AWS Transfer Family FAQ

일반

AWS Transfer Family는 SFTP, AS2, FTPS 및 FTP를 통해 Amazon S3 또는 Amazon EFS의 파일을 송수신할 수 있는 완전관리형 지원을 제공합니다. 인증, 액세스 및 방화벽에 대해 기존 클라이언트 측 구성을 유지하여 파일 전송 워크플로를 원활하게 마이그레이션, 자동화 및 모니터링할 수 있으므로 고객, 파트너 및 내부 팀 또는 애플리케이션에 대한 변경 사항은 없습니다.

SFTP는 인터넷을 통해 데이터를 안전하게 전송하는 데 사용되는 네트워크 프로토콜인 Secure Shell(SSH) File Transfer Protocol의 약자입니다. 이 프로토콜은 SSH의 모든 보안 및 인증 기능을 지원하며, 금융 서비스, 의료 서비스, 미디어 및 엔터테인먼트, 소매 및 광고 등 다양한 산업에서 비즈니스 파트너 간 데이터 교환에 널리 사용됩니다.

FTP는 File Transfer Protocol의 약어이며, 데이터 전송에 사용되는 네트워크 프로토콜입니다. FTP는 제어 및 데이터 전송을 위해 별도의 채널을 사용합니다. 제어 채널은 종료되거나 비활성 시간이 초과될 때까지 개방된 상태이며, 데이터 채널은 전송 기간 동안 활성화되어 있습니다. FTP는 일반 텍스트를 사용하며 트래픽 암호화를 지원하지 않습니다.

FTPS는 File Transfer Protocol over SSL의 약어이며, FTP의 확장입니다. FTP와 마찬가지로 FTPS는 제어 및 데이터 전송에 별도의 채널을 사용합니다. 제어 채널은 종료되거나 비활성 시간이 초과될 때까지 열려 있지만, 데이터 채널은 전송 기간 동안 활성화되어 있습니다. FTPS는 전송 계층 보안(TLS)을 사용하여 트래픽을 암호화하고, 제어 및 데이터 채널 연결을 동시에 또는 독립적으로 암호화할 수 있습니다.

Applicability Statement 2를 나타내는 AS2는 퍼블릭 인터넷에서 HTTP/HTTPS(또는 모든 TCP/IP 네트워크)를 통해 B2B 데이터를 안전하고 안정적으로 전송하기 위해 사용되는 네트워크 프로토콜입니다.

AWS Transfer Family의 SFTP 커넥터는 외부 호스팅 SFTP 서버와 AWS 스토리지 서비스 간에 대규모로 쉽고 안정적으로 파일을 복사하는 데 사용됩니다.

AWS Transfer Family는 B2B 파일 전송을 위한 여러 프로토콜을 지원하므로, 여러 이해 관계자, 서드 파티 공급업체, 비즈니스 파트너 또는 고객과 데이터를 쉽고 안전하게 교환할 수 있습니다. Transfer Family가 없으면 자체 파일 전송 서비스를 호스팅 및 관리해야 하고, 이 경우 인프라 운영 및 관리, 서버 패치 적용, 가동 시간 및 가용성 모니터링, 사용자 프로비저닝과 관련 활동 감사를 위한 일회성 메커니즘 구축에 투자해야 합니다. AWS Transfer Family는 B2B 파일 전송을 위해 SFTP, AS2, FTPS 및 FTP를 통한 완전관리형 보안 연결 옵션을 제공합니다. 파일 전송 관련 인프라를 관리할 필요가 없기 때문에 이러한 문제가 해결됩니다. 최종 사용자의 워크플로는 변경 없이 그대로 유지되면서, 선택한 프로토콜을 통해 업로드 및 다운로드된 데이터는 Amazon S3 버킷 또는 Amazon EFS 파일 시스템에 저장됩니다. 데이터가 AWS에 저장되므로 이제 고객의 규정 준수 요구 사항에 최적화된 환경에서 데이터 처리, 콘텐츠 관리, 분석, 기계 학습, 아카이브 등을 위해 다양한 AWS 서비스에서 데이터를 손쉽게 사용할 수 있습니다.

예. AWS Transfer Family는 각 파일 전송 작업에 대한 이벤트 알림을 Amazon EventBridge에 게시합니다. Amazon EventBridge에서 AWS Transfer Family 이벤트를 구독하고 Amazon EventBridge 또는 이러한 이벤트와 통합되는 기타 오케스트레이션 엔진에서 이를 사용하여 이벤트 기반 MFT 워크플로를 오케스트레이션할 수 있습니다. 자세한 내용은 파일 처리 자동화 섹션을 참조하세요.

AWS Transfer Family는 가용성이 뛰어나고 Auto Scaling 기능을 통해 완전관리형 파일 전송 서비스를 제공하므로 사용자가 파일 전송 관련 인프라를 관리할 필요가 없습니다. 최종 사용자의 워크플로는 변경 없이 그대로 유지되면서, 선택한 프로토콜을 통해 업로드 및 다운로드된 데이터는 Amazon S3 버킷 또는 Amazon EFS 파일 시스템에 저장됩니다. 데이터가 AWS에 저장되므로 이제 고객의 규정 준수 요구 사항에 최적화된 환경에서 데이터 처리, 콘텐츠 관리, 분석, 기계 학습, 아카이브 등을 위해 다양한 AWS 서비스에서 데이터를 손쉽게 사용할 수 있습니다.

간단한 3단계를 수행하여 SFTP, FTPS, FTP에 대해 상시 가동 서버 엔드포인트를 활성화합니다. 먼저 최종 사용자가 엔드포인트에 연결할 수 있도록 하려는 프로토콜을 선택합니다. 그런 다음, AWS Transfer Family의 내장된 인증 관리자(서비스 관리형) 또는 Microsoft Active Directory(AD)를 사용하거나 Okta 또는 Microsoft AzureAD(‘BYO’ 인증)와 같은 자체 또는 서드 파티 자격 증명 공급자와 통합하여 사용자 액세스를 구성합니다. 마지막으로 S3 버킷 또는 EFS 파일 시스템 액세스를 위한 서버를 선택합니다. 프로토콜, ID 제공업체 및 파일 시스템 액세스가 활성화되면, 액세스한 데이터가 선택한 파일 시스템에 저장되어 있는 동안 사용자는 기존 SFTP, FTPS 또는 FTP 클라이언트 및 구성을 계속 사용할 수 있습니다. 

간단한 3단계로 AS2를 사용하여 거래 파트너와 메시지를 교환할 수 있습니다. 먼저, 자신의 인증서 및 프라이빗 키와 거래 파트너의 인증서 및 인증서 체인을 가져옵니다. 그런 다음 자신과 파트너의 AS2 ID를 사용하여 프로필을 생성합니다. 마지막으로 데이터 수신 계약과 데이터 전송 커넥터를 사용하여 자신과 파트너의 프로필 정보를 페어링합니다. 그러면 거래 파트너의 AS2 서버로 메시지 교환을 시작할 수 있습니다.

간단한 세 가지 단계로 SFTP 커넥터를 사용하여 원격 SFTP 서버와 Amazon S3 간에 파일을 복사할 수 있습니다. 먼저, SFTP 커넥터에서 원격 서버 인증에 사용할 보안 인증 정보를 저장할 암호를 생성합니다. 둘째, 원격 서버의 URL과 비밀을 제공하여 SFTP 커넥터를 생성합니다. 셋째, 커넥터가 생성되면 StartFileTransfer API를 간접적으로 호출하여 커넥터를 통해 원격 서버와 Amazon S3 버킷 간에 파일을 복사할 수 있습니다.

FTPS와 SFTP는 모두 안전한 전송에 사용될 수 있습니다. 서로 다른 프로토콜이기 때문에 명령 및 데이터 전송을 위한 보안 터널을 제공하기 위해 다른 클라이언트와 기술을 사용합니다. SFTP가 최신 프로토콜이며 명령 및 데이터에 단일 채널을 사용하므로, 열어야 하는 포트 수가 FTPS보다 적습니다.

SFTP, FTPS, AS2 모두 보안 전송에 사용될 수 있습니다. 이들은 서로 다른 프로토콜이기 때문에 서로 다른 클라이언트와 기술을 사용하여 데이터의 보안 전송 기능을 제공합니다. 암호화된 메시지와 서명된 메시지를 지원하는 것 외에도 AS2에는 수신자가 메시지를 성공적으로 수신하고 복호화했음을 발신자에게 알려주는 메시지 처리 통지(MDN) 메커니즘이 기본적으로 포함되어 있습니다. 이 통지는 메시지가 전송 중에 임의 변경되지 않고 배달되었다는 증거를 발신자에게 제공합니다. AS2는 소매, 전자 상거래, 결제, 공급망 운영 워크플로에서 메시지의 안전한 전송 및 배달을 위해 AS2를 메시지 트랜잭션에 사용할 수 있는 비즈니스 파트너와의 상호 작용에 널리 사용됩니다. AS2는 발신자와 수신자의 ID, 메시지의 무결성과 메시지가 수신자에게 성공적으로 배달되어 복호화되었는지 여부를 확인할 수 있는 옵션을 제공합니다.

예. 선택한 프로토콜에 대해 엔드포인트가 활성화되어 있는 한 기존 파일 전송 클라이언트 애플리케이션은 계속 작동합니다. 흔히 사용되는 SFTP/FTPS/FTP 클라이언트의 예로는 WinSCP, FileZilla, CyberDuck, lftp 및 OpenSSH 클라이언트가 있습니다.

예. Web Client for AWS Transfer Family를 사용하면 웹 포털을 통해 파일을 업로드하고 다운로드하는 기능을 사용자에게 제공할 수 있습니다. 비기술 사용자를 위해 설계된 직관적인 웹 브라우저 인터페이스를 추가하여 AWS Transfer for SFTP와 동일한 인증 및 액세스 제어의 이점을 고객에게 제공할 수 있습니다.

AWS Transfer SFTP 커넥터를 사용하여 외부 SFTP 사이트에 저장된 파일에 액세스할 수 있습니다. SFTP 커넥터를 시작하려면 SFTP 커넥터 설명서를 참조합니다.

AWS Transfer Family의 완전관리형 SFTP, FTPS, AS2 기능을 사용하여 거래 파트너의 비즈니스 시스템에서 생성된 EDI 문서를 받을 수 있습니다. AWS Transfer Family의 연결 기능을 사용하여 수신한 EDI 문서는 Amazon S3에 자동으로 업로드되며, AWS B2B Data Interchange를 사용하여 JSON 및 XML 형식의 출력으로 변환할 수 있습니다. 또는 다른 모든 EDI 연결 도구를 사용하여 EDI 문서를 S3에 업로드할 수 있습니다.

