1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

EIP+セキュリティグループでセキュアにしたAWS Transfer for SFTPをTerraformで構築する

Posted at

はじめに

AWS Transfer for SFTPはマネージドなSFTPサーバをサクッと立てることができる素晴らしいサービス。
素のままではVPCのリソースではないが、2020年の1月にVPC経由でEIPをアタッチしてセキュリティグループによりセキュアにアクセスできるようになった。

構成図についてはクラスメソッド先生のこの記事が分かりやすい。

この構成は、マネージメントコンソールでは簡単に作れるが、Terraformで実現しようとするとちょっとクセがある部分があるため、そこも含めてどうやって実装するかを検討する(2020年11月時点の話。将来的にはもっと簡単に作れるようになると思う)。

全体構成

全体構成としては以下のようになる。
ただし、VPC とパブリックなサブネット2つ、SSH のインバウンド通信を許容するセキュリティグループは既に作ってあって、data source で参照する前提とする。

terraform/
├── 01_main.tf
├── 02_variable.tf
├── 03_datasource.tf
├── 11_eip.tf
├── 12_iam.tf
├── 13_s3.tf
├── 14_transfer.tf
└── 15_vpcendpoint.tf

Terraformリソース

EIP

これは特に難しいことはない。パブリックなサブネット2つにアタッチするEIPを用意しておけばよい。
※たぶん1つでも問題ない

11_eip.tf
###############################################################################
# EIP                                                                         #
###############################################################################
resource "aws_eip" "sftp1" {
  vpc = true
}

resource "aws_eip" "sftp2" {
  vpc = true
}

IAM

IAM については、AWS Transfer for SFTP のサーバが CloudWatch Logs にログを出力するための権限と、接続してくるユーザが S3 にアクセスするための権限を用意する必要がある。
いずれも principals は transfer.amazonaws.com で良い。

12_iam.tf
################################################################################
# IAM Role for Transfer for SFTP Server                                        #
################################################################################
resource "aws_iam_role" "sftp_server" {
  name               = local.sftp_server_role_name
  assume_role_policy = data.aws_iam_policy_document.sftp_server_assume.json
}

data "aws_iam_policy_document" "sftp_server_assume" {
  statement {
    effect = "Allow"

    actions = [
      "sts:AssumeRole",
    ]

    principals {
      type = "Service"
      identifiers = [
        "transfer.amazonaws.com",
      ]
    }
  }
}

resource "aws_iam_role_policy_attachment" "sftp_server" {
  role       = aws_iam_role.sftp_server.name
  policy_arn = aws_iam_policy.sftp_server.arn
}

resource "aws_iam_policy" "sftp_server" {
  name   = local.sftp_server_policy_name
  policy = data.aws_iam_policy_document.sftp_server_custom.json
}

data "aws_iam_policy_document" "sftp_server_custom" {
  statement {
    effect = "Allow"

    actions = [
      "logs:CreateLogGroup",
      "logs:CreateLogStream",
      "logs:PutLogEvents",
    ]

    resources = [
      "*",
    ]
  }
}

################################################################################
# IAM Role for Transfer for SFTP User                                          #
################################################################################
resource "aws_iam_role" "sftp_user" {
  name               = local.sftp_user_role_name
  assume_role_policy = data.aws_iam_policy_document.sftp_user_assume.json
}

data "aws_iam_policy_document" "sftp_user_assume" {
  statement {
    effect = "Allow"

    actions = [
      "sts:AssumeRole",
    ]

    principals {
      type = "Service"
      identifiers = [
        "transfer.amazonaws.com",
      ]
    }
  }
}

resource "aws_iam_role_policy_attachment" "sftp_user" {
  role       = aws_iam_role.sftp_user.name
  policy_arn = aws_iam_policy.sftp_user.arn
}

resource "aws_iam_policy" "sftp_user" {
  name   = local.sftp_user_policy_name
  policy = data.aws_iam_policy_document.sftp_user_custom.json
}

data "aws_iam_policy_document" "sftp_user_custom" {
  statement {
    effect = "Allow"

    actions = [
      "s3:*",
    ]

    resources = [
      "${aws_s3_bucket.sftp.arn}",
      "${aws_s3_bucket.sftp.arn}/*",
    ]
  }
}

S3バケット

S3 のバケットは、最小権限を考えると個別に用意し、IAMで↑のようにアクセス範囲を絞った方が良い。
なお、外部ユーザのアクセスではあるが、IAMで制御しているため、ACL は private で問題ない。

13_s3.tf
################################################################################
# S3                                                                           #
################################################################################
resource "aws_s3_bucket" "sftp" {
  bucket = local.bucket_name
  acl    = "private"
}

