアントをそのまま使わせたい
- 転送サーバーの構築・パッチ適用・冗長化を自前で運用したくない
- 受け取ったファイルをS3 や EFS に直接置き、後続の処理につなげたい
- ユーザーごとの認証とアクセス範囲をきちんと管理したい
取引先のシステム改修は現実には難しく、SFTP などのプロトコルを変えられないことがほとんどです。Transfer Family はプロトコルを維持したまま、サーバーの運用負荷だけをマネージドに移せるのが価値です。
主要概念と用語
- サーバー: 転送を受け付けるエンドポイントの単位。対応プロトコル(SFTP/FTPS/FTP)や認証方式、エンドポイントの種類などを設定する
- プロトコル: SFTP(SSH 上のファイル転送)、FTPS(TLS で暗号化した FTP)、FTP(暗号化なし)の3種類。1つのサーバーで複数を有効にできる
- ユーザー: サーバーに接続する利用者の単位。ログイン名、認証情報、アクセスできる保存先の範囲を持つ
- アイデンティティプロバイダー: ユーザーの認証方式。サービス自身が管理する方式のほか、外部ディレクトリやカスタム認証と連携できる
- ホームディレクトリ: ユーザーがログインした際に見えるディレクトリの起点。S3 のバケットやプレフィックス、EFS のパスに対応づける
- エンドポイントの種類: インターネット公開のパブリック、VPC 内に置くタイプなど、サーバーをどこに公開するかの選択
- ワークフロー: アップロード後に実行する一連の処理の定義。ファイルのコピーやタグ付け、関数呼び出しなどを連結できる
仕様・制限・クォータ
- 対応プロトコルは SFTP・FTPS・FTP で、1つのサーバーで複数を有効化できる
- 保存先には S3 と EFS を指定でき、ユーザーごとにアクセスできる範囲を絞れる
- エンドポイントはインターネット公開のほか、VPC 内に配置してプライベートに使う構成も選べる
- 認証はサービス管理、ディレクトリ連携、カスタム認証などから選択できる
- 同時接続数やユーザー数、ワークフローのステップ数などには上限があり、時期やリージョンによって変わりうる
FTP(平文)は VPC 内などの限られた経路でのみ使うことが想定されます。インターネットを経由する外部とのやり取りでは、暗号化される SFTP か FTPS を選んでください。
内部の仕組み
利用者はまずサーバーを作成し、受け付けるプロトコルとエンドポイントの種類、認証方式を決めます。次に接続するユーザーを登録し、それぞれのホームディレクトリを S3 や EFS のパスに対応づけます。取引先は手元の SFTP/FTPS/FTP クライアントから、このサーバーのエンドポイントに接続します。
接続時にはアイデンティティプロバイダーで認証が行われ、許可されたユーザーだけがログインできます。ユーザーがファイルをアップロードすると、その実体は対応づけられた S3 や EFS にそのまま保存されます。アップロードをきっかけにワークフローを起動すれば、コピーやタグ付けといった後続処理を自動でつなげられます。サーバー自体の冗長化やスケーリング、パッチ適用はサービス側が受け持つため、利用者は転送サーバーの中身を管理する必要がありません。
アップロードされたファイルは中間サーバーに溜め込まれるのではなく、S3 のオブジェクトや EFS のファイルとして直接置かれます。後続の処理はそのまま S3 や EFS を入口にして組めます。
設計パターン / ベストプラクティス
- 取引先とのファイル交換: 既存の SFTP クライアントを維持したまま、受け取ったファイルを S3 に集約し、後続のデータ処理につなぐ
- アップロード起点の自動処理: ワークフローでアップロード後にタグ付けや配置、関数呼び出しを行い、手作業を挟まずに処理を流す
- ユーザーごとのアクセス分離: ホームディレクトリと IAM を組み合わせ、各ユーザーが自分の領域だけを読み書きできるようにする
- プライベート公開: 社内や閉域からのみ使う場合は VPC 内エンドポイントにし、インターネットへ露出させない
- 既存ディレクトリとの統合: 認証を外部ディレクトリやカスタム認証に寄せ、ユーザー管理を一元化する
- 暗号化プロトコルの徹底: 外部公開のエンドポイントでは SFTP か FTPS を使い、平文の FTP を避ける
運用・監視
- 接続や転送の記録を CloudWatch のメトリクスやログで監視し、失敗や異常なアクセスを検知する
- ユーザーごとのログイン成否や転送状況を確認し、想定外の接続元や失敗の急増がないかを把握する
- ワークフローを使う場合は、各ステップの成功・失敗を確認し、後続処理が正しく流れているかをチェックする
- 認証方式にカスタム認証や外部ディレクトリを使う構成では、その連携先の可用性も含めて監視する
- エンドポイントの種類や対応プロトコルの設定変更が、取引先の接続に影響しないよう事前に確認する
コスト
- 課金は主に、サーバーのプロトコル有効化に対する時間あたりの料金と、転送したデータ量に応じた従量制で構成される
- 複数プロトコルを1つのサーバーで有効化すると、そのぶんだけ時間あたりの費用がかかる点に注意する
- 保存先が S3 や EFS のため、保存にかかる費用は保存先ストレージ側の料金に従う
- 使わないサーバーは停止・削除しておくと、待機状態でも発生しうる時間課金を抑えられる
転送量がゼロでも、プロトコルを有効化したサーバーが起動している間は時間課金が発生しうる料金体系です。検証用に立てたサーバーの消し忘れに注意してください。