아니요. 사용자는 SFTP, AS2, FTPS 또는 FTP를 사용하여 파일을 전송해야 합니다. 대부분의 파일 전송 클라이언트는 이러한 프로토콜 중 하나를 인증 중에 선택해야 하는 옵션으로 제공합니다. 특정 프로토콜의 지원을 원하는 경우 AWS Support 팀이나 AWS Account 팀을 통해 알려주시기 바랍니다.

예. Transfer Family를 사용하여 SFTP 프로토콜을 통해 SCP 명령을 지원하여 S3 및 EFS 스토리지를 사용해 파일을 전송하는 대부분의 SCP 사용 사례를 충족할 수 있습니다. SCP 명령을 지원하려면 SCP 클라이언트가 기본적으로 SFTP를 통해 SCP를 사용해야 합니다(예: OpenSSH 9.0 이상). 하지만 SCP 프로토콜은 더 이상 사용되지 않으며 서비스에서 지원하지 않습니다. 자세한 내용은 설명서를 참조하세요. 

서버 엔드포인트 옵션

예. 조직 정책 또는 이용 약관과 같은 사용자 지정된 배너를 사용자에게 표시하도록 Transfer Family 서버를 구성할 수 있습니다. 또한 사용자 지정된 오늘의 메시지(MOTD)를 인증된 사용자에게 표시할 수도 있습니다. 자세한 내용은 설명서를 참조하세요.

예. 이 서비스에서는 엔드포인트 액세스를 위한 도메인 이름을 기본적으로 제공합니다. 기존에 도메인 이름이 있는 경우 Amazon Route 53 또는 다른 DNS 서비스를 사용하여, 등록된 도메인에서 AWS의 서버 엔드포인트로 사용자의 트래픽을 라우팅할 수 있습니다. AWS Transfer Family가 사용자 지정 도메인 이름에 Amazon Route 53을 사용하는 방법(인터넷에 연결된 엔드포인트만 해당)에 대한 설명서를 참조하세요.

예. 서버를 만들거나 기존 서버를 업데이트할 때 퍼블릭 인터넷에서 액세스하거나 VPC 내부에서 호스트할 수 있도록 엔드포인트를 허용할지를 지정할 수 있습니다. 서버에 대한 VPC 호스팅 엔드포인트를 사용함으로써, 동일한 VPC 내의 클라이언트, 사용자가 지정하는 다른 VPC 또는 AWS Direct Connect, AWS VPN이나 VPC 피어링과 같은 VPC를 확장하는 네트워킹 기술을 사용하는 온프레미스 환경에서만 액세스하도록 제한할 수 있습니다. 서브넷 네트워크 액세스 제어 목록(NACL) 또는 보안 그룹을 사용하면 VPC 내의 특정 서브넷에 있는 리소스에 대한 액세스를 추가적으로 제한할 수 있습니다. 자세한 내용은 AWS PrivateLink를 사용하여 VPC 내부에 서버 엔드포인트를 만드는 방법에 대한 설명서를 참조하세요.

아니요, FTP를 활성화하면 FTP가 데이터를 일반 텍스트로 전송하기 때문에 VPC 호스팅 엔드포인트의 내부 액세스 옵션만 사용할 수 있습니다. 트래픽이 퍼블릭 네트워크를 통과해야 하는 경우에는 SFTP 또는 FTPS와 같은 보안 프로토콜을 사용해야 합니다.

아니요. FTP 서버 엔드포인트를 호스팅하려면 VPC가 필요합니다. 서버 생성 중에 VPC 리소스 생성을 자동화하여 엔드포인트를 호스팅하려면 CloudFormation 템플릿에 대한 설명서를 참조하십시오.

예. 서버에 대한 VPC 호스팅 엔드포인트를 선택하고 인터넷 연결 옵션을 선택하여 서버 엔드포인트에 고정 IP를 활성화할 수 있습니다. 그러면 엔드포인트의 IP 주소로 할당된 엔드포인트에 탄력적 IP(BYO IP 포함)를 직접 연결할 수 있습니다. VPC 내에 서버 엔드포인트 생성 설명서에서 인터넷에 연결된 엔드포인트 생성 섹션을 참조하세요.

예. 사용자의 소스 IP 주소를 기준으로 수신 트래픽을 제한하는 세 가지 옵션이 있습니다. VPC 내 서버 엔드포인트를 호스팅하는 경우 소스 IP 주소 나열 또는 AWS Network Firewall 서비스 사용을 허용하도록 보안 그룹을 사용하는 방법에 관한 이 블로그 게시물을 참조하세요. 퍼블릭 EndpointType 전송 서버 및 API Gateway를 사용하여 자격 증명 관리 시스템을 통합하는 경우 AWS WAF를 사용하여 최종 사용자의 소스 IP 주소로 액세스를 허용 또는 차단하거나 비율을 제한할 수 있습니다.

예. 보안, 비용 모니터링 및 확장성을 위해 AWS Landing Zone과 같은 도구를 사용하여 AWS 환경을 분할하는 경우에 일반적으로 사용되는 공유 VPC 환경에서 서버 엔드포인트를 배포할 수 있습니다. AWS Transfer Family를 통해 공유 VPC 환경에서 VPC 호스팅 엔드포인트를 사용하는 방법은 이 블로그 게시물을 참조하세요.

전송 서버 엔드포인트에서 AWS Global Accelerator를 사용하여 파일 전송 처리량 및 왕복 시간을 개선할 수 있습니다. 자세한 내용은 이 블로그 게시물을 참조하세요.

예. 사용 가능한 서비스 관리형 보안 정책 중에서 보안 및 규정 준수 요구 사항에 적합한 정책을 하나 선택하여 서버 엔드포인트를 통해 알릴 암호화 알고리즘을 제어할 수 있습니다. 최종 사용자의 파일 전송 클라이언트에서 서버에 연결을 시도하면 정책에 지정된 알고리즘만 연결 협상에 사용할 수 있습니다. 사전 정의된 보안 정책에 대한 설명서를 참조하세요.

예. AWS Transfer Family는 SFTP 파일 전송을 위한 양자 보안 퍼블릭 키 교환을 지원합니다. 사전 정의된 하이브리드 PQ 보안 정책 중 하나를 SFTP 서버에 연결하여 PQ 암호화 알고리즘을 지원하는 클라이언트와의 양자 보안 키 교환을 지원할 수 있습니다.

아니요. 방화벽 화이트리스트에 지정할 목적으로 주로 사용되는 고정 IP 주소는 현재 퍼블릭 엔드포인트 유형에서 지원되지 않습니다. 엔드포인트에 대한 고정 IP 주소를 지정하려면 VPC 호스팅 엔드포인트를 사용합니다.

퍼블릭 엔드포인트 유형을 사용하는 경우 사용자는 여기에 게시된 AWS IP 주소 범위 목록을 허용해야 합니다. AWS IP 주소 범위를 최신으로 유지하는 방법에 대한 자세한 내용은 설명서를 참조하세요.

아니요. 서버를 생성할 때 할당되는 서버의 호스트 키는 새 호스트 키를 추가하고 원본을 수동으로 삭제하기 전까지 동일하게 유지됩니다.

SFTP 서버 호스트 키의 경우 RSA, ED25519 및 ECDSA 키 유형이 지원됩니다.

예. 서버를 생성할 때 단일 호스트 키를 가져오거나 서버를 업로드할 때 여러 호스트 키를 가져올 수 있습니다. SFTP 사용 서버의 호스트 키 관리에 대한 설명서를 참조하세요.

예. 각 키 유형에서 가장 오래된 호스트 키를 사용하여 SFTP 서버의 신뢰성을 확인할 수 있습니다. RSA, ED25519 및 ECDSA 호스트 키를 추가하면 3개의 개별 호스트 키를 사용하여 SFTP 서버를 식별할 수 있습니다.

각 키 유형에서 가장 오래된 호스트 키가 SFTP 서버의 신뢰성을 확인하는 데 사용됩니다.

예. 호스트 키를 추가하고 제거하여 언제든지 SFTP 서버 호스트 키를 교체할 수 있습니다. SFTP 사용 서버의 호스트 키 관리에 대한 설명서를 참조하세요.

FTPS 액세스를 활성화할 때 Amazon Certificate Manager(ACM)의 인증서를 제공해야 합니다. 이 인증서는 최종 사용자 클라이언트에서 FTPS 서버의 ID를 확인하는 데 사용됩니다. ACM 문서에서 새 인증서 요청 또는 ACM으로 기존 인증서 가져오기를 참조하세요.

최종 사용자의 클라이언트가 서버와 연결을 시작할 수 있도록 하는 수동 모드만 지원합니다. 수동 모드는 클라이언트 측에 열어야 하는 포트 수가 적으므로 보호된 방화벽 뒤의 최종 사용자와 서버 엔드포인트의 호환성이 높아집니다.

명시적 FTPS 모드만 지원합니다.

예. 방화벽 또는 라우터를 우회하는 파일 전송은 기본적으로 확장 수동 연결 모드(EPSV)를 사용하여 지원됩니다. EPSV 모드를 지원하지 않는 FTPS/FTP 클라이언트를 사용하는 경우 이 블로그 게시물에서 PASV 모드로 서버를 구성하여 다양한 클라이언트로 서버 호환성을 확장하는 방법을 확인할 수 있습니다.

예. AWS Transfer Family는 표준 포트 22 외에 대체 포트 2222 또한 지원합니다. 포트 22는 SFTP 서버에 대해 기본적으로 구성됩니다. 서버 보안을 강화하기 위해 포트 22, 2222 또는 둘 다를 사용하도록 SSH 트래픽을 구성할 수 있습니다. 여기 설명서를 참조하세요.

SFTP 커넥터

원격 서버 요구 사항에 따라 SSH 키 페어나 암호 중에서 하나 또는 둘 다를 사용하여 원격 서버에 대한 연결을 인증할 수 있습니다. AWS Secrets Manager 계정에서 커넥터의 인증 보안 인증 정보를 저장하고 관리하는 방법에 대해 자세히 알아보려면 설명서를 참조하세요. 

SFTP 커넥터를 사용하여 Amazon S3에서 원격 SFTP 서버로 또는 원격 SFTP 서버에서 Amazon S3로 파일을 전송할 수 있습니다.

RSA 및 ECDSA 호스트 키 알고리즘을 지원합니다. 지원되는 키 유형에 대한 자세한 내용은 여기의 설명서를 참조하세요.  

