VPC 기반 송신을 사용하여 SFTP 커넥터 생성 - AWS Transfer Family
VPC_LATTICE 지원 SFTP 커넥터의 사전 조건VPC_LATTICE 지원 SFTP 커넥터 생성VPC 커넥터 상태 모니터링제한 사항 및 고려 사항비용 고려 사항VPC 연결 예제

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

VPC 기반 송신을 사용하여 SFTP 커넥터 생성

이 주제에서는 VPC 연결을 사용하여 SFTP 커넥터를 생성하기 위한 step-by-step 지침을 제공합니다. VPC_LATTICE 지원 커넥터는 Amazon VPC Lattice를 사용하여 가상 프라이빗 클라우드를 통해 트래픽을 라우팅하므로 프라이빗 엔드포인트에 안전하게 연결하거나 인터넷 액세스를 위해 자체 NAT 게이트웨이를 사용할 수 있습니다.

VPC 연결을 사용해야 하는 경우

다음 시나리오에서는 SFTP 커넥터에 VPC 연결을 사용합니다.

  • 프라이빗 SFTP 서버: VPC에서만 액세스할 수 있는 SFTP 서버에 연결합니다.

  • 온프레미스 연결: AWS Direct Connect 또는 AWS Site-to-Site VPN 연결을 통해 온프레미스 SFTP 서버에 연결합니다.

  • 사용자 지정 IP 주소: BYOIP 시나리오를 포함하여 자체 NAT 게이트웨이와 탄력적 IP 주소를 사용합니다.

  • 중앙 집중식 보안 제어: 조직의 중앙 수신/송신 제어를 통해 파일 전송을 라우팅합니다.

VPC 간 리소스 액세스를 통해 가상 프라이빗 클라우드를 통해 보안 연결을 활성화하는 방법을 보여주는 SFTP 커넥터의 VPC 기반 송신을 보여주는 아키텍처 다이어그램입니다.

VPC_LATTICE 지원 SFTP 커넥터의 사전 조건

VPC_LATTICE 지원 SFTP 커넥터를 생성하기 전에 다음 사전 조건을 완료해야 합니다.

VPC 기반 연결 작동 방식

VPC Lattice를 사용하면 VPC 리소스를 다른 AWS 서비스와 안전하게 공유할 수 있습니다. AWS Transfer Family 는 서비스 네트워크를 사용하여 리소스 공유 프로세스를 간소화합니다. 주요 구성 요소는 다음과 같습니다.

  • Resource Gateway: VPC에 대한 액세스 지점 역할을 합니다. 최소 2개의 가용 영역으로 VPC에서 이를 생성합니다.

  • 리소스 구성: 연결하려는 SFTP 서버의 프라이빗 IP 주소 또는 퍼블릭 DNS 이름을 포함합니다.

VPC_LATTICE 지원 커넥터를 생성할 때는 전달 액세스 세션(FAS)을 AWS Transfer Family 사용하여 일시적으로 자격 증명을 얻고 리소스 구성을 서비스 네트워크와 연결합니다.

필수 설정 단계

  1. VPC 인프라: SFTP 서버 연결 요구 사항에 필요한 서브넷, 라우팅 테이블 및 보안 그룹이 있는 VPC가 올바르게 구성되어 있는지 확인합니다.

  2. Resource Gateway: VPC Lattice create-resource-gateway 명령을 사용하여 VPC에서 Resource Gateway를 생성합니다. Resource Gateway는 두 개 이상의 가용 영역에 있는 서브넷과 연결되어야 합니다. 자세한 내용은 Amazon VPC Lattice 사용 설명서리소스 게이트웨이를 참조하세요.

  3. 리소스 구성: VPC Lattice create-resource-configuration 명령을 사용하여 대상 SFTP 서버를 나타내는 리소스 구성을 생성합니다. 다음 중 하나를 지정할 수 있습니다.

    • 프라이빗 엔드포인트의 프라이빗 IP 주소

    • 퍼블릭 엔드포인트의 퍼블릭 DNS 이름(퍼블릭 엔드포인트에는 IP 주소가 지원되지 않음)

  4. 인증 자격 증명:에 설명된 AWS Secrets Manager 대로 SFTP 사용자 자격 증명을에 저장합니다Secrets Manager에 SFTP 커넥터의 인증 자격 증명 저장 .

