사용자 지정 ID 제공업체 솔루션 - AWS Transfer Family
사용자 지정 자격 증명 도구 키트의 구현 세부 정보지원되는 ID 제공업체

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용자 지정 ID 제공업체 솔루션

AWS Transfer Family 사용자 지정 ID 제공업체 솔루션은 기업이 서비스를 구현할 때 가지고 있는 많은 일반적인 인증 및 권한 부여 사용 사례를 해결하는 모듈식 사용자 지정 ID 제공업체 솔루션입니다. 이 솔루션은 세분화된 사용자별 세션 구성으로 사용자 지정 자격 증명 공급자를 구현하기 위한 재사용 가능한 기반을 제공하고 인증 및 권한 부여 로직을 분리하여 다양한 사용 사례에 유연하고 easy-to-maintain 기반을 제공합니다.

AWS Transfer Family 사용자 지정 ID 제공업체 솔루션을 사용하면 일반적인 엔터프라이즈 인증 및 권한 부여 사용 사례를 해결할 수 있습니다. 이 모듈식 솔루션은 다음을 제공합니다.

  • 사용자 지정 자격 증명 공급자를 구현하기 위한 재사용 가능한 기반

  • 세분화된 사용자별 세션 구성

  • 별도의 인증 및 권한 부여 로직

사용자 지정 자격 증명 도구 키트의 구현 세부 정보

이 솔루션은 다양한 사용 사례를 위한 유연하고 유지 관리 가능한 기반을 제공합니다. 시작하려면 https://github.com/aws-samples/toolkit-for-aws-transfer-family 도구 키트를 검토한 다음 시작하기 섹션의 배포 지침을 따르세요.

GitHub에서 사용할 수 있는 사용자 지정 자격 증명 공급자 툴킷의 아키텍처 다이어그램입니다.
참고

이전에 사용자 지정 자격 증명 공급자 템플릿과 예제를 사용한 적이 있는 경우이 솔루션을 대신 채택하는 것이 좋습니다. 앞으로 공급자별 모듈은이 솔루션을 표준화합니다. 이 솔루션에는 지속적인 유지 관리 및 기능 개선 사항이 적용됩니다.

이 솔루션에는 로깅을 포함한 세부 정보와 HomeDirectoryDetails 파라미터와 AWS Transfer Family같이 필요한 추가 세션 메타데이터를 저장할 위치를 설명하는 사용자 지정 공급자를 구현하기 위한 표준 패턴이 포함되어 있습니다. 이 솔루션은 사용자별 세션 구성을 사용하여 사용자 지정 자격 증명 공급자를 구현하기 위한 재사용 가능한 기반을 제공하고, 인증을 완료하고 세션 설정을 설정하기 위해 Transfer Family에 반환되는 구성을 빌드하는 재사용 가능한 로직에서 자격 증명 공급자 인증 로직을 분리합니다.

이 솔루션의 코드 및 지원 리소스는 https://github.com/aws-samples/toolkit-for-aws-transfer-family 확인할 수 있습니다.

도구 키트에는 다음 기능이 포함되어 있습니다.

  • 필요한 리소스를 프로비저닝하는 AWS Serverless Application Model 템플릿입니다. 선택적으로 블로그 게시물 웹 애플리케이션 방화벽 및 Amazon API Gateway로 보안에 설명된 AWS WAF대로 통합하도록 Amazon API Gateway를 배포하고 구성합니다. AWS Transfer FamilyAWS Amazon API Gateway

  • , 및와 같은 사용자 세션 설정을 포함하여 자격 증명 공급자에 대한 구성 메타데이터를 저장하는 Amazon DynamoDB 스키마HomeDirectoryDetailsRole입니다Policy.

  • 향후 솔루션에 새 자격 증명 공급자를 모듈로 추가할 수 있는 모듈식 접근 방식입니다.

  • 속성 검색: 선택적으로 AD, LDAP, Okta 등 지원되는 자격 증명 공급자로부터 IAM 역할 및 POSIX 프로파일(UID 및 GID) 속성을 검색합니다.

  • 솔루션의 동일한 배포를 사용하여 단일 Transfer Family 서버와 여러 Transfer Family 서버에 연결된 여러 자격 증명 공급자를 지원합니다.

  • 사용자 또는 자격 증명 공급자별로 선택적으로 구성할 수 있는 IP 허용 목록과 같은 기본 제공 IP 허용 목록 검사입니다.

  • 문제 해결을 돕기 위해 구성 가능한 로그 수준 및 추적 지원이 포함된 세부 로깅.

사용자 지정 ID 제공업체 솔루션을 배포하기 전에 다음 AWS 리소스가 있어야 합니다.

  • NAT 게이트웨이 또는 DynamoDB 게이트웨이 엔드포인트를 통해 인터넷에 연결된 프라이빗 서브넷이 있는 Amazon Virtual Private Cloud(VPC)입니다.

  • 다음 작업을 수행할 수 있는 적절한 IAM 권한:

    • custom-idp.yaml AWS CloudFormation 템플릿을 배포합니다.

    • AWS CodePipeline 프로젝트 생성

    • AWS CodeBuild 프로젝트 생성

    • IAM 역할 및 정책 생성

중요

대상 Transfer Family 서버 AWS 리전 가 포함된 동일한 AWS 계정 및에 솔루션을 배포해야 합니다.

지원되는 ID 제공업체

다음 목록에는 사용자 지정 자격 증명 공급자 솔루션에 지원되는 자격 증명 공급자에 대한 세부 정보가 포함되어 있습니다.

공급자 암호 흐름 퍼블릭 키 흐름 멀티 팩터 속성 검색 세부 사항
Active Directory 및 LDAP 아니요

사용자 확인은 퍼블릭 키 인증 흐름의 일부로 수행할 수 있습니다.
Argon2(로컬 해시) 아니요 아니요 아니요 Argon2 해시는 '로컬' 암호 기반 인증 사용 사례에 대한 사용자 레코드에 저장됩니다.
Amazon Cognito 아니요 예* 아니요

시간 기반 일회용 암호(TOTP) 기반 다중 인증만 해당됩니다.

*SMS 기반 MFA는 지원되지 않습니다.
Entra ID(이전 Azure AD) 아니요 아니요 아니요
Okta 예* TOTP 기반 MFA만 해당.
퍼블릭 키 아니요 아니요 아니요 퍼블릭 키는 DynamoDB의 사용자 레코드에 저장됩니다.
Secrets Manager 아니요 아니요