기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
자격 증명 공급자 구성 편집
서버의 자격 증명 공급자 유형을 모든 유형에서 다른 유형으로 변경할 수 있습니다. 사용 가능한 자격 증명 공급자 유형은 다음과 같습니다.
-
서비스 관리형 - 서비스 내에 사용자 자격 증명 저장
-
AWS 디렉터리 서비스 - Entra ID 도메인 서비스에 AWS 관리형 Microsoft AD 또는 AWS 디렉터리 서비스 사용
-
사용자 지정 - Lambda 함수 또는 Amazon API Gateway를 사용하여 기존 자격 증명 공급자와 통합
자격 증명 공급자 유형을 변경할 때는 전환에 따라 특정 정보를 제공해야 합니다. 다음 섹션에서는 각 변경 유형에 필요한 정보를 설명합니다.
중요
자격 증명 공급자 변경 시 고려 사항:
-
사용자 마이그레이션 - 자격 증명 공급자 유형을 변경할 때 기존 사용자 구성은 자동으로 마이그레이션되지 않습니다. 새 자격 증명 공급자 시스템에서 사용자를 설정해야 합니다.
-
테스트 - 프로덕션 환경을 변경하기 전에 새 ID 제공업체 구성을 철저히 테스트합니다.
-
권한 - 변경하기 전에 새 자격 증명 공급자에 필요한 IAM 권한 및 역할이 구성되어 있는지 확인합니다.
서비스 관리형 자격 증명 공급자로 변경
다른 자격 증명 공급자 유형에서 서비스 관리형으로 변경할 때는 다음을 수행해야 합니다.
-
ID 제공업체 유형으로 관리형 서비스 선택
-
다른 자격 증명 공급자의 기존 사용자 구성은 전송되지 않으므로 변경이 완료된 AWS Transfer Family 후에서 직접 새 사용자를 생성합니다.
예: 사용자 지정 자격 증명 공급자에서 서비스 관리형으로 변경하는 경우 서비스 내에서 AWS Transfer Family 모든 사용자 계정 및 관련 권한을 다시 생성해야 합니다.
AWS 디렉터리 서비스로 변경
다른 자격 증명 공급자 유형에서 AWS 디렉터리 서비스로 변경할 때는 다음을 제공해야 합니다.
-
디렉터리 - 기존 AWS Managed Microsoft AD 또는 AWS Directory Service for Entra ID Domain Services 디렉터리 선택
-
액세스 - 특정 그룹에 대한 액세스를 제한할지 또는 디렉터리의 모든 사용자에 대한 액세스를 허용할지 선택합니다.
-
액세스 역할 -가 디렉터리에 액세스할 수 있도록 허용하는 AWS Transfer Family IAM 역할
예: 서비스 관리형에서 AWS 디렉터리 서비스로 변경하는 경우 기존 d-1234567890 디렉터리를 선택하고 TransferUsers 그룹에 대한 액세스를 제한하도록 선택한 다음 TransferDirectoryAccessRole IAM 역할을 지정합니다.
사용자 지정 자격 증명 공급자로 변경
다른 자격 증명 공급자 유형에서 사용자 지정 자격 증명 공급자로 변경하는 경우 Lambda 함수 또는 Amazon API Gateway 중에서 선택하고 필요한 구성을 제공해야 합니다.
Lambda 함수 사용
Lambda 함수 통합의 경우 다음을 제공합니다.
-
함수 - 인증을 처리하는 기존 Lambda 함수 선택
-
인증 방법(SFTP 프로토콜용) - 암호, 퍼블릭 키 또는 둘 다를 선택합니다.
예: AWS 디렉터리 서비스에서 사용자 지정 Lambda 자격 증명 공급자로 변경하는 경우 TransferCustomAuth 함수를 선택하고 인증 방법으로 암호를 선택합니다.
Amazon API Gateway 사용
Amazon API Gateway 통합의 경우 다음을 제공합니다.
