Utilisation de Windows ACLs pour limiter l'accès au partage de fichiers SMB

La passerelle de fichiers Amazon S3 prend en charge deux méthodes différentes pour contrôler l'accès aux fichiers et aux répertoires stockés via un partage de fichiers SMB : les autorisations POSIX ou Windows. ACLs

Cette section explique comment utiliser les listes de contrôle d'accès Microsoft Windows (ACLs) sur les partages de fichiers SMB qui utilisent Microsoft Active Directory (AD) pour l'authentification. Windows ACLs vous permet de définir des autorisations précises sur les fichiers et les dossiers de votre partage de fichiers SMB.

Voici quelques caractéristiques importantes de Windows ACLs sur les partages de fichiers SMB :

• Windows ACLs est sélectionné par défaut pour les partages de fichiers SMB lorsque votre passerelle de fichiers est jointe à un domaine Active Directory.

• Lorsqu'elles ACLs sont activées, les informations ACL sont conservées dans les métadonnées des objets Amazon S3.

• La passerelle en conserve jusqu'à 10 ACLs par fichier ou dossier.

• Lorsque vous utilisez un partage de fichiers SMB ACLs activé pour accéder à des objets S3 créés en dehors de votre passerelle, les objets héritent ACLs des informations du dossier parent.

Note

L'ACL racine par défaut d'un partage de fichiers SMB accorde un accès complet à tout le monde, mais vous pouvez modifier les autorisations de la racine ACL. Vous pouvez utiliser root ACLs pour contrôler l'accès au partage de fichiers. Vous pouvez définir les personnes qui peuvent monter le partage de fichiers (mapper le lecteur) et les autorisations accordées de façon récursive à l'utilisateur sur les fichiers et les dossiers du partage de fichiers. Cependant, nous vous recommandons de définir cette autorisation sur le dossier de niveau supérieur dans le compartiment S3 afin que votre liste ACL soit conservée.

Vous pouvez activer Windows ACLs lorsque vous créez un nouveau partage de fichiers SMB à l'aide de l'opération Create SMBFile Share API. Vous pouvez également activer Windows ACLs sur un partage de fichiers SMB existant à l'aide de l'opération Update SMBFile Share API.

Activation de Windows ACLs sur un nouveau partage de fichiers SMB

Procédez comme suit pour activer Windows ACLs sur un nouveau partage de fichiers SMB.

Pour activer Windows ACLs lors de la création d'un nouveau partage de fichiers SMB

1. Créez une passerelle de fichiers si vous n'en avez pas déjà une. Pour de plus amples informations, veuillez consulter Création de votre passerelle.

2. Si la passerelle n'est pas jointes à un domaine, ajoutez-la à un domaine. Pour plus d'informations, consultez la section Utilisation d'Active Directory pour authentifier les utilisateurs.

3. Créez un partage de fichiers SMB. Pour plus d'informations, veuillez consulter la rubrique

4. Activez Windows ACLs sur le partage de fichiers depuis la console Storage Gateway.

   Pour utiliser la console Storage Gateway, procédez comme suit :

   1. Choisissez le partage de fichiers, puis Edit file share (Modifier le partage de fichiers).

   2. Pour l'option File/directory access controlled by (Accès au fichier/répertoire contrôlé par), choisissez Windows Access Control List (Liste de contrôle d'accès ACL).

5. (Facultatif) Ajoutez un utilisateur administrateur au AdminUsersList, si vous souhaitez qu'il dispose des privilèges nécessaires pour mettre à ACLs jour tous les fichiers et dossiers du partage de fichiers.

   Note

   Si vous avez configuré les listes d'utilisateurs et de groupes autorisés et refusés dans les paramètres du partage de fichiers SMB, ACLs vous n'accorderez aucun accès qui remplace ces listes.

   Les listes d'utilisateurs et de groupes autorisés et refusés sont évaluées au ACLs préalable et contrôlent les utilisateurs autorisés à monter le partage de fichiers ou à y accéder. Si des utilisateurs ou des groupes sont placés dans la liste des utilisateurs autorisés, celle-ci est considérée comme active et seuls ces utilisateurs peuvent monter le partage de fichiers.

