기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon EFS를 사용하여 AWS DataSync 전송 구성
<a name="create-efs-location"></a>

Amazon EFS 파일 시스템으로 또는 Amazon EFS 파일 시스템에서 데이터를 전송하려면 AWS DataSync 전송 *위치*를 생성해야 합니다. DataSync는 이 위치를 데이터 전송의 소스 또는 목적지로 사용할 수 있습니다.

## DataSync에 Amazon EFS 파일 시스템 액세스 권한 제공
<a name="create-efs-location-access"></a>

[위치를 생성](#create-efs-location-how-to)하려면 DataSync가 스토리지에 액세스하는 방법을 이해해야 합니다. Amazon EFS에서 DataSync는 [네트워크 인터페이스](required-network-interfaces.md)를 사용하여 가상 프라이빗 클라우드(VPC)에서 루트 사용자로 파일 시스템을 탑재합니다.

**Contents**
+ [탑재 대상의 서브넷 및 보안 그룹 확인](#create-efs-location-mount-target)
+ [제한된 파일 시스템 액세스](#create-efs-location-iam)
  + [파일 시스템 액세스를 위한 DataSync IAM 역할 생성](#create-efs-location-iam-role)
  + [DataSync 액세스를 허용하는 파일 시스템 정책 예제](#create-efs-location-iam-policy)

### 탑재 대상의 서브넷 및 보안 그룹 확인
<a name="create-efs-location-mount-target"></a>

위치를 생성할 때 DataSync가 Amazon EFS 파일 시스템의 [탑재 대상](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html) 중 하나에 연결하도록 허용하는 서브넷 및 보안 그룹을 지정합니다.

지정한 서브넷은 다음과 같이 위치해야 합니다.
+ 파일 시스템과 동일한 VPC
+ 하나 이상의 파일 시스템 탑재 대상과 동일한 가용 영역

**참고**  
파일 시스템 탑재 대상을 포함하는 서브넷을 지정할 필요가 없습니다.

지정하는 보안 그룹은 Network File System(NFS) 포트 2049에서 인바운드 트래픽을 허용해야 합니다. 탑재 대상의 보안 그룹 생성 및 업데이트에 대한 자세한 내용은 [https://docs.aws.amazon.com/efs/latest/ug/network-access.html](https://docs.aws.amazon.com/efs/latest/ug/network-access.html)를 참조하세요.

**탑재 대상과 연결된 보안 그룹 지정**  
파일 시스템의 탑재 대상 중 하나와 연결된 보안 그룹을 지정할 수 있습니다. 네트워크 관리 관점에서 이 접근 방식을 사용하는 것이 좋습니다.

**탑재 대상과 연결되지 않은 보안 그룹 지정**  
파일 시스템의 탑재 대상 중 하나와 연결되지 않은 보안 그룹을 지정할 수도 있습니다. 그러나 이 보안 그룹은 탑재 대상의 보안 그룹과 통신할 수 있어야 합니다.  
예를 들어 보안 그룹 D(DataSync용)와 보안 그룹 M(탑재 대상영) 간의 관계를 생성하는 방법은 다음과 같습니다.  
+ 위치를 생성할 때 지정하는 보안 그룹 D에는 NFS 포트 2049에서 보안 그룹 M으로의 아웃바운드 연결을 허용하는 규칙이 있어야 합니다.
+ 탑재 대상과 연결되는 보안 그룹 M은 보안 그룹 D의 NFS 포트 2049에서 인바운드 액세스를 허용해야 합니다.

**탑재 대상의 보안 그룹을 찾으려면**

다음 지침은 DataSync가 전송에 사용할 Amazon EFS 파일 시스템 탑재 대상의 보안 그룹을 식별하는 데 도움이 될 수 있습니다.

1. 에서 다음 `describe-mount-targets` 명령을 AWS CLI실행합니다.

   ```
   aws efs describe-mount-targets \
       --region file-system-region  \
       --file-system-id file-system-id
   ```

   이 명령은 파일 시스템의 탑재 대상에 대한 정보를 반환합니다(다음 예제 출력과 유사).

   ```
   {
       "MountTargets": [
           {
               "OwnerId": "111222333444",
               "MountTargetId": "fsmt-22334a10",
               "FileSystemId": "fs-123456ab",
               "SubnetId": "subnet-f12a0e34",
               "LifeCycleState": "available",
               "IpAddress": "11.222.0.123",
               "NetworkInterfaceId": "eni-1234a044"
           }
       ]
   }
   ```

1. 사용하려는 `MountTargetId` 값을 기록해 둡니다.

1. `MountTargetId`를 사용하는 다음 `describe-mount-target-security-groups` 명령을 실행하면 탑재 대상의 보안 그룹을 찾을 수 있습니다.