중요

Resource Gateway 및 리소스 구성은 동일한 AWS 계정에서 생성해야 합니다. 리소스 구성을 생성할 때 먼저 Resource Gateway가 있어야 합니다.

VPC 리소스 구성에 대한 자세한 내용은 Amazon VPC Lattice 사용 설명서리소스 구성을 참조하세요.

참고

SFTP 커넥터에 대한 VPC 연결은 Amazon VPC Lattice 리소스를 사용할 수 AWS 리전 있는에서 사용할 수 있습니다. 자세한 내용은 VPC Lattice FAQs. 가용 영역 지원은 리전에 따라 다르며 Resource Gateway에는 최소 2개의 가용 영역이 필요합니다.

VPC_LATTICE 지원 SFTP 커넥터 생성

사전 조건을 완료한 후, AWS CLI AWS 관리 콘솔 또는 AWS SDKs.

Console
VPC_LATTICE 지원 SFTP 커넥터를 생성하려면

  1. https://console.aws.amazon.com/transfer/ AWS Transfer Family 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 SFTP 커넥터를 선택한 다음 SFTP 커넥터 생성을 선택합니다.

  3. 커넥터 구성 섹션의 송신 유형에서 VPC Lattice를 선택합니다.

    이 옵션은 VPC 간 리소스 액세스를 위해 Amazon VPC Lattice를 사용하여 VPC를 통해 트래픽을 라우팅합니다. 이 옵션을 사용하여 프라이빗 호스팅 서버 엔드포인트에 연결하거나, VPC의 보안 제어를 통해 트래픽을 라우팅하거나, 자체 NAT 게이트웨이 및 탄력적 IP 주소를 사용할 수 있습니다. 원격 SFTP 서버의 주소는 VPC에서 리소스 구성으로 표시됩니다. 리소스 구성에 대한 자세한 내용은 Amazon VPC Lattice 사용 설명서의 VPC 리소스에 대한 리소스 구성을 참조하세요.

  4. 커넥터 구성을 완료합니다.

    • 액세스 역할에서 사용할 (IAM) 역할의 Amazon 리소스 이름 AWS Identity and Access Management (ARN)을 선택합니다.

      • 이 역할이 StartFileTransfer 요청에서 사용된 파일 위치의 상위 디렉터리에 대한 읽기 및 쓰기 액세스 권한을 이 역할이 제공하는지 확인하세요.

      • 이 역할이 secretsmanager:GetSecretValue에 대해 암호에 액세스할 수 있는 권한을 제공하는지 확인하세요.

        참고

        정책에서 보안 암호의 ARN을 지정해야 합니다. ARN에는 보안 암호 이름이 포함되지만 이름에 임의의 영숫자 6자를 추가합니다. 보안 암호의 ARN 형식은 다음과 같습니다.

        arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters

      • 사용자의 이전 요청을 처리할 때 커넥터가 리소스에 액세스할 수 있도록 허용하는 신뢰 관계가 이 역할에 포함되어 있는지 확인하세요. 신뢰 관계 설정에 대한 자세한 내용은 신뢰 관계를 구축하기 위해을 참조하세요. 

      {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
        "Sid": "AllowListingOfUserFolder",
        "Action": [
            "s3:ListBucket",
            "s3:GetBucketLocation"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket"
        ]
    },
    {
        "Sid": "HomeDirObjectAccess",
        "Effect": "Allow",
        "Action": [
            "s3:PutObject",
            "s3:GetObject",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion",
            "s3:GetObjectVersion",
            "s3:GetObjectACL",
            "s3:PutObjectACL"
        ],
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
    },
    {
        "Sid": "GetConnectorSecretValue",
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters"
    }
  ]
}
      참고

      액세스 역할의 경우, 예는 단일 암호에 대한 액세스 권한을 부여합니다. 하지만 와일드카드 문자를 사용하면 여러 사용자 및 암호에 대해 동일한 IAM 역할을 재사용하려는 경우 작업을 줄일 수 있습니다. 예컨대, 다음 리소스 명령문은 aws/transfer으로 시작하는 이름을 가진 모든 암호에 대한 권한을 부여합니다.