커넥터는 호스트 지문을 사용하여 원격 서버의 ID를 검증합니다. 원격 서버에서 제공한 지문이 커넥터 구성에 업로드된 지문과 일치하지 않으면 연결이 실패하고 CloudWatch에 오류 세부 정보가 기록됩니다. ID 확인을 위해 원격 서버 SSH 키의 공개 부분을 업로드하는 방법에 대해 자세히 알아보려면 여기의 SFTP 커넥터 설명서를 참조하세요.

예. Amazon S3 버킷과 SFTP 커넥터 리소스를 서로 다른 AWS 계정에 프로비저닝할 수 있습니다.

예. 사용 가능한 서비스 관리형 보안 정책 중에서 보안 및 호환성 요구 사항에 적합한 정책을 하나 선택하여 SFTP 커넥터를 통해 알릴 암호화 알고리즘을 제어할 수 있습니다. 커넥터가 원격 서버에 연결을 시도하면 커넥터에 연결된 정책에 지정된 알고리즘만 연결을 협상하는 데 사용됩니다. 사전 정의된 보안 정책에 대해서는 설명서를 참조하세요.

예. 한 AWS 계정에 SFTP 커넥터를 생성하고 커넥터에 연결된 IAM 역할에 적절한 액세스 권한을 제공하여 다른 계정에서 파일을 전송하는 데 사용할 수 있습니다.

AWS Management Console 또는 TestConnection API/CLI/CDK 명령을 사용하여 원격 서버에 대한 연결을 테스트할 수 있습니다. 커넥터를 생성하는 즉시 원격 서버에 대한 연결을 테스트하여 올바르게 구성되었는지 확인하는 것이 좋습니다. 필요한 경우 커넥터와 연결된 고정 IP 주소가 원격 서버의 허용 목록으로 추가되어 있는지 확인하세요. 자세히 알아보려면 SFTP 커넥터 설명서를 참조하세요.

SFTP 커넥터를 사용하여 Amazon S3에서 원격 SFTP 서버로 파일을 전송하고, 원격 SFTP 서버에서 Amazon S3로 파일을 검색하고, 원격 SFTP 서버의 디렉터리에 저장된 파일을 나열할 수 있습니다. SFTP 커넥터 사용에 대한 자세한 내용은 SFTP 커넥터 설명서를 참조하세요.

SFTP 커넥터의 StartDirectoryListing API 작업을 사용하여 원격 SFTP 서버의 디렉터리에 저장된 파일의 목록을 확인할 수 있습니다. 그런 다음 StartFileTransfer API 작업을 사용하여 파일을 전송할 때 목록의 파일 이름을 전달하여 원격 서버에서 대상 파일을 검색할 수 있습니다. 자세한 내용은 설명서를 참조하고 이 블로그 게시물을 읽어보세요.

SFTP 커넥터를 사용하여 원격 SFTP 서버의 디렉터리에 있는 모든 파일을 나열하고, 파일 이름 패턴에 대한 와일드카드 기준에 따라 파일 목록을 필터링하는 사용자 지정 로직을 구축하면 됩니다. 그런 다음 StartFileTransfer API 작업을 사용하여 SFTP 커넥터를 통해 해당 파일을 전송할 수 있습니다.

Amazon CloudWatch Logs에서 파일 전송 상태를 모니터링할 수 있습니다. 작업(전송 또는 검색), 타임스탬프, 파일 경로, 오류 설명(있는 경우)과 같은 추가 세부 정보와 함께 파일 전송의 완료 또는 실패 여부를 추적하여 데이터 계보를 유지 관리할 수 있습니다. 또는 Amazon EventBridge의 AWS Transfer Family에서 전송 상태에 대한 정보가 포함된 SFTP 커넥터 이벤트를 구독할 수도 있습니다.

예. Amazon EventBridge 스케줄러를 사용하여 파일 전송을 예약할 수 있습니다. EventBridge의 스케줄러를 사용하여 비즈니스 요구 사항에 적합한 일정을 생성하고 AWS Transfer Family의 StartFileTransfer API 또는 StartDirectoryListing API를 일정의 범용 대상으로 지정하세요.

예. AWS Step Functions는 AWS Transfer Family를 비롯한 다양한 AWS 서비스와 통합되므로 상태 머신에서 직접 SFTP 커넥터의 StartFileTransfer 작업을 간접적으로 호출할 수 있습니다. AWS Transfer Family로 SFTP 커넥터를 생성한 후에 Step Functions의 AWS SDK 통합을 활용하여 StartFileTransfer API를 직접적으로 호출하세요. 자세히 알아보려면 Step Functions 설명서로 이동하세요.

예. SFTP 커넥터를 사용하는 모든 파일 전송 작업은 Amazon EventBridge의 기본 이벤트 버스에 이벤트 알림을 게시합니다. SFTP 커넥터 이벤트를 구독하고 Amazon EventBridge 또는 이러한 이벤트와 통합되는 기타 워크플로 오케스트레이션 서비스에서 이 이벤트를 사용하여 전송된 파일의 이벤트 기반 처리를 오케스트레이션할 수 있습니다.

예. 고정 IP 주소는 기본적으로 커넥터와 연결되어 있어 비즈니스 파트너의 방화벽에서 연결을 허용 목록에 추가하는 데 사용할 수 있습니다. AWS Transfer Family 콘솔의 커넥터 세부 정보 페이지로 이동하거나 DescribeConnector API/CLI/CDK 명령을 사용하여 커넥터와 연결된 고정 IP 주소를 식별할 수 있습니다.

예. AWS 계정 리전의 모든 SFTP 커넥터는 고정 IP 주소 세트를 공유합니다. 특정 유형의 커넥터 간에 IP 주소를 공유하면 허용 목록 설명서의 양은 물론 외부 파트너와 필요한 온보딩 통신이 줄어듭니다.

아니요. 현재 SFTP 커넥터는 인터넷 액세스 엔드포인트를 제공하는 서버에 연결할 때만 사용할 수 있습니다. 프라이빗 네트워크를 통해서만 액세스 가능한 서버에 연결해야 하는 경우 AWS Support 또는 AWS Account 팀을 통해 문의하세요.

다중 프로토콜 액세스

예. 설정하는 동안 클라이언트가 엔드포인트에 연결할 수 있도록 사용하려는 프로토콜을 선택할 수 있습니다. 선택한 프로토콜 전체에서 서버 호스트 이름, IP 주소 및 ID 제공업체가 공유됩니다. 마찬가지로 기존 AWS Transfer Family 엔드포인트에 대한 추가 프로토콜 지원을 사용하도록 설정할 수도 있습니다. 이 경우 엔드포인트 구성은 사용하려는 모든 프로토콜의 요구 사항을 충족해야 합니다.

VPC 내에서만 액세스가 지원되는 FTP를 사용해야 하고 인터넷을 통해 SFTP, AS2 또는 FTPS를 지원해야 하는 경우 FTP를 위한 별도의 서버 엔드포인트가 필요합니다. 여러 프로토콜을 통해 연결하는 클라이언트에 동일한 엔드포인트 호스트 이름 및 IP 주소를 사용하려는 경우 여러 프로토콜에 동일한 엔드포인트를 사용할 수 있습니다. 또한 SFTP 및 FTPS에 대해 동일한 자격 증명을 공유하려는 경우, 둘 중 하나의 프로토콜을 통해 연결하는 클라이언트를 인증하기 위해 단일 자격 증명 공급자를 설정하고 사용할 수 있습니다.

예. 예. 프로토콜과 관련된 보안 인증 정보가 ID 제공업체에 설정되어 있는 한 여러 프로토콜을 통해 동일한 사용자 액세스를 제공할 수 있습니다. FTP를 활성화한 경우 FTP에 대해 별도의 보안 인증 정보를 유지하는 것이 좋습니다. FTP에 대한 별도의 자격 증명을 설정하려면 설명서를 참조하십시오.

SFTP 및 FTPS와 달리 FTP는 자격 증명을 일반 텍스트로 전송합니다. 실수로 FTP 자격 증명이 공유되거나 노출되는 경우 SFTP 또는 FTPS를 사용하는 워크로드는 안전하게 유지되므로 SFTP 또는 FTPS에서 FTP 자격 증명을 격리하는 것이 좋습니다.

예. AWS Transfer Family의 SFTP 엔드포인트를 사용하여 브라우저 기반 인터페이스를 제공할 수 있는 이 오픈 소스 솔루션을 배포할 수 있습니다.

서버 엔드포인트에 대한 ID 제공업체 옵션

이 서비스는 세 가지 ID 제공업체 옵션을 지원합니다. 서비스 내에 사용자 ID를 저장하는 서비스 관리형, Microsoft Active Directory 및 선택한 ID 제공업체를 통합할 수 있는 사용자 지정 ID 제공업체입니다. SFTP에만 사용되는 서버 엔드포인트에 대해 서비스 관리형 인증이 지원됩니다.

서비스 관리형 인증을 사용하면 SSH 키를 사용하여 SFTP 사용자를 인증할 수 있습니다.

사용자당 최대 10개의 SSH 키를 업로드할 수 있습니다. RSA, ED25519 및 ECDSA 키가 지원됩니다.

예. SFTP 사용자에 대한 키 교체를 설정하는 자세한 방법은 설명서를 참조하세요.

서버를 생성할 때 AWS Managed Microsoft AD, 온프레미스 환경 또는 Amazon EC2의 자체 관리형 AD를 ID 제공업체로 선택합니다. 보안 식별자(SID)를 사용한 액세스에 대해 활성화하려는 AD 그룹을 지정해야 합니다. AD 그룹을 IAM 역할, 범위 축소 정책(S3만 해당), POSIX 프로파일(EFS만 해당), 홈 디렉터리 위치 및 논리적 디렉터리 매핑과 같은 액세스 제어 정보에 연결하면 그룹의 멤버가 AD 보안 인증 정보를 사용하여 인증하고 활성화된 프로토콜(SFTP, FTPS, FTP)을 통해 파일을 전송할 수 있게 됩니다. 

사용자를 설정할 때 런타임 시 사용자 정보(예: 사용자 이름)를 기반으로 평가되는 범위 축소 정책을 제공합니다. 동일한 범위 축소 정책을 모든 사용자에게 사용하여 사용자 이름을 기반으로 버킷의 고유한 접두사에 대한 액세스를 제공할 수 있습니다. 또한, S3 버킷 또는 EFS 파일 시스템 콘텐츠를 사용자에게 표시하는 방법에 대한 표준화된 템플릿을 제공하여 사용자 이름을 사용해 논리적 디렉터리 매핑을 평가할 수도 있습니다. 자세한 내용은 AD 그룹에 대한 액세스 권한 부여에 관한 설명서를 참조하세요.

예. Microsoft AD를 사용하여 SFTP, FTPS 및 FTP를 통해 액세스하는 사용자를 인증할 수 있습니다.

