AWSDirectory Service ID 공급자 사용

이 항목에서는 에 대한AWS Directory Service ID 공급자를 사용하는 방법을 설명합니다AWS Transfer Family.

AWS Directory Service for Microsoft Active Directory 사용

를AWS Transfer Family 사용하여 파일 전송 최종 사용자를 인증할 수AWS Directory Service for Microsoft Active Directory 있습니다. 최종 사용자의 자격 증명을 변경하거나 사용자 지정 권한 부여자를 사용하지 않고도 Active Directory 인증을 사용하는 파일 전송 워크플로를 원활하게 마이그레이션할 수 있습니다.

를 사용하면 SFTPAWS Managed Microsoft AD, FTPS 및 FTP를 통해 아마존 심플 스토리지 서비스 (Amazon S3) 또는 Amazon Elastic File System (Amazon EFS) 에 저장된 데이터에 대한 액세스 권한을AWS Directory Service 사용자와 그룹에 안전하게 제공할 수 있습니다. Active Directory를 사용하여 사용자의 자격 증명을 저장하면 이제 이러한 사용자의 파일 전송을 더 쉽게 활성화할 수 있습니다.

Active Directory 커넥터를 사용하여 온프레미스 환경의 Active Directory 그룹에 대한AWS 액세스를 제공할 수 있습니다.AWS Managed Microsoft AD AWS클라우드 또는 온-프레미스 네트워크의 Microsoft Windows 환경에서 이미 구성된 사용자에게 ID를 사용하는AWS Transfer Family 서버에AWS Managed Microsoft AD 대한 액세스 권한을 부여할 수 있습니다.

참고

• AWS Transfer FamilySimple AD 지원하지 않습니다.

• Transfer Family 패밀리는 지역 간 Active Directory 구성을 지원하지 않습니다. Transfer Family 서버와 동일한 지역에 있는 Active Directory 통합만 지원합니다.

• Transfer Family는 기존 RADIUS 기반 MFA (MFA) 을 활성화하는 것을 지원하지 않습니다.

사용하려면AWS Managed Microsoft AD 다음 단계를 수행해야 합니다.

1. AWS Directory Service콘솔을 사용하여 하나 이상의AWS Managed Microsoft AD 디렉터리를 생성합니다.

2. Transfer Family 콘솔을 사용하여 IDAWS Managed Microsoft AD 공급자로 사용하는 서버를 만들 수 있습니다.

3. 하나 이상의AWS Directory Service 그룹에서 액세스 권한을 추가하세요.

4. 필수는 아니지만 사용자 액세스를 테스트하고 확인하는 것이 좋습니다.

주제

• 사용 을 시작하기 전에AWS Directory Service for Microsoft Active Directory
• IDAWS Managed Microsoft AD 공급업체로 선택
• 그룹에 대한 액세스 권한 부여
• 사용자 테스트
• 그룹의 서버 액세스 삭제
• SSH (보안 셸) 를 사용하여 서버에 연결
• 포리스트와 트러스트를 사용하여 자체 관리형 Active Directory에 연결AWS Transfer Family

사용 을 시작하기 전에AWS Directory Service for Microsoft Active Directory

AD 그룹에 대한 고유 식별자를 제공합니다.

사용하려면AWS Managed Microsoft AD 먼저 Microsoft AD 디렉터리의 각 그룹에 고유한 식별자를 제공해야 합니다. 각 그룹의 SID (보안 식별자) 를 사용하여 이 작업을 수행할 수 있습니다. 연결한 그룹의 사용자는AWS Transfer Family를 사용하여 활성화된 프로토콜을 통해 Amazon S3 또는 Amazon EFS 리소스에 액세스할 수 있습니다.

다음 Windows PowerShell 명령을 사용하여 그룹의 SID를 검색하고 그룹 이름으로 YourGroupName대체합니다.

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid

참고

IDAWS Directory Service 공급자로 사용하는 경우userPrincipalNameSamAccountName 값이 다르면 의 값을AWS Transfer FamilySamAccountName 수락합니다. Transfer Family 패밀리는 에 지정된 값을 수락하지 않습니다userPrincipalName.

역할에AWS Directory Service 권한 추가

IDAWS Directory Service 공급자로 사용하려면AWS Directory Service API 권한도 필요합니다. 다음의 권한이 필요합니다.

• ds:DescribeDirectoriesTransfer Family가 디렉터리를 조회하는 데 필요합니다.