      "Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*"

      SFTP 자격 증명이 포함된 암호를 다른 AWS 계정에 저장할 수도 있습니다. 교차 계정 보안 암호 액세스를 활성화하는 방법에 대한 자세한 내용은 다른 계정의 사용자에 대한 AWS Secrets Manager 보안 암호 권한을 참조하세요.

    • 리소스 구성 ARN에 SFTP 서버를 가리키는 VPC Lattice 리소스 구성의 ARN을 입력합니다.

      arn:aws:vpc-lattice:region:account-id:resourceconfiguration/rcfg-12345678

    • (옵션) 로깅 역할에서 커넥터가 CloudWatch 로그에 이벤트를 푸시하는 데 사용할 IAM 역할을 선택합니다.

      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
        }
    ]
}

  5. SFTP 구성 섹션에 다음 정보를 제공합니다.

    • 커넥터 자격 증명에서 SFTP 사용자의 프라이빗 키 또는 암호 AWS Secrets Manager 가 포함된의 보안 암호 이름을 선택합니다.

    • 신뢰할 수 있는 호스트 키의 경우 외부 서버를 식별하는 데 사용되는 호스트 키의 퍼블릭 부분에 붙여넣거나 나중에 TestConnection 명령을 사용하여 구성하려면 비워 둡니다.

      이 호스트 키는 VPC_LATTICE 커넥터용이므로 키에서 호스트 이름을 제거합니다.

    • (선택 사항) 최대 동시 연결에서 커넥터가 원격 서버에 생성하는 동시 연결 수를 선택합니다(기본값은 5).

  6. 암호화 알고리즘 옵션 섹션의 드롭다운 목록에서 보안 정책을 선택합니다.

  7. (선택 사항) 태그 섹션에서 태그를 키-값 페어로 추가합니다.

  8. SFTP 커넥터 생성을 선택하여 VPC_LATTICE 지원 SFTP 커넥터를 생성합니다.

리소스 연결이 프로비저닝되는 PENDING 동안 커넥터가 상태로 생성되며, 일반적으로 몇 분 정도 걸립니다. 상태가 로 변경되면 커넥터를 사용할 준비가 ACTIVE된 것입니다.

CLI

다음 명령을 사용하여 VPC_LATTICE 지원 SFTP 커넥터를 생성합니다.

aws transfer create-connector \
    --url "sftp://my.sftp.server.com:22" \
    --access-role arn:aws:iam::123456789012:role/TransferConnectorRole \
    --sftp-config UserSecretId=my-secret-id,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
    --egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-1234567890abcdef0} \
    --security-policy-name TransferSecurityPolicy-2024-01

VPC 연결의 키 파라미터는 SFTP 서버 대상을 정의하는 리소스 구성 ARN을 --egress-config지정하는 입니다.

VPC 커넥터 상태 모니터링

VPC_LATTICE 지원 커넥터에는 비동기식 설정 프로세스가 있습니다. 생성 후 커넥터 상태를 모니터링합니다.

  • 보류 중: 커넥터가 프로비저닝되고 있습니다. 서비스 네트워크 프로비저닝이 진행 중이며 일반적으로 몇 분 정도 걸립니다.

  • ACTIVE: 커넥터를 사용할 준비가 되었으며 파일을 전송할 수 있습니다.

  • ERRORED: 커넥터가 프로비저닝되지 않았습니다. 오류 세부 정보에서 문제 해결 정보를 확인합니다.

describe-connector 명령을 사용하여 커넥터 상태를 확인합니다.

aws transfer describe-connector --connector-id c-1234567890abcdef0

PENDING 상태에서 test-connection API는 프로비저닝이 완료될 때까지 "Connector not available"를 반환합니다.

제한 사항 및 고려 사항

  • 퍼블릭 엔드포인트: VPC를 통해 퍼블릭 엔드포인트에 연결할 때 리소스 구성에 DNS 이름을 제공해야 합니다. 퍼블릭 IP 주소는 지원되지 않습니다.

