Verwendung von Windows ACLs zur Beschränkung des SMB-Dateifreigabezugriffs - AWS Storage Gateway
Windows ACLs auf einer neuen SMB-Dateifreigabe aktivierenWindows ACLs auf einer vorhandenen SMB-Dateifreigabe aktivierenEinschränkungen bei der Verwendung von Windows ACLs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung von Windows ACLs zur Beschränkung des SMB-Dateifreigabezugriffs

Amazon S3 File Gateway unterstützt zwei verschiedene Methoden zur Steuerung des Zugriffs auf Dateien und Verzeichnisse, die über eine SMB-Dateifreigabe gespeichert sind: POSIX-Berechtigungen oder Windows. ACLs

In diesem Abschnitt wird beschrieben, wie Microsoft Windows-Zugriffskontrolllisten (ACLs) auf SMB-Dateifreigaben verwendet werden, die Microsoft Active Directory (AD) für die Authentifizierung verwenden. Mithilfe von Windows ACLs können Sie detaillierte Berechtigungen für Dateien und Ordner in Ihrer SMB-Dateifreigabe festlegen.

Im Folgenden sind einige wichtige Merkmale von Windows ACLs auf SMB-Dateifreigaben aufgeführt:

  • Windows ACLs wird standardmäßig für SMB-Dateifreigaben ausgewählt, wenn Ihr File-Gateway einer Active Directory-Domäne angehört.

  • Wenn aktiviert ACLs sind, werden die ACL-Informationen in den Amazon S3 S3-Objektmetadaten gespeichert.

  • Das Gateway speichert bis zu 10 ACLs pro Datei oder Ordner.

  • Wenn Sie eine SMB-Dateifreigabe mit ACLs aktivierter Option für den Zugriff auf S3-Objekte verwenden, die außerhalb Ihres Gateways erstellt wurden, erben die Objekte Informationen aus ACLs dem übergeordneten Ordner.

Anmerkung

Die Standard-Stamm-ACL für eine SMB-Dateifreigabe bietet allen vollständigen Zugriff, Sie können die Berechtigungen der Stamm-ACL aber ändern. Sie können Root verwenden ACLs , um den Zugriff auf die Dateifreigabe zu kontrollieren. Sie können festlegen, wer die Dateifreigabe mounten (das Laufwerk zuordnen) kann und welche Berechtigungen der Benutzer rekursiv für die Dateien und Ordner in der Dateifreigabe erhält. Wir empfehlen jedoch, dass Sie diese Berechtigung im Ordner der obersten Ebene im S3-Bucket festlegen, sodass Ihre ACL dauerhaft gespeichert wird.

Sie können Windows aktivieren, ACLs wenn Sie eine neue SMB-Dateifreigabe mithilfe des API-Vorgangs Create SMBFile Share erstellen. Oder Sie können Windows ACLs auf einer vorhandenen SMB-Dateifreigabe mithilfe des API-Vorgangs Update SMBFile Share einschalten.

Windows ACLs auf einer neuen SMB-Dateifreigabe aktivieren

Gehen Sie wie folgt vor, um Windows ACLs auf einer neuen SMB-Dateifreigabe zu aktivieren.

So aktivieren Sie Windows ACLs beim Erstellen einer neuen SMB-Dateifreigabe

  1. Erstellen Sie ein File Gateway, sofern noch nicht geschehen. Weitere Informationen finden Sie unter Erstellen Sie Ihr Gateway.

  2. Wenn das Gateway keiner Domäne beigetreten ist, fügen Sie es einer Domäne hinzu. Weitere Informationen finden Sie unter Verwenden von Active Directory zur Benutzerauthentifizierung.

  3. Erstellen Sie eine SMB-Dateifreigabe Weitere Informationen finden Sie unter

  4. Aktivieren Sie Windows ACLs auf der Dateifreigabe von der Storage Gateway Gateway-Konsole aus.

    Gehen Sie wie folgt vor, um die Storage Gateway Console zu verwenden:

    1. Wählen Sie die Dateifreigabe aus und klicken Sie auf Edit file share (Dateifreigabe bearbeiten).

    2. Wählen Sie für die Option File/directory access controlled by (Datei-/Verzeichniszugriff kontrolliert von) die Option Windows Access Control List (Windows-Zugriffskontrollliste) aus.

  5. (Optional) Fügen Sie einen Admin-Benutzer hinzu AdminUsersList, wenn Sie möchten, dass der Admin-Benutzer über die Rechte verfügt, Updates ACLs für alle Dateien und Ordner in der Dateifreigabe vorzunehmen.

    Anmerkung

    Wenn Sie in den Einstellungen der SMB-Dateifreigabe die Listen „Zulässige“ und „Abgelehnte Benutzer“ und „Gruppen“ konfiguriert haben, ACLs wird kein Zugriff gewährt, der diese Listen außer Kraft setzt.

    Die Listen „Zulässige“ und „Abgelehnte Benutzer“ und „Gruppen“ werden zuvor überprüft und legen fest ACLs, welche Benutzer die Dateifreigabe bereitstellen oder darauf zugreifen können. Wenn Benutzer oder Gruppen in die Liste der zugelassenen Benutzer oder Gruppen aufgenommen werden, gilt die Liste als aktiv, und nur diese Benutzer können die Dateifreigabe bereitstellen.

