기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
SFTP, FTPS또는 FTP 서버 엔드포인트 구성
이 주제에서는 하나 이상의 SFTP, 및 FTPS FTP 프로토콜을 사용하는 AWS Transfer Family 서버 엔드포인트를 생성하고 사용하는 방법에 대한 세부 정보를 제공합니다.
주제
자격 증명 공급자 옵션
AWS Transfer Family 는 사용자를 인증하고 관리하기 위한 몇 가지 방법을 제공합니다. 다음 표에서는 Transfer Family와 함께 사용할 수 있는 ID 공급자를 비교합니다.
| 작업 | AWS Transfer Family 서비스 관리형 | AWS Managed Microsoft AD | Amazon API Gateway | AWS Lambda |
|---|---|---|---|---|
| 지원되는 프로토콜 | SFTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP |
|
키 기반 인증 |
예 |
아니요 |
예 |
예 |
|
암호 인증 |
아니요 |
예 |
예 |
예 |
|
AWS Identity and Access Management (IAM) 및 POSIX |
예 |
예 |
예 |
예 |
|
논리적 홈 디렉터리 |
예 |
예 |
예 |
예 |
| 파라미터화된 액세스(사용자 이름 기반) | 예 | 예 | 예 | 예 |
|
임시 액세스 구조 |
예 |
아니요 |
예 |
예 |
|
AWS WAF |
아니요 |
아니요 |
예 |
아니요 |
참고:
IAM 는 Amazon S3 백업 스토리지에 대한 액세스를 제어하는 데 사용되며 Amazon 에 POSIX 사용됩니다EFS.
-
임시는 런타임에 사용자 프로필을 전송할 수 있는 기능을 의미합니다. 예컨대, 사용자 이름을 변수로 전달하여 사용자를 홈 디렉터리에 연결할 수 있습니다.
-
에 대한 자세한 내용은 섹션을 AWS WAF참조하세요웹 애플리케이션 방화벽 추가.
-
Microsoft Azure AD와 통합된 Lambda 함수를 Transfer Family ID 공급자로 사용하는 방법을 설명하는 블로그 게시물이 있습니다. 자세한 내용은 Azure Active Directory를 AWS Transfer Family 사용하여 에 인증 및 AWS Lambda
를 참조하세요. -
사용자 지정 자격 증명 공급자를 사용하는 Transfer Family 서버를 빠르게 배포하는 데 도움이 되는 여러 AWS CloudFormation 템플릿을 제공합니다. 세부 정보는 Lambda 함수 템플릿을 참조하세요.
다음 절차에서는 SFTP-enabled 서버, FTPS-enabled 서버, FTP-enabled 서버 또는 AS2-enabled 서버를 생성할 수 있습니다.
다음 단계
AWS Transfer Family 엔드포인트 유형 매트릭스
Transfer Family 서버를 생성하는 경우 사용할 엔드포인트 타입을 선택합니다. 다음 표에서는 각 엔드포인트 타입의 특성에 대해 설명합니다.
| 기능 | 퍼블릭 | VPC - 인터넷 | VPC - 내부 | VPC_Endpoint(사용되지 않음) |
|---|---|---|---|---|
| 지원되는 프로토콜 | SFTP | SFTP, FTPS, AS2 | SFTP, FTP, FTPS, AS2 | SFTP |
| 액세스 | 인터넷을 통해 이 엔드포인트 유형은 에서 특별한 구성이 필요하지 않습니다VPC. | 인터넷을 통해, AWS Direct Connect 또는 를 통한 온프레미스 데이터 센터와 같이 VPC 및 VPC연결된 환경 내에서VPN. | AWS Direct Connect 또는 를 통한 온프레미스 데이터 센터와 같이 VPC 및 VPC연결된 환경 내에서VPN. | AWS Direct Connect 또는 를 통한 온프레미스 데이터 센터와 같이 VPC 및 VPC연결된 환경 내에서VPN. |
| 고정 IP 주소 | 정적 IP 주소는 연결할 수 없습니다. 는 변경될 수 있는 IP 주소를 AWS 제공합니다. |
