Transfer Family를 사용하여 FSx for NetApp ONTAP 파일 시스템에 액세스 - AWS Transfer Family
개요사전 조건FSx 스토리지가 Transfer Family와 작동하는 방식FSx용 S3 액세스 포인트 생성FSx에서 S3 액세스 포인트 별칭 사용FSx 스토리지용 Transfer Family 구성FSx 스토리지 사용자 관리파일 전송 클라이언트 구성FSx 스토리지 문제 해결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Transfer Family를 사용하여 FSx for NetApp ONTAP 파일 시스템에 액세스

개요

Transfer Family는 S3 액세스 포인트를 통해 Amazon FSx for NetApp ONTAP을 지원합니다. Amazon FSx for NetApp ONTAP은 NetApp의 인기 있는 ONTAP 파일 시스템에 구축된 매우 안정적이고 확장 가능하며 성능이 뛰어나고 기능이 풍부한 파일 스토리지를 제공하는 완전 관리형 서비스입니다. FSx 파일 시스템으로 Transfer Family를 구성하면 사용자는 표준 파일 전송 클라이언트를 사용하여 Transfer Family 엔드포인트에 연결합니다. Transfer Family는 데이터가 FSx 파일 시스템에 남아 있는 동안 FSx 볼륨에 연결된 S3 액세스 포인트를 통해 파일 작업을 라우팅합니다. FSx for NetApp ONTAP에 대한 자세한 내용은 Amazon FSx for NetApp ONTAP이란 무엇입니까?를 참조하세요.

이 통합을 통해 다음을 수행할 수 있습니다.

  • SFTP, FTPS 또는 FTP 프로토콜을 사용하여 파일을 엔터프라이즈급 파일 스토리지로 전송

  • 여러 프로토콜(SFTP, NFS, SMB)을 통해 동일한 데이터에 액세스

  • 스냅샷, 백업 및 데이터 계층화와 같은 FSx 기능 사용

중요

이름 바꾸기 및 추가 작업을 포함하여 Transfer Family에서 FSx 파일 시스템을 사용할 때는 일부 파일 작업이 지원되지 않습니다. 업로드 작업의 경우 파일 크기는 5GB로 제한됩니다. 제한 사항의 전체 목록은 액세스 포인트 호환성을 참조하세요.

사전 조건

Amazon FSx로 Transfer Family를 구성하기 전에 다음 요구 사항을 충족해야 합니다.

FSx for NetApp ONTAP 요구 사항

Transfer Family와 함께 FSx for NetApp ONTAP을 사용하려면 다음이 필요합니다.

  • ONTAP 버전 9.17.1 이상을 실행하는 FSx for NetApp ONTAP 파일 시스템

  • 동일한 AWS 리전의 파일 시스템 및 S3 액세스 포인트

  • 파일 시스템과 액세스 포인트를 모두 소유한 동일한 AWS 계정

자세한 내용은 Amazon FSx for NetApp ONTAP 시작하기를 참조하세요.

필수 IAM 권한

각 S3 액세스 포인트를 사용하여 이루어진 모든 요청에 S3가 적용하는 고유한 권한 및 네트워크 제어를 사용하여 각 S3 액세스 포인트를 구성할 수 있습니다. S3 액세스 포인트는 리소스, 사용자 또는 기타 조건별로 액세스 포인트 사용을 제어하는 데 사용할 수 있는 IAM 리소스 정책을 지원합니다. 애플리케이션 또는 사용자가 액세스 포인트를 통해 파일에 액세스하려면 액세스 포인트와 기본 볼륨 모두 요청을 허용해야 합니다. 자세한 내용은 IAM 액세스 포인트 정책을 참조하세요.

FSx용 Amazon S3 액세스 포인트는 IAM 권한과 파일 시스템 수준 권한을 결합하는 이중 계층 권한 부여 모델을 사용합니다. 이 접근 방식을 사용하면 AWS 서비스 수준과 기본 파일 시스템 수준 모두에서 데이터 액세스 요청이 제대로 승인됩니다.

애플리케이션 또는 사용자가 액세스 포인트를 통해 데이터에 성공적으로 액세스하려면 S3 액세스 포인트 정책과 기본 FSx 볼륨 모두에서 요청을 허용해야 합니다.

이 통합을 생성하고 구성하려면 다음 권한이 필요합니다.