예. 개별 AD 그룹의 파일 전송 액세스 권한을 취소할 수 있습니다. 취소하면 해당 AD 그룹의 멤버가 AD 보안 인증 정보를 사용하여 파일을 전송할 수 없게 됩니다.

사용자 지정 모드(‘BYO’ 인증)를 사용하면 기존 ID 제공업체를 활용하여 모든 프로토콜 유형(SFTP, FTPS 및 FTP)에 대한 최종 사용자를 관리할 수 있으며, 이를 통해 사용자를 쉽고 원활하게 마이그레이션할 수 있습니다. 자격 증명은 회사 디렉터리 또는 사내 자격 증명 데이터 스토어에 저장될 수 있으며 최종 사용자 인증을 위해 통합할 수 있습니다. ID 제공업체의 예로는 Okta, Microsoft AzureAD 또는 전체 프로비저닝 포털의 일부로 사용할 수 있는 사용자 지정 ID 제공업체가 있습니다.

ID 제공업체를 AWS Transfer Family 서버와 통합하려면 AWS Lambda 함수 또는 Amazon API Gateway 엔드포인트를 사용하면 됩니다. 자격 증명 공급자에 연결하기 위해 RESTful API가 필요하거나 지리적 차단 및 속도 제한 기능을 위해 AWS WAF를 활용하려는 경우 Amazon API Gateway를 사용하세요. AWS Cognito, Okta 및 AWS Secrets Manager와 같은 일반 ID 제공업체 통합에 대해 자세히 알아보려면 설명서를 참조하세요.

예. AWS Lambda 또는 API Gateway를 사용하여 사용자 정의 자격 증명 공급자를 연결할 때 클라이언트 소스 IP가 자격 증명 공급자에게 전달됩니다. 이를 통해 클라이언트의 IP 주소를 기반으로 액세스를 허용, 거부 또는 제한하여 신뢰할 수 있는 것으로 지정한 IP 주소에서만 데이터에 액세스할 수 있습니다.

예. 다수의 인증 방법을 적용하여 SFTP를 통해 데이터에 액세스할 때 추가 보안 계층을 제공할 수 있습니다. 암호와 SSH 키, 암호 또는 SSH 키를 모두 요구하거나 암호만 요구하거나 SSH 키만 요구하도록 SFTP 서버를 구성할 수 있습니다. 고객 ID 제공업체를 사용하여 다양한 인증 방법을 지원하는 방법에 대한 자세한 내용은 설명서를 참조하세요.

아니요. 인증을 위해 이 서비스 내에 암호를 저장하는 기능은 현재 지원되지 않습니다. 암호 인증이 필요한 경우 AWS Directory Service에서 디렉터리를 선택하여 Active Directory를 사용하거나 Secrets Manager를 사용하여 암호 인증 사용에 대한 이 블로그에 설명된 아키텍처를 따르세요.

아니요. 익명 사용자는 현재 어떤 프로토콜에서도 지원되지 않습니다.

아니요. AD 그룹별 액세스 설정만 지원됩니다.

아니요. Microsoft AD에 대한 AWS Transfer Family 지원은 암호 기반 인증에만 사용할 수 있습니다. 인증 모드를 혼합하여 사용하려면 사용자 지정 권한 부여자 옵션을 사용합니다.

AS2 거래 파트너

예. AWS Transfer Family의 AS2 지원은 공식 Drummond Group AS2 Cloud Certification Seal을 획득했습니다. AWS Transfer Family AS2 기능은 14개의 다른 서드 파티 AS2 솔루션과의 보안 및 메시지 교환 호환성에 대해 철저한 검증을 받았습니다. 자세한 내용은 공지 사항을 참조하세요.

거래 파트너는 AS2 식별자(AS2 ID)를 사용하여 고유하게 식별됩니다. 마찬가지로, 거래 파트너는 AS2 ID를 사용하여 메시지를 식별합니다.

SFTP, FTPS 및 FTP와 마찬가지로 Amazon S3, 네트워킹 기능(VPC 엔드포인트, 보안 그룹 및 탄력적 IP) 및 액세스 제어(AWS IAM)에 대한 AWS Transfer Family의 기존 지원을 AS2에 사용할 수 있습니다. 사용자 인증, 논리적 디렉터리, 사용자 지정 배너 및 Amazon EFS 스토리지 백엔드는 AS2에 대해 지원되지 않습니다.

부인 방지는 AS2에 고유한 기능으로, 두 당사자 간에 메시지가 성공적으로 교환되었는지 검증합니다. AS2에서 부인 방지는 메시지 처리 통지(MDN)를 사용하여 달성됩니다. 트랜잭션에서 MDN이 요청되면 MDN은 발신자가 메시지를 보냈고 수신자가 성공적으로 받았으며 발신자가 보낸 메시지가 수신자가 받은 메시지와 동일한 메시지인지 확인합니다.

메시지 전송에는 발신자와 수신자라는 2가지 측면이 있습니다. 발신자가 전송할 메시지를 결정하면 발신자의 개인 키를 사용하여 메시지가 서명되고 수신자의 인증서를 사용하여 암호화되며 해시를 사용하여 메시지 무결성이 계산됩니다. 서명되고 암호화된 이 메시지는 유선을 통해 수신자에게 전송됩니다. 메시지가 수신되면 수신자의 개인 키를 사용하여 복호화되고 발신자의 공개 키를 사용하여 검증되고 처리됩니다. 서명된 메시지 처리 통지(MDN)를 요청한 경우 메시지의 성공적인 배달을 확인하는 MDN이 발신자에게 다시 전송됩니다. AS2의 메시지 전송 처리 방법에 대한 설명서를 참조하세요.

가능한 옵션 조합은 발신자의 관점에서 결정됩니다. 발신자는 데이터 암호화 또는 서명만 선택하거나 둘 다를 선택하고 메시지 처리 통지(MDN) 요청을 선택할 수 있습니다. 발신자가 MDN 요청을 선택하는 경우에는 서명되거나 서명되지 않은 MDN을 요청할 수 있습니다. 수신자는 이러한 옵션을 따르게 됩니다.

예. 발신자는 MDN 요청을 선택하고 서명되거나 서명되지 않은 MDN을 요청할 수 있으며 MDN 서명에 사용할 서명 알고리즘을 선택할 수 있습니다.

현재, 동기식 및 비동기식 MDN 응답을 모두 지원합니다. 따라서 AS2 메시지를 받은 후 동기식 또는 비동기식 MDN을 통해 거래 파트너에게 응답할 수 있습니다. 동기식 MDN은 메시지와 동일한 연결 채널을 통해 전송되므로 훨씬 간단하고 그래서 권장되는 옵션입니다. MDN을 전송하기 전에 메시지를 처리할 시간이 더 필요하다면 비동기식 MDN을 사용하는 것이 편리합니다. 거래 파트너에게 메시지를 보낼 때 비동기식 MDN을 요청하고 수신해야 하는 경우 AWS Support 또는 담당 Account Manager를 통해 문의하세요.

 

AWS Transfer Family는 교환된 페이로드와 MDN에서 핵심 AS2 정보를 추출하고 사용자의 Amazon S3 버킷에 JSON 파일로 저장합니다. 사용자는 S3 Select 또는 Amazon Athena를 사용하여 이 JSON 파일을 쿼리하거나 분석을 위해 Amazon OpenSearch 또는 Amazon DocumentDB를 사용하여 파일을 인덱싱할 수 있습니다.

예. 거래 파트너로부터 MDN이 수신된 후에는 발신자의 인증서를 사용하여 MDN이 검증되고 발신자의 Amazon S3 버킷에 메시지가 저장됩니다. 발신자는 S3 수명 주기 정책을 활용하여 메시지를 아카이빙하도록 선택할 수 있습니다.

데이터를 전송할 준비가 되면 수신자의 AS2 서버 정보가 포함된 AS2 커넥터를 사용하여 StartFileTransfer API를 간접적으로 호출해야 합니다. 이렇게 하면 거래 파트너의 서버로 메시지를 보내라는 알림이 서비스에 전송됩니다. AS2를 통해 거래 파트너에게 메시지를 전송하는 커넥터에 대한 설명서를 참조하세요.

예. 거래 파트너의 프로필을 설정할 때 각각 다른 폴더를 사용할 수 있습니다.

예. 파트너의 기존 키와 인증서를 가져와서 갱신 및 교체를 관리할 수 있습니다. 인증서 가져오기에 대한 설명서를 참조하세요.

AWS Transfer Family 콘솔을 사용하여 만료 날짜별로 정렬된 인증서 대시보드를 볼 수 있습니다. 또한 인증서 만료 전에 알림을 수신하도록 선택하면 충분한 시간 안에 인증서를 교체하여 운영 중단을 방지할 수 있습니다.

예. 고정 IP 주소는 기본적으로 커넥터와 연결되어 있어 거래 파트너의 AS2 서버에 연결을 허용 목록에 추가하는 데 사용할 수 있습니다. AWS Transfer Family 콘솔의 커넥터 세부 정보 페이지로 이동하거나 DescribeConnector API/CLI/CDK 명령을 사용하여 커넥터와 연결된 고정 IP 주소를 식별할 수 있습니다.

예. 기본 인증을 사용하여 거래 파트너의 AS2 서버에 연결하는 기능을 지원합니다. AS2 커넥터의 기본 인증 구성에 대한 설명서를 참조하세요.

예. AS2 커넥터는 원격 AS2 서버로 메시지를 보낼 때와 비동기식 메시지 처리 알림(MDN) 응답을 반환할 때 고정 IP 주소를 사용합니다. AWS Transfer Family Management Console의 커넥터 또는 서버 세부 정보 페이지로 이동하거나 DescribeConnector 또는 DescribeServer API/CLI/CDK 명령을 사용하면 커넥터와 연결된 고정 IP 주소를 파악할 수 있습니다.

예. AS2 서버 엔드포인트는 인터넷에 연결된 VPC 호스팅 엔드포인트가 있는 보안 그룹을 사용하여 IP 허용 목록 제어를 구성하는 것을 지원합니다.

예. AS2 비동기 MDN 응답은 고정 IP 주소를 사용합니다. AWS Transfer Family 관리 콘솔의 서버 세부 정보 페이지로 이동하거나 DescribeServer API/CLI/CDK 명령을 사용하여 비동기 MDN 응답을 전송하는 데 사용되는 고정 IP 주소를 식별할 수 있습니다.