AWS Transfer for SFTP

いよいよ本題。
サーバ、ユーザ、SSHキーの設定をすることになる。

サーバ

今回の、EIP+セキュリティグループを使う場合は、endpoint_typeVPC を設定しよう。
その上で、endpoint_details で VPC、サブネット、EIPのIPアドレス情報を設定する。

14_transfer.tf(抜粋)
###############################################################################
# Transfer for SFTP                                                           #
###############################################################################
resource "aws_transfer_server" "sftp" {
  identity_provider_type = "SERVICE_MANAGED"
  endpoint_type          = "VPC"

  endpoint_details {
    vpc_id     = data.aws_vpc.my.id
    subnet_ids = data.aws_subnet_ids.my_vpc.ids
    address_allocation_ids = [
      aws_eip.sftp1.id,
      aws_eip.sftp2.id,
    ]
  }

  logging_role = aws_iam_role.sftp_server.arn
}

ユーザ

ユーザの設定では、ホームディレクトリのマッピングをする。
entry が、sftp 接続をした際のデフォルトパスで、target が実際のパスになる。
下記の設定をすることで、トップディレクトリが今回のために用意したバケットになり、../ にアクセスしても上位のバケット一覧は取れなくなっていてセキュアだ。

14_transfer.tf(抜粋)
resource "aws_transfer_user" "sftp_user" {
  server_id = aws_transfer_server.sftp.id
  user_name = local.sftp_user_name
  role      = aws_iam_role.sftp_user.arn

  home_directory_type = "LOGICAL"
  home_directory_mappings {
    entry  = "/"
    target = "/${local.bucket_name}"
  }
}

SSHキー

SSHキーは、自分で

$ ssh-keygen -P "" -f [鍵ファイル名]

しても良いが、せっかくだから全部Terraformで書いてみよう。
tls_private_key のプロバイダを使い、公開鍵をSFTPのユーザに設定し、秘密鍵でアクセスすることが可能だ。

local_fileprovisioner を使っているのは、SSHでは鍵ファイルのパーミッションで自分以外に権限がついているとエラーになるためだ。

14_transfer.tf(抜粋)
resource "aws_transfer_ssh_key" "sftp" {
  server_id = aws_transfer_server.sftp.id
  user_name = aws_transfer_user.sftp_user.user_name
  body      = tls_private_key.sftp.public_key_openssh
}

resource "tls_private_key" "sftp" {
  algorithm = "RSA"
  rsa_bits  = 2048
}

resource "local_file" "private_key" {
  filename = local.private_key_file
  content  = tls_private_key.sftp.private_key_pem

  provisioner "local-exec" {
    command = "chmod 600 ${local.private_key_file}"
  }
}

さて、ここで準備が完了したので terraform apply してアクセスしようとしても到達しない。
ここまで読んで既に気付いている人もいるだろうが、セキュリティグループの設定がここまで登場しない。

この構成のミソは、セキュリティグループはSFTPサーバではなく、あくまでもVPCエンドポイントにアタッチされているということだ。マネージメントコンソールでは、TransferをVPCタイプで起動した際に良い感じにこのアタッチをしてくれているだけだ。

そして、2020年11月時点では、1回の apply ではVPCタイプのVPCエンドポイントの情報を取得することはできないし、自分で定義したものを紐付けることもできない。

VPCエンドポイント

仕方がないので、一旦ここで区切って、

$ terraform import aws_vpc_endpoint.sftp [払い出されたVPCエンドポイントID]

でインポートしてあげよう。
インポートの際には、以下のリソースを準備しておく。

15_vpcendpoint.tf
###############################################################################
# VPC Endpoint                                                                #
###############################################################################
resource "aws_vpc_endpoint" "sftp" {
  # count             = 0
  vpc_endpoint_type = "Interface"
  service_name      = "com.amazonaws.ap-northeast-1.transfer.server.c-0002"

  vpc_id     = data.aws_vpc.my.id
  subnet_ids = data.aws_subnet_ids.my_vpc.ids

  security_group_ids = [
    data.aws_security_group.ssh.id,
  ]

  tags = {
    Name = local.sftp_vpce_name
  }
}

初回の apply 時にはこのリソースは邪魔になるので count = 0 を入れておき、import が完了したらこの行をコメントアウトして再度 apply することで、エンドポイントにアタッチされたデフォルトのセキュリティグループを消しつつ、SSHのセキュリティグループを設定することが可能だ。ついでに Name で識別子を設定しておこう。

いざ、動かす!

さて、ここまで完了したは後はアクセスするだけだ。

$ sftp -i [HCL:14_transfer.tfで作成した秘密鍵] [ユーザ名]@s-xxxxxxxxxxxxxxxxx.server.transfer.[リージョン].amazonaws.com
Connected to s-xxxxxxxxxxxxxxxxx.server.transfer.ap-northeast-1.amazonaws.com.
sftp> 

よし!接続することができた!もちろん、ちゃんと lsput もできるので、色々試してみよう!

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?