    Nachdem ein Benutzer eine Dateifreigabe bereitgestellt hat, bieten ACLs Sie einen detaillierteren Schutz, der steuert, auf welche spezifischen Dateien oder Ordner der Benutzer zugreifen kann.

  6. Aktualisieren Sie die ACLs für die übergeordneten Ordner unter dem Stammordner. Verwenden Sie dazu den Windows-Datei-Explorer, um die Ordner in ACLs der SMB-Dateifreigabe zu konfigurieren.

    Anmerkung

    Wenn Sie den Ordner ACLs on the root und nicht den übergeordneten Ordner unter root konfigurieren, werden die ACL-Berechtigungen in Amazon S3 nicht dauerhaft gespeichert.

    Wir empfehlen, die Einstellung ACLs im obersten Ordner unter dem Stammverzeichnis Ihrer Dateifreigabe vorzunehmen, anstatt die Einstellung ACLs direkt im Stammverzeichnis der Dateifreigabe vorzunehmen. Bei diesem Ansatz werden die Informationen als Objektmetadaten in Amazon S3 beibehalten.

  7. Aktivieren Sie gegebenenfalls die Vererbung.

    Anmerkung

    Sie können die Vererbung für Dateifreigaben aktivieren, die nach dem 8. Mai 2019 erstellt wurden.

Wenn Sie die Vererbung aktivieren und die Berechtigungen rekursiv aktualisieren, aktualisiert Storage Gateway alle Objekte im S3-Bucket. Je nach der Anzahl der Objekte im Bucket kann die Aktualisierung einige Zeit in Anspruch nehmen.

Windows ACLs auf einer vorhandenen SMB-Dateifreigabe aktivieren

Gehen Sie wie folgt vor, um Windows ACLs auf einer vorhandenen SMB-Dateifreigabe mit POSIX-Berechtigungen zu aktivieren.

So aktivieren Sie Windows ACLs auf einer vorhandenen SMB-Dateifreigabe mithilfe der Storage Gateway Console

  1. Wählen Sie die Dateifreigabe aus und klicken Sie auf Edit file share (Dateifreigabe bearbeiten).

  2. Wählen Sie für die Option File/directory access controlled by (Datei-/Verzeichniszugriff kontrolliert von) die Option Windows Access Control List (Windows-Zugriffskontrollliste) aus.

  3. Aktivieren Sie gegebenenfalls die Vererbung.

    Anmerkung

    Es wird nicht empfohlen, das ACLs auf der Root-Ebene festzulegen, denn wenn Sie dies tun und Ihr Gateway löschen, müssen Sie es ACLs erneut zurücksetzen.

Wenn Sie die Vererbung aktivieren und die Berechtigungen rekursiv aktualisieren, aktualisiert Storage Gateway alle Objekte im S3-Bucket. Je nach der Anzahl der Objekte im Bucket kann die Aktualisierung einige Zeit in Anspruch nehmen.

Einschränkungen bei der Verwendung von Windows ACLs

Beachten Sie die folgenden Einschränkungen, wenn Sie Windows ACLs zur Steuerung des Zugriffs auf SMB-Dateifreigaben verwenden:

  • Windows ACLs wird nur auf Dateifreigaben unterstützt, die Active Directory für die Authentifizierung verwenden, wenn Sie Windows SMB-Clients für den Zugriff auf die Dateifreigaben verwenden.

  • File Gateways unterstützt maximal 10 ACL-Einträge für die einzelnen Dateien und Ordner.

  • File-Gateways unterstützen Audit keine Alarm AD-Einträge, bei denen es sich um SACL-Einträge (System Access Control List) handelt. Datei-Gateways unterstützen Allow AD-Einträge, bei denen es sich um Deny DACL-Einträge (Discretionary Access Control List) handelt.

  • File-Gateways unterstützen keine ACE-Berechtigungen (Advanced Access Control Entry).

  • Die Stamm-ACL-Einstellungen von SMB-Dateifreigaben befinden sich nur auf dem Gateway, und die Einstellungen sind über Gateway-Aktualisierungen und -Neustarts hinweg persistent.

    Anmerkung

    Wenn Sie das ACLs im Stammverzeichnis statt im übergeordneten Ordner unter dem Stammverzeichnis konfigurieren, werden die ACL-Berechtigungen in Amazon S3 nicht beibehalten.

    Stellen Sie angesichts dieser Bedingungen sicher, dass Sie die folgenden Schritte ausführen:

    • Wenn Sie mehrere Gateways für den Zugriff auf denselben Amazon S3 S3-Bucket konfigurieren, konfigurieren Sie die Root-ACL auf jedem der Gateways, um die Berechtigungen konsistent zu halten.

    • Wenn Sie eine Dateifreigabe löschen und sie auf demselben Amazon S3 S3-Bucket neu erstellen, stellen Sie sicher, dass Sie denselben ACLs Root-Satz verwenden.