Menggunakan Windows ACLs untuk membatasi akses berbagi file SMB - AWS Storage Gateway
Mengaktifkan Windows ACLs pada Berbagi File SMB BaruMengaktifkan Windows ACLs pada Berbagi File SMB yang AdaKeterbatasan Saat Menggunakan Windows ACLs

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan Windows ACLs untuk membatasi akses berbagi file SMB

Gateway file Amazon S3 mendukung dua metode berbeda untuk mengontrol akses ke file dan direktori yang disimpan melalui berbagi file SMB: izin POSIX, atau Windows. ACLs

Bagian ini menjelaskan cara menggunakan daftar kontrol akses Microsoft Windows (ACLs) pada berbagi file SMB yang menggunakan Microsoft Active Directory (AD) untuk otentikasi. Dengan menggunakan Windows ACLs, Anda dapat mengatur izin halus pada file dan folder di berbagi file SMB Anda.

Berikut ini adalah beberapa karakteristik penting dari Windows ACLs pada berbagi file SMB:

  • Windows ACLs dipilih secara default untuk berbagi file SMB saat gateway file Anda digabungkan ke domain Active Directory.

  • Saat ACLs diaktifkan, informasi ACL disimpan di metadata objek Amazon S3.

  • Gateway mempertahankan hingga 10 ACLs per file atau folder.

  • Saat Anda menggunakan berbagi file SMB dengan ACLs diaktifkan untuk mengakses objek S3 yang dibuat di luar gateway Anda, objek mewarisi ACLs 'informasi dari folder induk.

catatan

Akar ACL default untuk berbagi file SMB memberikan akses penuh ke semua orang, tetapi Anda dapat mengubah izin ACL root. Anda dapat menggunakan root ACLs untuk mengontrol akses ke berbagi file. Anda dapat mengatur siapa yang dapat memasang berbagi file (memetakan drive) dan izin apa yang didapat pengguna ke file dan folder secara rekursif dalam berbagi file. Namun, kami menyarankan agar Anda menetapkan izin ini di folder tingkat atas di bucket S3 sehingga ACL Anda tetap ada.

Anda dapat mengaktifkan Windows ACLs saat membuat berbagi file SMB baru dengan menggunakan operasi Create SMBFile Share API. Atau Anda dapat mengaktifkan Windows ACLs pada berbagi file SMB yang ada dengan menggunakan operasi Update SMBFile Share API.

Mengaktifkan Windows ACLs pada Berbagi File SMB Baru

Ambil langkah-langkah berikut untuk mengaktifkan Windows ACLs pada berbagi file SMB baru.

Untuk mengaktifkan Windows ACLs saat membuat berbagi file SMB baru

  1. Buat gateway file jika Anda belum memilikinya. Untuk informasi selengkapnya, lihat Membuat gateway Anda.

  2. Jika gateway tidak bergabung ke domain, tambahkan ke domain. Untuk informasi selengkapnya, lihat Menggunakan Active Directory untuk mengautentikasi pengguna.

  3. Buat berbagi file SMB. Untuk informasi selengkapnya, silakan lihat

  4. Aktifkan Windows ACLs pada file share dari konsol Storage Gateway.

    Untuk menggunakan Storage Gateway Console, lakukan hal berikut:

    1. Pilih berbagi file dan pilih Edit berbagi file.

    2. Untuk akses File/direktori yang dikendalikan oleh opsi, pilih Daftar Kontrol Akses Windows.

  5. (Opsional) Tambahkan pengguna admin ke AdminUsersList, jika Anda ingin pengguna admin memiliki hak istimewa untuk memperbarui ACLs pada semua file dan folder dalam berbagi file.

    catatan

    Jika Anda telah mengonfigurasi daftar Pengguna dan Grup yang Diizinkan dan Ditolak di pengaturan berbagi file SMB, maka tidak ACLs akan memberikan akses apa pun yang menggantikan daftar tersebut.

