기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
SFTP, FTPS 또는 FTP 서버 엔드포인트 구성
이 주제에서는 하나 이상의 SFTP, FTPS 및 FTP 프로토콜을 사용하는 AWS Transfer Family 서버 엔드포인트를 생성하고 사용하는 방법에 대한 세부 정보를 제공합니다.
주제
자격 증명 공급자 옵션
AWS Transfer Family 는 사용자를 인증하고 관리하기 위한 몇 가지 방법을 제공합니다. 다음 표에서는 Transfer Family와 함께 사용할 수 있는 ID 공급자를 비교합니다.
| 작업 | AWS Transfer Family 서비스 관리형 | AWS Managed Microsoft AD | Amazon API Gateway | AWS Lambda |
|---|---|---|---|---|
| 지원되는 프로토콜 | SFTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP |
|
키 기반 인증 |
예 |
아니요 |
예 |
예 |
|
암호 인증 |
아니요 |
예 |
예 |
예 |
|
AWS Identity and Access Management (IAM) 및 POSIX |
예 |
예 |
예 |
예 |
|
논리적 홈 디렉터리 |
예 |
예 |
예 |
예 |
| 파라미터화된 액세스(사용자 이름 기반) | 예 | 예 | 예 | 예 |
|
임시 액세스 구조 |
예 |
아니요 |
예 |
예 |
|
AWS WAF |
아니요 |
아니요 |
예 |
아니요 |
참고:
-
IAM은 Amazon S3 지원 스토리지에 대한 액세스를 통제하는 데 사용되고 POSIX는 Amazon EFS에 사용됩니다.
-
임시는 런타임에 사용자 프로필을 전송할 수 있는 기능을 의미합니다. 예컨대, 사용자 이름을 변수로 전달하여 사용자를 홈 디렉터리에 연결할 수 있습니다.
-
에 대한 자세한 내용은 단원을 AWS WAF참조하십시오웹 애플리케이션 방화벽 추가.
-
Microsoft Entra ID(이전 Azure AD)와 통합된 Lambda 함수를 Transfer Family 자격 증명 공급자로 사용하는 방법을 설명하는 블로그 게시물이 있습니다. 자세한 내용은 Azure Active Directory AWS Transfer Family 를 사용하여에 인증 및 섹션을 AWS Lambda
참조하세요. -
사용자 지정 자격 증명 공급자를 사용하는 Transfer Family 서버를 빠르게 배포하는 데 도움이 되는 여러 AWS CloudFormation 템플릿을 제공합니다. 자세한 내용은 Lambda 함수 템플릿을 참조하세요.
다음 절차에서 SFTP 지원 서버, FTPS 지원 서버, FTP 지원 서버 또는 AS2 지원 서버를 생성할 수 있습니다.
다음 단계
AWS Transfer Family 엔드포인트 유형 매트릭스
Transfer Family 서버를 생성하는 경우 사용할 엔드포인트 타입을 선택합니다. 다음 표에서는 각 엔드포인트 타입의 특성에 대해 설명합니다.
| 기능 | 퍼블릭 | VPC - 인터넷 | VPC - 내부형 | VPC_엔드포인트(폐지됨) |
|---|---|---|---|---|
| 지원되는 프로토콜 | SFTP | SFTP, FTPS, AS2 | SFTP, FTP, FTPS, AS2 | SFTP |
| 액세스 | 인터넷을 통해 이 엔드포인트 타입에는 VPC에 특별한 구성이 필요하지 않습니다. | 인터넷을 통해, 그리고 또는 AWS Direct Connect VPN을 통한 온프레미스 데이터 센터와 같은 VPC 및 VPC 연결 환경 내에서. | AWS Direct Connect 또는 VPN을 통한 온프레미스 데이터 센터와 같은 VPC 및 VPC 연결 환경 내에서. | AWS Direct Connect 또는 VPN을 통한 온프레미스 데이터 센터와 같은 VPC 및 VPC 연결 환경 내에서. |
| 고정 IP 주소 | 고정 IP 주소는 연결할 수 없습니다.는 변경될 수 있는 IP 주소를 AWS 제공합니다. |
탄력적 IP 주소를 엔드포인트에 연결할 수 있습니다. 이는 AWS에서 소유한 IP 주소일 수도 있고 자체 IP 주소일 수도 있습니다(자체 IP 주소 사용). 엔드포인트에 연결된 탄력적 IP 주소는 변경되지 않습니다. 서버에 연결된 사설 IP 주소도 변경되지 않습니다. |
엔드포인트에 연결된 사설 IP 주소는 변경되지 않습니다. | 엔드포인트에 연결된 사설 IP 주소는 변경되지 않습니다. |
| 소스 IP 허용 목록 |
이 엔드포인트 타입은 소스 IP 주소별 허용 목록을 지원하지 않습니다. 엔드포인트는 공개적으로 액세스할 수 있으며 포트 22를 통해 트래픽을 수신합니다. 참고VPC 호스팅 엔드포인트의 경우 SFTP Transfer Family 서버는 포트 22(기본값), 2222, 2223 또는 22000을 통해 작동할 수 있습니다. |
소스 IP 주소별 액세스를 허용하려면 서버 엔드포인트에 연결된 보안 그룹과 엔드포인트가 있는 서브넷에 연결된 네트워크 ACL을 사용할 수 있습니다. |
소스 IP 주소별 액세스를 허용하려면 서버 엔드포인트에 연결된 보안 그룹과 엔드포인트가 있는 서브넷에 연결된 네트워크 ACL(액세스 통제 목록)을 사용할 수 있습니다. |
소스 IP 주소별 액세스를 허용하려면 서버 엔드포인트에 연결된 보안 그룹과 엔드포인트가 있는 서브넷에 연결된 네트워크 ACL을 사용할 수 있습니다. |
| 클라이언트 방화벽 허용 목록 |
서버의 DNS 이름을 허용해야 합니다. IP 주소는 변경될 수 있으므로 클라이언트 방화벽 허용 목록에 IP 주소를 사용하지 마세요. |
서버의 DNS 이름 또는 서버에 연결된 탄력적 IP 주소를 허용할 수 있습니다. |
엔드포인트의 프라이빗 IP 주소 또는 DNS 이름을 허용할 수 있습니다. |
엔드포인트의 프라이빗 IP 주소 또는 DNS 이름을 허용할 수 있습니다. |
| IP 주소 유형 | IPv4(기본값) 또는 듀얼 스택(IPv4 및 IPv6) | IPv4 전용(듀얼 스택은 지원되지 않음) | IPv4(기본값) 또는 듀얼 스택(IPv4 및 IPv6) | IPv4 전용(듀얼 스택은 지원되지 않음) |
참고
VPC_ENDPOINT 엔드포인트 타입은 이제 더 이상 사용되지 않으며 새 서버를 만드는 데 사용할 수 없습니다. 를 사용하는 대신 이전 표에 설명된 대로 내부 또는 인터넷 연결로 사용할 수 있는 VPC 엔드포인트 유형(EndpointType=VPC)을 EndpointType=VPC_ENDPOINT사용합니다.
