FTPS 지원 서버 만들기

SSL을 통한 파일 전송 프로토콜 (FTPS) 은 FTP의 확장입니다. 전송 계층 보안 (TLS) 및 Secure Sockets Layer (SSL) 암호화 프로토콜을 사용하여 트래픽을 암호화합니다. FTPS를 사용하면 제어 및 데이터 채널 연결을 동시에 또는 독립적으로 암호화할 수 있습니다.

FTPS 지원 서버를 만들려면

1. https://console.aws.amazon.com/transfer/ 에서AWS Transfer Family 콘솔을 열고 탐색 창에서 서버를 선택한 다음 서버 생성을 선택합니다.

2. 프로토콜 선택에서 FTPS를 선택합니다.

   Server 인증서의 경우, 클라이언트가 FTPS를 통해 서버에 연결할 때 서버를 식별하는 데 사용되는AWS Certificate Manager (ACM) 에 저장된 인증서를 선택하고 [Configure] 를 선택합니다.

   새 퍼블릭 인증서를 요청하려면 AWS Certificate Manager사용 설명서 의 퍼블릭 인증서 요청 을 참조하세요.

   기존 인증서를 ACM으로 가져오려면 AWS Certificate Manager사용 설명서 의 ACM으로 인증서 가져오기 를 참조하세요.

   프라이빗 IP 주소를 통해 FTPS를 사용하도록 프라이빗 인증서를 요청하려면 사용 AWS Certificate Manager설명서 의 프라이빗 인증서 요청 을 참조하세요.

   다음 암호화 알고리즘 및 키 크기를 사용하는 인증서가 지원됩니다.

   • 2048비트 RSA(RSA_2048)

   • 4096비트 RSA(RSA_4096)

   • 타원 프라임 곡선 256비트(EC_prime256v1)

   • 타원 프라임 곡선 384 비트(EC_secp384r1)

   • 타원 프라임 곡선 521비트(EC_secp521r1)

   참고

   인증서는 FQDN 또는 IP 주소가 지정되고 발행자에 대한 정보가 있는 유효한 SSL/TLS X.509 버전 3 인증서여야 합니다.

   

3. ID 공급자 선택에서 사용자 액세스를 관리하는 데 사용할 ID 공급자를 선택합니다. 다음과 같은 옵션이 있습니다.

   • AWS Directory Service for Microsoft Active Directory— 엔드포인트에 액세스할AWS Directory Service 디렉터리를 제공합니다. 그러면 Active Directory에 저장된 자격 증명을 사용하여 사용자를 인증할 수 있습니다. AWS Managed Microsoft AD자격 증명 공급자의 작업에 대한 자세한 내용은 섹션을 참조하세요AWSDirectory Service ID 공급자 사용.

     참고

     • 교차 계정 및 공유 디렉터리는 지원되지 않습니다AWS Managed Microsoft AD.

     • Directory Service ID 공급자로 사용하는 서버를 설정하려면 몇 가지AWS Directory Service 권한을 추가해야 합니다. 자세한 내용은 사용 을 시작하기 전에AWS Directory Service for Microsoft Active Directory을 참조하세요.

     

   • 사용자 지정 자격 증명 공급자 — 다음 옵션 중 하나를 선택합니다.

     • ID 공급자를 연결하는AWS Lambda 데 사용 — Lambda 함수가 지원하는 기존 ID 공급자를 사용할 수 있습니다. Lambda 함수의 이름을 제공합니다. 자세한 정보는 ID 공급자AWS Lambda 통합에 사용을 참조하세요.

     • Amazon API Gateway를 사용하여 자격 증명 공급자를 연결 — 자격 증명 공급자로 사용할 Lambda 함수가 지원하는 API Gateway 메서드를 생성할 수 있습니다. Amazon API Gateway URL과 호출 역할을 제공합니다. 자세한 정보는 Amazon API Gateway 사용하여 자격 증명 공급자 통합을 참조하세요.

     

4. 다음을 선택합니다.

5. 엔드포인트 선택에서 다음을 수행합니다.

   참고

   Transfer Family 제품군용 FTPS 서버는 포트 21 (제어 채널) 및 포트 범위 8192—8200 (데이터 채널) 을 통해 작동합니다.

   1. 엔드포인트 유형에서 서버의 엔드포인트를 호스팅할 VPC 호스팅 엔드포인트 유형을 선택합니다. VPC 호스팅 엔드포인트 설정에 대한 자세한 내용은 섹션을 참조하세요Virtual Private Cloud에 서버 생성.

      참고

      공개적으로 액세스할 수 있는 엔드포인트는 지원되지 않습니다.

   2. (선택 사항) FIPS 활성화의 경우 FIPS 지원 엔드포인트 확인란을 선택하여 엔드포인트가 FIPS (연방 정보 처리 표준) 를 준수하는지 확인합니다.

      참고

      FIPS 지원 엔드포인트는 북미AWS 지역에서만 사용할 수 있습니다. 사용 가능한 지역은 의 AWS Transfer Family엔드포인트 및 할당량을 참조하십시오 AWS 일반 참조. FIPS에 대한 자세한 내용은 Federal Information Processing Standard (FIPS) 140-2를 참조하세요.

   3. 다음을 선택합니다.

   

6. 도메인 선택 페이지에서 선택한 프로토콜을 통해 데이터를 저장하고 액세스하는 데 사용할AWS 스토리지 서비스를 선택합니다.

   • 선택한 프로토콜을 통해 파일을 객체로 저장하고 액세스하려면 Amazon S3를 선택합니다.

