

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# SFTP, FTPS 또는 FTP 서버 엔드포인트 구성
<a name="sftp-for-transfer-family"></a>

이 주제에서는 하나 이상의 SFTP, FTPS 및 FTP 프로토콜을 사용하는 AWS Transfer Family 서버 엔드포인트를 생성하고 사용하는 방법에 대한 세부 정보를 제공합니다.

**Topics**
+ [자격 증명 공급자 옵션](#identity-provider-details)
+ [AWS Transfer Family 엔드포인트 유형 매트릭스](#endpoint-matrix)
+ [SFTP, FTPS 또는 FTP 서버 엔드포인트 구성](tf-server-endpoint.md)
+ [FTP 및 FTPS Network Load Balancer 고려 사항](#ftp-ftps-nlb-considerations)
+ [클라이언트를 사용하여 서버 엔드포인트를 통한 파일 전송](transfer-file.md)
+ [서버 엔드포인트에 대한 사용자 관리](create-user.md)
+ [논리적 디렉터리를 사용하여 Transfer Family 디렉터리 구조를 단순화합니다.](logical-dir-mappings.md)
+ [Transfer Family를 사용하여 FSx for NetApp ONTAP 파일 시스템에 액세스](fsx-s3-access-points.md)

## 자격 증명 공급자 옵션
<a name="identity-provider-details"></a>

AWS Transfer Family 는 사용자를 인증하고 관리하기 위한 몇 가지 방법을 제공합니다. 다음 표에서는 Transfer Family와 함께 사용할 수 있는 ID 공급자를 비교합니다.


| 작업 | AWS Transfer Family 서비스 관리형 | AWS Managed Microsoft AD | Amazon API Gateway | AWS Lambda | 
| --- | --- | --- | --- | --- | 
| 지원되는 프로토콜 | SFTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP | 
| 키 기반 인증 | 예 | 아니요 | 예 | 예 | 
| 암호 인증 | 아니요 | 예 | 예 | 예 | 
| AWS Identity and Access Management (IAM) 및 POSIX | 예 | 예 | 예 | 예 | 
| 논리적 홈 디렉터리 | 예 | 예 | 예 | 예 | 
| 파라미터화된 액세스(사용자 이름 기반) | 예 | 예 | 예 | 예 | 
| 임시 액세스 구조 | 예 | 아니요 | 예 | 예 | 
| AWS WAF | 아니요 | 아니요 | 예 | 아니요 | 

참고:
+ IAM은 Amazon S3 지원 스토리지에 대한 액세스를 통제하는 데 사용되고 POSIX는 Amazon EFS에 사용됩니다.
+ *임시*는 런타임에 사용자 프로필을 전송할 수 있는 기능을 의미합니다. 예컨대, 사용자 이름을 변수로 전달하여 사용자를 홈 디렉터리에 연결할 수 있습니다.
+ 에 대한 자세한 내용은 단원을 AWS WAF참조하십시오[웹 애플리케이션 방화벽 추가](web-application-firewall.md).
+ Microsoft Entra ID(이전 Azure AD)와 통합된 Lambda 함수를 Transfer Family 자격 증명 공급자로 사용하는 방법을 설명하는 블로그 게시물이 있습니다. 자세한 내용은 [ Azure Active Directory AWS Transfer Family 를 사용하여에 인증 및 섹션을 AWS Lambda](https://aws.amazon.com/blogs/storage/authenticating-to-aws-transfer-family-with-azure-active-directory-and-aws-lambda/)참조하세요.
+ 사용자 지정 자격 증명 공급자를 사용하는 Transfer Family 서버를 빠르게 배포하는 데 도움이 되는 여러 CloudFormation 템플릿을 제공합니다. 자세한 내용은 [Lambda 함수 템플릿](custom-lambda-idp.md#lambda-idp-templates)을 참조하세요.

다음 절차에서 SFTP 지원 서버, FTPS 지원 서버, FTP 지원 서버 또는 AS2 지원 서버를 생성할 수 있습니다.

**다음 단계**
+ [SFTP 지원 서버 생성](create-server-sftp.md)
+ [FTPS 지원 서버 생성](create-server-ftps.md)
+ [FTP 지원 서버 생성](create-server-ftp.md)
+ [AS2 구성](create-b2b-server.md)

## AWS Transfer Family 엔드포인트 유형 매트릭스
<a name="endpoint-matrix"></a>

Transfer Family 서버를 생성하는 경우 사용할 엔드포인트 타입을 선택합니다. 다음 표에서는 각 엔드포인트 타입의 특성에 대해 설명합니다.