    Daftar Pengguna dan Grup yang Diizinkan dan Ditolak dievaluasi sebelumnya ACLs, dan mengontrol pengguna mana yang dapat memasang atau mengakses berbagi file. Jika ada pengguna atau grup yang ditempatkan pada daftar Diizinkan, daftar dianggap aktif, dan hanya pengguna tersebut yang dapat memasang berbagi file.

    Setelah pengguna memasang file share, ACLs maka berikan perlindungan yang lebih terperinci yang mengontrol file atau folder tertentu yang dapat diakses pengguna.

  6. Perbarui folder ACLs untuk induk di bawah folder root. Untuk melakukan ini, gunakan Windows File Explorer untuk mengkonfigurasi ACLs pada folder di berbagi file SMB.

    catatan

    Jika Anda mengonfigurasi ACLs pada root alih-alih folder induk di bawah root, izin ACL tidak akan tetap ada di Amazon S3.

    Kami merekomendasikan pengaturan ACLs di folder tingkat atas di bawah root berbagi file Anda, alih-alih mengatur ACLs langsung di root berbagi file. Pendekatan ini mempertahankan informasi sebagai metadata objek di Amazon S3.

  7. Nyalakan warisan yang sesuai.

    catatan

    Anda dapat mengaktifkan warisan untuk berbagi file yang dibuat setelah 8 Mei 2019.

Jika Anda mengaktifkan pewarisan dan memperbarui izin secara rekursif, Storage Gateway memperbarui semua objek di bucket S3. Bergantung pada jumlah objek dalam ember, pembaruan dapat memakan waktu beberapa saat untuk diselesaikan.

Mengaktifkan Windows ACLs pada Berbagi File SMB yang Ada

Ambil langkah-langkah berikut untuk mengaktifkan Windows ACLs pada berbagi file SMB yang ada yang memiliki izin POSIX.

Untuk mengaktifkan Windows ACLs pada berbagi file SMB yang ada menggunakan Storage Gateway Console

  1. Pilih berbagi file dan pilih Edit berbagi file.

  2. Untuk akses File/direktori yang dikendalikan oleh opsi, pilih Daftar Kontrol Akses Windows.

  3. Nyalakan warisan yang sesuai.

    catatan

    Kami tidak menyarankan pengaturan ACLs di tingkat root, karena jika Anda melakukan ini dan menghapus gateway Anda, Anda perlu mengatur ulang ACLs lagi.

Jika Anda mengaktifkan pewarisan dan memperbarui izin secara rekursif, Storage Gateway memperbarui semua objek di bucket S3. Bergantung pada jumlah objek dalam ember, pembaruan dapat memakan waktu beberapa saat untuk diselesaikan.

Keterbatasan Saat Menggunakan Windows ACLs

Ingatlah batasan berikut saat menggunakan Windows ACLs untuk mengontrol akses ke berbagi file SMB:

  • Windows hanya ACLs didukung pada berbagi file yang menggunakan Active Directory untuk otentikasi ketika Anda menggunakan klien Windows SMB untuk mengakses berbagi file.

  • Gateway file mendukung maksimal 10 entri ACL untuk setiap file dan direktori.

  • Gateway file tidak mendukung Audit dan Alarm entri, yang merupakan entri daftar kontrol akses sistem (SACL). Dukungan Allow dan entri gateway file, yang merupakan Deny entri daftar kontrol akses diskresioner (DACL).

  • Gateway file tidak mendukung izin Entri Kontrol Akses Lanjutan (ACE).

  • Pengaturan ACL root dari berbagi file SMB hanya ada di gateway, dan pengaturan tetap ada di seluruh pembaruan gateway dan restart.

    catatan

    Jika Anda mengonfigurasi ACLs pada root alih-alih folder induk di bawah root, izin ACL tidak akan tetap ada di Amazon S3.

    Dengan kondisi ini, pastikan untuk melakukan hal berikut:

    • Jika Anda mengonfigurasi beberapa gateway untuk mengakses bucket Amazon S3 yang sama, konfigurasikan ACL root di setiap gateway agar izin tetap konsisten.

    • Jika Anda menghapus file share dan membuatnya kembali di bucket Amazon S3 yang sama, pastikan Anda menggunakan set root yang sama. ACLs