-
사용 중단에 대한 자세한 내용은 섹션을 참조하세요VPC_ENDPOINT 사용 중단.
-
VPC 엔드포인트 권한 관리에 대한 자세한 내용은 섹션을 참조하세요Transfer Family 서버에 대한 VPC 엔드포인트 액세스 제한.
AWS Transfer Family 서버의 보안 상태를 강화하려면 다음 옵션을 고려해 보세요.
-
내부 액세스 권한이 있는 VPC 엔드포인트를 사용하면 서버는 AWS Direct Connect 또는 VPN을 통한 온프레미스 데이터 센터와 같은 VPC 또는 VPC 연결 환경 내의 클라이언트만 액세스할 수 있습니다.
-
클라이언트가 인터넷을 통해 엔드포인트에 액세스하도록 허용하고 서버를 보호하려면 인터넷 연결 액세스가 가능한 VPC 엔드포인트를 사용하세요. 그런 다음 사용자 클라이언트를 호스팅하는 특정 IP 주소로부터의 트래픽만 허용하도록 VPC의 보안 그룹을 수정하세요.
-
암호 기반 인증이 필요하고 서버에서 맞춤 ID 공급자를 사용하는 경우 암호 정책을 통해 사용자가 취약한 암호를 만들지 못하도록 하고 로그인 시도 실패 횟수를 제한하는 것이 좋습니다.
AWS Transfer Family 는 관리형 서비스이므로 셸 액세스를 제공하지 않습니다. Transfer Family 서버에서는 기본 SFTP 서버에 직접 액세스하여 OS 기본 명령을 실행할 수 없습니다.
-
내부 액세스가 가능한 VPC 엔드포인트 앞에서 Network Load Balancer를 사용하세요. 로드 밸런서의 리스너 포트를 포트 22에서 다른 포트로 변경합니다. 이렇게 하면 포트 스캐너와 봇이 서버를 탐색할 위험을 줄일 수 있지만 제거하지는 못합니다. 포트 22가 스캔에 가장 많이 사용되기 때문입니다. 자세한 내용은 이제 Network Load Balancer가 보안 그룹을 지원한다는 블로그 게시물을 참조하세요
. 참고
Network Load Balancer를 사용하는 경우 AWS Transfer Family CloudWatch 로그에는 실제 클라이언트 IP 주소가 아닌 NLB의 IP 주소가 표시됩니다.
FTP 및 FTPS Network Load Balancer 고려 사항
AWS Transfer Family 서버 앞에서 Network Load Balancer를 사용하지 않는 것이 좋지만 FTP 또는 FTPS 구현에 클라이언트의 통신 경로에 NLB 또는 NAT가 필요한 경우 다음 권장 사항을 따르세요.
-
NLB의 경우 포트 8192-8200 대신 상태 확인에 포트 21을 사용합니다.
-
AWS Transfer Family 서버의 경우를 설정하여 TLS 세션 재개를 활성화합니다
TlsSessionResumptionMode = ENFORCED.참고
이는 향상된 보안을 제공하므로 권장되는 모드입니다.
-
클라이언트가 후속 연결에 TLS 세션 재개를 사용해야 합니다.
-
일관된 암호화 파라미터를 보장하여 더 강력한 보안 보장을 제공합니다.
-
잠재적 다운그레이드 공격을 방지하는 데 도움이 됩니다.
-
성능을 최적화하면서 보안 표준 준수를 유지합니다.
-
-
가능하면 NLB를 사용하지 않고 마이그레이션하여 성능 및 연결 제한을 최대한 활용 AWS Transfer Family 하세요.
NLB 대안에 대한 추가 지침은 AWS Support를 통해 AWS Transfer Family 제품 관리 팀에 문의하세요. 보안 태세 개선에 대한 자세한 내용은 블로그 게시물 AWS Transfer Family 서버 보안을 개선하기 위한 6가지 팁을 참조하세요
NLBs 나와 있습니다서버 앞에 NLBs와 NATs 배치하지 마세요. AWS Transfer Family.