   • 선택한 프로토콜을 통해 Amazon EFS 파일 시스템에 파일을 저장하고 액세스하려면 Amazon EFS 선택합니다.

   다음을 선택합니다.

7. [Configure Information] 에서 다음을 수행합니다.

   1. CloudWatch로깅을 위해 다음 중 하나를 선택하여 사용자 활동에 대한 AmazonCloudWatch 로깅을 활성화하십시오.

      • 새 역할을 생성할 수 있는 적절한 권한이 있는 한 Transfer Family가 IAM 역할을 자동으로 생성할 수 있도록 새 역할을 생성하십시오. 생성된 IAM 역할이 호출됩니다AWSTransferLoggingAccess.

      • 기존 역할을 선택하여 계정에서 기존 IAM 역할을 선택합니다. 로깅 역할에서 역할을 선택합니다. 이 IAM 역할에는 서비스가 로 설정된 신뢰 정책이 포함되어야transfer.amazonaws.com 합니다.

        CloudWatch 로깅에 대한 자세한 내용은 다음을 사용하여 활동을 기록합니다.CloudWatch 단원을 참조하십시오.

      참고

      • 로깅 역할을 지정하지CloudWatch 않으면 에서 최종 사용자 활동을 볼 수 없습니다.

      • CloudWatch로깅 역할을 설정하지 않으려면 기존 역할 선택을 선택하고 로깅 역할은 선택하지 마십시오.

      

   2. 암호화 알고리즘 옵션의 경우 서버에서 사용할 수 있는 암호화 알고리즘이 포함된 보안 정책을 선택하십시오.

      참고

      기본값은 입니다.

      • FIPS Enabled 엔드포인트를 선택하지 않은 경우TransferSecurityPolicy-2020-06 보안 정책이 서버에 연결됩니다.

      • FIPS Enabled 엔드포인트를 선택하면TransferSecurityPolicy-FIPS-2020-06 보안 정책이 서버에 연결됩니다.

      보안 정책에 대한 자세한 내용은 에 대한 보안 정책AWS Transfer Family를 참조하십시오.

      

   3. 서버 호스트 키의 경우 비워 두십시오.

      참고

      서버 호스트 키 섹션은 기존 SFTP 지원 서버에서 사용자를 마이그레이션하는 경우에만 사용됩니다.

      

   4. (선택 사항) 태그의 경우 [Key and Value] 에 하나 이상의 태그를 키-값 쌍으로 입력한 다음 [Add tag] 를 선택합니다.

   5. 다음을 선택합니다.

      

   6. (선택 사항) 관리형 워크플로의 경우 워크플로를 실행할 때 Transfer Family가 맡아야 하는 워크플로 ID (및 해당 역할) 를 선택합니다. 업로드 완료 시 실행할 워크플로와 부분 업로드 시 실행할 워크플로를 선택할 수 있습니다. 관리형 워크플로를 사용하여 파일을 처리하는 방법에 대한 자세한 내용은 을 참조하십시오AWS Transfer Family관리형 워크플로.

      

   7. (선택 사항) 조직 정책 또는 이용 약관과 같은 사용자 지정 메시지를 최종 사용자에게 표시하도록AWS Transfer Family 서버를 구성할 수 있습니다. 인증에 성공한 사용자에게 사용자 지정된 오늘의 메시지 (MOTD) 를 표시할 수도 있습니다.

      디스플레이 배너의 경우 사전 인증 표시 배너 텍스트 상자에 사용자가 인증하기 전에 사용자에게 표시하려는 텍스트 메시지를 입력하고 인증 후 표시 배너 텍스트 상자에 사용자가 성공적으로 인증한 후 사용자에게 표시할 텍스트를 입력합니다.

      

   8. (선택 사항) 다음 추가 옵션을 구성할 수 있습니다.

      • SetStat옵션: 이 옵션을 활성화하여 Amazon S3SETSTAT 버킷에 업로드하는 파일에 대해 클라이언트가 사용하려고 할 때 생성되는 오류를 무시합니다. 자세한 내용은 해당 ProtocolDetails항목의SetStatOption 설명서를 참조하십시오.

      • TLS 세션 재개: FTPS 세션에 대한 제어 및 데이터 연결 간에 협상된 보안 암호 키를 재개하거나 공유하는 메커니즘을 제공합니다. 자세한 내용은 해당 ProtocolDetails항목의TlsSessionResumptionMode 설명서를 참조하십시오.

      • 수동 IP: FTP 및 FTPS 프로토콜에 대한 수동 모드를 나타냅니다. 방화벽, 라우터 또는 로드 밸런서의 퍼블릭 IP 주소와 같은 단일 IPv4 주소를 입력합니다. 자세한 내용은 해당 ProtocolDetails항목의PassiveIp 설명서를 참조하십시오.

      

8. [Review] 에서 선택 사항을 검토합니다.

   • 이들 중 하나를 편집하려면 단계 옆에 있는 편집을 선택합니다.

     참고

     편집하기로 선택한 단계 다음에 있는 각 단계를 검토해야 합니다.

   • 변경 사항이 없는 경우 [Create server] 를 선택하여 서버를 생성하십시오. Servers(서버) 페이지로 이동하고, 새 서버가 나열되는 다음 화면이 표시됩니다.

새 서버의 상태가 Online으로 변경되려면 몇 분 정도 걸릴 수 있습니다. 이때부터 서버는 사용자의 파일 작업을 수행할 수 있습니다.

다음 단계: 다음 단계로사용자 정의 자격 증명 공급자로 작업 넘어가려면 계속해서 사용자 설정을 진행하세요.