사용자 지정 자격 증명 공급자와 작업 - AWS Transfer Family

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용자 지정 자격 증명 공급자와 작업

AWS Transfer Family 는 사용자 지정 자격 증명 공급자가 안전한 파일 전송을 위해 사용자를 인증하고 권한을 부여할 수 있는 몇 가지 옵션을 제공합니다. 다음은 주요 접근 방식입니다.

  • 사용자 지정 ID 제공업체 솔루션-이 주제에서는 GitHub에서 호스팅되는 툴킷을 사용하여 Transfer Family 사용자 지정 자격 증명 공급자 솔루션을 설명합니다.

    참고

    대부분의 사용 사례에서 권장되는 옵션입니다. 특히 100개 이상의 Active Directory 그룹을 지원해야 하는 경우 사용자 지정 ID 제공업체 솔루션은 그룹 제한 없이 확장 가능한 대안을 제공합니다. 이 솔루션은 블로그 게시물 Simplify Active Directory authentication with a custom identity provider for에 설명되어 있습니다 AWS Transfer Family.

  • Amazon API Gateway를 ID 제공자 통합에 사용-이 주제에서는 AWS Lambda 함수를 사용하여 Amazon API Gateway 메서드를 지원하는 방법을 설명합니다.

    단일 Amazon API Gateway 메서드를 사용하여 RESTful 인터페이스를 제공할 수 있습니다. Transfer Family는 이 메서드를 호출하여 자격 증명 공급자에 연결합니다. 자격 증명 공급자는 사용자가 Amazon S3 또는 Amazon EFS에 액세스할 수 있도록 인증하고 권한을 부여합니다. ID 제공업체를 통합하기 위해 RESTful API가 필요하거나를 사용하여 지리 차단 또는 속도 제한 요청에 대한 기능을 AWS WAF 활용하려는 경우이 옵션을 사용합니다. 자세한 내용은 Amazon API Gateway를 ID 제공자 통합에 사용을 참조하세요.

  • 동적 권한 관리 접근 방식-이 주제에서는 세션 정책을 사용하여 사용자 권한을 동적으로 관리하는 접근 방식을 설명합니다.

    사용자를 인증하려면, AWS Transfer Family를 사용하여 기존 ID 제공자를 사용할 수 있습니다. Amazon S3 또는 Amazon Elastic File System (Amazon EFS)에 액세스할 수 있도록 사용자를 인증하고 권한을 부여하는 AWS Lambda 함수를 사용하여 자격 증명 공급자를 통합합니다. 자세한 내용은 AWS Lambda 를 사용하여 자격 증명 공급자 통합를 참조하세요. 또한 AWS Transfer Family Management Console에서 전송된 파일 수 및 바이트 수와 같은 지표에 대한 CloudWatch 그래프에 액세스할 수 있으므로 중앙 집중식 대시보드를 사용하여 파일 전송을 모니터링할 수 있는 단일 창을 제공합니다.

  • Transfer Family는 파일 전송 솔루션 구축을 안내하는 블로그 게시물과 워크숍을 제공합니다. 이 솔루션은 관리형 SFTP/FTPS 엔드포인트 AWS Transfer Family 에를 활용하고 사용자 관리를 위해 Amazon Cognito 및 DynamoDB를 활용합니다.

    블로그 게시물은 AWS Transfer Family 및 Amazon S3에서 자격 증명 공급자로 Amazon Cognito 사용에서 확인할 수 있습니다Amazon S3. 여기에서 워크숍에 대한 세부 정보를 볼 수 있습니다.

참고

사용자 지정 자격 증명 공급자의 경우 사용자 이름은 최소 3자에서 최대 100자여야 합니다. 사용자 이름에는 a~z, A~Z, 0~9, 밑줄 '_', 하이픈 '-', 마침표 '.' 및 at 기호 '@' 문자를 사용할 수 있습니다. 사용자 이름은 하이픈 '-', 마침표 '.' 또는 at 기호 '@'로 시작할 수 없습니다.

사용자 지정 자격 증명 공급자를 구현할 때는 다음 모범 사례를 고려하세요.

  • Transfer Family 서버와 동일한 AWS 계정 및 리전에 솔루션을 배포합니다.

  • IAM 역할 및 정책을 구성할 때 최소 권한 원칙을 구현합니다.

  • 보안 강화를 위해 IP 허용 목록 및 표준화된 로깅과 같은 기능을 사용합니다.

  • 배포하기 전에 비프로덕션 환경에서 사용자 지정 자격 증명 공급자를 철저히 테스트합니다.

주제