   ```
   aws efs describe-mount-target-security-groups \
       --region file-system-region \
       --mount-target-id mount-target-id
   ```

[위치를 생성](#create-efs-location-how-to)할 때 이 보안 그룹을 지정합니다.

### 제한된 파일 시스템 액세스
<a name="create-efs-location-iam"></a>

DataSync는 [액세스 포인트](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html) 및 [IAM 정책](https://docs.aws.amazon.com/efs/latest/ug/iam-access-control-nfs-efs.html)을 통해 액세스를 제한하는 Amazon EFS 파일 시스템으로 또는 Amazon EFS 파일 시스템에서 전송할 수 있습니다.

**참고**  
DataSync가 [사용자 자격 증명을 적용](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-identity-access-points)하는 액세스 포인트를 통해 대상 파일 시스템에 액세스하는 경우, [소유권을 복사](configure-metadata.md)하도록 DataSync 작업을 구성하면 소스 데이터의 POSIX 사용자 및 그룹 ID가 보존되지 않습니다. 대신 전송된 파일 및 폴더는 액세스 포인트의 사용자 및 그룹 ID로 설정됩니다. 이 경우 DataSync가 소스 및 대상 위치의 메타데이터 간 불일치를 감지하기 때문에 작업 확인이 실패합니다.

**Contents**
+ [파일 시스템 액세스를 위한 DataSync IAM 역할 생성](#create-efs-location-iam-role)
+ [DataSync 액세스를 허용하는 파일 시스템 정책 예제](#create-efs-location-iam-policy)

#### 파일 시스템 액세스를 위한 DataSync IAM 역할 생성
<a name="create-efs-location-iam-role"></a>

IAM 정책을 통해 액세스를 제한하는 Amazon EFS 파일 시스템이 있는 경우 DataSync에 파일 시스템에서 데이터를 읽거나 쓸 수 있는 권한을 제공하는 IAM 역할을 생성할 수 있습니다. 그런 다음 [파일 시스템 정책](#create-efs-location-iam-policy)에서 해당 역할을 지정해야 할 수 있습니다.

**DataSync IAM 역할을 생성하려면**

1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.

1. 왼쪽 탐색 창의 **액세스 관리**에서 **역할**을 선택한 다음, **역할 생성**을 선택합니다.

1. **신뢰할 수 있는 엔터티 선택** 페이지에서 **신뢰할 수 있는 엔터티 유형**으로 **사용자 지정 신뢰 정책**을 선택합니다.

1. 다음 JSON을 정책 편집기에 붙여넣습니다.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [{
           "Effect": "Allow",
           "Principal": {
               "Service": "datasync.amazonaws.com"
           },
           "Action": "sts:AssumeRole"
       }]
   }
   ```

------

1. **다음**을 선택합니다. **권한 추가** 페이지에서 **다음**을 선택합니다.

1. 역할 이름을 제공하고 **역할 생성**을 선택합니다.

[위치를 생성](#create-efs-location-how-to)할 때 이 역할을 지정합니다.

#### DataSync 액세스를 허용하는 파일 시스템 정책 예제
<a name="create-efs-location-iam-policy"></a>

다음 예제 파일 시스템 정책은 Amazon EFS 파일 시스템(정책에서 `fs-1234567890abcdef0`로 식별됨)에 대한 액세스가 제한되지만 `MyDataSyncRole`이라는 IAM 역할을 통해 DataSync에 대한 액세스를 허용하는 방법을 보여줍니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "ExampleEFSFileSystemPolicy",
    "Statement": [{
        "Sid": "AccessEFSFileSystem",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/MyDataSyncRole"
        },
        "Action": [
            "elasticfilesystem:ClientMount",
            "elasticfilesystem:ClientWrite",
            "elasticfilesystem:ClientRootAccess"
        ],
        "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-1234567890abcdef0",
        "Condition": {
            "Bool": {
                "aws:SecureTransport": "true"
            },
            "StringEquals": {
                "elasticfilesystem:AccessPointArn": "arn:aws:elasticfilesystem:us-east-1:111122223333:access-point/fsap-abcdef01234567890"
            }
        }
    }]
}
```

------
+ `Principal` - DataSync에 파일 시스템에 대한 액세스 권한을 부여하는 [IAM 역할](#create-efs-location-iam)을 지정합니다.
+ `Action` - DataSync에 루트 액세스 권한을 부여하고 파일 시스템에서 읽고 쓸 수 있게 합니다.
+ `aws:SecureTransport` - 파일 시스템에 연결할 때 NFS 클라이언트가 TLS를 사용하도록 요구합니다.
+ `elasticfilesystem:AccessPointArn` - 특정 액세스 포인트를 통해서만 파일 시스템에 액세스할 수 있습니다.