  • 리전별 가용성: 일부에서 VPC 연결을 사용할 수 있습니다 AWS 리전. 교차 리전 리소스 공유는 지원되지 않습니다.

  • 가용 영역 요구 사항: Resource Gateway는 두 개 이상의 가용 영역에 있는 서브넷과 연결되어야 합니다. 모든 가용 영역이 모든 리전에서 VPC Lattice를 지원하는 것은 아닙니다.

  • 연결 제한: TCP 연결의 유휴 제한 시간이 350초인 리소스당 최대 350개의 연결.

비용 고려 사항

일반 서비스 요금 AWS Transfer Family 외에의 추가 요금은 없습니다. 그러나 고객은 Amazon Virtual Private Cloud 리소스 공유와 관련된 Amazon VPC Lattice의 추가 요금이 부과될 수 있으며, 인터넷으로 송신하기 위해 자체 NAT 게이트웨이를 사용하는 경우 NAT 게이트웨이 요금이 부과될 수 있습니다.

전체 AWS Transfer Family 요금 정보는 AWS Transfer Family 요금 페이지를 참조하세요.

SFTP 커넥터의 VPC 연결 예제

이 섹션에서는 다양한 시나리오에 대해 VPC 연결을 사용하여 SFTP 커넥터를 생성하는 예제를 제공합니다. 이러한 예제를 사용하기 전에 VPC 연결 설명서에 설명된 대로 VPC 인프라 설정을 완료했는지 확인합니다.

예: 프라이빗 엔드포인트 연결

이 예제에서는 VPC에서만 액세스할 수 있는 프라이빗 SFTP 서버에 연결하는 SFTP 커넥터를 생성하는 방법을 보여줍니다.

사전 조건

  1. VPC에서 Resource Gateway를 생성합니다.

    aws vpc-lattice create-resource-gateway \
    --name my-private-server-gateway \
    --vpc-identifier vpc-1234567890abcdef0 \
    --subnet-ids subnet-1234567890abcdef0 subnet-0987654321fedcba0

  2. 프라이빗 SFTP 서버에 대한 리소스 구성을 생성합니다.

    aws vpc-lattice create-resource-configuration \
    --name my-private-server-config \
    --resource-gateway-identifier rgw-1234567890abcdef0 \
    --resource-configuration-definition ipResource={ipAddress="10.0.1.100"} \
    --port-ranges 22
VPC_LATTICE 지원 커넥터 생성

  1. VPC 연결을 사용하여 SFTP 커넥터를 생성합니다.

    aws transfer create-connector \    
    --access-role arn:aws:iam::123456789012:role/TransferConnectorRole \
    --sftp-config UserSecretId=my-private-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
    --egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-1234567890abcdef0,PortNumber=22}

  2. 커넥터 상태가 될 때까지 모니터링합니다ACTIVE.

    aws transfer describe-connector --connector-id c-1234567890abcdef0

원격 SFTP 서버에는 VPC CIDR 범위 내에서 Resource Gateway의 IP 주소에서 오는 연결이 표시됩니다.

예: VPC를 통한 퍼블릭 엔드포인트

이 예제에서는 VPC를 통해 퍼블릭 SFTP 서버로 연결을 라우팅하여 중앙 집중식 보안 제어를 활용하고 자체 NAT 게이트웨이 IP 주소를 사용하는 방법을 보여줍니다.

사전 조건

  1. VPC에서 Resource Gateway를 생성합니다(프라이빗 엔드포인트 예제와 동일).

  2. DNS 이름을 사용하여 퍼블릭 SFTP 서버에 대한 리소스 구성을 생성합니다.

    aws vpc-lattice create-resource-configuration \
    --name my-public-server-config \
    --resource-gateway-identifier rgw-1234567890abcdef0 \
    --resource-configuration-definition dnsResource={domainName="sftp.example.com"} \
    --port-ranges 22
    참고

    퍼블릭 엔드포인트의 경우 IP 주소가 아닌 DNS 이름을 사용해야 합니다.