• ds:AuthorizeApplicationTransfer Family 패밀리에 대한 승인을 추가하는 데 필요합니다

• ds:UnauthorizeApplication서버 생성 프로세스 중에 문제가 발생할 경우를 대비하여 임시로 생성된 리소스를 모두 제거하는 것이 좋습니다.

Transfer Family 서버를 만드는 데 사용하는 역할에 이러한 권한을 추가하십시오. 이러한 권한에 대한 자세한 내용은 AWS Directory ServiceAPI 권한: 작업, 리소스 및 조건 참조를 참조하세요.

IDAWS Managed Microsoft AD 공급업체로 선택

이 단원에서는 서버를 사용하는AWS Directory Service for Microsoft Active Directory 방법을 설명합니다.

Transfer FamilyAWS Managed Microsoft AD 패밀리와 함께 사용하려면

1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/directoryservicev2/에서 AWS Directory Service 콘솔을 엽니다.

   AWS Directory Service콘솔을 사용하여 하나 이상의 관리형 디렉터리를 구성합니다. 자세한 내용은 AWS Directory Service관리자 안내서의 을 참조하십시오 AWS Managed Microsoft AD.

   

2. https://console.aws.amazon.com/transfer/ 에서AWS Transfer Family 콘솔을 열고 서버 생성을 선택합니다.

3. 프로토콜 선택 페이지의 목록에서 하나 이상의 프로토콜을 선택합니다.

   참고

   FTPS를 선택하는 경우AWS Certificate Manager 인증서를 제공해야 합니다.

4. ID 공급자 선택에서AWS Directory Service 선택합니다.

   

5. 디렉터리 목록에는 구성한 모든 관리 디렉터리가 포함됩니다. 목록에서 디렉터리를 선택하고 다음 을 선택합니다.

   참고

   • 교차 계정 및 공유 디렉터리는 지원되지 않습니다AWS Managed Microsoft AD.

   • Directory Service ID 공급자로 사용하는 서버를 설정하려면 몇 가지AWS Directory Service 권한을 추가해야 합니다. 세부 정보는 사용 을 시작하기 전에AWS Directory Service for Microsoft Active Directory을 참조하세요.

6. 서버 생성을 완료하려면 다음 절차 중 하나를 수행합니다.

   • SFTP 지원 서버 만들기

   • FTPS 지원 서버 만들기

   • FTP 지원 서버 생성

   이러한 절차에서 ID 제공자를 선택한 다음 단계를 계속 진행하십시오.

중요

Transfer Family 서버에서 Microsoft AD 디렉터리를 사용한AWS Directory Service 경우에는 해당 디렉터리를 삭제할 수 없습니다. 먼저 서버를 삭제해야 디렉터리를 삭제할 수 있습니다.

그룹에 대한 액세스 권한 부여

서버를 생성한 후에는 를 사용하여 활성화된 프로토콜을 통해 파일을 업로드 및 다운로드할 수 있는 액세스 권한을 가질 디렉터리의 그룹을 선택해야AWS Transfer Family 합니다. 이렇게 하려면 액세스 권한을 생성해야 합니다.

참고

사용자는 액세스 권한을 부여하려는 그룹에 직접 속해야 합니다. 예를 들어 Bob이 사용자이고 GroupA에 속하며 GroupA 자체가 GroupB에 포함되어 있다고 가정해 보겠습니다.

• 그룹 A에 대한 액세스 권한을 부여하면 Bob에게 액세스 권한이 부여됩니다.

• 그룹 A가 아닌 그룹 B에 액세스 권한을 부여하면 Bob은 액세스할 수 없습니다.

그룹에 대한 액세스 권한을 에 부여하려면

1. https://console.aws.amazon.com/transfer/ 에서AWS Transfer Family 콘솔을 엽니다.

2. 서버 세부 정보 페이지로 이동합니다.

3. 액세스 섹션에서 액세스 추가를 선택합니다.

4. 이 서버에 액세스할AWS Managed Microsoft AD 디렉터리의 SID를 입력합니다.

   참고

   그룹의 SID를 찾는 방법에 대한 자세한 내용은 단원을사용 을 시작하기 전에AWS Directory Service for Microsoft Active Directory.

5. Access에서 그룹의AWS Identity and Access Management (IAM) 역할을 선택합니다.

6. 정책 섹션에서 정책을 선택합니다. 기본 설정은 없음입니다.

7. 홈 디렉터리에서는 그룹의 홈 디렉터리에 해당하는 S3 버킷을 선택합니다.