## Amazon EFS 전송 시 네트워크 고려 사항
<a name="efs-network-considerations"></a>

DataSync와 함께 사용하는 VPC에는 기본 테넌시가 있어야 합니다. 전용 테넌시가 있는 VPC는 지원되지 않습니다.

## Amazon EFS 전송 시 성능 고려 사항
<a name="efs-considerations"></a>

Amazon EFS 파일 시스템의 처리량 모드는 전송 기간 및 전송 중 파일 시스템 성능에 영향을 미칠 수 있습니다. 다음을 고려하세요.
+ 최상의 결과를 얻으려면 탄력적 처리량 모드를 사용하는 것이 좋습니다. 탄력적 처리량 모드를 사용하지 않는 경우 전송 시간이 더 오래 걸릴 수 있습니다.
+ 버스트 처리량 모드를 사용하는 경우 DataSync가 파일 시스템 버스트 크레딧을 사용하기 때문에 파일 시스템 애플리케이션의 성능이 영향을 받을 수 있습니다.
+ [전송된 데이터를 확인하도록 DataSync를 구성](configure-data-verification-options.md)하는 방법은 파일 시스템 성능 및 데이터 액세스 비용에 영향을 미칠 수 있습니다.

자세한 내용은 *Amazon Elastic File System 사용 설명서*의 [Amazon EFS performance](https://docs.aws.amazon.com/efs/latest/ug/performance.html) 및 [Amazon EFS 요금](https://aws.amazon.com/efs/pricing/) 페이지를 참조하세요.

## Amazon EFS 전송 위치 생성
<a name="create-efs-location-how-to"></a>

전송 위치를 생성하려면 기존 Amazon EFS 파일 시스템이 필요합니다. 파일 시스템이 없는 경우 *Amazon Elastic File System 사용 설명서*의 [Amazon EFS 시작하기](https://docs.aws.amazon.com/efs/latest/ug/getting-started.html)를 참조하세요.

### DataSync 콘솔 사용
<a name="create-efs-location-how-to-console"></a>

1. [https://console.aws.amazon.com/datasync/](https://console.aws.amazon.com/datasync/) AWS DataSync 콘솔을 엽니다.

1. 왼쪽 탐색 창에서 **데이터 전송**을 확장한 다음, **위치**와 **위치 생성**을 선택합니다.

1. **위치 유형**으로 **Amazon EFS 파일 시스템**을 선택합니다.

   나중에 이 위치를 소스 또는 대상 주소로서 구성합니다.

1. **파일 시스템**에서 위치로 사용하려는 Amazon EFS 파일 시스템을 선택합니다.

1. **마운트 경로**에는 Amazon EFS 파일 시스템의 마운트 경로를 입력합니다.

   DataSync가 파일 시스템의 데이터를 읽거나 쓰는 위치를 지정합니다(소스 위치인지 대상 위치인지에 따라 다름).

   기본적으로 DataSync는 루트 디렉터리(또는 **EFS 액세스 포인트** 설정에 루트 디렉터리를 제공하는 경우 [액세스 포인트](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html))를 사용합니다. 전방향 슬래시(예: `/path/to/directory`)를 사용하여 하위 디렉터리를 지정할 수도 있습니다.

1. **서브넷**에서 DataSync가 데이터 전송 트래픽 관리를 위한 [네트워크 인터페이스](required-network-interfaces.md)를 생성하는 서브넷을 선택합니다.

   서브넷은 다음 위치에 있어야 합니다.
   + 파일 시스템과 동일한 VPC
   + 하나 이상의 파일 시스템 탑재 대상과 동일한 가용 영역.
**참고**  
파일 시스템 탑재 대상을 포함하는 서브넷을 지정할 필요가 없습니다.

1. **보안 그룹**에서 Amazon EFS 파일 시스템의 탑재 대상과 연결된 보안 그룹을 선택합니다. 보안 그룹을 두 개 이상 선택할 수 있습니다.
**참고**  
지정하는 보안 그룹은 NFS 포트 2049에서 인바운드 트래픽을 허용해야 합니다. 자세한 내용은 [탑재 대상의 서브넷 및 보안 그룹 확인](#create-efs-location-mount-target) 단원을 참조하십시오.

1. **전송 중 암호화**에서 DataSync가 파일 시스템으로 또는 파일 시스템에서 데이터를 전송할 때 Transport Layer Security(TLS) 암호화를 사용할지 여부를 선택합니다.
**참고**  
Amazon EFS 위치에 따라 액세스 포인트, IAM 역할 또는 둘 다를 구성하려면 이 설정을 활성화해야 합니다.

1. (선택 사항) **EFS 액세스 포인트**에서 DataSync가 파일 시스템을 탑재하는 데 사용할 수 있는 액세스 포인트를 선택합니다.

