SFTP 지원 서버의 호스트 키 관리 - AWS Transfer Family
호스트 키를 가져와야 하는 경우

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

SFTP 지원 서버의 호스트 키 관리

서버 호스트 키는 Transfer Family 서버에서 호출자에게 고유한 자격 증명을 제공하고 올바른 서버임을 보장하기 위해 사용하는 프라이빗 키입니다. 이 보장은 호출자의 known_hosts 파일에 올바른 퍼블릭 키가 있으면 적용됩니다. (이 known_hosts 파일은 대부분의 SSH 클라이언트가 연결한 서버의 퍼블릭 키를 저장하는 데 사용하는 표준 기능입니다.) 서버에 ssh-keyscan 대해를 실행하여 서버 호스트 키에 해당하는 퍼블릭 키를 검색할 수 있습니다.

중요

실수로 서버의 호스트 키를 변경하면 작업에 영향을 줄 수 있습니다. SFTP 클라이언트의 구성 방식에 따라 신뢰할 수 있는 호스트 키가 없다는 메시지와 함께 SFTP 클라이언트가 즉시 실패하거나 위협적인 메시지가 표시될 수 있습니다. 연결을 자동화하는 스크립트가 있는 경우 이 스크립트도 실패할 가능성이 높습니다.

기본적으로는 SFTP 지원 서버에 대한 호스트 키를 AWS Transfer Family 생성합니다. 서버 호스트 키를 가져와 호스트 자격 증명을 유지하고 클라이언트 트러스트 스토어를 업데이트하지 않도록 할 수 있습니다.는이 작업을 수행할 수 있는 몇 가지 이유를 호스트 키를 가져와야 하는 경우 나열합니다. 호스트 키를 제공하지 않으면 새 키가 생성됩니다.

AWS Transfer Family 는 다양한 유형의 여러 호스트 키(RSA, ECDSA 및 ED25519)를 지원하여 광범위한 클라이언트 호스트 서명 알고리즘과의 호환성을 제공합니다. 다양한 키 유형이 특정 알고리즘을 활성화합니다. RSA 키는 rsa-* 알고리즘을 활성화하고, ECDSA 키는 ecdsa-* 알고리즘을 활성화하며, ED25519 키는 ed25519 알고리즘을 활성화합니다. 클라이언트가 서버와 상호 작용을 시작한 후 추가 키 유형을 도입하면 일부 클라이언트에 방해가 될 수 있고 기존 호스트 키를 교체하는 것만큼 문제가 될 수 있으므로 서버 생성 시 키 유형을 계획합니다.

사용자가 SFTP 지원 서버의 신뢰성 확인 메시지를 받지 않으려면 온프레미스 서버의 호스트 키를 SFTP 지원 서버로 가져옵니다. 이렇게 하면 잠재적인 중간자 공격에 대한 경고 메시지가 사용자에게 표시되지 않습니다.

추가 보안 조치로 호스트 키를 주기적으로 교체할 수도 있습니다. 자세한 내용은 서버 호스트 키 교체을 참조하세요.

참고

서버 호스트 키는 SFTP 프로토콜을 지원하는 서버에서 사용됩니다.

호스트 키를 가져와야 하는 경우

는 호스트 키를 자동으로 생성할 AWS Transfer Family 수 있지만 자체 호스트 키를 가져오는 것이 운영상의 이점을 제공하는 몇 가지 시나리오가 있습니다.

  • 서버 마이그레이션 - 기존 서버에서 로 마이그레이션 AWS Transfer Family 중이며 기존 클라이언트에 대한 클라이언트 트러스트 스토어(known_hosts 파일)를 업데이트하지 않으려고 합니다.

  • 재해 복구 및 장애 조치 - 동일한 퍼블릭 DNS 이름을 공유하는 여러 AWS Transfer Family 서버(예: 미국 동부(오하이오) 및 미국 서부(오레곤))가 있습니다. 두 서버에서 동일한 호스트 키를 사용하면 클라이언트 인증 실패 없이 원활한 장애 조치가 가능합니다.

  • 운영 연속성 - 향후 다른 서버(AWS Transfer Family 또는 기타 서버)와 함께 사용할 수 있는 호스트 키 구성 요소를 사용하여 인프라 전체에서 일관된 서버 ID를 유지하려는 경우.

  • 알고리즘 제어 - 더 많은 호스트 키 알고리즘을 제공하여 클라이언트 호환성을 높이거나 클라이언트가 특정 알고리즘과 호환되는 키만 제공하여 사용할 수 있는 알고리즘을 제어하고자 합니다.

다음 주제에서는 서버 호스트 키를 관리하기 위한 자세한 절차를 제공합니다.