   참고

   세션 정책을 생성하여 사용자에게 표시되는 버킷 부분을 제한할 수 있습니다. 예를 들어 사용자를/filetest 디렉터리 아래에 있는 자신의 폴더로 제한하려면 상자에 다음 텍스트를 입력합니다.

   /filetest/${transfer:UserName}

   세션 정책 생성에 대한 자세한 내용은 단원을Amazon S3 버킷에 대한 세션 정책 생성.

8. 추가를 선택하여 연결을 생성합니다.

9. 서버를 선택합니다.

10. 액세스 추가를 선택합니다.

    1. 그룹의 SID를 입력합니다.

       참고

       SID를 찾는 방법에 대한 자세한 내용은 단원을사용 을 시작하기 전에AWS Directory Service for Microsoft Active Directory.

11. 액세스 추가를 선택합니다.

액세스 섹션에는 서버에 대한 액세스가 나열됩니다.

사용자 테스트

사용자가 서버의AWS Managed Microsoft AD 디렉터리에 액세스할 수 있는지 테스트할 수 있습니다.

참고

사용자는 엔드포인트 구성 페이지의 액세스 섹션에 나열된 정확히 하나의 그룹 (외부 ID) 에 속해야 합니다. 사용자가 그룹에 속하지 않거나 둘 이상의 그룹에 속해 있는 경우 해당 사용자에게는 액세스 권한이 부여되지 않습니다.

특정 사용자에게 액세스 권한이 있는지 테스트하려면

1. 서버 세부 정보 페이지에서 동작을 선택한 다음 테스트를 선택합니다.

2. ID 제공자 테스트의 경우 액세스 권한이 있는 그룹 중 하나에 속한 사용자의 로그인 자격 증명을 입력합니다.

3. 테스트(Test)를 선택합니다.

선택한 사용자에게 서버 액세스 권한이 부여되었음을 보여주는 성공적인 ID 제공자 테스트가 표시됩니다.

사용자가 액세스 권한이 있는 둘 이상의 그룹에 속해 있는 경우 다음과 같은 응답을 받게 됩니다.

"Response":"",
"StatusCode":200,
"Message":"More than one associated access found for user's groups."

그룹의 서버 액세스 삭제

그룹의 서버 액세스를 삭제하려면

1. 서버 세부 정보 페이지에서 작업을 선택한 다음 액세스 삭제를 선택합니다.

2. 대화 상자에서 이 그룹에 대한 액세스를 제거할지 여부를 확인합니다.

서버 세부 정보 페이지로 돌아가면 이 그룹에 대한 액세스 권한이 더 이상 나열되지 않는 것을 볼 수 있습니다.

SSH (보안 셸) 를 사용하여 서버에 연결

서버와 사용자를 구성한 후에는 SSH를 사용하여 서버에 연결하고 액세스 권한이 있는 사용자의 정규화된 사용자 이름을 사용할 수 있습니다.

sftp user@active-directory-domain@vpc-endpoint

예: transferuserexample@mycompany.com@vpce-0123456abcdef-789xyz.vpc-svc-987654zyxabc.us-east-1.vpce.amazonaws.com.

이 형식은 페더레이션 검색을 대상으로 하며 크기가 클 수 있는 Active Directory의 검색을 제한합니다.

참고

간단한 사용자 이름을 지정할 수 있습니다. 하지만 이 경우 Active Directory 코드는 페더레이션에 있는 모든 디렉터리를 검색해야 합니다. 이로 인해 검색이 제한될 수 있으며 사용자에게 액세스 권한이 있어도 인증이 실패할 수 있습니다.

인증이 완료되면 사용자는 사용자를 구성할 때 지정한 홈 디렉터리에 위치합니다.

포리스트와 트러스트를 사용하여 자체 관리형 Active Directory에 연결AWS Transfer Family

자체 관리형 AD (Active Directory) 의 사용자는 패밀리 서버에AWS IAM Identity Center (successor to AWS Single Sign-On) 대한 싱글 사인온 액세스AWS 계정 및 Transfer Family 서버에도 사용할 수 있습니다. 이를 위해 다음과 같은 옵션을 사용할 수 있습니다.AWS Directory Service

• 단방향 포리스트 트러스트 (온-프레미스 Active Directory의 경우 송신AWS Managed Microsoft AD 및 수신) 는 루트 도메인에서만 작동합니다.

• 하위 도메인의 경우 다음 중 하나를 사용할 수 있습니다.

