290-AWS SAP AWS 「理論・実践・一問道場」VPCホスト型エンドポイント

理論

AWS Transfer Familyの概要

AWS Transfer Familyは、企業がSFTP、FTPS、FTPなどのプロトコルを使用して、安全にファイルを送受信するためのサービスです。AWS上でファイル転送サービスを運用するため、以下の特徴があります。
  • マネージドサービス: AWS Transfer Familyはフルマネージドサービスとして提供され、サーバーの管理、スケーリング、パッチ適用などの手間を省きます。
  • セキュリティ: 高いセキュリティ基準でファイル転送を行えるように、AWSのIAM、VPC、KMS(暗号化)などと統合されています。
  • スケーラビリティ: 高トラフィックや高可用性を求めるシナリオに対応するため、スケールアップやスケールダウンを自動で調整できます。

VPCホスト型エンドポイントと公開アクセス可能なエンドポイント

AWS Transfer Familyは、ファイル転送サービスをVPC内でホストするか、インターネットから直接アクセス可能なエンドポイントでホストするかを選択できます。この選択は、セキュリティやネットワークアーキテクチャに大きな影響を与えます。

1. VPCホスト型エンドポイント

VPCホスト型エンドポイントでは、AWS Transfer FamilyサービスをVPC内に配置し、セキュリティやアクセス制御をVPC設定で行うことができます。
  • メリット:
    • VPC内でのみアクセス可能にすることで、外部からのアクセスを制限し、セキュリティが強化されます。
    • 内部システムや他のAWSリソースとセキュアなネットワーク経路を通じて接続できます。
    • パブリックインターネット経由でなく、プライベートなネットワーク接続が可能になります。
  • 使用シーン:
    • 内部システムとのファイル転送を行いたい場合
    • セキュアなファイル転送が求められ、インターネットからのアクセスを避けたい場合

2. 公開アクセス可能なエンドポイント

公開アクセス可能なエンドポイントは、インターネットから直接アクセス可能なエンドポイントです。この方法では、外部の顧客がインターネットを介してSFTPやFTPSを通じてファイルを送受信します。
  • メリット:
    • インターネットを介してアクセスが可能なため、広範囲の顧客に対応できます。
    • 外部顧客が容易にアクセスできるため、ファイル転送のセットアップが簡単です。
  • 使用シーン:
    • 顧客がインターネット経由でファイルにアクセスする必要がある場合
    • 特に企業の外部の取引先や顧客とのファイル交換が求められる場合

VPCホスト型エンドポイントの利用方法と設計

VPCホスト型のエンドポイントを選択した場合、AWS Transfer FamilyはVPC内でホストされるため、インターネットのアクセス経路を経由せず、VPC内のリソースと直接連携できます。例えば、以下のようなシナリオがあります。
  • 企業内システムとの統合:
    • VPC内のアプリケーションやストレージ(例: Amazon S3、Amazon EFS)と統合し、セキュアにファイルを転送。
    • 外部とのアクセスを制限し、内部で完結するデータ転送や処理が求められる場合に有効。
  • セキュアなファイル転送:
    • パブリックインターネットを経由せず、専用のVPC内でのみアクセスすることで、ファイアウォールやセキュリティグループでアクセスを厳密に制御できます。

AWS Transfer Familyの利用例

  • 企業間ファイル交換: B2B(Business-to-Business)のファイル転送のセキュリティ強化。
  • バックアップとアーカイブ: 定期的なバックアップをセキュアに転送・保存する場合。
  • データ移行: 大量のデータを安全にAWSに移行する場合。

まとめ

AWS Transfer FamilyをVPC内でホストすることで、セキュアでスケーラブルなファイル転送環境を構築できます。公開アクセス可能なエンドポイントとVPCホスト型エンドポイントを使い分けることで、セキュリティ要件やネットワーク設計に応じた適切なファイル転送ソリューションを提供することができます。

