서버 엔드포인트에 대한 사용자 관리 - AWS Transfer Family
아마존 EFS와 아마존 S3논리적 디렉터리Active Directory 그룹 할당량

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

서버 엔드포인트에 대한 사용자 관리

다음 섹션에서는 AWS Transfer Family AWS Directory Service for Microsoft Active Directory 또는 사용자 지정 자격 증명 공급자를 사용하여 사용자를 추가하는 방법에 대한 정보를 찾을 수 있습니다.

또한 각 사용자 속성의 일부로, 사용자의 SSH(보안 쉘) 퍼블릭 키를 저장합니다. 키 기반 인증에는 이렇게 해야 합니다. 프라이빗 키는 사용자의 컴퓨터에 로컬로 저장됩니다. 사용자가 클라이언트를 사용하여 서버에 인증 요청을 보내면, 서버에서는 먼저 사용자를 사용자가 연관된 SSH 프라이빗 키에 대한 액세스 권한을 가지고 있는지 확인합니다. 그러면 서버가 사용자를 성공적으로 인증합니다.

참고

여러 SSH 키가 있는 사용자의 자동 배포 및 관리는 섹션을 참조하세요Transfer Family Terraform 모듈.

또한 사용자의 홈 디렉터리 또는 랜딩 디렉터리를 지정하고, AWS Identity and Access Management (IAM) 역할을 사용자에게 할당합니다. 원한다면 세션 정책을 제공해 사용자 액세스를 Amazon S3 버킷의 홈 디렉터리로 제한할 수도 있습니다.

중요

AWS Transfer Family 는 SFTP 서버에 대한 인증에서 1~2자 길이의 사용자 이름을 차단합니다. 또한 root 사용자 이름도 차단합니다.

그 이유는 암호 스캐너의 악의적인 로그인 시도가 대량으로 발생하기 때문입니다.

아마존 EFS와 아마존 S3

각 스토리지 옵션의 특징:

  • 액세스를 제한하려면: Amazon S3는 세션 정책을 지원하고, Amazon EFS는 POSIX 사용자, 그룹 및 보조 그룹 ID를 지원합니다.

  • 둘 다 퍼블릭/프라이빗 키 지원

  • 둘 다 홈 디렉터리 지원

  • 둘 다 논리적 디렉터리 지원

    참고

    Amazon S3의 경우 논리적 디렉터리에 대한 대부분의 지원은 API/CLI를 통해 이루어집니다. 콘솔의 제약 확인란을 사용하여 사용자를 홈 디렉터리에 잠글 수 있지만 가상 디렉터리 구조를 지정할 수는 없습니다.

논리적 디렉터리

사용자의 논리적 디렉터리 값을 지정하는 경우 사용하는 파라미터는 사용자 타입에 따라 달라집니다.

  • 서비스 관리 사용자의 경우 HomeDirectoryMappings에서 논리적 디렉터리 값을 제공하세요.

  • 사용자 지정 자격 증명 공급자 사용자의 경우에 논리적 디렉터리 값을 제공합니다HomeDirectoryDetails.

AWS Transfer Family 는 LOGICAL HomeDirectoryType을 사용할 때 HomeDirectory 값 지정을 지원합니다. 이는 응답에 HomeDirectoryDetails가 제공되는 서비스 관리형 사용자, Active Directory 액세스 및 사용자 지정 자격 증명 공급자 구현에 적용됩니다.

중요

LOGICAL HomeDirectoryType을 사용하여 HomeDirectory를 지정할 때 값은 논리적 디렉터리 매핑 중 하나에 매핑되어야 합니다. 이 서비스는 사용자 생성 및 업데이트 중에 이를 검증하여 작동하지 않는 구성을 방지합니다.

기본 동작

기본적으로 지정하지 않은 상태로 두면 LOGICAL 모드의 경우 HomeDirectory가 "/"로 설정됩니다. 이 동작은 변경되지 않으며 기존 사용자 정의와 호환됩니다.

사용자 지정 자격 증명 공급자 고려 사항

사용자 지정 자격 증명 공급자를 사용하는 경우 이제 LOGICAL HomeDirectoryType을 사용하는 동안 응답에 HomeDirectory를 지정할 수 있습니다. TestIdentityProvider API 호출은 사용자 지정 IDP가 LOGICAL 모드에서 HomeDirectory를 지정할 때 올바른 결과를 생성합니다.

HomeDirectory 및 LOGICAL HomeDirectoryType을 사용한 사용자 지정 IDP 응답의 예:

{
  "Role": "arn:aws:iam::123456789012:role/transfer-user-role",
  "HomeDirectoryType": "LOGICAL",
  "HomeDirectory": "/marketing",
  "HomeDirectoryDetails": "[{\"Entry\":\"/\",\"Target\":\"/bucket/home\"},{\"Entry\":\"/marketing\",\"Target\":\"/marketing-bucket/campaigns\"}]"
}

Active Directory 그룹 할당량

AWS Transfer Family 의 기본 제한은 서버당 Active Directory 그룹 100개입니다. 사용 사례에 100개 이상의 그룹이 필요한 경우 용 사용자 지정 자격 증명 공급자를 사용한 Active Directory 인증 간소화에 설명된 대로 사용자 지정 자격 증명 공급자 AWS Transfer Family솔루션을 사용하는 것이 좋습니다.

이 제한은 다음 자격 증명 공급자를 사용하는 서버에 적용됩니다.

  • AWS Microsoft Active Directory용 디렉터리 서비스

  • AWS Entra ID 도메인 서비스를 위한 디렉터리 서비스

서비스 한도 증가를 요청해야 하는 경우의 AWS 서비스 할당량을 참조하세요AWS 일반 참조. 사용 사례에 100개 이상의 그룹이 필요한 경우 용 사용자 지정 자격 증명 공급자를 사용한 Active Directory 인증 간소화에 설명된 대로 사용자 지정 자격 증명 공급자 AWS Transfer Family솔루션을 사용하는 것이 좋습니다.

Active Directory 그룹 제한과 관련된 문제 해결 정보는 섹션을 참조하세요Active Directory 그룹 제한 초과.

주제