AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관
AWS re:Postre:Post

AWS Transfer Family 서버에 어떤 유형의 엔드포인트를 사용해야 하나요?

3분 분량
0

AWS Transfer Family 서버에 사용해야 하는 엔드포인트 유형을 알고 싶습니다.

해결 방법

다음 표에서 자신의 사용 사례에 가장 알맞은 AWS Transfer Family 엔드포인트 유형이 무엇인지 확인합니다.

엔드포인트 유형퍼블릭 엔드포인트내부 액세스가 가능한 Amazon Virtual Private Cloud(Amazon VPC) 엔드포인트인터넷 연결 액세스가 가능한 VPC 엔드포인트VPC_ENDPOINT(DEPRECATED)
지원되는 프로토콜SFTPSFTP, FTP, FTPSSFTP, FTPSSFTP
액세스인터넷을 통해 액세스합니다. 이 엔드포인트 유형은 VPC에서 특별한 구성이 필요하지 않습니다.VPC 및 VPC에 연결된 환경(예: AWS Direct Connect 또는 VPN을 통한 온프레미스 데이터 센터) 내에서 액세스합니다.인터넷을 통해, 그리고 VPC 및 VPC에 연결된 환경(예: AWS Direct Connect 또는 VPN을 통한 온프레미스 데이터 센터) 내에서 액세스합니다.VPC 및 VPC에 연결된 환경(예: AWS Direct Connect 또는 VPN을 통한 온프레미스 데이터 센터) 내에서 액세스합니다.
고정 IP 주소고정 IP 주소에 연결할 수 없습니다. AWS는 변경 가능한 IP 주소를 제공합니다.엔드포인트에 연결된 프라이빗 IP 주소는 변경되지 않습니다.탄력적 IP 주소를 엔드포인트에 연결할 수 있습니다. 이는 AWS IP 주소 또는 자체 IP 주소(BYOIP)일 수 있습니다. 엔드포인트에 연결된 탄력적 IP 주소는 변경되지 않습니다. 서버에 연결된 프라이빗 IP 주소도 변경되지 않습니다.엔드포인트에 연결된 프라이빗 IP 주소는 변경되지 않습니다.
소스 IP 허용 목록이 엔드포인트 유형은 소스 IP 주소별 허용 목록을 지원하지 않습니다. 이 엔드포인트는 공개적으로 액세스할 수 있고 포트 22를 통해 트래픽을 수신 대기합니다.소스 IP 주소로 액세스를 허용하려면 서버 엔드포인트에 연결된 보안 그룹과 엔드포인트가 속해 있는 서브넷에 연결된 네트워크 액세스 제어 목록(네트워크 ACL)을 사용할 수 있습니다.소스 IP 주소로 액세스를 허용하려면 서버 엔드포인트에 연결된 보안 그룹과 엔드포인트가 속해 있는 서브넷에 연결된 네트워크 ACL을 사용할 수 있습니다.소스 IP 주소로 액세스를 허용하려면 서버 엔드포인트에 연결된 보안 그룹과 엔드포인트가 속해 있는 서브넷에 연결된 네트워크 ACL을 사용할 수 있습니다.
클라이언트 방화벽 허용 목록서버의 DNS 이름을 허용해야 합니다. IP 주소는 변경될 수 있으므로 클라이언트 방화벽 허용 목록에 IP 주소를 사용하지 마십시오.엔드포인트의 프라이빗 IP 주소 또는 DNS 이름을 허용할 수 있습니다.서버의 DNS 이름 또는 서버에 연결된 탄력적 IP 주소를 허용할 수 있습니다.엔드포인트의 프라이빗 IP 주소 또는 DNS 이름을 허용할 수 있습니다.

참고: VPC_ENDPOINT 엔드포인트 유형은 이제 더 이상 사용되지 않으며 새 서버를 만드는 데 사용할 수 없습니다. 자세한 내용은 VPC_ENDPOINT 사용 중단을 참조하세요.

AWS Transfer Family 서버의 보안 태세를 강화하려면 다음 옵션을 고려하세요.

  • 내부 액세스 권한이 있는 VPC 엔드포인트를 사용하면 AWS Direct Connect 또는 VPN을 통해 온프레미스 데이터 센터와 같은 VPC 또는 VPC 연결 환경의 클라이언트만 서버에 액세스할 수 있습니다.
  • 클라이언트에서 인터넷을 통해 엔드포인트에 액세스하고 서버를 보호하도록 허용하려면 인터넷 연결 액세스 권한이 있는 VPC 엔드포인트를 사용합니다. 그런 다음 사용자의 클라이언트를 호스팅하는 특정 IP 주소로부터의 트래픽만 허용하도록 VPC의 보안 그룹을 수정합니다.
  • 내부 액세스 권한이 있는 VPC 엔드포인트 앞의 Network Load Balancer를 사용합니다. 로드 밸런서의 리스너 포트를 포트 22에서 다른 포트로 변경합니다. 포트 22가 스캐닝에 가장 일반적으로 사용되기 때문에 포트 스캐너와 봇이 서버를 탐색하는 위험을 줄일 수 있지만 이를 제거하지는 못합니다. 하지만 네트워크 로드 밸런서를 사용하는 경우 보안 그룹을 사용하여 소스 IP 주소로부터의 액세스를 허용할 수 없습니다.
  • 암호 기반 인증이 필요하고 서버에서 사용자 지정 자격 증명 공급자를 사용하는 경우 적극적인 암호 정책을 설정하는 것이 모범 사례입니다. 암호 정책에서 사용자가 취약한 암호를 생성하지 못하게 차단하고 로그인 시도 실패 횟수를 제한하는 것이 모범 사례입니다.

관련 정보

서버에 대한 인터넷 연결 엔드포인트 생성

AWS Transfer Family SFTP 지원 서버 엔드포인트에서 탄력적 IP 주소를 활성화하려면 어떻게 해야 합니까?

주제
마이그레이션 및 현대화
태그
AWS Transfer Family
언어
한국어
AWS 공식
AWS 공식업데이트됨 3년 전
댓글 없음

관련 콘텐츠