Entra ID 도메인 서비스에 AWS 디렉터리 서비스 사용 - AWS Transfer Family
Entra ID 도메인 서비스용 AWS 디렉터리 서비스 사용을 시작하기 전에1단계: Entra ID 도메인 서비스 추가2단계: 서비스 계정 생성3단계: AD 커넥터를 사용하여 AWS 디렉터리 설정4단계: AWS Transfer Family 서버 설정5단계: 그룹에 액세스 권한 부여6단계: 사용자 테스트

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Entra ID 도메인 서비스에 AWS 디렉터리 서비스 사용

SFTP 전송만 필요하고 도메인을 관리하지 않으려는 고객을 위한 Simple Active Directory가 있습니다. 또는 완전 관리형 서비스에서 Active Directory와 고가용성의 이점을 누리고자 하는 고객은 AWS 관리형 Microsoft AD를 사용할 수 있습니다. 마지막으로, SFTP 전송을 위해 기존 Active Directory 포리스트를 활용하려는 고객을 위해 Active Directory Connector가 있습니다.

다음 사항에 유의하세요.

  • SFTP 전송 요구 사항에 맞게 기존 액티브 디렉터리 포리스트를 활용하려면 Active Directory Connector를 사용할 수 있습니다.

  • 완전 관리형 서비스에서 Active Directory의 이점과 고가용성을 활용하려면 AWS Directory Service for Microsoft Active Directory를 사용할 수 있습니다. 자세한 내용은 Microsoft Active Directory용 AWS Directory Service 사용을 참조하세요.

이 주제에서는 Active Directory 커넥터 및 Entra ID(이전 Azure AD) 도메인 서비스를 사용하여 Entra ID로 SFTP Transfer 사용자를 인증하는 방법을 설명합니다.

Entra ID 도메인 서비스용 AWS 디렉터리 서비스 사용을 시작하기 전에

참고

AWS Transfer Family 의 기본 제한은 서버당 Active Directory 그룹 100개입니다. 사용 사례에 100개 이상의 그룹이 필요한 경우 용 사용자 지정 자격 증명 공급자를 사용한 Active Directory 인증 간소화에 설명된 대로 사용자 지정 자격 증명 공급자 AWS Transfer Family솔루션을 사용하는 것이 좋습니다.

의 AWS경우 다음이 필요합니다.

  • Transfer Family 서버를 사용하는 AWS 리전의 Virtual Private Cloud(VPC)

  • VPC에 최소 두 개의 프라이빗 서브넷이 있어야 함

  • VPC는 인터넷에 연결되어 있어야 함

  • Microsoft Entra와의 site-to-site VPN 연결을 위한 고객 게이트웨이 및 가상 프라이빗 게이트웨이

Microsoft Entra의 경우 다음이 필요합니다.

  • Entra ID 및 Active Directory 도메인 서비스

  • Entra 리소스 그룹

  • Entra 가상 네트워크

  • Amazon VPC와 Entra 리소스 그룹 간의 VPN 연결

    참고

    네이티브 IPSEC 터널을 통하거나 VPN 어플라이언스를 사용하여 연결할 수 있습니다. 이 주제에서는 Entra Virtual 네트워크 게이트웨이와 로컬 네트워크 게이트웨이 간에 IPSEC 터널을 사용합니다. Entra Domain Service 엔드포인트와 AWS VPC를 수용하는 서브넷 간의 트래픽을 허용하도록 터널을 구성해야 합니다.

  • Microsoft Entra와의 site-to-site VPN 연결을 위한 고객 게이트웨이 및 가상 프라이빗 게이트웨이

다음 다이어그램은 시작하기 전에 필요한 구성을 보여줍니다.

Entra/Azure AD 및 AWS Transfer Family 아키텍처 다이어그램. AWS 디렉터리 서비스 커넥터를 사용하여 인터넷을 통해 Entra 가상 네트워크에 연결하는 AWS VPC를 Entra 도메인 서비스에 연결합니다.

1단계: Entra ID 도메인 서비스 추가

Entra ID는 기본적으로 도메인 조인 인스턴스를 지원하지 않습니다. 도메인 조인과 같은 작업을 수행하고 그룹 정책과 같은 도구를 사용하려면 관리자가 Entra ID 도메인 서비스를 활성화해야 합니다. Entra DS를 아직 추가하지 않았거나 기존 구현이 SFTP Transfer 서버에서 사용할 도메인과 연결되어 있지 않은 경우 새 인스턴스를 추가해야 합니다.

Entra ID 도메인 서비스 활성화에 대한 자세한 내용은 자습서: Microsoft Entra 도메인 서비스 관리형 도메인 생성 및 구성을 참조하세요.

참고

Entra DS를 활성화할 때 SFTP Transfer 서버를 연결하려는 리소스 그룹 및 Entra 도메인에 대해 구성되었는지 확인합니다.

실행 중인 리소스 그룹 bob.us 보여주는 Entra 도메인 서비스 화면입니다.

2단계: 서비스 계정 생성

Entra에는 Entra DS의 관리자 그룹에 속하는 서비스 계정이 하나 있어야 합니다. 이 계정은 AWS Active Directory 커넥터와 함께 사용됩니다. 이 계정이 Entra DS와 동기화되어 있는지 확인합니다.

