Transfer Family 웹 앱 생성 생성 후 단계 CORS(Cross-Origin Resource Sharing) 정책 특정 VPC 엔드포인트에 대한 액세스 제한

VPC에서 Transfer Family 웹 앱 생성

이 섹션에서는 VPC에서 Transfer Family 웹 앱을 생성하는 절차를 설명합니다. 퍼블릭 인터넷을 통하지 않고 Amazon S3 버킷과 데이터를 주고받는 데 사용할 수 있도록 Virtual Private Cloud(VPC) 내에서 웹 앱의 엔드포인트를 호스팅할 수 있습니다. 웹 앱을 사용할 수 있는 사용자 및 그룹을 할당하려면 섹션을 참조하세요Transfer Family 웹 앱에 사용자 또는 그룹 할당 또는 추가.

참고

Transfer Family 웹 앱 VPC 엔드포인트를 사용할 때 프라이빗 end-to-end 데이터 흐름을 보장하려면 세 가지 추가 구성 요소를 구현해야 합니다. 먼저 Amazon S3 Access Grants API 호출에 필요한 Amazon S3 Control API 작업에 대한 PrivateLink 엔드포인트를 설정합니다. 둘째, PrivateLink Amazon S3 Gateway 엔드포인트(VPC 내 트래픽의 경우) 또는 Amazon S3 인터페이스 엔드포인트(VPN 또는 Direct Connect를 통한 온프레미스 네트워크의 트래픽의 경우)를 사용하여 Amazon S3 데이터 액세스를 위한 엔드포인트를 구성합니다. 셋째, 이러한 VPC 엔드포인트의 트래픽만 허용하도록 버킷 정책을 업데이트하여 Amazon S3 버킷 액세스를 잠급니다. 이 조합을 통해 모든 데이터 전송이 프라이빗 네트워크 인프라 내에 유지되고 퍼블릭 인터넷을 통과하지 않도록 할 수 있습니다.

Transfer Family 웹 앱 생성

사전 조건

AWS IAM Identity Center 구성된 자격 증명 공급자로 설정합니다. Transfer Family 웹 앱에 대한 자격 증명 공급자 구성을(를) 참조하세요.
VPC 및 네트워킹 구성 요소가 설정되었습니다. VPC 생성을 참조하세요.
Amazon S3 Control 작업을 위한 API 엔드포인트 설정. Amazon S3 인터페이스 엔드포인트 액세스를 참조하세요.
Amazon S3(게이트웨이 또는 인터페이스)용 VPC 엔드포인트 설정. Amazon S3용 VPC 엔드포인트 유형을 참조하세요. 인터페이스 엔드포인트를 사용하는 경우 프라이빗 DNS를 활성화해야 합니다. 예제는를 사용하여 Amazon S3에 대한 프라이빗 DNS 지원 소개를 AWS PrivateLink참조하세요.

참고

AWS IAM Identity Center 는 VPC 엔드포인트를 지원하지 않습니다. 모든 인증 요청은 퍼블릭 인터넷을 전송합니다. 또한 Transfer Family 웹 애플리케이션은 정적 콘텐츠(예: JavaScript, CSS 및 HTML 파일)를 로드하려면 인터넷 액세스가 필요합니다. 퍼블릭 인터넷 액세스에 대한 요구 사항은 데이터 액세스와 별개입니다. VPC 엔드포인트는 VPC 인프라를 통해 연결이 라우팅되도록 합니다.

Transfer Family 웹 앱을 생성하려면

에 로그인 AWS Management Console 하고 https://console.aws.amazon.com/transfer/ AWS Transfer Family 콘솔을 엽니다.
왼쪽 탐색 창에서 웹 앱을 선택합니다.
웹 앱 생성을 선택합니다. 인증 액세스의 경우 창은 다음과 같이 채워집니다.
- 에서 조직 또는 계정 인스턴스를 이미 생성한 경우 애플리케이션이 IAM Identity Center의 계정 인스턴스에 AWS Transfer Family 연결되었다는 메시지가 AWS IAM Identity Center표시됩니다.
- 이미 계정 인스턴스가 있고 조직 인스턴스의 멤버인 경우 연결할 인스턴스를 선택할 수 있습니다.
- 아직 계정 인스턴스가 없거나 조직 인스턴스의 멤버인 경우 계정 인스턴스를 생성하는 옵션이 표시됩니다.
엔드포인트 구성 섹션에서 사용자가 웹 앱에 액세스하는 방법을 선택합니다.
- 퍼블릭 액세스: HTTPS를 통해 퍼블릭에서 웹 앱 엔드포인트에 액세스할 수 있습니다. 이 옵션에는 VPC 구성이 필요하지 않으므로 설정이 간단하며 광범위한 퍼블릭 용도의 애플리케이션에 적합합니다.
- VPC 호스팅: 웹 앱 엔드포인트는 Virtual Private Cloud(VPC) 내에서 호스팅되어 VPC 네트워크를 통한 프라이빗 네트워크 액세스 AWS Direct Connect또는 VPN 연결을 제공합니다. 이 옵션은 네트워크 격리를 통해 향상된 보안을 제공하며 내부 애플리케이션에 권장됩니다.
  
  참고
  듀얼 스택 VPC 구성이 있어야 합니다. 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서의 듀얼 스택 VPC 구성 예제를 참조하세요.
  
