기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

와 함께 사용할 스토리지 구성 AWS Transfer Family

이 주제에서는 에서 사용할 수 있는 스토리지 옵션에 대해 설명합니다 AWS Transfer Family. Transfer Family 서버의 스토리지EFS로 Amazon S3 또는 Amazon을 사용할 수 있습니다.

Amazon S3 버킷 구성

AWS Transfer Family 는 사용자의 전송 요청을 서비스하기 위해 Amazon S3 버킷에 액세스하므로 파일 전송 프로토콜 지원 서버 설정의 일부로 Amazon S3 버킷을 제공해야 합니다. 기존 버킷을 사용할 수도 있고, 새 버킷을 만들어도 됩니다.

사용자를 설정할 때 각 사용자에게 IAM 역할을 할당합니다. 이 역할은 Amazon S3 버킷에 대한 사용자의 액세스 수준을 결정합니다.

새 버킷 생성에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 S3 버킷을 생성하려면 어떻게 해야 합니까?를 참조하세요.

Amazon S3 액세스 포인트

AWS Transfer Family 는 공유 데이터 세트에 대한 세분화된 액세스를 쉽게 관리할 수 있는 Amazon S3의 기능인 Amazon S3 액세스 포인트 를 지원합니다. Amazon S3 S3 버킷 이름을 사용하는 모든 곳에서 S3 액세스 포인트 별칭을 사용할 수 있습니다. Amazon S3 버킷의 공유 데이터에 액세스할 수 있는 서로 다른 권한을 가진 사용자를 위해 Amazon S3에 수백 개의 액세스 포인트를 생성할 수 있습니다.

예를 들어 액세스 포인트를 사용하여 서로 다른 세 팀이 동일한 공유 데이터 세트에 액세스하도록 허용할 수 있습니다. 한 팀은 S3에서 데이터를 읽고, 두 번째 팀은 S3에 데이터를 쓰고, 세 번째 팀은 S3에서 데이터를 읽고, 쓰고, 삭제할 수 있습니다. 위에서 언급한 대로 세분화된 액세스 제어를 구현하려면 여러 팀에 비대칭 액세스를 제공하는 정책이 포함된 S3 액세스 포인트를 생성할 수 있습니다. Transfer Family 서버와 함께 S3 액세스 포인트를 사용하면 수백 개의 사용 사례를 아우르는 복잡한 S3 버킷 정책을 만들지 않고도 세밀한 액세스 제어를 달성할 수 있습니다. Transfer Family 서버에서 S3 액세스 포인트를 사용하는 방법에 대한 자세한 내용은 AWS Transfer Family 및 Amazon S3 블로그 게시물을 사용하여 데이터 액세스 제어 강화를 참조하세요.

Amazon S3 HeadObject 동작

Amazon S3에서 버킷과 객체는 기본 리소스이며 객체는 버킷에 저장됩니다. Amazon S3는 계층적 파일 시스템을 모방할 수 있지만 때로는 일반적인 파일 시스템과 다르게 동작할 수 있습니다. 예를 들어 디렉터리는 Amazon S3의 일류 개념이 아니라 객체 키를 기반으로 합니다. 는 객체의 키를 슬래시 문자(/)로 분할하고, 마지막 요소를 파일 이름으로 처리한 다음, 접두사가 동일한 파일 이름을 동일한 경로 아래에 그룹화하여 디렉터리 경로를 AWS Transfer Family 제공합니다. mkdir를 사용하거나 Amazon S3 콘솔을 사용하여 빈 디렉터리를 생성할 때 폴더 경로를 나타내는 0바이트 객체가 생성됩니다. 이러한 객체의 키는 후행 슬래시로 끝납니다. 이러한 0바이트 객체에 대한 설명은 Amazon S3 사용 설명서의 폴더를 사용하여 Amazon S3 콘솔에서 객체 구성에 설명되어 있습니다.

ls 명령을 실행하고 일부 결과가 Amazon S3 0바이트 객체(이러한 객체에는 슬래시 문자로 끝나는 키가 있음)인 경우 Transfer Family는 이러한 각 객체에 대한 HeadObject 요청을 발행합니다(자세한 내용은 Amazon Simple Storage Service API 참조HeadObject의 참조). 이로 인해 Transfer Family를 통해 Amazon S3를 스토리지로 사용할 때 다음과 같은 문제가 발생할 수 있습니다.

파일을 쓰고 나열할 수 있는 권한만 부여

경우에 따라 Amazon S3 객체에 대한 쓰기 액세스 권한만 제공할 수 있습니다. 예를 들어, 버킷에 객체를 쓰기(또는 업로드) 및 나열할 수 있는 액세스 권한을 제공하지만 객체를 읽기(다운로드)할 수 있는 액세스 권한은 제공하지 않을 수 있습니다. 파일 전송 클라이언트를 사용하여 ls 및 mkdir 명령을 수행하려면 Amazon S3 ListObjects 및 PutObject 권한이 있어야 합니다. 그러나 Transfer Family가 파일 쓰기 또는 나열을 HeadObject 직접 호출해야 하는 경우 이 호출에는 GetObject 권한이 필요하기 때문에 액세스 거부 오류로 호출이 실패합니다.