   자세한 내용은 [제한된 파일 시스템 액세스](#create-efs-location-iam) 단원을 참조하십시오.

1. (선택 사항) **IAM 역할**에는 DataSync가 파일 시스템에 액세스할 수 있도록 허용하는 역할을 지정합니다.

   이 역할을 생성하는 방법에 대한 자세한 내용은 [파일 시스템 액세스를 위한 DataSync IAM 역할 생성](#create-efs-location-iam-role) 섹션을 참조하세요.

1. (선택 사항) **태그 추가**를 선택하여 파일 시스템에 태그를 지정합니다.

   *태그*는 위치를 관리, 필터링 및 검색하는 데 도움이 되는 키-값 페어입니다.

1. **위치 생성**을 선택합니다.

### 사용 AWS CLI
<a name="create-location-efs-cli"></a>

1. 다음 `create-location-efs`명령을 복사합니다.

   ```
   aws datasync create-location-efs \
       --efs-filesystem-arn 'arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id' \
       --subdirectory /path/to/your/subdirectory \
       --ec2-config SecurityGroupArns='arn:aws:ec2:region:account-id:security-group/security-group-id',SubnetArn='arn:aws:ec2:region:account-id:subnet/subnet-id' \
       --in-transit-encryption TLS1_2 \
       --access-point-arn 'arn:aws:elasticfilesystem:region:account-id:access-point/access-point-id' \
       --file-system-access-role-arn 'arn:aws:iam::account-id:role/datasync-efs-access-role
   ```

1. `--efs-filesystem-arn`에서, 전송할 Amazon EFS 파일 시스템의 Amazon 리소스 이름(ARN)을 지정합니다.

1. `--subdirectory`에서 파일 시스템의 탑재 경로를 지정합니다.

   DataSync가 파일 시스템의 데이터를 읽거나 쓰는 위치입니다(소스 위치인지 대상 위치인지에 따라 다름).

   기본적으로 DataSync는 루트 디렉터리(또는 사용자가 `--access-point-arn`에 루트 디렉터리를 제공하는 경우 [액세스 포인트](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html))를 사용합니다. 전방향 슬래시(예: `/path/to/directory`)를 사용하여 하위 디렉터리를 지정할 수도 있습니다.

1. `--ec2-config`에서 다음을 수행합니다.
   + `SecurityGroupArns`에서 파일 시스템의 탑재 대상과 연결된 보안 그룹의 ARN을 지정합니다. 보안 그룹을 두 개 이상 지정할 수 있습니다.
**참고**  
지정하는 보안 그룹은 NFS 포트 2049에서 인바운드 트래픽을 허용해야 합니다. 자세한 내용은 [탑재 대상의 서브넷 및 보안 그룹 확인](#create-efs-location-mount-target) 단원을 참조하십시오.
   + `SubnetArn`에서 DataSync가 데이터 전송 트래픽 관리를 위한 [네트워크 인터페이스](required-network-interfaces.md)를 생성하는 서브넷의 ARN을 지정합니다.

     서브넷은 다음 위치에 있어야 합니다.
     + 파일 시스템과 동일한 VPC
     + 하나 이상의 파일 시스템 탑재 대상과 동일한 가용 영역.
**참고**  
파일 시스템 탑재 대상을 포함하는 서브넷을 지정할 필요가 없습니다.

1. `--in-transit-encryption`에서 DataSync가 파일 시스템으로 또는 파일 시스템에서 데이터를 전송할 때 Transport Layer Security(TLS) 암호화를 사용할지 여부를 지정합니다.
**참고**  
Amazon EFS 위치에 따라 액세스 포인트, IAM 역할 또는 둘 다를 구성하려면 이것을 `TLS1_2`로 설정해야 합니다.

1. (선택 사항) `--access-point-arn`에서 DataSync가 파일 시스템을 탑재하는 데 사용할 수 있는 액세스 포인트의 ARN을 지정합니다.

   자세한 내용은 [제한된 파일 시스템 액세스](#create-efs-location-iam) 단원을 참조하십시오.

1. (선택 사항) `--file-system-access-role-arn`에서 DataSync가 파일 시스템에 액세스하도록 허용하는 IAM 역할의 ARN을 지정합니다.

   이 역할을 생성하는 방법에 대한 자세한 내용은 [파일 시스템 액세스를 위한 DataSync IAM 역할 생성](#create-efs-location-iam-role) 섹션을 참조하세요.

1. `create-location-efs` 명령을 실행합니다.

   명령이 성공하면 생성한 위치의 ARN을 보여주는 응답을 받게 됩니다. 예제:

   ```
   {
       "LocationArn": "arn:aws:datasync:us-east-1:111222333444:location/loc-0b3017fc4ba4a2d8d"
   }
   ```