  VPC 호스팅 엔드포인트를 구성할 때 다음을 지정해야 합니다.
  - VPC: 기존 VPC를 선택하거나 새 VPC를 생성합니다. VPC 생성 버튼을 사용할 수 있습니다.
  - 가용 영역: 엔드포인트를 배포할 가용 영역을 선택합니다.
  - 서브넷: 선택한 각 가용 영역 내에서 서브넷을 선택합니다.
  - 보안 그룹: 소스 IP 주소를 기반으로 액세스를 제어할 보안 그룹을 선택하거나 생성합니다. 지정하지 않으면 VPC의 기본 보안 그룹이 사용됩니다. VPC 콘솔을 통해 보안 그룹을 관리합니다. TCP 포트 443에서 HTTPS를 통해 네트워크에서 들어오는 인바운드 트래픽을 허용하도록 VPC 보안 그룹을 구성합니다. 이는 IAM Identity Center 인증 및 웹 앱 정적 콘텐츠 로드에 필요합니다.
  참고
  액세스 엔드포인트는 VPC 엔드포인트에 대해 사용자 지정할 수 없습니다. 사용자 지정 URL을 추가하려면 퍼블릭 엔드포인트를 사용합니다.

생성 후 단계

웹 앱 엔드포인트에서 액세스하는 모든 버킷에 대해 교차 오리진 리소스 공유(CORS) 정책을 설정해야 합니다. CORS(Cross-Origin Resource Sharing) 정책을(를) 참조하세요.
VPC 엔드포인트를 통해 VPC에서 발생하는 트래픽만 허용하도록 버킷 정책을 업데이트합니다. 특정 VPC 엔드포인트에 대한 액세스 제한을(를) 참조하세요.
Transfer Family 웹 앱에 사용자 또는 그룹을 할당하거나 추가합니다. Transfer Family 웹 앱에 사용자 또는 그룹 할당 또는 추가을(를) 참조하세요.

CORS(Cross-Origin Resource Sharing) 정책

웹 앱에서 사용하는 모든 버킷에 대해 교차 오리진 리소스 공유(CORS)를 설정해야 합니다. CORS에 대한 자세한 내용은 버킷에 대한 교차 오리진 리소스 공유(CORS) 설정 섹션을 참조하십시오.

중요

다음 예제 정책을 사용하기 전에 허용된 오리진을 액세스 엔드포인트로 바꿉니다. 그렇지 않으면 최종 사용자가 웹 앱의 위치에 액세스하려고 할 때 오류가 발생합니다.

정책 예제:


[
  {
    "AllowedHeaders": [
      "*"
    ],
    "AllowedMethods": [
      "GET",
      "PUT",
      "POST",
      "DELETE",
      "HEAD"
    ],
    "AllowedOrigins": [
      "https://vpce-1234567-example.vpce-mq.transfer-webapp.us-east-1.on.aws"
    ],
    "ExposeHeaders": [
      "last-modified",
      "content-length",
      "etag",
      "x-amz-version-id",
      "content-type",
      "x-amz-request-id",
      "x-amz-id-2",
      "date",
      "x-amz-cf-id",
      "x-amz-storage-class",
      "access-control-expose-headers"
    ],
    "MaxAgeSeconds": 3000
  }
]

특정 VPC 엔드포인트에 대한 액세스 제한

다음은 ID가 vpce-1a2b3c4d인 VPC 엔드포인트에서만 특정 버킷 amzn-s3-demo-bucket에 대한 액세스를 제한하는 Amazon S3 버킷 정책의 예제입니다. 지정된 엔드포인트가 사용되지 않으면 이 정책은 버킷에 대한 모든 액세스를 거부합니다. aws:SourceVpce 조건은 엔드포인트를 지정합니다. aws:SourceVpce 조건은 VPC 엔드포인트 리소스의 ARN을 요구하지 않고 VPC 엔드포인트 ID만 요구합니다. VPC에서 발생하는 트래픽만 허용하도록 버킷 정책을 업데이트하는 방법에 대한 자세한 내용은 버킷 정책을 사용하여 VPC 엔드포인트에서 액세스 제어를 참조하세요. 정책에서 조건 사용에 대한 자세한 내용은 조건 키를 사용한 버킷 정책 예제를 참조하세요. 이 정책을 적용하기 위한 사전 조건으로 Amazon S3 VPC 엔드포인트를 생성해야 합니다.

중요

다음 예제 정책을 사용하기 전에 VPC 엔드포인트 ID를 사용 사례에 적합한 값으로 바꾸십시오. 그렇지 않으면 버킷에 액세스할 수 없습니다.


{
  "Version":"2012-10-17",
  "Id": "Policy1415115909152",
  "Statement": [
    {
      "Sid": "Access-to-specific-VPCE-only",
      "Principal": "*",
      "Action": "s3:*",
      "Effect": "Deny",
      "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
                   "arn:aws:s3:::amzn-s3-demo-bucket/*"],
      "Condition": {
        "StringNotEquals": {
          "aws:SourceVpce": "vpce-1a2b3c4d"
        }
      }
    }
  ]
}

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

Transfer Family 웹 앱 구성

Transfer Family 웹 앱에 사용자 또는 그룹 할당 또는 추가