  • 온-프레미스 Active Directory 간에AWS Managed Microsoft AD 양방향 신뢰 사용

  • 각 하위 도메인에 대한 단방향 외부 트러스트를 사용하십시오.

예를 들어 트러스트된 도메인을 사용하여 서버에 연결하는 경우 사용자는 트러스트된 도메인을 지정해야transferuserexample@mycompany.com 합니다.

AzureAWS Active Directory 도메인 서비스에 디렉터리 서비스 사용

• SFTP 전송 요구 사항에 맞게 기존 Active Directory 포리스트를 활용하려면 Active Directory 커넥터를 사용할 수 있습니다.

• 완전 관리형 서비스에서 Active Directory의 이점과 고가용성을 원하는 경우 를 사용할 수 있습니다AWS Directory Service for Microsoft Active Directory. 세부 정보는 AWSDirectory Service ID 공급자 사용을 참조하세요.

이 항목에서는 액티브 디렉터리 커넥터와 Azure 액티브 디렉터리 도메인 서비스 (Azure ADDS) 를 사용하여 Azure Active Directory를 사용하는 SFTP 전송 사용자를 인증하는 방법을 설명합니다.

주제

• AzureAWS Active Directory 도메인 서비스용 디렉터리 서비스를 사용하기 전에
• 1단계: Azure 액티브 디렉터리 도메인 서비스 추가
• 2단계: 서비스 계정 생성
• 3단계: AD Connector 사용하여AWS 디렉터리 설정
• 4단계:AWS Transfer Family 서버 설정
• 5단계: 그룹에 액세스 권한 부여
• 6단계: 사용자 테스트

AzureAWS Active Directory 도메인 서비스용 디렉터리 서비스를 사용하기 전에

의AWS 경우 다음이 필요합니다.

• Transfer Family 서버를 사용하는AWS 지역의 Virtual Private Cloud (Virtual Private Cloud)

• VPC 2개 이상의 프라이빗 서브넷

• VPC는 인터넷에 연결되어 있어야 합니다.

• Microsoft Azure와의 site-to-site VPN 연결을 위한 고객 게이트웨이 및 가상 프라이빗 게이트웨이

Microsoft Azure의 경우 다음이 필요합니다.

• Azure 액티브 디렉터리 및 액티브 디렉터리 도메인 서비스 (Azure ADDS)

• Azure 리소스 그룹

• Azure 가상 네트워크

• Amazon VPC와 Azure 리소스 그룹 간의 VPN 연결

  참고

  이는 네이티브 IPSEC 터널을 통하거나 VPN 어플라이언스를 사용할 수 있습니다. 이 항목에서는 Azure 가상 네트워크 게이트웨이와 로컬 네트워크 게이트웨이 간에 IPSEC 터널을 사용합니다. 터널은 Azure ADDS 엔드포인트와AWS VPC가 있는 서브넷 간의 트래픽을 허용하도록 구성되어야 합니다.

• Microsoft Azure와의 site-to-site VPN 연결을 위한 고객 게이트웨이 및 가상 프라이빗 게이트웨이

다음 다이어그램은 시작하기 전에 필요한 구성을 보여 줍니다.

1단계: Azure 액티브 디렉터리 도메인 서비스 추가

Azure AD는 기본적으로 도메인 가입 인스턴스를 지원하지 않습니다. 도메인 가입과 같은 작업을 수행하고 그룹 정책과 같은 도구를 사용하려면 관리자가 Azure Active Directory 도메인 서비스를 활성화해야 합니다. Azure AD DS를 아직 추가하지 않았거나 기존 구현이 SFTP 전송 서버에서 사용할 도메인과 연결되어 있지 않은 경우 새 인스턴스를 추가해야 합니다.

Azure Active Directory 도메인 서비스 (Azure ADDS) 를 사용하도록 설정하는 방법에 대한 자세한 내용은 자습서: Azure Active Directory 도메인 서비스 관리 도메인 만들기 및 구성을 참조하십시오.

참고

Azure ADDS를 사용하도록 설정하는 경우 SFTP 전송 서버를 연결하는 리소스 그룹 및 Azure AD 도메인에 맞게 구성되었는지 확인하십시오.

2단계: 서비스 계정 생성

Azure AD에는 Azure ADDS의 관리자 그룹에 속하는 서비스 계정이 하나 있어야 합니다. 이 계정은AWS 액티브 디렉터리 커넥터와 함께 사용됩니다. 이 계정이 Azure ADDS와 동기화되었는지 확인하세요.