**엔드포인트 타입 매트릭스**  

| 기능 | 퍼블릭 | VPC - 인터넷 | VPC - 내부형 | VPC\_엔드포인트(폐지됨) | 
| --- | --- | --- | --- | --- | 
| 지원되는 프로토콜 | SFTP | SFTP, FTPS, AS2 | SFTP, FTP, FTPS, AS2 | SFTP | 
| 액세스 | 인터넷을 통해 이 엔드포인트 타입에는 VPC에 특별한 구성이 필요하지 않습니다. | 인터넷을 통해, 그리고 또는 Direct Connect VPN을 통한 온프레미스 데이터 센터와 같은 VPC 및 VPC 연결 환경 내에서. |  Direct Connect 또는 VPN을 통한 온프레미스 데이터 센터와 같은 VPC 및 VPC 연결 환경 내에서. |  Direct Connect 또는 VPN을 통한 온프레미스 데이터 센터와 같은 VPC 및 VPC 연결 환경 내에서. | 
| 고정 IP 주소 | 고정 IP 주소는 연결할 수 없습니다.는 변경될 수 있는 IP 주소를 AWS 제공합니다. | 탄력적 IP 주소를 엔드포인트에 연결할 수 있습니다. 이는 AWS에서 소유한 IP 주소일 수도 있고 자체 IP 주소일 수도 있습니다([자체 IP 주소 사용](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html)). 엔드포인트에 연결된 탄력적 IP 주소는 변경되지 않습니다.<br />서버에 연결된 사설 IP 주소도 변경되지 않습니다. | 엔드포인트에 연결된 사설 IP 주소는 변경되지 않습니다. | 엔드포인트에 연결된 사설 IP 주소는 변경되지 않습니다. | 
| 소스 IP 허용 목록 | 이 엔드포인트 타입은 소스 IP 주소별 허용 목록을 지원하지 않습니다.<br />엔드포인트는 공개적으로 액세스할 수 있으며 포트 22를 통해 트래픽을 수신합니다. VPC 호스팅 엔드포인트의 경우 SFTP Transfer Family 서버는 포트 22(기본값), 2222, 2223 또는 22000을 통해 작동할 수 있습니다.  | 소스 IP 주소별 액세스를 허용하려면 서버 엔드포인트에 연결된 보안 그룹과 엔드포인트가 있는 서브넷에 연결된 네트워크 ACL을 사용할 수 있습니다. | 소스 IP 주소별 액세스를 허용하려면 서버 엔드포인트에 연결된 보안 그룹과 엔드포인트가 있는 서브넷에 연결된 네트워크 ACL(액세스 통제 목록)을 사용할 수 있습니다. | 소스 IP 주소별 액세스를 허용하려면 서버 엔드포인트에 연결된 보안 그룹과 엔드포인트가 있는 서브넷에 연결된 네트워크 ACL을 사용할 수 있습니다. | 
| 클라이언트 방화벽 허용 목록 | 서버의 DNS 이름을 허용해야 합니다.<br />IP 주소는 변경될 수 있으므로 클라이언트 방화벽 허용 목록에 IP 주소를 사용하지 마세요. | 서버의 DNS 이름 또는 서버에 연결된 탄력적 IP 주소를 허용할 수 있습니다. | 엔드포인트의 프라이빗 IP 주소 또는 DNS 이름을 허용할 수 있습니다. | 엔드포인트의 프라이빗 IP 주소 또는 DNS 이름을 허용할 수 있습니다. | 
| IP 주소 유형 | IPv4(기본값) 또는 듀얼 스택(IPv4 및 IPv6) | IPv4 전용(듀얼 스택은 지원되지 않음) | IPv4(기본값) 또는 듀얼 스택(IPv4 및 IPv6) | IPv4 전용(듀얼 스택은 지원되지 않음) | 

**참고**  
`VPC_ENDPOINT` 엔드포인트 타입은 이제 더 이상 사용되지 않으며 새 서버를 만드는 데 사용할 수 없습니다. 를 사용하는 대신 이전 표에 설명된 대로 **내부** 또는 **인터넷 연결**로 사용할 수 있는 VPC 엔드포인트 유형(`EndpointType=VPC`)을 `EndpointType=VPC_ENDPOINT`사용합니다.  
사용 중단에 대한 자세한 내용은 섹션을 참조하세요[VPC\_ENDPOINT 사용 중단Transfer Family 콘솔, API AWS CLI, SDKs 또는를 사용하여 서버의 엔드포인트 유형을 변경할 수 있습니다 CloudFormation. 서버의 엔드포인트 타입을 변경하려면 [AWS Transfer Family 서버 엔드포인트 유형을 VPC\_ENDPOINT에서 VPC로 업데이트](update-endpoint-type-vpc.md)를 참조하세요.](create-server-in-vpc.md#deprecate-vpc-endpoint).
VPC 엔드포인트 권한 관리에 대한 자세한 내용은 섹션을 참조하세요[Transfer Family 서버에 대한 VPC 엔드포인트 액세스 제한](create-server-in-vpc.md#limit-vpc-endpoint-access).