탄력적 IP 주소를 엔드포인트에 연결할 수 있습니다. 이는 AWS에서 소유한 IP 주소일 수도 있고 자체 IP 주소일 수도 있습니다(자체 IP 주소 사용). 엔드포인트에 연결된 탄력적 IP 주소는 변경되지 않습니다. 서버에 연결된 사설 IP 주소도 변경되지 않습니다. |
엔드포인트에 연결된 사설 IP 주소는 변경되지 않습니다. | 엔드포인트에 연결된 사설 IP 주소는 변경되지 않습니다. |
| 소스 IP 허용 목록 |
이 엔드포인트 타입은 소스 IP 주소별 허용 목록을 지원하지 않습니다. 엔드포인트는 공개적으로 액세스할 수 있으며 포트 22를 통해 트래픽을 수신합니다. 참고호스팅 엔드포인트VPC의 경우 SFTP Transfer Family 서버는 포트 22(기본값) 또는 포트 2222를 통해 작동할 수 있습니다. |
소스 IP 주소별로 액세스를 허용하려면 서버 엔드포인트에 연결된 보안 그룹과 엔드포인트가 있는 서브넷에 ACLs 연결된 네트워크를 사용할 수 있습니다. |
소스 IP 주소별로 액세스를 허용하려면 서버 엔드포인트에 연결된 보안 그룹과 엔드포인트가 있는 서브넷에 연결된 네트워크 액세스 제어 목록(네트워크 ACLs)을 사용할 수 있습니다. |
소스 IP 주소별로 액세스를 허용하려면 서버 엔드포인트에 연결된 보안 그룹과 엔드포인트가 있는 서브넷에 ACLs 연결된 네트워크를 사용할 수 있습니다. |
| 클라이언트 방화벽 허용 목록 |
서버의 DNS 이름을 허용해야 합니다. IP 주소는 변경될 수 있으므로 클라이언트 방화벽 허용 목록에 IP 주소를 사용하지 마세요. |
서버 DNS 이름 또는 서버에 연결된 탄력적 IP 주소를 허용할 수 있습니다. |
프라이빗 IP 주소 또는 엔드포인트 DNS 이름을 허용할 수 있습니다. |
프라이빗 IP 주소 또는 엔드포인트 DNS 이름을 허용할 수 있습니다. |
참고
VPC_ENDPOINT 엔드포인트 타입은 이제 더 이상 사용되지 않으며 새 서버를 만드는 데 사용할 수 없습니다. 를 사용하는 대신 이전 표에 설명된 대로 내부 또는 인터넷 연결 로 사용할 수 있는 새 VPC 엔드포인트 유형(EndpointType=VPC)을 EndpointType=VPC_ENDPOINT사용합니다. 세부 정보는 VPC_ 사용 중단ENDPOINT을 참조하세요.
AWS Transfer Family 서버의 보안 상태를 강화하려면 다음 옵션을 고려해 보세요.
-
내부 액세스가 있는 VPC 엔드포인트를 사용하면 또는 를 통해 온프레미스 데이터 센터와 같이 VPC 또는 VPC연결된 환경 내의 클라이언트만 서버에 액세스할 수 있습니다 AWS Direct Connect VPN.
-
클라이언트가 인터넷을 통해 엔드포인트에 액세스하고 서버를 보호하도록 허용하려면 인터넷 연결 액세스가 있는 VPC 엔드포인트를 사용합니다. 그런 다음 사용자의 클라이언트를 호스팅하는 특정 IP 주소의 트래픽만 허용하도록 의 VPC보안 그룹을 수정합니다.
-
암호 기반 인증이 필요하고 서버에서 맞춤 ID 공급자를 사용하는 경우 암호 정책을 통해 사용자가 취약한 암호를 만들지 못하도록 하고 로그인 시도 실패 횟수를 제한하는 것이 좋습니다.
AWS Transfer Family 는 관리형 서비스이므로 쉘 액세스를 제공하지 않습니다. 기본 SFTP 서버에 직접 액세스하여 Transfer Family 서버에서 OS 기본 명령을 실행할 수 없습니다.
-
내부 액세스 권한이 있는 VPC 엔드포인트 앞에 Network Load Balancer를 사용합니다. 로드 밸런서의 리스너 포트를 포트 22에서 다른 포트로 변경합니다. 이렇게 하면 포트 스캐너와 봇이 서버를 탐색할 위험을 줄일 수 있지만 제거하지는 못합니다. 포트 22가 스캔에 가장 많이 사용되기 때문입니다. 자세한 내용은 이제 Network Load Balancer에서 보안 그룹 지원 블로그 게시물을 참조하세요
. 참고
Network Load Balancer 를 사용하는 경우 AWS Transfer Family CloudWatch 로그에는 실제 클라이언트 IP 주소가 NLB아닌 의 IP 주소가 표시됩니다.