  • fsx:CreateAndAttachS3AccessPoint

  • s3:CreateAccessPoint

  • s3:GetAccessPoint

  • s3:PutAccessPointPolicy (선택 사항인 액세스 포인트 정책을 생성하는 경우)

FSx 스토리지가 Transfer Family와 작동하는 방식

FSx 파일 시스템으로 Transfer Family를 구성하면 다음 구성 요소가 함께 작동하여 파일 전송을 활성화합니다.

  1. 사용자는 SFTP, FTPS 또는 FTP 클라이언트를 사용하여 Transfer Family 서버에 연결합니다.

  2. Transfer Family는 서비스 관리형 자격 증명, 사용자 지정 자격 증명 공급자 또는를 사용하여 사용자를 인증합니다 AWS Directory Service for Microsoft Active Directory. 인증되면 Transfer Family는 사용자와 연결된 IAM 역할을 수임합니다.

  3. 각 파일 작업에 대해 Transfer Family는 사용자의 수임된 IAM 역할을 사용하여 S3 액세스 포인트에 요청하는 표준 S3 API 클라이언트 역할을 하며 S3 액세스 포인트 정책에 대한 권한을 확인합니다.

  4. FSx 파일 시스템은 액세스 포인트와 연결된 파일 시스템 사용자에게 요청된 작업을 수행할 권한이 있는지 확인합니다. 그런 다음 FSx 볼륨에서 파일 작업이 수행됩니다.

파일 작업이 성공하려면 두 권한 부여 계층 모두 요청을 허용해야 합니다.

참고

S3 액세스 포인트를 FSx 볼륨에 연결해도 NFS 또는 SMB를 통해 직접 액세스할 때 볼륨의 동작 방식은 변경되지 않습니다. 기존 파일 프로토콜 액세스는 변경되지 않고 계속 작동합니다.

파일 시스템 사용자 자격 증명

각 액세스 포인트는 액세스 포인트를 생성할 때 지정하는 파일 시스템 사용자 ID를 사용합니다. 이 자격 증명은 해당 액세스 포인트를 통해 이루어진 모든 파일 액세스 요청을 승인합니다. 파일 시스템 사용자는 기본 Amazon FSx 파일 시스템의 사용자 계정입니다. 파일 시스템 사용자에게 읽기 전용 액세스 권한이 있는 경우 액세스 포인트를 사용하여 수행된 읽기 요청만 승인되고 쓰기 요청은 차단됩니다. 파일 시스템 사용자에게 읽기-쓰기 액세스 권한이 있는 경우 액세스 포인트를 사용하여 만든 연결된 볼륨에 대한 읽기 및 쓰기 요청이 모두 승인됩니다.

FSx용 S3 액세스 포인트 생성

Transfer Family를 구성하기 전에 FSx 볼륨에 연결된 S3 액세스 포인트를 생성해야 합니다. S3 액세스 포인트는 버킷 또는 Amazon FSx for ONTAP 볼륨과 같은 데이터 소스에 연결된 명명된 네트워크 엔드포인트입니다. Amazon FSx 콘솔, AWS CLI 또는 API를 사용하여 액세스 포인트를 생성하고 FSx for NetApp ONTAP에 연결할 수 있습니다. 연결되면 S3 객체 API를 사용하여 파일 데이터에 액세스할 수 있습니다. 데이터는 Amazon FSx 파일 시스템에 계속 상주하며 기존 워크로드에서 직접 액세스할 수 있습니다. 백업, 스냅샷, 사용자 및 그룹 할당량, 압축 등 모든 FSx for NetApp ONTAP 스토리지 관리 기능을 사용하여 스토리지를 계속 관리합니다.

자세한 내용은 액세스 포인트 생성을 참조하십시오.

액세스 포인트 이름 지정

액세스 포인트의 이름을 지정할 때 다음 지침을 따릅니다.

  • 액세스 포인트 이름은 AWS 계정 및 리전 내에서 고유해야 합니다.

  • 이름은 -ext-s3alias (별칭에 대해 예약됨)로 끝날 수 없습니다.

  • 민감한 정보는 DNS에 게시되므로 이름에 포함하지 마세요.

이름 지정 규칙의 전체 목록은 액세스 포인트 이름 지정 규칙, 제한 및 제한을 참조하세요.