이 경우 슬래시 AWS Identity and Access Management (IAM)로 끝나는 객체에 대해서만 GetObject 권한을 추가하는 () 정책 조건을 추가하여 액세스 권한을 부여할 수 있습니다/. 이 조건은 파일에 대한 GetObject 호출을 방지하지만(읽을 수 없도록) 사용자가 폴더를 나열하고 트래버스할 수 있도록 허용합니다. 다음 예제 정책은 Amazon S3 버킷에 대한 쓰기 및 목록 액세스만 제공합니다. 이 정책을 사용하려면 DOC-EXAMPLE-BUCKET를 버킷 이름으로 바꿉니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowListing",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
        },
        {
            "Sid": "AllowReadWrite",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ]
         },
      {
            "Sid": "DenyIfNotFolder",
            "Effect": "Deny",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "NotResource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*/"
            ]
         }
      ]
}

많은 수의 제로바이트 객체로 인해 지연 시간 문제가 발생합니다.

Amazon S3 버킷에 이러한 0바이트 객체가 많이 포함되어 있는 경우 Transfer Family는 많은 HeadObject 호출을 발생시켜 처리 지연을 초래할 수 있습니다.

이 문제를 해결할 수 있는 한 가지 방법은 모든 0바이트 객체를 삭제하는 것입니다. 유념할 사항:

또 다른 해결 방법은 정책 조건을 통해 표시되는 개체 수를 제한하여 HeadObject 호출 수를 줄이는 것입니다. 실행 가능한 솔루션이 되려면 모든 하위 디렉터리의 제한된 집합만 볼 수 있다는 점을 인정해야 합니다.

Amazon EFS 파일 시스템 구성

AWS Transfer Family 는 Amazon Elastic File System(Amazon EFS)에 액세스하여 사용자의 전송 요청을 서비스합니다. 따라서 EFS 파일 전송 프로토콜 지원 서버 설정의 일환으로 Amazon 파일 시스템을 제공해야 합니다. 기존 파일 시스템을 사용할 수도 있고, 새 버킷을 만들어도 됩니다.

유의할 사항:

AWS Transfer Family 및 Amazon이 함께 EFS 작동하는 방법에 대한 자세한 내용은 Amazon Elastic EFS File System 사용 설명서의 AWS Transfer Family 를 사용하여 Amazon 파일 시스템의 파일에 액세스하기를 참조하세요. Amazon Elastic File System

Amazon EFS 파일 소유권

AmazonEFS은 휴대용 운영 체제 인터페이스(POSIX) 파일 권한 모델을 사용하여 파일 소유권을 나타냅니다.

에서 시스템의 POSIX사용자는 세 가지 고유한 권한 클래스로 분류됩니다. 사용자가 를 사용하여 Amazon EFS 파일 시스템에 저장된 파일에 액세스하도록 허용 AWS Transfer Family하면 해당 사용자에게 “POSIX프로필”을 할당해야 합니다. 이 프로필은 Amazon 파일 시스템의 EFS 파일 및 디렉터리에 대한 액세스를 결정하는 데 사용됩니다.

POSIX 권한 모델에서 모든 파일 시스템 객체(파일, 디렉터리, 심볼 링크, 명명된 파이프 및 소켓)는 이전에 언급한 세 가지 권한 세트와 연결됩니다. Amazon EFS 객체에는 Unix 스타일 모드가 연결되어 있습니다. 이 모드 값은 해당 객체에 대한 작업을 수행할 수 있는 권한을 정의합니다.

또한 Unix 스타일 시스템에서 사용자와 그룹은 Amazon이 파일 소유권을 나타내는 데 EFS 사용하는 숫자 식별자에 매핑됩니다. Amazon 의 경우 EFS객체는 단일 소유자와 단일 그룹이 소유합니다. AmazonEFS은 사용자가 파일 시스템 객체IDs에 액세스하려고 할 때 매핑된 숫자를 사용하여 권한을 확인합니다.

Transfer Family용 Amazon EFS 사용자 설정

Amazon EFS 사용자를 설정하기 전에 다음 중 하나를 수행할 수 있습니다.

Amazon에서 Transfer Family 사용자 구성 EFS

Transfer Family는 사용자를 에 아직 존재하지 UID/GID and directories you specify. If the UID/GID/directories 않는 에 매핑한 EFS다음 사용자에게 전송에서 할당하기 전에 사용자를 생성해야 합니다. Amazon EFS 사용자 생성에 대한 세부 정보는 Amazon Elastic File System File System 사용 설명서의 Network File System(NFS) 수준에서 사용자, 그룹 및 권한 작업에 설명되어 있습니다.

CloudWatch 규칙 및 Lambda 함수를 사용하여 프로세스를 자동화할 수 있습니다. 와 상호 작용하는 Lambda 함수의 예는 서버리스 애플리케이션에서 Amazon for 사용을 EFS참조하세요. EFS AWS Lambda

또한 Transfer Family 사용자를 위한 논리적 디렉터리를 구성할 수 있습니다. 자세한 내용은 논리적 디렉터리를 사용하여 Transfer Family 디렉터리 구조를 단순화합니다. 항목의 Amazon용 논리적 디렉터리 구성 EFS를 참조하세요.

Amazon EFS 루트 사용자 생성

조직에서 사용자 구성을 위해 SFTP/FTPS를 통해 루트 사용자 액세스를 활성화하는 것이 편한 경우, UID 이고 0GID인 사용자(루트 사용자)를 생성한 다음 해당 루트 사용자를 사용하여 폴더를 생성하고 나머지 사용자의 POSIX ID 소유자를 할당할 수 있습니다. 이 옵션의 장점은 Amazon EFS 파일 시스템을 탑재할 필요가 없다는 것입니다.

Amazon EFS 서비스 관리형 사용자 추가에 설명된 단계를 수행하고, 사용자 ID와 그룹 ID 모두에 0을 입력합니다.

지원되는 Amazon EFS 명령

다음 명령은 Amazon EFS for 에서 지원됩니다 AWS Transfer Family.