3단계: AD Connector 사용하여AWS 디렉터리 설정

Azure ADDS를 구성하고AWS VPC와 Azure 가상 네트워크 간에 IPSEC VPN 터널을 사용하여 서비스 계정을 만든 후에는 모든AWS EC2 인스턴스에서 Azure ADDS DNS IP 주소를 핑하여 연결을 테스트할 수 있습니다.

연결이 활성화되었는지 확인한 후 아래에서 계속할 수 있습니다.

AD Connector 사용하여AWS 디렉터리를 설정하려면

1. Directory Service 콘솔을 열고 디렉터리를 선택합니다.

2. 디렉터리 설정을 선택합니다.

3. 디렉터리 유형으로 AD AD Connector 선택합니다.

4. 디렉터리 크기를 선택하고 다음을 선택한 후 VPC와 서브넷을 선택합니다.

5. 다음을 선택하고 다음과 같이 필드에 값을 입력합니다.

   • 디렉터리 DNS 이름: Azure ADDS에 사용 중인 도메인 이름을 입력합니다.

   • DNS IP 주소: Azure ADDS IP 주소를 입력합니다.

   • 서버 계정 사용자 이름 및 암호: 2단계: 서비스 계정 만들기에서 만든 서비스 계정의 세부 정보를 입력합니다.

6. 화면을 완료하여 디렉터리 서비스를 생성합니다.

이제 디렉터리 상태가 Active여야 하며 SFTP 전송 서버와 함께 사용할 준비가 되었습니다.

4단계:AWS Transfer Family 서버 설정

SFTP 프로토콜과 ID 제공자 유형의 AWSDirectory Service 사용하여 Transfer Family 서버를 생성합니다. 디렉터리 드롭다운 목록에서 3단계: AD Connector 사용한AWS 디렉터리 설정에서 추가한 디렉터리를 선택합니다.

참고

Transfer Family 서버에서 사용한 경우AWS 디렉터리 서비스에서 Microsoft AD 디렉터리를 삭제할 수 없습니다. 먼저 서버를 삭제해야 디렉터리를 삭제할 수 있습니다.

5단계: 그룹에 액세스 권한 부여

서버를 생성한 후에는 를 사용하여 활성화된 프로토콜을 통해 파일을 업로드 및 다운로드할 수 있는 액세스 권한을 가질 디렉터리의 그룹을 선택해야AWS Transfer Family 합니다. 이렇게 하려면 액세스 권한을 생성해야 합니다.

참고

사용자는 액세스 권한을 부여하려는 그룹에 직접 속해야 합니다. 예를 들어 Bob이 사용자이고 GroupA에 속하며 GroupA 자체가 GroupB에 포함되어 있다고 가정해 보겠습니다.

• 그룹 A에 대한 액세스 권한을 부여하면 Bob에게 액세스 권한이 부여됩니다.

• 그룹 A가 아닌 그룹 B에 액세스 권한을 부여하면 Bob은 액세스할 수 없습니다.

액세스 권한을 부여하려면 그룹의 SID를 검색해야 합니다.

다음 Windows PowerShell 명령을 사용하여 그룹의 SID를 검색하고 그룹 이름으로 YourGroupName대체합니다.

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid

그룹에 대한 액세스 권한 부여

1. https://console.aws.amazon.com/transfer/ 을 여세요.

2. 서버 세부 정보 페이지로 이동한 다음 액세스 섹션에서 액세스 추가를 선택합니다.

3. 이전 절차의 출력에서 받은 SID를 입력합니다.

4. Access에서 그룹의AWS Identity and Access Management 역할을 선택합니다.

5. 정책 섹션에서 정책을 선택합니다. 기본값은 없음입니다.

6. 홈 디렉터리에서는 그룹의 홈 디렉터리에 해당하는 S3 버킷을 선택합니다.

7. 추가를 선택하여 연결을 생성합니다.

Transfer 서버의 세부 정보는 다음과 유사해야 합니다.

6단계: 사용자 테스트

사용자가 서버의AWS Managed Microsoft AD 디렉터리에 액세스할 수 있는지 여부를 테스트 (사용자 테스트) 할 수 있습니다. 사용자는 엔드포인트 구성 페이지의 액세스 섹션에 나열된 정확히 하나의 그룹 (외부 ID) 에 속해야 합니다. 사용자가 그룹에 속하지 않거나 둘 이상의 그룹에 속해 있는 경우 해당 사용자에게는 액세스 권한이 부여되지 않습니다.