FSx for NetApp ONTAP에 대한 액세스 포인트 생성

다음 절차에 따라 FSx for NetApp ONTAP 볼륨에 대한 S3 액세스 포인트를 생성합니다.

액세스 포인트를 생성하려면(콘솔)

  1. https://console.aws.amazon.com/fsx/에서 Amazon FSx 콘솔을 엽니다.

  2. 탐색 창에서 파일 시스템을 선택합니다.

  3. FSx for NetApp ONTAP 파일 시스템을 선택합니다.

  4. 볼륨 탭을 선택합니다.

  5. 연결할 볼륨을 선택합니다.

  6. 작업에서 S3 액세스 포인트 생성을 선택합니다.

  7. 액세스 포인트 이름에 설명이 포함된 이름(예: transfer-family-ap)을 입력합니다.

  8. 파일 시스템 사용자 자격 증명 유형에서 다음 중 하나를 선택합니다.

    • UNIX 자격 증명 - UNIX 보안 스타일이 있는 볼륨의 경우

    • Windows 자격 증명 - NTFS 보안 스타일이 있는 볼륨의 경우

  9. (선택 사항) 액세스 포인트 정책에이 액세스 포인트를 통해 액세스하는 객체에 대해 수행할 수 있는 IAM 보안 주체를 정의하는 IAM 정책을 입력합니다. 자세한 내용은 액세스 포인트 액세스 관리를 참조하세요.

  10. 생성(Create)을 선택합니다.

  11. 생성 후 Transfer Family 구성에 사용할 액세스 포인트 별칭을 기록해 둡니다.

참고

가 연결된 SFTP/FTPS 사용자를 대신하여 S3 리소스에 AWS Transfer Family 액세스하는 경우 요청은 VPC가 아닌 AWS Transfer Family 인프라에서 시작됩니다. 따라서 VPC 네트워크 오리진으로 구성된 S3 액세스 포인트는 이러한 요청을 거부합니다. 그러나 인터넷 네트워크 오리진으로 구성된 액세스 포인트를 사용하더라도 Transfer Family와 액세스 포인트 간의 모든 트래픽은 프라이빗으로 유지되고 AWS 백본 네트워크를 통해 이동하며 퍼블릭 인터넷을 통과하지 않습니다.

파일 시스템 권한 구성

지정하는 파일 시스템 사용자는 Transfer Family 사용자가 수행할 수 있는 작업을 결정합니다. FSx 볼륨에 대한 적절한 권한을 구성해야 합니다.

UNIX 예제:

# Create a directory for Transfer Family users
mkdir -p /vol1/transfer-users

# Set ownership to match the access point user
chown 1001:1001 /vol1/transfer-users

# Set permissions
chmod 755 /vol1/transfer-users

Windows 예:

# Create a directory for Transfer Family users
New-Item -Path "D:\vol1\transfer-users" -ItemType Directory

# Set permissions for the file system user associated with the access point
# Replace DOMAIN\TransferUser with your Windows user identity
icacls "D:\vol1\transfer-users" /grant "DOMAIN\TransferUser:(OI)(CI)M" /T

# Verify permissions
icacls "D:\vol1\transfer-users"

FSx에서 S3 액세스 포인트 별칭 사용

Transfer Family에서 FSx 파일 시스템을 사용하는 경우 S3 액세스 포인트 별칭을 사용해야 합니다. Transfer Family는 FSx 스토리지에 대한 액세스 포인트 ARNs 또는 기타 참조 방법 사용을 지원하지 않습니다.

중요

AWS Transfer Family 는 FSx 파일 시스템을 사용할 때만 S3 액세스 포인트 별칭을 지원합니다. 액세스 포인트 ARNs 또는 virtual-hosted-style URIs 사용할 수 없습니다.

중요

액세스 포인트는 볼륨과 동일한 리전에 있어야 합니다.

액세스 포인트 별칭 정보

FSx 볼륨에 연결된 S3 액세스 포인트를 생성하면 Amazon S3가 액세스 포인트 별칭을 자동으로 생성합니다. 이 별칭은 S3 버킷 이름을 사용하는 모든 곳에서 사용할 수 있는 고유 식별자입니다.

