AWS Transfer FamilyでVPCにホストしつつインターネットアクセスを可能にする話

要約

「VPCでホスト」で「インターネット向け(internet-facing)」を選ぶとAZ分のElasticIPが必要になるので、「内部」を選択しつつNetworkLoadBalancer(NLB)を使ってインターネットからのアクセスを可能にしました。

AWS Transfer Family

S3やEBSへのSFTP等のアクセスを可能にするサーバー。
作成時の「エンドポイントを選択」で「パブリックアクセス可能」を選べば本当に簡単に作成できます。

構築してみた手順

1. VPCを準備
   1. パブリックサブネットとプライベートサブネットを2つ
   2. NATゲートウェイとElasticIPを2つ
2. アクセスをさせたいS3を作成
3. IAMロールとIAMポリシーを作成、対象のS3アクセスをしつつTransferFamilyを信頼する
4. TransferFamily用のセキュリティグループを作成
   1. 22,2222を開ける
5. TransferFamilyを作成
   1. プロトコルはSFTP
   2. 「ID プロバイダーを選択」では"サービスマネージド"
   3. 「エンドポイントを選択」
      1. "VPCでホスト"
      2. "内部"
      3. 作ったVPCとプライベートサブネット
   4. 「ドメインを選択」は"Amazon S3"
   5. あとの詳細設定は適当に...
6. NLB用のセキュリティグループを作成
   1. 22,2222を開ける
7. NLB用のターゲットグループを作成
   1. "IP アドレス"
   2. 「プロトコル」は"TCP"、「ポート」は"22"
   3. 「ターゲットを登録」
      1. TransferFamilyに払い出されたプライベートIPを指定
      2. 「保留中として以下を含める」で追加
8. EC2のロードバランサーからNLBを作成
   1. "インターネット向け"
   2. さっき作ったターゲットグループとセキュリティグループを設定

その他

1個しか立ち上げなくていいならElasticIP使えばNLBいらない気がします。