사용자의 프로필을 보여주는 엔트라 화면입니다.
작은 정보

SFTP 프로토콜을 사용하는 Transfer Family 서버에서는 Entra ID에 대한 다중 인증이 지원되지 않습니다. Transfer Family 서버는 사용자가 SFTP에 인증한 후에는 MFA 토큰을 제공할 수 없습니다. 연결을 시도하기 전에 MFA를 비활성화해야 합니다.

2명의 사용자에 대해 MFA 상태가 비활성화됨으로 표시되는 멀티 팩터 인증 세부 정보입니다.

3단계: AD 커넥터를 사용하여 AWS 디렉터리 설정

Entra DS를 구성하고 AWS VPC와 Entra 가상 네트워크 간에 IPSEC VPN 터널이 있는 서비스 계정을 생성한 후에는 모든 AWS EC2 인스턴스에서 Entra DS DNS IP 주소를 ping하여 연결을 테스트할 수 있습니다.

연결이 활성화되었는지 확인한 후 아래에서 계속할 수 있습니다.

AD Connector를 사용하여 AWS 디렉터리를 설정하려면

  1. 디렉터리 서비스 콘솔을 열고 디렉터리를 선택합니다.

  2. 디렉터리 설정을 선택합니다.

  3. 디렉터리 타입으로는 AD Connector를 선택합니다.

  4. 디렉터리 크기를 선택하고 다음을 선택한 다음 VPC와 서브넷을 선택합니다.

  5. 다음을 선택하고 다음과 같이 필드를 채웁니다.

    • 디렉터리 DNS 이름: Entra DS에 사용 중인 도메인 이름을 입력합니다.

    • DNS IP 주소: Entra DS IP 주소를 입력합니다.

    • 서버 계정 사용자 이름암호: 2단계: 서비스 계정 생성에서 만든 서비스 계정의 세부 정보를 입력합니다.

  6. 화면을 완료하여 디렉터리 서비스를 생성합니다.

이제 디렉터리 상태가 활성이어야 하며 SFTP 전송 서버에서 사용할 준비가 되었습니다.

디렉터리 서비스 화면에는 필요에 따라 활성 상태의 디렉터리 하나가 표시됩니다.

4단계: AWS Transfer Family 서버 설정

SFTP 프로토콜과 AWS Directory Service의 자격 증명 공급자 유형을 사용하여 Transfer Family 서버를 생성합니다. 디렉터리 드롭다운 목록에서 3단계: AD Connector를 사용하여 AWS 디렉터리 설정에서 추가한 디렉터리를 선택합니다.

참고

Transfer Family 서버에서 사용한 Microsoft AD 디렉터리는 AWS Directory Service에서 삭제할 수 없습니다. 먼저 서버를 삭제해야 디렉터리를 삭제할 수 있습니다.

5단계: 그룹에 액세스 권한 부여

서버를 생성한 후에는를 사용하여 활성화된 프로토콜을 통해 파일을 업로드하고 다운로드할 수 있는 액세스 권한이 있는 디렉터리의 그룹을 선택해야 합니다 AWS Transfer Family. 액세스 권한을 생성하여 이 작업을 수행할 수 있습니다.

참고

사용자는 액세스 권한을 부여하는 그룹에 직접 속해야 합니다. 예를 들어 Bob이 사용자이고 groupA에 속하며 groupA 자체가 groupB에 포함되어 있다고 가정합니다.

  • 그룹 A에 액세스 권한을 부여하면 Bob에게 액세스 권한이 부여됩니다.

  • 그룹 A가 아닌 그룹 B에 액세스 권한을 부여하는 경우 Bob은 액세스 권한을 갖지 않습니다.

액세스 권한을 부여하려면 그룹의 SID를 검색해야 합니다.

다음 Windows PowerShell 명령을 사용하여 그룹의 SID를 검색하고 YourGroupName을 그룹 이름으로 바꿉니다.

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid
검색되는 객체 SID를 보여주는 Windows PowerShell입니다.
그룹에 액세스 권한을 부여하려면

  1. https://console.aws.amazon.com/transfer/ 엽니다.

  2. 서버 세부 정보 페이지로 이동한 다음 액세스 섹션에서 액세스 추가를 선택합니다.

  3. 이전 절차의 출력에서 받은 SID를 입력합니다.

  4. 액세스에서 그룹의 AWS Identity and Access Management 역할을 선택합니다.

  5. 정책 섹션에서 정책을 선택합니다. 기본값은 없음입니다.

  6. 홈 디렉터리에서 그룹의 홈 디렉터리에 해당하는 Amazon S3 버킷을 선택합니다.

  7. 추가를 선택하여 연결을 생성합니다.

전송 서버의 세부 정보는 다음과 유사해야 합니다.

자격 증명 공급자의 디렉터리 ID 예제를 보여주는 Transfer Family 서버 세부 정보 화면의 일부입니다.
Transfer Family 서버 세부 정보 화면의 일부로, 화면의 액세스 부분에 있는 활성 디렉터리의 외부 ID를 보여줍니다.

6단계: 사용자 테스트

사용자가 서버의 AWS Managed Microsoft AD 디렉터리에 액세스할 수 있는지 테스트(테스트 사용자)할 수 있습니다. 사용자는 엔드포인트 구성 페이지의 액세스 섹션에 나열된 정확히 하나의 그룹(외부 ID)에 속해야 합니다. 사용자가 그룹에 속하지 않거나 둘 이상의 그룹에 속해 있는 경우 해당 사용자에게 액세스 권한이 부여되지 않습니다.