はじめに
概要
AWS Transfer Family は、SFTP・FTPS・FTP・AS2 といった一般的なファイル転送プロトコルを使って、Amazon S3 や Amazon EFS に安全にファイルを置けるフルマネージドサービスです。オンプレミスの既存クライアントやパートナーとの接続方式をほぼ変えずにクラウドへ移行でき、運用の手間を減らします。
本章の目的
本章ではサービスの全体像と利用シーンをやさしく説明します。以降の章で対応プロトコルやストレージ、セキュリティ機能、代表的なユースケースを詳しく扱います。
なぜ使うか(具体例)
・給与データや請求書などの機密ファイルを安全に保管したい。クラウド上のS3に直接保存できます。
・取引先とファイル交換するために従来のSFTPクライアントをそのまま使いたい。クライアント側の設定を大きく変えずに済みます。
・サーバー管理やOSパッチ適用など運用負荷を減らしたい。マネージドサービスなので運用負担が小さくなります。
読み進め方
次章で機能の概要を押さし、続けて具体的な機能や代表例、セキュリティのポイントを順に確認していきます。各章は実務で使うときに役立つ視点で書いていますので、必要な章からお読みください。
概要
AWS Transfer Familyとは
AWS Transfer Familyは、既存のSFTP/FTPS/FTPクライアントやバッチ処理をほぼそのままに、接続先のストレージだけをAWSのS3やEFSに置き換えて使えるマネージドサービスです。サーバ管理やOSパッチ適用をほとんど気にせずに運用できます。
何ができるか(かんたんな説明)
- 既存クライアントはプロトコルを変えずに接続できます。
- 保存先をAmazon S3(オブジェクト保存)やEFS(ファイル共有)にできます。
導入イメージ(具体例)
たとえばオンプレのFTPサーバをまるごと移行する場合、クライアントの設定はそのままに接続先だけをS3に切り替えます。バッチでSFTP送信している業務も影響が少なく移行できます。
運用面のメリット
サービスがスケーラブルで高可用なため、監視やスケール調整の負担が減ります。ログやアクセス管理はAWSの仕組みと連携でき、セキュリティ設定も集中管理しやすくなります。
主な機能
対応プロトコル
Transfer Family は SFTP、FTPS、FTP、AS2 と、ブラウザから使える Transfer Family Web アプリに対応します。たとえば、外部パートナーが既存の SFTP クライアントで接続したり、社内ユーザーがブラウザで簡単にファイル操作したりできます。
対応ストレージ
Amazon S3 と Amazon EFS に直接接続できます。これにより、受け取ったファイルをそのまま S3 バケットに置いたり、EFS 上の共有ディレクトリに保存したりできます。ストレージ間でファイルを移動するワークフローも組めます。
論理ディレクトリ
S3 バケットや EFS に対して論理ディレクトリ(エイリアス)を設定できます。利用者にはシンプルなフォルダ構造だけを見せ、本来のストレージ配置やパスを隠せます。例として、複数の S3 バケットを一つのルート配下にまとめて見せることが可能です。
運用面の補助機能
ログ取得、転送履歴の記録、自動通知といった運用機能を備えます。ファイル到着で Lambda を起動したり、CloudWatch にメトリクスを送って監視したりできます。これにより運用作業を自動化しやすくなります。
代表的なユースケース
1. 既存の SFTP/FTP サーバを置き換える
オンプレや古いクラウドの SFTP/FTP を閉じて、S3/EFS ベースの管理された転送基盤に切り替えます。例えば、複数台の FTP サーバを廃止し、受け取ったファイルを自動で S3 に保存する運用に変えます。利点は可観測性の向上とバックアップの簡素化です。運用ではアクセス権の整理と通知設定を先に整えます。
2. 外部パートナーや社内システムとのデータ連携
バッチ連携やレポート受け渡し、EDI/AS2 のような取引先連携に使えます。例として、毎夜パートナーがアップロードした売上データを自動で取り込み、所定のフォルダに振り分ける仕組みです。ユーザーごとの隔離や暗号化を行うと、安全性が高まります。ログ保管のルールも決めておくと監査に対応しやすくなります。
3. 転送ファイルをそのままデータ分析・機械学習に流す
受け取ったファイルを S3 に置いたままデータレイクに取り込み、ETL やモデル学習に接続できます。例として、センサデータを受信して即座に集計パイプラインへ流す構成です。ポイントはファイル命名やメタデータの付与を揃えて、下流処理を自動化することです。
セキュリティと認証
認証方式
IAM(組み込みのユーザー管理)に加え、社内LDAPやAzure AD、GoogleなどのカスタムIDプロバイダと連携できます。たとえば社内LDAPで社員を認証したり、Googleアカウントでシングルサインオン(SSO)を使ったりできます。多要素認証(MFA)も設定可能です。
アクセス制御
ロールベースのアクセス制御(RBAC)で権限を細かく割り当てます。開発者は読み書き、運用担当は監視のみといった具合に役割ごとに制限できます。最小権限の原則を推奨します。
通信の暗号化
データの転送はTLSで暗号化します。内部通信や外部API呼び出しも同様に安全に送受信します。証明書の更新や鍵管理も運用上重要です。
監査ログと可視化
操作ログや認証ログを取得し、保存期間やアクセスは設定できます。SIEMへ連携して異常検知や追跡に役立てます。ログは調査や証明に使います。
コンプライアンス対応
SOC、PCI DSS、HIPAAなど主要なコンプライアンス要件に対応できる設計です。必要に応じて監査証跡や暗号化要件を満たせます。
運用上の注意点
鍵やパスワードの定期ローテーション、定期的なアクセスレビュー、MFAの徹底を行ってください。外部ID連携時は暗号化設定とスコープ制限を確認してください。
他サービスとの違い(ざっくり)
簡単な比較
AWS Transfer Familyは従来のFTP/SFTPなどのプロトコルをそのまま受け入れ、S3やEFSと連携してファイルを保管します。一方、S3の直接アクセスはHTTP(S)ベースのAPIを使ってアプリやスクリプトが直接ファイルを扱います。
プロトコルと主な用途
Transfer FamilyはSFTP/FTPS/FTP/AS2やWeb UIを必要とする既存ワークフローの移行に向いています。たとえば、外部取引先がSFTPでアップロードする運用をクラウドに移したい場合に便利です。S3直接アクセスはアプリケーションからの読み書きを想定し、SDKやCLIで細かな制御や高速なアクセスができます。
管理面の違い
Transfer Familyはサーバレスでフルマネージドのため、サーバの構築や運用をほとんど意識せずに使えます。逆にS3直接アクセスはクライアント側で認証や転送処理を実装する必要があります。開発工数や運用負荷で選ぶことが多いです。
ストレージと互換性
Transfer FamilyはS3とEFSの両方に対応しますが、S3直接アクセスは主にS3を想定します。そのため、既存のファイル共有やフォルダ権限を保ちながら移行したい場合はTransfer Familyが便利です。
選び方の目安
- 既存のFTP/SFTP運用をそのままクラウドへ移したい:Transfer Family
- アプリケーションが直接S3を使う、細かい制御や自動化が必要:S3直接アクセス
どちらが適するかは運用の形や開発リソースで判断してください。