   Une fois qu'un utilisateur a monté un partage de fichiers, ACLs offrez une protection plus précise qui contrôle les fichiers ou dossiers spécifiques auxquels l'utilisateur peut accéder.

6. Mettez à jour le ACLs pour les dossiers parents situés sous le dossier racine. Pour ce faire, utilisez l'Explorateur de fichiers Windows pour configurer ACLs les dossiers du partage de fichiers SMB.

   Note

   Si vous configurez ACLs le dossier à la racine plutôt que le dossier parent situé sous racine, les autorisations ACL ne sont pas conservées dans Amazon S3.

   Nous vous recommandons d' ACLs effectuer le réglage dans le dossier de premier niveau situé à la racine de votre partage de fichiers, plutôt que de le définir ACLs directement à la racine du partage de fichiers. Cette approche conserve les informations sous forme de métadonnées d'objet dans Amazon S3.

7. Activez l'héritage comme il convient.

   Note

   Vous pouvez activer l'héritage pour les partages de fichiers créés après le 8 mai 2019.

Si vous activez l'héritage et que vous mettez à jour les autorisations de manière récursive, Storage Gateway met à jour tous les objets du compartiment S3. Selon le nombre d'objets dans le compartiment, la mise à jour peut prendre un peu de temps.

Activation de Windows ACLs sur un partage de fichiers SMB existant

Procédez comme suit pour activer Windows ACLs sur un partage de fichiers SMB existant disposant d'autorisations POSIX.

Pour activer Windows ACLs sur un partage de fichiers SMB existant à l'aide de la console Storage Gateway

1. Choisissez le partage de fichiers, puis Edit file share (Modifier le partage de fichiers).

2. Pour l'option File/directory access controlled by (Accès au fichier/répertoire contrôlé par), choisissez Windows Access Control List (Liste de contrôle d'accès ACL).

3. Activez l'héritage comme il convient.

   Note

   Nous ne recommandons pas de le définir ACLs au niveau de la racine, car si vous le faites et que vous supprimez votre passerelle, vous devez la réinitialiser à ACLs nouveau.

Si vous activez l'héritage et que vous mettez à jour les autorisations de manière récursive, Storage Gateway met à jour tous les objets du compartiment S3. Selon le nombre d'objets dans le compartiment, la mise à jour peut prendre un peu de temps.

Limitations liées à l'utilisation de Windows ACLs

Tenez compte des limites suivantes lorsque vous utilisez Windows ACLs pour contrôler l'accès aux partages de fichiers SMB :

• Windows ACLs n'est pris en charge que sur les partages de fichiers qui utilisent Active Directory pour l'authentification lorsque vous utilisez des clients Windows SMB pour accéder aux partages de fichiers.

• Les passerelles de fichiers prennent en charge un maximum de 10 entrées ACL pour chaque fichier et répertoire.

• Les passerelles de fichiers ne prennent pas en charge Alarm les entrées Audit et, qui sont des entrées de liste de contrôle d'accès au système (SACL). Les passerelles de fichiers ne prennent pas en charge les Deny entrées Allow et les entrées, qui sont des entrées de liste de contrôle d'accès discrétionnaire (DACL).

• Les passerelles de fichiers ne prennent pas en charge les autorisations ACE (Advanced Access Control Entry).

• Les paramètres des listes ACL racine des partages de fichiers SMB ne se trouvent que sur la passerelle, et les paramètres sont conservés à travers les mises à jour et les redémarrages de la passerelle.

  Note

  Si vous configurez ACLs le dossier à la racine plutôt que le dossier parent situé sous la racine, les autorisations ACL ne sont pas conservées dans Amazon S3.

  En raison de ces conditions, veillez à effectuer les opérations suivantes :

  • Si vous configurez plusieurs passerelles pour accéder au même compartiment Amazon S3, configurez l'ACL racine sur chacune des passerelles afin de garantir la cohérence des autorisations.

  • Si vous supprimez un partage de fichiers et que vous le recréez dans le même compartiment Amazon S3, assurez-vous d'utiliser le même ensemble de racines ACLs.