FSx 볼륨에 연결된 액세스 포인트의 경우 별칭은 다음 형식을 사용합니다.

access-point-name-metadata-ext-s3alias

예제 별칭:

my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias
참고

접미사는 -ext-s3alias FSx 액세스 포인트 별칭용으로 예약되어 있습니다. 액세스 포인트 이름에는이 접미사를 사용할 수 없습니다.

액세스 포인트 별칭 찾기

액세스 포인트를 생성한 후 액세스 포인트 별칭을 찾을 수 있습니다.

액세스 포인트 별칭을 찾으려면(콘솔)

  1. https://console.aws.amazon.com/fsx/에서 Amazon FSx 콘솔을 엽니다.

  2. 탐색 창에서 파일 시스템을 선택합니다.

  3. 파일 시스템을 선택합니다.

  4. 볼륨 탭을 선택하고 액세스 포인트를 생성한 볼륨을 선택합니다.

  5. S3 액세스 포인트 세부 정보 열로 이동합니다.

  6. 별칭은 별칭 열에 표시됩니다.

액세스 포인트 별칭을 찾으려면(CLI)

describe-s3-access-point-attachments 명령을 사용합니다.

aws fsx describe-s3-access-point-attachments \
    --filters Name=file-system-id,Values=fs-0123456789abcdef0

응답에는 별칭이 포함됩니다.

{
    "S3AccessPointAttachments": [
        {
            "S3AccessPoint": {
                "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-fsx-ap",
                "Alias": "my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias"
            }
        }
    ]
}

Transfer Family 사용자를 구성할 때 홈 디렉터리 매핑에서 액세스 포인트 별칭을 사용합니다.

홈 디렉터리 형식:

/access-point-alias/path/to/directory

예:

/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith

FSx 스토리지용 Transfer Family 구성

S3 액세스 포인트를 생성한 후 이를 사용하도록 Transfer Family 서버를 구성합니다.

IAM 역할 생성

Transfer Family에 S3 액세스 포인트에 대한 액세스 권한을 부여하는 IAM 역할을 생성해야 합니다.

중요

IAM 정책에는 별칭이 아닌 액세스 포인트 ARN 형식이 필요합니다. arn:aws:s3:region:account-id:accesspoint/access-point-name IAM 정책 리소스 문의 형식을 사용합니다. 액세스 포인트 별칭(로 끝남-ext-s3alias)은 홈 디렉터리 매핑에만 사용됩니다.

IAM 역할을 만들려면

  1. IAM 콘솔(https://console.aws.amazon.com/iam/)을 엽니다.

  2. 탐색 창에서 역할을 선택한 다음 역할 생성을 선택합니다.

  3. 신뢰할 수 있는 엔터티 유형에서 AWS 서비스를 선택합니다.

  4. 사용 사례에서 전송을 선택합니다.

  5. 다음을 선택합니다.

  6. 정책 생성을 선택하고 정책을 입력합니다(아래 샘플 정책 참조).

  7. 정책을 역할에 연결하고 역할 생성을 선택합니다.

IAM 정책의 예:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowFileOperations",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectTagging",
                "s3:PutObjectTagging"
            ],
            "Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap/object/*"
        },
        {
            "Sid": "AllowDirectoryOperations",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap"
        }
    ]
}

FSx 스토리지 사용자 관리

S3 액세스 포인트 별칭을 사용하는 홈 디렉터리 매핑을 사용하여 Transfer Family 사용자를 생성합니다.

사용자 생성

FSx 스토리지 사용자를 생성할 때 홈 디렉터리 매핑에서 액세스 포인트 별칭을 사용합니다.

서비스 관리형 사용자를 생성하려면(콘솔)

  1. https://console.aws.amazon.com/transfer/ AWS Transfer Family 콘솔을 엽니다.

  2. 탐색 창에서 서버를 선택합니다.

  3. 서버를 선택합니다.

  4. 사용자 섹션에서 사용자 추가를 선택합니다.

  5. 사용자 이름에 사용자 이름을 입력합니다.

  6. 역할에서 생성한 IAM 역할을 선택합니다.

  7. 홈 디렉터리에서 제한을 선택합니다.

  8. 홈 디렉터리 매핑의 경우 액세스 포인트 별칭을 사용하여 매핑을 추가합니다.