커넥터 생성

  • SFTP 커넥터를 생성합니다.

    aws transfer create-connector \
    --access-role arn:aws:iam::123456789012:role/TransferConnectorRole \
    --sftp-config UserSecretId=my-public-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
    --egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-0987654321fedcba0,PortNumber=22}

트래픽은 커넥터에서 Resource Gateway로 흐른 다음 NAT Gateway를 통해 퍼블릭 SFTP 서버에 도달합니다. 원격 서버는 NAT 게이트웨이의 탄력적 IP 주소를 소스로 볼 수 있습니다.

예: 교차 계정 프라이빗 엔드포인트

이 예제에서는 리소스 공유를 사용하여 다른 AWS 계정의 프라이빗 SFTP 서버에 연결하는 방법을 보여줍니다.

참고

와 같은 다른 메커니즘을 통해 VPC 간 리소스 공유가 이미 활성화된 AWS Transit Gateway경우 여기에 설명된 리소스 공유를 구성할 필요가 없습니다. Transit Gateway 라우팅 테이블과 같은 기존 라우팅 메커니즘은 SFTP 커넥터에서 자동으로 사용됩니다. SFTP 커넥터를 생성하는 계정과 동일한 계정에서만 리소스 구성을 생성하면 됩니다.

계정 A(리소스 공급자) - 리소스 구성 공유

  1. 계정 A에서 리소스 게이트웨이 및 리소스 구성을 생성합니다(이전 예제와 동일).

  2. Resource Access Manager를 사용하여 계정 B와 AWS 리소스 구성을 공유합니다.

    aws ram create-resource-share \
    --name cross-account-sftp-share \
    --resource-arns arn:aws:vpc-lattice:us-east-1:111111111111:resourceconfiguration/rcfg-1234567890abcdef0 \
    --principals 222222222222
계정 B(리소스 소비자) - 공유 수락 및 사용

  1. 리소스 공유 초대를 수락합니다.

    aws ram accept-resource-share-invitation \
    --resource-share-invitation-arn arn:aws:ram:us-east-1:111111111111:resource-share-invitation/invitation-id

  2. 계정 B에서 SFTP 커넥터를 생성합니다.

    aws transfer create-connector \
    --access-role arn:aws:iam::222222222222:role/TransferConnectorRole \
    --sftp-config UserSecretId=cross-account-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
    --egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:111111111111:resourceconfiguration/rcfg-1234567890abcdef0,PortNumber=22}

이제 계정 B의 커넥터가 공유 리소스 구성을 통해 계정 A의 프라이빗 SFTP 서버에 액세스할 수 있습니다.

일반적인 문제 해결 시나리오

다음은 VPC_LATTICE 지원 커넥터를 생성할 때 발생하는 일반적인 문제에 대한 해결 방법입니다.

  • 커넥터가 보류 중 상태로 멈춤: Resource Gateway가 활성 상태이고 지원되는 가용 영역에 서브넷이 있는지 확인합니다. 커넥터가 여전히 PENDING 상태인 경우 처음에 사용한 것과 동일한 구성 파라미터를 UpdateConnector 사용하여를 호출합니다. 그러면 문제를 해결할 수 있는 새 상태 이벤트가 트리거됩니다.

  • 연결 제한 시간: 보안 그룹 규칙이 포트 22의 트래픽을 허용하고 VPC 라우팅이 올바른지 확인합니다.

  • DNS 해결 문제: 퍼블릭 엔드포인트의 경우 VPC가 NAT 게이트웨이 또는 인터넷 게이트웨이를 통해 인터넷에 연결되어 있는지 확인합니다.

  • 교차 계정 액세스 거부됨: 리소스 공유가 수락되고 리소스 구성 ARN이 올바른지 확인합니다. 오리진 계정이 리소스 공유를 생성할 때 리소스 구성에 적절한 권한 정책이 연결된 경우 , vpc-lattice:AssociateViaAWSService, vpc-lattice:AssociateViaAWSService-EventsAndStatesvpc-lattice:CreateServiceNetworkResourceAssociation, 권한이 필요합니다vpc-lattice:GetResourceConfiguration.