수신한 모든 AS2 메시지에 대한 이벤트는 Amazon EventBridge의 기본 이벤트 버스에 게시됩니다. 이러한 이벤트를 구독하고 Amazon EventBridge 또는 기타 워크플로 오케스트레이션 서비스를 사용하여 수신한 메시지의 이벤트 기반 처리를 오케스트레이션할 수 있습니다. 예를 들어 이러한 이벤트를 사용하여 수신 메시지를 S3의 다른 위치로 복사하거나, 사용자 지정 Lambda를 사용하여 메시지 콘텐츠에서 맬웨어를 검사하거나, Amazon CloudSearch와 같은 서비스에서 인덱싱하고 검색할 수 있도록 콘텐츠를 기반으로 메시지를 태깅할 수 있습니다.

예. AWS B2B Data Interchange를 사용하여 인바운드 AS2 메시지의 X12 EDI 콘텐츠를 JSON 및 XML과 같은 일반적인 데이터 표현으로 자동 변환할 수 있습니다. 그렇게 하려면 AWS Transfer Family의 AS2 Payload Receive Completed(AS2 페이로드 수신 완료) 이벤트의 이벤트 패턴과 일치하는 Amazon EventBridge 규칙을 생성하고 AWS B2B Data Interchange의 StartTransformerJob API를 규칙의 범용 대상으로 지정해야 합니다. AWS B2B Data Interchange를 사용하여 인바운드 AS2 메시지의 X12 EDI 콘텐츠를 변환하면 다운스트림 비즈니스 애플리케이션 및 시스템으로의 EDI 데이터 통합을 자동화하고 가속화할 수 있습니다.

Amazon EventBridge 스케줄러로 일정을 잡거나 Amazon EventBridge 규칙을 사용하여 메시지를 트리거하여 AS2 메시지 전송을 자동화할 수 있습니다. AS2 메시지 전송을 위한 자동화된 시간 기반 워크플로를 생성하려면 EventBridge의 스케줄러를 사용하여 비즈니스 요구 사항에 적합한 일정을 생성하고 AWS Transfer Family의 StartFileTransfer API를 일정의 범용 대상으로 지정합니다. AS2 메시지 전송을 위한 자동화된 이벤트 기반 워크플로를 생성하려면 EventBridge에 게시된 이벤트와 일치하는 Amazon EventBridge 규칙을 생성하고 AWS Transfer Family의 StartFileTransfer API를 규칙의 범용 대상으로 지정합니다.

예. 전송된 모든 AS2 메시지 및 MDN에 대한 이벤트는 Amazon EventBridge의 기본 이벤트 버스에 게시됩니다. 이러한 이벤트를 구독하고 이를 사용하여 거래 파트너에게 성공적으로 전송된 AS2 메시지 및 MDN을 삭제하거나 아카이브할 수 있습니다.

예. AWS Transfer Family는 성공 또는 실패한 모든 AS2 메시지 또는 송수신한 MDN에 대한 이벤트를 Amazon EventBridge에 게시합니다. 이러한 이벤트는 Amazon EventBridge의 기본 이벤트 버스에 게시되며, 여기서 Amazon SNS와 같은 서비스를 사용하여 자신 또는 파트너에게 이메일 알림을 트리거하는 데 사용할 수 있습니다.

아니요. 현재 AS2 엔드포인트에는 관리형 워크플로가 지원되지 않습니다. Amazon EventBridge에 게시된 Transfer Family의 이벤트 알림을 사용하여 AS2 메시지 처리를 오케스트레이션하는 것이 좋습니다. 자세한 내용은 파일 처리 자동화 섹션을 참조하세요.

아니요. AWS Transfer Family는 현재 AS3 또는 AS4를 지원하지 않습니다.

파일 처리 자동화

두 가지 옵션이 있습니다. 1) AWS Transfer Family는 SFTP, AS2, FTPS 및 FTP를 통해 전송된 파일에 대한 파일 전송 이벤트 알림을 Amazon EventBridge에 게시합니다. 이 이벤트를 사용하면 EventBridge 이벤트와 통합되는 모든 서비스를 사용하여 파일 처리를 트리거할 수 있습니다. 2) AWS Transfer Family에서 제공하는 관리형 워크플로에서 사전 구축된 파일 처리 단계를 사용하여 SFTP, FTPS 및 FTP 서버 엔드포인트를 통해 업로드된 파일의 업로드 후처리를 자동으로 실행할 수 있습니다. 관리형 워크플로를 서버 엔드포인트에 연결하면 해당 엔드포인트에 업로드된 모든 파일이 동일한 워크플로 단계를 사용하여 처리됩니다.

AWS Transfer Family는 서버 및 커넥터 리소스 모두에 대한 각 파일 전송 작업이 성공하거나 실패할 시 Amazon EventBridge에 이벤트 알림을 게시합니다. Amazon EventBridge에 게시되는 Transfer Family 이벤트에 대한 자세한 내용은 설명서를 참조하세요. 

비즈니스 파트너와 교환하는 파일을 처리해야 하는 경우 사용자 지정 코드를 실행할 인프라를 설정하고, 런타임 오류 및 이상을 지속적으로 모니터링하며, 데이터에 대한 모든 변경 사항과 변환을 감사 및 로깅해야 합니다. 또한 오류 시나리오를 기술적, 비즈니스 측면에서 모두 고려하는 동시에, 유사 시 안전 모드가 적절히 트리거되도록 보장해야 합니다. 추적성이 필요한 경우에는 시스템의 여러 구성 요소를 따라 이동하는 데이터의 계보를 추적해야 합니다. 파일 처리 워크플로의 개별 구성 요소를 유지하고 관리하다 보면 비즈니스를 위한 작업을 차별화하는 데 집중할 시간이 부족해집니다. 관리형 워크플로는 여러 태스크를 관리하는 데서 오는 복잡성을 제거하고 표준화된 파일 처리 솔루션을 제공합니다. 이 표준화된 파일 처리 솔루션을 조직 전체에 복제하고 각 단계에 대한 예외 처리 및 파일 추적성을 위한 기본 제공 기능을 활용하여 비즈니스 및 법적 요구 사항을 충족할 수 있습니다.

AWS Transfer Family 관리형 워크플로는 SFTP, FTPS 및 FTP 서버 엔드포인트를 통해 업로드된 파일의 처리를 위한 선형의 순차적 단계를 생성, 실행 및 모니터링할 수 있도록 사전 구축된 프레임워크를 제공합니다. 이 기능을 사용하면 사전 구축된 단계를 통해 파일 복사, 태깅, 복호화와 같은 일반적인 파일 처리 태스크를 실행할 수 있으므로 시간이 절약됩니다. 또한 파일을 검사하여 PII, 바이러스 및 맬웨어 또는 잘못된 파일 형식 또는 유형과 같은 기타 오류를 찾는 태스크에 Lambda 함수를 사용하여 파일 처리를 사용자 지정함으로써 이상 징후를 신속하게 탐지하고 규정 준수 요구 사항을 충족할 수 있습니다. 관리형 워크플로를 서버 엔드포인트에 연결하면 해당 엔드포인트에 업로드된 모든 파일이 동일한 워크플로 단계를 사용하여 처리됩니다.

관리형 워크플로를 사용하면 업로드된 파일을 사용자별 폴더로 이동하고, PGP 키를 사용하여 파일을 복호화하고, 맬웨어를 검사하고 태깅하는 것과 같은 선형의 순차적 파일 처리 태스크를 서버 엔드포인트에 업로드된 모든 파일에 실행하여 다운스트림 애플리케이션에서 데이터를 사용하기 전에 데이터를 손쉽게 사전 처리할 수 있습니다. 코드형 인프라(IaC)를 사용하여 워크플로를 배포할 수 있으므로 일반적인 업로드 후 파일 처리 태스크를 조직의 여러 사업부에 걸쳐 빠르게 복제하고 표준화할 수 있습니다. 완전히 업로드된 파일에서만 트리거되는 서버 엔드포인트에 관리형 워크플로를 연결하고, 부분적으로 업로드된 파일에 대해서만 트리거되어 불완전한 업로드를 처리하는 별도의 관리형 워크플로를 연결하여 세부적으로 제어할 수 있습니다. 워크플로의 기본 제공 예외 처리를 사용할 수도 있습니다. 이 예외 처리를 사용하면 워크플로 실행에서 오류 또는 예외가 발생할 경우 파일 처리 결과에 손쉽게 대응하여 비즈니스 및 기술 SLA를 유지할 수 있습니다. 워크플로의 각 파일 처리 단계에서는 세부 로그도 생성되며, 이를 감사하여 데이터 계보를 추적할 수 있습니다.

AWS Transfer Family 서버 엔드포인트 및 커넥터는 파일 전송 작업이 완료되면 파일 위치, 발신자의 사용자 이름, 서버 ID 또는 커넥터 ID, 전송 상태 등과 같은 운영 정보와 함께 이벤트 알림을 Amazon EventBridge에 자동으로 게시합니다. 파일 소스를 기반으로 조건부 로직을 사용하는 것처럼 파일 처리를 정의할 때 세밀한 제어가 필요하거나 다른 AWS 서비스, 서드 파티 애플리케이션 및 자체 애플리케이션과 통합할 이벤트 기반 아키텍처를 구축해야 하는 경우 이러한 이벤트를 사용할 수 있습니다. 반면, AWS Transfer Family 관리형 워크플로는 SFTP, FTPS 및 FTP 서버 엔드포인트를 통해 업로드된 모든 파일에 적용되는 일반적인 파일 처리 단계를 순서대로 정의할 수 있는 사전 구축된 프레임워크를 제공합니다. 업로드된 모든 파일을 동일한 일반 파일 처리 단계를 사용하여 처리해야 하는 경우 세분화된 로직 또는 조건부 로직을 적용할 필요 없이 관리형 워크플로를 엔드포인트에 연결할 수 있습니다.

먼저, 복사 및 태그 지정과 같은 작업 및 요구 사항에 기반한 순차적 단계에서 사용자 지정 단계를 포함할 수 있는 일련의 작업을 포함하도록 워크플로를 설정합니다. 그런 다음, 서버에 워크플로를 매핑합니다. 그러면 파일이 도착할 때 이 워크플로에 지정된 작업이 실시간으로 평가되고 트리거됩니다. 자세히 알아보려면 설명서를 참조하거나 관리형 워크플로 시작에 대한 이 데모를 시청하거나 이 블로그 게시물을 사용하여 클라우드 네이티브 파일 전송 플랫폼을 배포해보세요.

예. 동일한 워크플로를 여러 서버에 연결하여 구성을 더 쉽게 유지 관리하고 표준화할 수 있습니다.

