ある企業が AWS Transfer Family を使ってオンプレミスの SFTP サーバーを AWS に移行しようとしています。社外のパートナー企業が既存の SFTP クライアントを使ってファイルを転送しており、ホスト名・ユーザー名・パスワード・ホストキーをすべて維持したまま移行する必要があります。パートナー企業には移行の事実を知らせずに透過的に移行したいと考えています。最も適切な移行手順はどれですか?
- A. Amazon S3 の静的 Web サイトホスティングでファイル転送用のポータルを構築し、パートナーに URL を通知して SFTP からの移行を依頼する
- B. AWS Transfer Family の新しい SFTP サーバーを作成し、新しいホスト名とユーザー認証情報を全パートナーに通知して切り替えを依頼する
- C. AWS Transfer Family の SFTP サーバーを作成し、既存の SFTP サーバーのホストキーを Transfer Family にインポートする。パートナーの既存ユーザー名・パスワード認証は Secrets Manager または IAM Identity Provider で維持する。DNS(Route 53)で既存のホスト名を Transfer Family のエンドポイントに切り替えることで、パートナーのクライアント設定変更なしに透過的に移行できる
- D. 既存の SFTP サーバーをオンプレミスに残し、AWS Transfer Family を新規ユーザー用にのみ使用する
解答と解説を見る
正解: C
AWS Transfer Family の SFTP サーバーでは、既存 SFTP サーバーのホストキーをインポートできます。これにより「ホストキーが変わった」という SSH の警告が出ず、透過的な移行が可能です。Route 53 でホスト名を同じに保ち、ユーザー認証情報を Secrets Manager または IAM で再現することで、パートナーはクライアント設定を一切変更することなく AWS Transfer Family の SFTP サーバーに接続できます。 B: 新しいホスト名とユーザー認証情報の通知は、パートナー全員の設定変更が必要で「透過的な移行」要件に反します。 D: オンプレミスサーバーを残す方法は移行の目的を達成しておらず、デュアル管理の負荷が続きます。 A: HTTP ポータルへの移行は SFTP プロトコルを廃止することであり、パートナーのシステム変更が必要になります。
📚 関連サービスの解説: AWS Secrets Manager ・ AWS IAM