    [{"Entry": "/", "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"}]

사용자를 생성하려면(CLI)

create-user 명령을 사용합니다. 액세스 포인트 별칭을 별칭으로 바꿉니다.

aws transfer create-user \
    --server-id s-0123456789abcdef0 \
    --user-name jsmith \
    --role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
    --home-directory-type LOGICAL \
    --home-directory-mappings '[
        {
            "Entry": "/",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"
        }
    ]'

여러 디렉터리 매핑 구성

여러 가상 디렉터리를 FSx 볼륨의 다른 경로에 매핑할 수 있습니다.

예: 별도의 업로드 및 다운로드 디렉터리

aws transfer create-user \
    --server-id s-0123456789abcdef0 \
    --user-name jsmith \
    --role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
    --home-directory-type LOGICAL \
    --home-directory-mappings '[
        {
            "Entry": "/inbox",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/inbox"
        },
        {
            "Entry": "/outbox",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/outbox"
        }
    ]'

파일 전송 클라이언트 구성

Transfer Family에서 FSx 파일 시스템을 사용하는 경우 지원되지 않는 기능을 비활성화하도록 파일 전송 클라이언트를 구성해야 합니다.

WinSCP 구성

WinSCP는 기본적으로 FSx용 S3 액세스 포인트에서 지원되지 않는 임시 이름 바꾸기 기능을 사용합니다.

주의

WinSCP에서 임시 이름 바꾸기 기능을 비활성화하지 않으면 파일 업로드가 실패합니다.

WinSCP에서 임시 이름 바꾸기를 비활성화하려면

  1. WinSCP를 엽니다.

  2. 로그인 대화 상자에서 편집을 선택하여 세션 설정을 수정합니다.

  3. 고급을 선택합니다.

  4. 왼쪽 탐색의 전송에서 내구성을 선택합니다.

  5. 임시 파일 이름으로 전송 재개/전송 활성화에서 비활성화를 선택합니다.

  6. 확인을 선택하여 설정을 저장합니다.

또는 기존 세션에 대해이 설정을 비활성화할 수 있습니다.

  1. Transfer Family 서버에 연결합니다.

  2. 옵션을 선택한 다음 기본 설정을 선택합니다.

  3. 전송을 선택한 다음 내구성을 선택합니다.

  4. 임시 파일 이름으로 전송 재개/전송 활성화에서 비활성화를 선택합니다.

  5. 확인을 선택합니다.

기타 SFTP 클라이언트

다른 SFTP 클라이언트의 경우 사용 가능한 경우 다음 기능을 비활성화합니다.

  • 임시 파일 업로드(임시 파일로 업로드한 다음 이름 바꾸기)

  • 임시 파일을 사용하여 전송 재개

  • 이름 바꾸기 작업을 사용한 원자성 업로드

  • 업로드를 위한 추가 모드

특정 구성 단계는 클라이언트 설명서를 참조하세요.

FSx 스토리지 문제 해결

이 섹션에서는 FSx 파일 시스템에서 Transfer Family를 사용할 때 발생하는 일반적인 문제를 식별하고 해결하는 방법을 설명합니다.

파일 작업 문제

권한 거부됨

권한 거부 오류가 발생하는 경우:

  1. IAM 역할에 액세스 포인트 별칭에 대한 올바른 권한이 있는지 확인합니다. S3 APIs.

  2. 액세스 포인트 정책이 IAM 역할을 허용하는지 확인합니다.

  3. 파일 시스템 사용자에게 대상 경로에 대한 권한이 있는지 확인합니다.

  4. 홈 디렉터리 매핑이 올바른 액세스 포인트 별칭을 사용하는지 확인합니다.

WinSCP에서 업로드 실패

WinSCP에서 파일 업로드에 실패하면 임시 이름 바꾸기를 비활성화합니다.

  1. WinSCP에서 옵션을 선택한 다음 기본 설정을 선택합니다.

  2. 전송을 선택한 다음 내구성을 선택합니다.

  3. 임시 파일 이름으로 전송 재개/전송 활성화에서 비활성화를 선택합니다.

자세한 내용은 파일 전송 클라이언트 구성 단원을 참조하십시오.

파일 업로드 실패

파일 업로드에 실패하는 경우:

  1. 파일 크기가 5GB 미만인지 확인합니다.

  2. FSx 볼륨에 사용 가능한 스토리지가 충분한지 확인합니다.

  3. CloudWatch 지표의 제한을 모니터링합니다.