セキュリティ
- SFTP と FTPS では転送中のデータが暗号化される。FTP は平文のため、用途と経路を限定する
- 認証はサービス管理・ディレクトリ連携・カスタム認証から選び、要件に合わせて方式を決める
- 保存先への権限は IAM で制御し、ユーザーが自分のホームディレクトリの範囲だけを読み書きできるよう最小権限に絞る
- 保存時の暗号化は、保存先となる S3 や EFS 側の KMS 連携に従う
- インターネットに露出させたくない場合は VPC 内エンドポイントにし、接続元を限定する
ホームディレクトリの対応づけと IAM の権限がずれていると、あるユーザーが他のユーザーのファイルにアクセスできてしまうことがあります。ユーザーごとの範囲が正しく分離されているか必ず確認してください。
Well-Architected の観点
- セキュリティ: SFTP/FTPS による転送中の暗号化、IAM とホームディレクトリによるユーザー単位のアクセス分離、VPC 内エンドポイントによる接続元の限定
- 運用上の優秀性: 転送サーバーの構築・パッチ適用・冗長化をサービスが肩代わりし、運用負荷を下げる。ワークフローでアップロード後の処理を自動化できる
- 信頼性: サーバーの可用性とスケーリングをマネージドに任せられ、転送基盤を自前で冗長化する必要がない
- コスト最適化: 不要なプロトコルを有効化しない、使わないサーバーを止めるといった調整で時間課金を抑える
試験で問われるポイント
- 「取引先が使う SFTP/FTPS/FTP をそのまま受けたい」「転送サーバーを運用したくない」→ Transfer Family
- 「受け取ったファイルを S3 や EFS に直接置きたい」→ Transfer Family(保存先として S3・EFS を指定)
- 「オンプレの大量データをネットワークで一括移行・定期同期したい」→ Transfer Family ではなく DataSync
- 「VPC 内からのみ使いたい」→ VPC 内エンドポイントを選ぶ
- キーワードは SFTP/FTPS/FTP のマネージド受け口・S3 や EFS への保存・サーバー運用が不要
関連サービス・比較
データ移行サービスの AWS DataSync とよく対比されます。Transfer Family は標準プロトコルでファイルを受け渡しする受け口、DataSync は大量データを高速に転送・同期する移行という役割の違いを押さえます。
| 観点 | Transfer Family | DataSync |
|---|---|---|
| 主な役割 | SFTP/FTPS/FTPの受け口 | 大量データの転送・同期 |
| 典型用途 | 取引先とのファイル交換 | 一括移行・定期同期 |
| 接続方式 | 標準の転送プロトコル | エージェントやサービス経由 |
| 想定する相手 | 外部クライアントとの授受 | ストレージ間のデータ移動 |
ハンズオン / CLI例
# SFTP を有効にしたサーバーを作成(サービス管理の認証を使う例)
aws transfer create-server \
--protocols SFTP \
--identity-provider-type SERVICE_MANAGED \
--endpoint-type PUBLIC
# 作成済みサーバーの一覧を確認
aws transfer list-servers
# サーバーにユーザーを追加し、S3 のホームディレクトリと IAM ロールを対応づける
aws transfer create-user \
--server-id s-XXXXXXXXXXXXXXXXX \
--user-name partner01 \
--role arn:aws:iam::123456789012:role/transfer-access-role \
--home-directory /example-bucket/partner01
# ユーザーの設定内容を確認
aws transfer describe-user \
--server-id s-XXXXXXXXXXXXXXXXX \
--user-name partner01
AWS Service
AWS Transfer Familyを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
移行・転送
比較で見る軸
クラウド: AWS / カテゴリ: 移行・転送 / 難易度: basic
導入後に効く点
転送サーバーの構築・パッチ適用・冗長化を肩代わりし、既存の転送クライアントをそのまま使える。
先に潰すリスク
サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。
- クラウド
- AWS
- カテゴリ
- 移行・転送
- 難易度
- basic
- 関連資格
- SAA-C03
- 設計柱
- security / operational
判断チェックリスト
- 自社の用途が「移行・転送 / security」に近いか確認する。
- 強みである「SFTP/FTPS/FTPのエンドポイントをマネージドに提供し、S3やEFSへのファイル転送を実現する。」が本当に評価軸になるか確認する。
- 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。