-
API Gateway URL - API Gateway 엔드포인트의 호출 URL입니다.
-
호출 역할 -가 API Gateway를 호출 AWS Transfer Family 하도록 허용하는 IAM 역할
-
인증 방법(SFTP 프로토콜의 경우) - 암호, 퍼블릭 키 또는 둘 다를 선택합니다.
예: 서비스 관리형에서 API Gateway로 변경하는 경우 URL을 제공하고https://abcdef123.execute-api.us-east-1.amazonaws.com/prod, TransferApiGatewayInvocationRole IAM 역할을 지정하고, 인증 방법으로 퍼블릭 키를 선택합니다.
Amazon API Gateway에서 Lambda 함수로 변경
사용자 지정 ID 제공업체 통합을 위해 Amazon API Gateway에서 Lambda 함수로 일반적인 전환이 변경되고 있습니다. 이 변경 사항을 통해 동일한 인증 로직을 유지하면서 아키텍처를 간소화할 수 있습니다.
이 전환의 주요 고려 사항:
-
동일한 함수, 다른 권한 - API Gateway와 직접 Lambda 통합 모두에 동일한 Lambda 함수를 사용할 수 있지만 리소스 정책을 업데이트해야 합니다.
-
리소스 정책 요구 사항 - 직접 Lambda 통합으로 변경할 때 함수의 리소스 정책은 외에도 함수를 호출할 수 있는
transfer.amazonaws.com권한을 부여해야 합니다apigateway.amazonaws.com.
이 변경을 수행하려면
-
가 함수를
transfer.amazonaws.com호출할 수 있도록 Lambda 함수의 리소스 정책을 업데이트합니다. -
AWS Transfer Family 콘솔에서 자격 증명 공급자를 API Gateway에서 Lambda 함수로 변경합니다.
-
기존 Lambda 함수를 선택합니다.
-
구성을 테스트하여 인증이 올바르게 작동하는지 확인합니다.
직접 Lambda 통합을 위한 리소스 정책 예제:
-
{ "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": [ "transfer.amazonaws.com", "apigateway.amazonaws.com" ] }, "Action": "lambda:InvokeFunction", "Resource": "arn:aws:lambda:us-east-1:123456789012:function:function-name" }] }
자격 증명 공급자 전환 중 사용자 보존
자격 증명 공급자 유형 간에 변경할 때 문제가 발생할 경우 효율적인 롤백을 위해 특정 시나리오에서 기존 사용자 구성이 보존됩니다.
-
서비스 관리형에서 사용자 지정 자격 증명 공급자로 및 뒤로 - 서비스 관리형에서 사용자 지정 자격 증명 공급자로 변경한 다음 다시 서비스 관리형으로 변경하면 모든 사용자가 마지막으로 알려진 구성으로 보존됩니다.
-
AWS Directory Service 사용자 지정 자격 증명 공급자 및 뒤로 -에서 사용자 지정 자격 증명 공급자 AWS Directory Service 로 변경한 다음 다시 로 변경하면 위임된 액세스 그룹에 대한 AWS Directory Service모든 정의가 마지막으로 알려진 구성에 유지됩니다.
이러한 보존 동작을 통해 사용자 지정 ID 제공업체 구성을 안전하게 테스트하고 사용자 액세스 구성을 잃지 않고 이전 설정으로 롤백할 수 있습니다.
자격 증명 공급자 변경 시 중요 고려 사항
-
사용자 마이그레이션 - 자격 증명 공급자 유형을 변경할 때 기존 사용자 구성은 자동으로 마이그레이션되지 않습니다. 새 자격 증명 공급자 시스템에서 사용자를 설정해야 합니다.
-
테스트 - 프로덕션 환경을 변경하기 전에 새 자격 증명 공급자 구성을 철저히 테스트합니다.
-
권한 - 변경하기 전에 새 자격 증명 공급자에 필요한 IAM 권한 및 역할이 구성되어 있는지 확인합니다.