実践

一問道場

質問 #290
ある会社は、インターネット越しにアクセス可能なSFTPサーバーを通じて、顧客にファイルを提供しています。SFTPサーバーは、Elastic IPアドレスがアタッチされた単一のAmazon EC2インスタンスで実行されています。顧客はそのElastic IPアドレスを通じてSFTPサーバーに接続し、SSH認証を使用します。EC2インスタンスには、すべての顧客IPアドレスからのアクセスを許可するセキュリティグループもアタッチされています。
ソリューションアーキテクトは、可用性を向上させ、インフラ管理の複雑さを最小化し、ファイルにアクセスする顧客への影響を最小化するソリューションを実装しなければなりません。ソリューションは、顧客が接続する方法を変更してはいけません。
どのソリューションがこの要件を満たしますか?
A. Elastic IPアドレスをEC2インスタンスから切り離し、SFTPファイルホスティング用にAmazon S3バケットを作成します。AWS Transfer Familyサーバーを作成し、公開アクセス可能なエンドポイントで設定します。新しいエンドポイントにSFTP Elastic IPアドレスを関連付け、Transfer FamilyサーバーをS3バケットに指示します。SFTPサーバーからS3バケットにすべてのファイルを同期します。
B. Elastic IPアドレスをEC2インスタンスから切り離し、SFTPファイルホスティング用にAmazon S3バケットを作成します。AWS Transfer Familyサーバーを作成し、VPCホスト型のインターネット向けエンドポイントで設定します。新しいエンドポイントにSFTP Elastic IPアドレスを関連付け、顧客IPアドレスを含むセキュリティグループを新しいエンドポイントにアタッチします。Transfer FamilyサーバーをS3バケットに指示し、SFTPサーバーからS3バケットにすべてのファイルを同期します。
C. Elastic IPアドレスをEC2インスタンスから切り離し、SFTPファイルホスティング用に新しいAmazon Elastic File System(Amazon EFS)ファイルシステムを作成します。AWS Fargateタスク定義を作成し、SFTPサーバーを実行します。タスク定義でEFSファイルシステムをマウントとして指定します。Fargateサービスをタスク定義を使用して作成し、サービスの前にネットワークロードバランサー(NLB)を配置します。サービスを設定する際、顧客IPアドレスを含むセキュリティグループをSFTPサーバーを実行するタスクにアタッチします。Elastic IPアドレスをNLBに関連付け、SFTPサーバーからS3バケットにすべてのファイルを同期します。
D. Elastic IPアドレスをEC2インスタンスから切り離し、SFTPファイルホスティング用にマルチアタッチAmazon Elastic Block Store(Amazon EBS)ボリュームを作成します。Elastic IPアドレスがアタッチされたネットワークロードバランサー(NLB)を作成します。Auto Scalingグループを作成し、SFTPサーバーを実行するEC2インスタンスを設定します。Auto Scalingグループでインスタンスが起動する際に、新しいマルチアタッチEBSボリュームをアタッチするように設定します。Auto ScalingグループがNLBの後ろにインスタンスを自動的に追加するように設定し、Auto Scalingグループで起動されるEC2インスタンスに顧客IPアドレスを許可するセキュリティグループを使用します。SFTPサーバーから新しいマルチアタッチEBSボリュームにすべてのファイルを同期します。

解説

正解: B

解説

選択肢B は、以下の点で最適な解決策です。
  1. Elastic IPの管理:
      • B では、Elastic IPアドレスを新しいVPCエンドポイントに関連付ける方法が選ばれています。これにより、既存のElastic IPアドレスを引き続き利用できるため、顧客が接続する方法(接続先のIPアドレス)を変更せずに、可用性を向上させることができます。
  1. AWS Transfer FamilyとVPCエンドポイント:
      • AWS Transfer FamilyのVPCホスト型インターネット向けエンドポイントを使用すると、インターネットを介したアクセスが安全にVPC内で行われます。これにより、外部からのアクセスがインターネット越しに管理され、よりセキュアな構成となります。
      • VPCエンドポイントを利用することで、インターネット接続がプライベートネットワーク経由になるため、セキュリティが強化され、可用性も向上します。
  1. 顧客接続の変更なし:
      • Elastic IPアドレスを変更することなく新しいエンドポイントに関連付けることで、顧客側の接続方法はそのままで、影響を最小化できます。
  1. インフラ管理の簡素化:
      • AWS Transfer Familyはフルマネージドサービスであり、インフラの管理が大幅に簡素化されます。これにより、運用コストと管理負担を減らすことができます。

他の選択肢との比較

  • 選択肢A はS3を利用したファイルホスティングであり、管理が簡素ですが、S3のエンドポイントを公開することになるため、既存のElastic IPアドレスを利用し続けることができません。顧客接続方法の変更が必要になる場合があり、これは要件に反します。
  • 選択肢C はFargateとEFSを使用する方法ですが、これも複雑であり、特に管理の手間が増えます。また、Fargateのタスクを利用するためには追加の設定が必要となり、要件の簡便さに対して過剰なソリューションとなります。
  • 選択肢D はAuto Scalingを使用したインスタンスのスケーリングですが、EBSボリュームのマルチアタッチやインスタンスの管理が複雑になり、最適解ではありません。

結論

選択肢 B は、可用性とセキュリティを向上させつつ、顧客の接続方法を変更せずに、インフラ管理の複雑さを最小限に抑える理想的な解決策です。
Relate Posts
00-AWS SAP「理論・実践・10問道場」
Lazy loaded image
01-AWS SAP「理論・実践・10問道場」
Lazy loaded image
02-AWS SAP「理論・実践・10問道場」
Lazy loaded image
03-AWS SAP「理論・実践・10問道場」
Lazy loaded image
04-AWS SAP 「理論・実践・10問道場」
Lazy loaded image
05-AWS SAP「理論・実践・10問道場」
Lazy loaded image
292-AWS SAP AWS 「理論・実践・一問道場」Transfer Family289-AWS SAP AWS 「理論・実践・一問道場」Amazon Aurora MySQL 双方向書き込み
Loading...
minami
minami
みなみの成長 🐝
Announcement

🎉 ブログへようこそ 🎉

名前: みなみ一人会社
性別:
国籍: China 🇨🇳
政治スタンス: 民主主義支持者
完全独学で基本情報技術者をはじめ、32個の資格を仕事をしながら取得。
現在はIT会社で技術担当として働きながら、ブログ執筆や学習支援にも取り組んでいます。
独学で合格できる学習法や勉強法、試験対策を発信中!

📚 発信内容

  • 💻 IT・システム開発
  • 🏠 不動産 × 宅建士
  • 🎓 MBA 学習記録
 
Catalog
0%