예. 원래 업로드한 파일을 처리하거나 이전 워크플로 단계의 출력 파일을 처리하도록 워크플로 단계를 구성할 수 있습니다. 이렇게 하면 Amazon S3에 업로드된 파일의 이동 및 이름 바꾸기를 손쉽게 자동화할 수 있습니다. 예를 들어, 파일 아카이브 또는 보존을 위해 파일을 다른 위치로 이동하려면 워크플로에서 2개 단계를 구성합니다. 첫 번째 단계에서는 다른 Amazon S3 위치에 파일을 복사하고, 두 번째 단계에서는 원래 업로드한 파일을 삭제합니다. 워크플로 단계에서 파일 위치 선택에 대한 자세한 내용은 설명서를 참조하세요.

전송 서버가 클라이언트로부터 파일을 수신하면 다음과 같은 일반적인 작업을 사용할 수 있습니다.

PGP 키를 사용하여 파일을 복호화합니다. PGP를 사용한 파일 암호화 및 복호화에 대한 이 블로그 게시물을 참조하세요.

데이터가 도착한 위치에서 데이터를 이용해야 하는 위치로 데이터를 이동하거나 복사합니다.

새 위치로 아카이빙하거나 복사한 후 원본 파일을 삭제합니다.

다운스트림 서비스(S3만 해당)에서 인덱싱 및 검색할 수 있도록 해당 콘텐츠에 기반하여 파일에 태그를 지정합니다.

워크플로에 사용자 지정 단계로 Lambda 함수를 제공하여 사용자 지정 파일 처리 로직을 수행합니다. 예를 들어 파일 유형에 대한 호환성 검사, 파일에서 멀웨어 검사, 개인 식별 정보(PII) 감지, 데이터 분석을 위한 파일 수집 전 메타데이터 추출과 같은 작업이 이에 포함됩니다.

예. SFTP, FTPS 및 FTP 서버 엔드포인트를 통해 업로드된 파일의 PGP 복호화에는 사전 구축된 완전관리형 워크플로 단계를 사용할 수 있습니다. 자세한 내용은 관리형 워크플로 설명서와 PGP를 사용한 파일 암호화 및 복호화에 대한 이 블로그 게시물을 참조하세요.

서버 엔드포인트에 원래 업로드한 파일을 처리하거나 워크플로에서 이전 단계의 출력 파일을 처리하도록 워크플로 단계를 구성할 수 있습니다. 이렇게 하면 Amazon S3에 업로드된 파일의 이동 및 이름 바꾸기를 손쉽게 자동화할 수 있습니다. 예를 들어, 파일 아카이브 또는 보존을 위해 파일을 다른 위치로 이동하려면 워크플로에서 2개 단계를 구성합니다. 첫 번째 단계에서는 다른 Amazon S3 위치에 파일을 복사하고, 두 번째 단계에서는 원래 업로드한 파일을 삭제합니다. 워크플로 단계에서 파일 위치 선택에 대한 자세한 내용은 설명서를 참조하세요.

예. 관리형 워크플로를 사용할 때는 레코드 보존을 위해 원본 파일을 유지하면서 원본 파일의 여러 복사본을 생성할 수 있습니다.

예. 워크플로 복사 단계에서 사용자 이름을 변수로 활용하여 Amazon S3의 사용자별 폴더로 파일 경로를 동적으로 지정할 수 있습니다. 이렇게 하면 파일을 복사할 때 대상 폴더 위치를 하드코딩할 필요가 없고 Amazon S3에서 사용자별 폴더 생성을 자동화하여 파일 자동화 워크플로를 확장할 수 있습니다. 자세히 알아보려면 설명서를 읽어보세요.

AWS Step Functions는 간단한 단계에서 비즈니스 애플리케이션의 실행을 정의하기 위해 AWS Lambda를 다른 서비스와 결합할 수 있는 서버리스 오케스트레이션 서비스입니다. AWS Step Functions에서 파일 처리 단계를 수행하려면 Amazon S3의 이벤트 트리거에서 AWS Lambda 함수를 사용하여 자체 워크플로를 구성합니다. 관리형 워크플로에서는 선형 순차적 처리를 손쉽게 오케스트레이션하기 위한 프레임워크를 제공하며, 다음 방식으로 기존 솔루션과 차별됩니다. 1) 전체 파일 업로드 시에만 실행할 워크플로와 부분 파일 업로드시에만 실행할 워크플로를 세분화하여 정의할 수 있습니다. 2) S3 및 EFS(업로드 후처리 이벤트를 제공하지 않음)에 대해 자동으로 워크플로를 트리거할 수 있습니다. 3) 워크플로는 PGP 복호화 같은 공통 파일 처리를 위한 코드 및 사전 구축된 옵션을 제공하지 않습니다. 4) 고객이 CloudWatch Logs에서 파일 전송 및 처리에 대한 완벽한 가시성을 확보할 수 있습니다.

관리형 워크플로 활동 로깅에 지원되는 기능에 대한 자세한 내용은 모니터링 섹션을 참조하세요.

예. 파일 전송 알림에 관리형 워크플로를 사용하는 것에 대한 이 블로그 게시물을 참조하세요.

예. 전체 파일 업로드 및 부분 파일 업로드 시 트리거할 별도의 워크플로를 정의할 수 있습니다.

아니요. 인바운드 엔드포인트를 사용하여 파일이 도착할 때만 처리를 간접적으로 호출할 수 있습니다.

현재는 SFTP, FTPS 및 FTP 서버 엔드포인트를 통해 업로드된 파일에 대해서만 관리형 워크플로를 트리거할 수 있으며 실행당 하나의 파일이 처리됩니다. AS2를 통해 교환되는 메시지, 서버 엔드포인트를 통한 파일 다운로드, SFTP 커넥터를 사용하여 전송된 파일에는 관리형 워크플로가 지원되지 않습니다.

아니요. 워크플로는 현재 실행당 1개 파일을 처리합니다.

아니요. 사용자별로 세분화하여 관리형 워크플로를 간접적으로 호출할 수 없습니다. Amazon EventBridge에 게시되는 파일 전송 이벤트 알림을 사용하면 파일을 업로드한 사용자를 기반으로 조건부 파일 처리 로직을 정의할 수 있습니다.

Amazon S3 액세스

AWS Transfer Family 서버 및 Amazon S3 사이의 데이터 전송은 내부 AWS 네트워크를 통해 수행되며, 퍼블릭 인터넷을 통과하지 않습니다. 이러한 특성 때문에 AWS Transfer Family 서버에서 Simple Storage Service(Amazon S3)로 전송되는 데이터에 대해 AWS PrivateLink를 사용하지 않아도 됩니다. Transfer Family 서비스를 사용하면 Simple Storage Service(Amazon S3)에 대한 AWS PrivateLink 엔드포인트에서 인터넷으로의 트래픽을 차단하지 않아도 됩니다. 따라서 이들을 사용하여 스토리지 서비스와 통신할 수 없습니다. 이때 모두 AWS 스토리지 서비스와 Transfer Family 서버는 동일한 리전에 있다고 가정합니다.

AWS IAM은 사용자에게 제공하려는 액세스 수준을 결정하는 데 사용됩니다. 여기에는 사용자의 클라이언트에서 활성화하려는 작업과 액세스할 수 있는 Amazon S3 버킷(전체 버킷 또는 일부분)이 포함됩니다.

사용자에 대해 설정한 홈 디렉터리가 사용자의 로그인 디렉터리를 결정합니다. 이것은 사용자 클라이언트가 서버에 성공적으로 인증되자마자 사용자를 배치할 디렉터리 경로입니다. 제공되는 IAM 역할이 홈 디렉터리에 대한 사용자 액세스를 제공해야 합니다.

예. 모든 사용자에게 단일 IAM 역할을 할당하고 최종 사용자에게 표시하려는 Amazon S3 버킷의 절대 경로와 클라이언트가 최종 사용자에게 해당 경로를 표시하는 방법을 지정하는 논리적 디렉터리 매핑을 사용할 수 있습니다. Chroot와 논리적 디렉터리로 내 AWS SFTP/FTPS/FTP 구조를 단순화하는 방법에 관한 블로그를 참조하세요.

지원되는 프로토콜을 통해 전송된 파일은 Amazon S3 버킷에 객체로 저장되며 파일과 객체 간에 일대일 매핑이 이루어집니다. 따라서 AWS 서비스를 사용하여 이러한 객체에 네이티브 액세스하여 처리 또는 분석을 수행할 수 있습니다.

인증에 성공하면, 사용자의 자격 증명에 따라 서비스가 Amazon S3 객체와 폴더를 파일과 디렉터리로 사용자의 전송 애플리케이션에 표시합니다.

파일 및 디렉터리를 생성하고, 읽고, 업데이트하고, 삭제하는 일반적인 명령이 지원됩니다. 파일은 Amazon S3 버킷에 개별 객체로 저장됩니다. 디렉터리는 S3의 폴더 객체로 관리되며 S3 콘솔과 같은 구문을 사용합니다.

디렉터리 이름 변경 작업, 작업 추가, 소유권 변경, 권한 및 타임 스탬프와 기호 링크 및 하드 링크 사용은 현재 지원되지 않습니다.

예. 사용자 이름에 매핑한 AWS IAM 역할을 사용하여 파일 작업을 활성화 및 비활성화할 수 있습니다. 최종 사용자 액세스를 제어하는 IAM 정책 및 역할 생성에 대한 설명서를 참조하세요.

예. 사용자가 액세스할 수 있는 버킷은 AWS IAM 역할 및 해당 사용자에 대해 지정하는 선택형 범위 축소 정책에 의해 결정됩니다. 사용자는 사용자의 홈 디렉터리로 단일 버킷만 사용할 수 있습니다.

예. AWS Transfer Family와 함께 S3 액세스 포인트 별칭을 사용하면 단일 버킷 정책을 관리할 필요 없이 대규모 데이터 집합에 대한 세분화된 액세스를 제공할 수 있습니다. AWS Transfer Family의 논리적 디렉터리와 결합된 S3 액세스 포인트 별칭을 사용하면 다양한 애플리케이션, 팀 및 부서에 대한 세분화된 액세스 제어를 생성하는 동시에 버킷 정책 관리의 오버헤드를 줄일 수 있습니다. 자세히 알아보고 시작하려면 AWS Transfer Family 및 Amazon S3 액세스 포인트를 통해 데이터 액세스 제어 향상에 대한 블로그 게시물을 참조하세요.

예. CLI 및 API를 사용하여 지원되는 프로토콜을 통해 전송된 파일을 저장하는 데 사용하려는 버킷과 서버 간에 교차 계정 액세스를 설정할 수 있습니다. 콘솔 드롭다운은 계정 A의 버킷 목록만을 표시합니다. 또한 사용자에게 할당된 역할이 계정 A에 속하는지 확인해야 합니다.