 AWS Transfer Family 서버의 보안 상태를 강화하려면 다음 옵션을 고려해 보세요.
+ 내부 액세스 권한이 있는 VPC 엔드포인트를 사용하면 서버는 Direct Connect 또는 VPN을 통한 온프레미스 데이터 센터와 같은 VPC 또는 VPC 연결 환경 내의 클라이언트만 액세스할 수 있습니다.
+ 클라이언트가 인터넷을 통해 엔드포인트에 액세스하도록 허용하고 서버를 보호하려면 인터넷 연결 액세스가 가능한 VPC 엔드포인트를 사용하세요. 그런 다음 사용자 클라이언트를 호스팅하는 특정 IP 주소로부터의 트래픽만 허용하도록 VPC의 보안 그룹을 수정하세요.
+ 암호 기반 인증이 필요하고 서버에서 맞춤 ID 공급자를 사용하는 경우 암호 정책을 통해 사용자가 취약한 암호를 만들지 못하도록 하고 로그인 시도 실패 횟수를 제한하는 것이 좋습니다.
+ AWS Transfer Family 는 관리형 서비스이므로 셸 액세스를 제공하지 않습니다. Transfer Family 서버에서는 기본 SFTP 서버에 직접 액세스하여 OS 기본 명령을 실행할 수 없습니다.
+ 내부 액세스가 가능한 VPC 엔드포인트 앞에서 Network Load Balancer를 사용하세요. 로드 밸런서의 리스너 포트를 포트 22에서 다른 포트로 변경합니다. 이렇게 하면 포트 스캐너와 봇이 서버를 탐색할 위험을 줄일 수 있지만 제거하지는 못합니다. 포트 22가 스캔에 가장 많이 사용되기 때문입니다. 자세한 내용은 [이제 Network Load Balancer가 보안 그룹을 지원한다는 블로그 게시물을 참조하세요](https://aws.amazon.com/blogs/containers/network-load-balancers-now-support-security-groups/).
**참고**  
Network Load Balancer를 사용하는 경우 AWS Transfer Family CloudWatch 로그에는 실제 클라이언트 IP 주소가 아닌 NLB의 IP 주소가 표시됩니다.

## FTP 및 FTPS Network Load Balancer 고려 사항
<a name="ftp-ftps-nlb-considerations"></a>

 AWS Transfer Family 서버 앞에서 Network Load Balancer를 사용하지 않는 것이 좋지만 FTP 또는 FTPS 구현에 클라이언트의 통신 경로에 NLB 또는 NAT가 필요한 경우 다음 권장 사항을 따르세요.
+ NLB의 경우 포트 8192-8200 대신 상태 확인에 포트 21을 사용합니다.
+  AWS Transfer Family 서버의 경우를 설정하여 TLS 세션 재개를 활성화합니다`TlsSessionResumptionMode = ENFORCED`.
**참고**  
이는 향상된 보안을 제공하므로 권장되는 모드입니다.  
클라이언트가 후속 연결에 TLS 세션 재개를 사용해야 합니다.
일관된 암호화 파라미터를 보장하여 더 강력한 보안 보장을 제공합니다.
잠재적 다운그레이드 공격을 방지하는 데 도움이 됩니다.
성능을 최적화하면서 보안 표준 준수를 유지합니다.
+ 가능하면 NLB를 사용하지 않고 마이그레이션하여 성능 및 연결 제한을 최대한 활용 AWS Transfer Family 하세요.

NLB 대안에 대한 추가 지침은 AWS Support를 통해 AWS Transfer Family 제품 관리 팀에 문의하세요. 보안 태세 개선에 대한 자세한 내용은 블로그 게시물 [AWS Transfer Family 서버 보안을 개선하기 위한 6가지 팁을 참조하세요](https://aws.amazon.com/blogs/security/six-tips-to-improve-the-security-of-your-aws-transfer-family-server/).

 NLBs 나와 있습니다[AWS Transfer Family 서버 앞에 NLBs와 NATs 배치하지 마세요.](infrastructure-security.md#nlb-considerations).