Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de las ACL de Microsoft Windows para controlar el acceso a un recurso compartido de archivos SMB
Amazon S3 File Gateway admite dos métodos diferentes para controlar el acceso a los archivos y directorios almacenados en un recurso compartido de archivos SMB: Permisos POSIX o ACL de Windows.
En esta sección, puede encontrar información sobre cómo utilizar las listas de control de acceso (ACL) de Microsoft Windows en recursos compartidos de archivos SMB habilitados con Microsoft Active Directory (AD). Mediante el uso de las ACL de Windows, puede establecer permisos específicos en los archivos y carpetas de un recurso compartido de archivos SMB.
A continuación, se muestran algunas características importantes de las ACL de Windows para los recursos compartidos de archivos SMB:
-
Las ACL de Windows se seleccionan de forma predeterminada para los recursos compartidos de archivos SMB cuando la puerta de enlace de archivos se une a un dominio de Active Directory.
-
Cuando las ACL están habilitadas, la información de la ACL se conserva en los metadatos de los objetos de Amazon S3.
-
La gateway conserva hasta 10 ACL por archivo o carpeta.
-
Cuando se utiliza un recurso compartido de archivos SMB que tiene ACL habilitadas para obtener acceso a objetos de S3 creados fuera de la gateway, los objetos heredan la información de las ACL de la carpeta principal.
-
La ACL raíz predeterminada de un recurso compartido de archivos SMB concede acceso completo a todo el mundo, pero es posible cambiar los permisos de la ACL raíz. Puede emplear ACL raíz para controlar el acceso al recurso compartido de archivos. Puede establecer quién puede montar el recurso compartido de archivos (mapear la unidad) y los permisos que obtiene el usuario de forma recursiva para los archivos y las carpetas del recurso compartido de archivos. Sin embargo, le recomendamos que defina este permiso en la carpeta de nivel superior del bucket de S3 para que se conserve la ACL.
Puede habilitar las ACL de Windows al crear un recurso compartido de archivos SMB mediante la operación CreateSMBFileShare de la API. También puede habilitar las ACL de Windows en un recurso compartido de archivos SMB existente utilizando la operación UpdateSMBFileShare de la API.
Cómo habilitar las ACL de Windows en un recurso compartido de archivos SMB nuevo
Realice los pasos siguientes para habilitar las ACL de Windows en un recurso compartido de archivos SMB nuevo.
Para habilitar las ACL de Windows al crear un recurso compartido de archivos SMB
-
Cree una gateway de archivos si todavía no tiene una. Para obtener más información, consulte .
-
Si la gateway no se ha unido a un dominio, añádala a un dominio. Para obtener más información, consulte .
-
Cree un recurso compartido de archivos SMB.
-
Habilite la ACL de Windows en el archivo compartido desde la consola de Storage Gateway.
Para usar la consola de Storage Gateway, haga lo siguiente:
-
Elija el recurso compartido de archivos y elija Edit file share (Editar recurso compartido de archivos).
-
Para la opción File/directory access controlled by (Acceso de archivo/directorio controlado por) elija Windows Access Control List (Lista de control de acceso de Windows).
-
-
(Opcional) Añada un usuario administrador a AdminUsersList si desea que dicho usuario tenga privilegios para actualizar las ACL de todos los archivos y carpetas del recurso compartido de archivos.
-
Actualice las ACL de las carpetas principales de la carpeta raíz. Para ello, utilice el explorador de archivos de Windows para configurar las ACL de las carpetas del recurso compartido de archivos SMB.
nota
Si configura las ACL en la carpeta raíz en lugar de la carpeta principal situada bajo la carpeta raíz, los permisos de las ACL no se conservan en Amazon S3.
Le recomendamos que configure las ACL en la carpeta de nivel superior situada debajo de la carpeta raíz del recurso compartido de archivos, en lugar de configurarlas directamente en la carpeta raíz del recurso compartido de archivos. Este método hace que se conserve la información como metadatos de los objetos de Amazon S3.
-
Habilite la herencia si es necesario.
nota
Puede habilitar la herencia para los recursos compartidos de archivos creados después del 8 de mayo de 2019.
Si habilita la herencia y actualiza los permisos de forma recursiva, Storage Gateway actualiza todos los objetos del bucket de S3. En función del número de objetos del bucket, la actualización puede tardar un tiempo en completarse.
Cómo habilitar las ACL de Windows en un recurso compartido de archivos SMB existente
Realice los pasos siguientes para habilitar las ACL de Windows en un recurso compartido de archivos SMB existente que tiene permisos de POSIX.
Para habilitar las ACL de Windows en un recurso compartido de archivos SMB existente mediante la consola de Storage Gateway
-
Elija el recurso compartido de archivos y elija Edit file share (Editar recurso compartido de archivos).
-
Para la opción File/directory access controlled by (Acceso de archivo/directorio controlado por) elija Windows Access Control List (Lista de control de acceso de Windows).
-
Habilite la herencia si es necesario.
nota
No le recomendamos que configure las ACL en el nivel raíz, ya que, si lo hace y elimina la gateway, tendrá que restablecerlas de nuevo.
Si habilita la herencia y actualiza los permisos de forma recursiva, Storage Gateway actualiza todos los objetos del bucket de S3. En función del número de objetos del bucket, la actualización puede tardar un tiempo en completarse.
Limitaciones al usar ACL de Windows
Tenga en cuenta los límites siguientes cuando utilice las ACL de Windows para controlar el acceso a los recursos compartidos de archivos SMB:
-
Las ACL de Windows solo se admiten en recursos compartidos de archivos habilitados para Active Directory cuando se utilizan clientes SMB de Windows para tener acceso a los recursos compartidos de archivos.
-
Las gateways de archivos admiten un máximo de 10 entradas de ACL para cada archivo y directorio.
-
Las puertas de enlace de archivos no son compatibles con
Audit
yAlarm
entradas, que son entradas de la lista de control de acceso del sistema (SACL). Las gateways de archivos admiten las entradasAllow
yDeny
, que son entradas de lista de control de acceso (DACL) discrecionales. -
La configuración de la ACL raíz de los recursos compartidos de archivos SMB solo se realiza en la puerta de enlace, y los ajustes se conservan si se actualiza o se reinicia la puerta de enlace.
nota
Si configura las ACL en la carpeta raíz en lugar de la carpeta principal situada bajo la carpeta raíz, los permisos de las ACL no se conservan en Amazon S3.
Teniendo en cuenta estas condiciones, asegúrese de hacer lo siguiente:
-
Si configura varias gateways para tener acceso al mismo bucket de Amazon S3, configure la ACL raíz en cada una de las gateways para mantener los permisos coherentes.
-
Si elimina un recurso compartido de archivos y vuelve a crearlo en el mismo bucket de Amazon S3, asegúrese de que utiliza el mismo conjunto de ACL raíz.
-