예. AWS Transfer Family는 파일 전송 작업이 완료되면 Amazon EventBridge에 이벤트 알림을 게시합니다. 이 이벤트를 사용하여 파일의 업로드 후처리를 자동화할 수 있습니다. 또는 업로드된 모든 파일을 조건부 로직 없이 동일한 파일 처리 단계를 사용하여 처리해야 하는 경우 AWS Transfer Family 관리형 워크플로를 사용하여 사용자가 SFTP, FTPS 또는 FTP 서버 엔드포인트를 통해 업로드하는 각 파일에 대해 자동으로 간접 호출되는 일반적인 파일 처리 단계를 순서대로 정의할 수 있습니다.

예. 사용자가 파일을 업로드하면 업로드에 사용된 서버의 서버 ID 및 사용자 이름이 연결된 S3 객체의 메타데이터의 일부로 저장됩니다. 업로드 후처리에 대해 사용하는 정보에 대한 설명서를 참조하세요. AWS Transfer Family에서 Amazon EventBridge에 게시한 자동 파일 업로드 이벤트 알림에서도 최종 사용자 정보를 확인할 수 있습니다. 이 정보를 사용하여 사용자에 따라 파일의 세부적인 업로드 후처리를 오케스트레이션할 수 있습니다. 

Amazon S3는 버킷에 생성된 모든 새 객체에 대한 이벤트 알림을 게시할 수 있습니다. 반면, AWS Transfer Family는 각 파일 전송 작업의 성공 또는 실패 시 이벤트 알림을 게시합니다. Amazon S3 이벤트 알림과 다른 점은 다음과 같습니다. 1) Transfer Family의 이벤트 알림을 사용할 때 전체 파일 업로드와 부분 파일 업로드에 대한 업로드 후처리를 정의할 수 있습니다. 2) Transfer Family 이벤트는 S3와 EFS 모두의 파일 업로드에 대해 게시됩니다. 3) Transfer Family를 통해 생성되는 이벤트에는 발신자의 사용자 이름, 서버 ID, 전송 상태 등과 같은 운영 정보가 포함되며 이러한 속성에 대한 조건부 논리를 기반으로 파일 처리를 세부적으로 정의할 수 있습니다.

예. S3 디렉터리 리스팅을 최적화하면 디렉터리 리스팅을 몇 분에서 몇 초로 가속화할 수 있습니다. 2023년 11월 17일 이후에 콘솔을 통해 새 서버를 생성하는 경우 Amazon S3를 스토리지로 사용하는 경우 서버에는 최적화된 S3 디렉터리 리스팅이 기본적으로 활성화됩니다. 언제든지 켜거나 끌 수 있습니다. 이 기능을 끄면 S3 디렉터리 리스팅이 기본 성능으로 복원됩니다. CloudFormation, CLI 또는 API를 사용하여 서버를 생성하는 경우 최적화된 S3 디렉터리 리스팅이 기본적으로 비활성화되지만 언제든지 활성화할 수 있습니다. 최적화된 S3 디렉터리 리스팅을 활성화하는 방법은 설명서를 참조하세요.

세션 정책 사용과 기타 내부 요구 사항에 따라 다르지만 일반적으로 사용자가 의도한 파일에만 액세스하도록 하기 위해 세션 정책과 논리적 디렉터리가 모두 필요한 것은 아닙니다. 논리적 디렉터리 매핑은 사용자가 지정된 논리적 경로와 하위 디렉터리에만 액세스할 수 있도록 허용하며 논리적 루트를 통과하는 상대 경로는 금지합니다. 상대 요소를 포함할 수 있는 상대 표기법을 사용하여 모든 경로를 검증하고 이러한 경로를 S3로 전달하기 전에 해당 경로가 확인되지 않도록 적극적으로 차단하여 사용자가 논리적 매핑을 벗어나는 것을 방지합니다. 

Amazon EFS 액세스

Amazon EFS 파일 시스템에서 사용하도록 AWS Transfer Family를 설정하기 전에 AWS Transfer Family 사용자에게 할당하려는 동일한 POSIX ID(사용자 ID/그룹 ID)를 사용하여 파일 및 폴더의 소유권을 설정해야 합니다. 또한 다른 계정의 파일 시스템에 액세스하는 경우 교차 계정 액세스를 사용하도록 파일 시스템에서 리소스 정책도 구성해야 합니다. EFS와 함께 AWS Transfer Family를 사용하는 방법에 대한 단계별 지침은 이 블로그 게시물을 참조하세요.

AWS Transfer Family 서버 및 Amazon EFS 사이의 데이터 전송은 내부 AWS 네트워크를 통해 수행되며, 퍼블릭 인터넷을 통과하지 않습니다. 이러한 특성 때문에 AWS Transfer Family 서버에서 Amazon EFS로 전송되는 데이터에 대해 AWS PrivateLink를 사용하지 않아도 됩니다. Transfer Family 서비스를 사용하면 Amazon EFS에 대한 AWS PrivateLink 엔드포인트에서 인터넷으로의 트래픽을 차단하지 않아도 됩니다. 따라서 이들을 사용하여 스토리지 서비스와 통신할 수 없습니다. 이때 모두 AWS 스토리지 서비스와 Transfer Family 서버는 동일한 리전에 있다고 가정합니다.

Amazon EFS는 운영 제체 사용자 ID, 그룹 ID, 보조 그룹 ID로 구성된 POSIX ID를 사용하여 파일 시스템에 대한 액세스를 제어합니다. AWS Transfer Family 콘솔, CLI 및 API에서 사용자를 설정하는 경우 EFS 파일 시스템에 액세스하려면 사용자 이름, 사용자 POSIX 구성 및 IAM 역할을 지정해야 합니다. 또한, EFS 파일 시스템 ID를 지정해야 합니다. 선택적으로 사용자 랜딩 디렉터리로 해당 파일 시스템 내에서 디렉터리도 지정할 수 있습니다. 파일 전송 클라이언트를 사용하여 AWS Transfer Family 사용자를 성공적으로 인증하면 지정된 EFS 파일 시스템의 루트 또는 지정된 홈 디렉터리에 직접 배치됩니다. 파일 전송 클라이언트를 통해 수행된 모든 요청에는 운영 체제 POSIX ID가 적용됩니다. EFS 관리자인 경우 EFS 파일 시스템의 해당되는 POSIX ID가 AWS Transfer Family 사용자가 액세스하려는 파일 및 디렉터리를 소유하고 있는지 확인해야 합니다. EFS에서 하위 디렉터리 소유권을 구성하는 방법에 대한 자세한 내용은 설명서를 참조하세요. Amazon EFS를 스토리지로 사용하는 경우 Transfer Family는 액세스 포인트를 지원하지 않는다는 점에 유의하세요.  

활성화된 프로토콜을 통해 전송된 파일은 Amazon EFS 파일 시스템에 직접 저장되며, Amazon EFS 파일 시스템에 액세스할 수 있는 AWS 서비스 또는 표준 파일 시스템 인터페이스를 통해 액세스할 수 있습니다.

A: 파일, 디렉터리 및 기호 링크를 생성하고, 읽으며, 업데이트하고, 삭제하는 SFTP, FTPS 및 FTP 명령이 지원됩니다. EFS 및 S3에 대해 지원되는 명령은 아래 표를 참조하세요.

명령

Amazon S3

Amazon EFS

     cd

지원

지원

     ls/dir

지원

지원

     pwd

지원

지원

     put

지원

지원

     get

지원

지원됨(심볼릭 링크 및 하드 링크 확인 포함)

     rename

지원됨1

지원됨1

     chown

지원되지 않음

지원됨2

     chmod

지원되지 않음

지원됨2

     chgrp

지원되지 않음

지원됨3

     ln -s/symlink

지원되지 않음

지원

     mkdir

지원

지원

     rm/delete

지원

지원

     rmdir

지원됨4

지원

     chmtime

지원되지 않음

지원

1. 파일 이름 바꾸기만 지원됩니다. 기존 파일을 덮어쓰는 파일 이름 바꾸기와 디렉터리 이름 바꾸기는 지원되지 않습니다.

2. 루트(즉, uid=0인 사용자)만 파일 및 디렉터리의 소유권과 권한을 변경할 수 있습니다.

3. 루트(예: uid=0) 또는 파일 그룹을 보조 그룹 중 하나로만 변경할 수 있는 파일 소유자에 대해서만 지원됩니다.

4. 비어 있지 않은 폴더에 대해서만 지원됩니다.

AWS Transfer Family 사용자에 대해 제공하는 IAM 정책은 파일 시스템에 대해 읽기 전용, 읽기-쓰기 및 루트 액세스 권한을 보유하는지 여부를 결정합니다. 또한, 파일 시스템 관리자인 경우 소유권을 설정하고 사용자 ID 및 그룹 ID를 사용하여 파일 시스템 내 파일 및 디렉터리에 대한 액세스 권한을 부여할 수 있습니다. 이는 서비스에 저장되었든(서비스에서 관리됨), 아니면 자격 증명 관리 시스템에 있든("BYO 인증") 상관없이 사용자에게 적용됩니다.

예. 사용자를 설정할 때 각 사용자에 대해 서로 다른 파일 시스템과 디렉터리를 지정할 수 있습니다. 인증에 성공하면 EFS는 활성화된 프로토콜을 사용하여 수행한 모든 파일 시스템 요청에 대해 디렉터리를 적용합니다.

예. AWS Transfer Family의 논리 디렉터리 매핑을 사용하면 절대 경로를 최종 사용자에게 표시되는 경로 이름에 매핑하여 파일 시스템에서 최종 사용자의 디렉터리 보기를 제한할 수 있습니다. 또한 지정된 홈 디렉터리로 이동(‘chroot’)하는 기능도 포함되어 있습니다.

예. AWS Transfer Family 사용자를 설정하는 경우 여러 파일 시스템에 대한 액세스를 부여하기 위해 설정한 사용자의 일부로 제공하는 IAM 정책에서 하나 이상의 파일 시스템을 지정할 수 있습니다.

Microsoft Windows, Linux, macOS 또는 EFS 파일 시스템에 저장된 파일을 업로드하고 액세스하기 위해 SFTP, FTPS 및 FTP를 지원하는 운영 체제를 위해 구축된 클라이언트 및 애플리케이션을 사용할 수 있습니다. 모든 운영 체제의 파일 시스템에 액세스하도록 EFS 파일 시스템에 대한 적절한 권한이 있는 사용자와 서버를 구성하면 됩니다.

두 가지 옵션이 있습니다. 1) AWS Transfer Family는 파일 전송 작업이 완료될 때 Amazon EventBridge에 이벤트 알림을 게시합니다. 이 이벤트를 사용하여 파일의 업로드 후처리를 자동화할 수 있습니다. 2) 조건부 로직 없이 동일한 파일 처리 단계를 사용하여 업로드된 모든 파일을 처리해야 한다면 AWS Transfer Family 관리형 워크플로를 사용하여 일반적인 파일 처리 단계를 순서대로 정의하면 됩니다. 이 파일 처리 단계는 SFTP, FTPS 또는 FTP 서버 엔드포인트를 통해 업로드된 각 파일에 적용됩니다.

새 파일의 경우 파일을 업로드한 사용자와 연결된 POSIX 사용자 ID는 EFS 파일 시스템에서 파일의 소유자로 설정됩니다. 또한 Amazon CloudWatch를 사용하여 파일 생성, 업데이트, 삭제 및 읽기 작업을 위한 사용자 활동을 추적할 수 있습니다. Amazon CloudWatch 로깅을 활성화하는 방법에 대한 자세한 내용은 설명서를 참조하세요.

예. CLI 및 API를 사용하여 AWS Transfer Family 리소스 및 EFS 파일 시스템 사이에서 교차 계정 액세스를 설정할 수 있습니다. AWS Transfer Family 콘솔은 동일한 계정의 파일 시스템만 나열합니다. 또한, 파일 시스템에 액세스하기 위해 사용자에게 지정된 IAM 역할이 계정 A에 속하는지 확인해야 합니다.

교차 계정 액세스를 위해 활성화되지 않은 교차 계정 EFS 파일 시스템에 액세스하도록 AWS Transfer Family 서버를 설정하는 경우 SFTP, FTP 및 FTPS 사용자는 파일 시스템에 대한 액세스가 거부됩니다. 서버에서 CloudWatch 로깅을 활성화한 경우 교차 계정 액세스 오류가 CloudWatch Logs에 기록됩니다.

아니요. AWS Transfer Family를 사용하여 동일한 AWS 리전의 EFS 파일 시스템에만 액세스할 수 있습니다.

예. AWS Transfer를 사용하여 파일을 EFS에 쓰고 일정 시간 동안 액세스하지 않은 파일을 Infrequent Access(IA) 스토리지 클래스로 마이그레이션하도록 EFS 수명 주기 관리를 구성할 수 있습니다.

예. Amazon EFS는 최대 수천 개의 NFS, SFTP, FTPS 및 FTP 클라이언트를 위한 파일 시스템 인터페이스, 파일 시스템 액세스 시맨틱(예: 강력한 일관성 및 파일 잠금) 및 동시에 액세스 가능한 스토리지를 제공합니다.

예. AWS Transfer Family 서버를 사용하여 EFS 파일 시스템에 액세스하면 처리량 모드에 상관없이 EFS 버스트 크레딧을 이용합니다. 사용 가능한 성능 및 처리량 모드와 몇 가지 유용한 성능 팁은 설명서를 참조하세요.

보안 및 규정 준수

퍼블릭 네트워크의 보안 전송에는 SFTP 또는 FTPS를 사용해야 합니다. SSH 및 TLS 암호화 알고리즘을 기반으로 하는 프로토콜의 기본 보안을 통해 데이터와 명령이 암호화된 채널을 통해 안전하게 전송됩니다.

버킷에 저장되는 파일을 Amazon S3 서버 측 암호화(SSE-S3) 또는 Amazon KMS(SSE-KMS)를 사용하여 암호화하도록 선택할 수 있습니다. EFS에 저장된 파일의 경우 저장 중 파일을 암호화하기 위해 AWS 또는 고객 관리형 CMK를 선택할 수 있습니다. Amazon EFS를 사용하여 파일 데이터 및 메타데이터를 저장 중에 암호화하기 위한 옵션에 대한 자세한 내용은 설명서를 참조하세요.

AWS Transfer Family는 PCI-DSS, GDPR, FedRAMP, SOC 1, 2, 3을 준수합니다. 또한 이 서비스는 HIPAA 적격 서비스입니다. 규정 준수 프로그램 제공 범위 내 서비스에 대해 자세히 알아보세요.

AWS 동부 및 서부와 GovCloud(미국) 리전은 FISMA 규정을 준수합니다. AWS Transfer Family가 FedRAMP 승인을 받으면 해당하는 리전에서 FISMA 규정을 준수하게 될 것입니다. 이러한 규정 준수는 두 리전의 FedRAMP 인증을 FedRAMP Moderate 및 FedRAMP High로 입증됩니다. AWS는 시스템 보안 계획 내에서 연간 평가 및 범위 내 NIST SP 800-53 제어 준수를 문서화하여 규정 준수를 시연합니다. FedRAMP에서 요구하는 NIST 제어를 충족하는 의무를 자세하게 보여주는 고객 책임 매트릭스(CRM)와 함께 템플릿을 아티팩트에서 사용할 수 있습니다. 아티팩트는 AWS 계정으로 동부 및 서부와 GovCloud 모두에 액세스할 수 있는 관리 콘솔을 통해 제공됩니다. 해당 주제에 관한 추가 질문이 있는 경우 콘솔에서 확인하세요.

서비스를 통해 업로드된 파일은 파일의 업로드 전과 후의 MD5 체크섬을 비교하는 방식으로 확인합니다.

AWS Transfer Family 관리형 워크플로를 사용하면 파일이 AWS Transfer Family SFTP, FTPS 또는 FTP 서버 엔드포인트에 업로드될 때 PGP 키를 사용하여 파일을 자동으로 복호화할 수 있습니다. 자세한 정보는 관리형 워크플로 문서를 참조하세요. 또는 Amazon Eventbridge에 게시된 AWS Transfer Family 이벤트 알림을 구독하면 자체 암호화/복호화 로직을 사용하여 전송된 파일의 세분화된 이벤트 기반 처리를 오케스트레이션할 수 있습니다.

모니터링

Amazon CloudWatch에 전송되는 JSON 형식의 로그를 사용하여 최종 사용자와 해당 파일 전송 활동을 모니터링할 수 있습니다. CloudWatch 안에서 JSON 형식의 필드를 자동으로 검색하는 CloudWatch Log Insights를 사용하여 로그를 쉽게 구문 분석하고 쿼리할 수 있습니다. 또한 CloudWatch Contributor Insights를 통해 상위 사용자, 총 고유 사용자 수 및 지속적인 사용량을 추적할 수 있습니다. 또한 AWS Transfer Family 관리 콘솔에서 사전 작성된 CloudWatch 지표 및 그래프에도 액세스할 수 있습니다. 자세한 내용은 설명서를 참조하세요.

예. 여러 AWS Transfer Family 서버의 로그 스트림을 단일 CloudWatch 로그 그룹으로 결합할 수 있습니다. 따라서 통합된 로그 지표 및 시각화를 생성할 수 있으며, 이를 CloudWatch 대시보드에 추가하여 서버 사용량 및 성능을 추적할 수 있습니다.

AWS CloudWatch 지표(예: 워크플로 실행, 성공한 실행 및 실패한 실행의 총 수)를 사용하여 워크플로 실행을 모니터링할 수 있습니다. AWS Management Console을 사용하여 진행 중인 워크플로 실행에 대한 실시간 상태를 검색하고 볼 수도 있습니다. 워크플로 실행의 상세 로그를 확인하려면 CloudWatch 로그를 사용합니다.

AWS Transfer Family는 서버, 커넥터, 워크플로를 비롯한 모든 리소스와 SFTP, FTPS, FTP 및 AS2를 비롯한 모든 프로토콜에서 JSON 형식으로 로그를 제공합니다.

Transfer Family의 관리형 워크플로를 사용하여 SFTP, FTPS 및 FTP 서버 엔드포인트를 통해 업로드된 파일에 대한 알림을 받을 수 있습니다. 이 블로그 게시물을 참조하세요. 또는 Amazon EventBridge에서 AWS Transfer Family 이벤트를 구독하여 Amazon Simple Notification Service(SNS)를 통해 알림을 받을 수도 있습니다.

예. 미리 구성된 워크플로 검증 단계에서 파일 검증 검사에 실패하면 예외 처리기를 사용하여 Amazon SNS 주제를 통해 모니터링 시스템을 간접적으로 호출하거나 팀원에게 알릴 수 있습니다.

결제

서버 엔드포인트를 만들고 구성한 시점부터 삭제한 시점까지 활성화된 각 프로토콜에 대해 시간 단위로 요금이 청구됩니다. 또한 SFTP, FTPS 또는 FTP 서버를 통해 업로드되고 다운로드되는 데이터의 양, AS2를 통해 교환되는 메시지 수, 복호화 워크플로 단계를 사용하여 처리한 데이터의 양에 따라 요금이 청구됩니다. SFTP 커넥터를 사용하는 경우 전송된 데이터의 양과 커넥터 직접 호출 수에 따라 요금이 청구됩니다. 자세한 내용은 요금 페이지를 참조하세요.

아니요. 사용하도록 설정한 프로토콜 및 각 프로토콜을 통해 전송된 데이터 양에 대해 시간 단위로 요금이 청구됩니다. 여러 프로토콜에 동일한 엔드포인트가 사용되는지 또는 각 프로토콜에 서로 다른 엔드포인트를 사용하는지는 관계가 없습니다.

예. 콘솔을 사용하거나 ‘stop-server’ CLI 명령 또는 ‘StopServer’ API 명령을 실행하여 서버를 중지하는 것은 요금 청구에 영향을 미치지 않습니다. 서버 엔드포인트를 생성하여 하나 이상의 프로토콜을 통한 액세스를 구성한 시점부터 삭제한 시점까지 시간 단위로 요금이 청구됩니다.

PGP 키를 사용하여 복호화하는 데이터의 양에 따라 복호화 워크플로 단계에 대한 요금이 부과됩니다. 관리형 워크플로 사용에 따른 추가 요금은 없습니다. 워크플로 구성에 따라 Amazon S3, Amazon EFS, AWS Secrets Manager, AWS Lambda 사용에 대한 요금이 부과됩니다.

아니요. SFTP 커넥터에 대한 시간당 요금은 없습니다. SFTP 커넥터 요금에 대한 자세한 내용은 요금 페이지를 참조하세요.

SFTP 요금에 대해 자세히 알아보기
요금에 대해 자세히 알아보기

AWS Transfer Family는 완전관리형 서비스를 제공하므로 파일 전송 서비스를 실행하는 운영 비용이 절감됩니다.

자세히 알아보기 
무료 AWS 계정에 가입
무료 계정에 가입

AWS 프리 티어에 즉시 액세스할 수 있습니다. 

가입하기 
SFTP를 사용하여 구축 시작
콘솔에서 구축 시작

AWS Management Console에서 SFTP, FTPS 및 FTP 서비스 빌드를 시작하십시오.

로그인