Utilizzo di Windows ACLs per limitare l'accesso alla condivisione di file SMB - AWS Storage Gateway
Attivazione di Windows ACLs su una nuova condivisione di file SMBAttivazione di Windows su una condivisione di file SMB esistente ACLs Limitazioni nell'utilizzo di Windows ACLs

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di Windows ACLs per limitare l'accesso alla condivisione di file SMB

Amazon S3 file gateway supporta due metodi diversi per controllare l'accesso a file e directory archiviati tramite una condivisione di file SMB: autorizzazioni POSIX o Windows. ACLs

Questa sezione descrive come utilizzare gli elenchi di controllo degli accessi di Microsoft Windows (ACLs) sulle condivisioni di file SMB che utilizzano Microsoft Active Directory (AD) per l'autenticazione. Utilizzando Windows ACLs, è possibile impostare autorizzazioni dettagliate su file e cartelle nella condivisione di file SMB.

Di seguito sono riportate alcune caratteristiche importanti di Windows sulle condivisioni di file SMB ACLs :

  • Windows ACLs viene selezionato per impostazione predefinita per le condivisioni di file SMB quando il gateway di file viene aggiunto a un dominio Active Directory.

  • Quando ACLs sono attivate, le informazioni ACL vengono mantenute nei metadati degli oggetti Amazon S3.

  • Il gateway ne conserva fino a 10 ACLs per file o cartella.

  • Quando utilizzi una condivisione di file SMB ACLs attivata per accedere agli oggetti S3 creati all'esterno del gateway, gli oggetti ACLs ereditano le informazioni dalla cartella principale.

Nota

La lista di controllo degli accessi root predefinita per un file di condivisione SMB offre accesso completo a tutti, ma è possibile modificare le autorizzazioni della ACL root. Puoi usare root ACLs per controllare l'accesso alla condivisione di file. È possibile impostare chi può montare la condivisione di file (mappare l'unità) e quali autorizzazioni ottiene l'utente per i file e le cartelle in modo ricorsivo nella condivisione di file. Tuttavia, consigliamo di impostare questa autorizzazione nella cartella di livello superiore nel bucket S3 in modo che la lista di controllo degli accessi venga mantenuta.

È possibile attivare Windows ACLs quando si crea una nuova condivisione di file SMB utilizzando l'operazione Create SMBFile Share API. Oppure puoi attivare Windows ACLs su una condivisione di file SMB esistente utilizzando l'operazione API Update SMBFile Share.

Attivazione di Windows ACLs su una nuova condivisione di file SMB

Segui i passaggi seguenti per attivare Windows ACLs su una nuova condivisione di file SMB.

Per attivare Windows ACLs durante la creazione di una nuova condivisione di file SMB

  1. Creare un file gateway se non si dispone già di uno. Per ulteriori informazioni, consulta Crea il tuo gateway.

  2. Se il gateway non è stato aggiunto a un dominio, aggiungerlo a un dominio. Per ulteriori informazioni, vedere Utilizzo di Active Directory per autenticare gli utenti.

  3. Creare una condivisione di file SMB. Per ulteriori informazioni, consulta la pagina

  4. Attiva Windows ACLs sulla condivisione di file dalla console Storage Gateway.

    Per utilizzare la console Storage Gateway, effettuare le seguenti operazioni:

    1. Scegliere la condivisione file e scegliere Edit file share (Modifica condivisione file).

    2. Per l'opzione File/directory access controlled by (Accesso a file/directory controllato da) scegliere Windows Access Control List (Lista di controllo accessi di Windows).

  5. (Facoltativo) Aggiungere un utente amministratore a AdminUsersList, se si desidera che l'utente amministratore abbia i privilegi di aggiornamento ACLs su tutti i file e le cartelle della condivisione di file.

    Nota

    Se hai configurato gli elenchi Utenti e gruppi consentiti e negati nelle impostazioni della condivisione di file SMB, non ACLs concederai alcun accesso che sostituisca tali elenchi.

    Gli elenchi Utenti e gruppi consentiti e negati vengono valutati in precedenza ACLs e controllano quali utenti possono montare o accedere alla condivisione di file. Se alcuni utenti o gruppi vengono inseriti nell'elenco Consentito, l'elenco viene considerato attivo e solo tali utenti possono montare la condivisione di file.

    Dopo che un utente ha installato una condivisione di file ACLs , offri una protezione più granulare che controlli a quali file o cartelle specifici l'utente può accedere.

  6. Aggiorna il file ACLs per le cartelle principali nella cartella principale. A tale scopo, utilizzate Windows File Explorer per configurare le ACLs cartelle nella condivisione di file SMB.

    Nota

    Se configuri ACLs nella cartella principale anziché nella cartella principale sotto root, le autorizzazioni ACL non vengono mantenute in Amazon S3.

    Ti consigliamo di eseguire l'impostazione ACLs nella cartella di primo livello sotto la radice della condivisione di file, anziché impostarla ACLs direttamente nella cartella principale della condivisione di file. Questo approccio mantiene le informazioni come metadati di oggetti in Amazon S3.

  7. Attiva l'ereditarietà in base alle esigenze.

    Nota

    Puoi attivare l'ereditarietà per le condivisioni di file create dopo l'8 maggio 2019.

Se attivi l'ereditarietà e aggiorni le autorizzazioni in modo ricorsivo, Storage Gateway aggiorna tutti gli oggetti nel bucket S3. A seconda del numero di oggetti nel bucket, l'aggiornamento può richiedere alcuni minuti per il completamento.

Attivazione di Windows su una condivisione di file SMB esistente ACLs

Segui i passaggi seguenti per attivare Windows ACLs su una condivisione di file SMB esistente con autorizzazioni POSIX.

Per attivare Windows ACLs su una condivisione di file SMB esistente utilizzando la console Storage Gateway

  1. Scegliere la condivisione file e scegliere Edit file share (Modifica condivisione file).

  2. Per l'opzione File/directory access controlled by (Accesso a file/directory controllato da) scegliere Windows Access Control List (Lista di controllo accessi di Windows).

  3. Attiva l'ereditarietà in base alle esigenze.

    Nota

    Non è consigliabile impostarlo ACLs a livello root, perché se si esegue questa operazione e si elimina il gateway, è necessario reimpostarlo nuovamente. ACLs

Se attivi l'ereditarietà e aggiorni le autorizzazioni in modo ricorsivo, Storage Gateway aggiorna tutti gli oggetti nel bucket S3. A seconda del numero di oggetti nel bucket, l'aggiornamento può richiedere alcuni minuti per il completamento.

Limitazioni nell'utilizzo di Windows ACLs

Tieni presenti le seguenti limitazioni quando usi Windows ACLs per controllare l'accesso alle condivisioni di file SMB:

  • Windows ACLs è supportato solo nelle condivisioni di file che utilizzano Active Directory per l'autenticazione quando si utilizzano client Windows SMB per accedere alle condivisioni di file.

  • I gateway di file supportano un massimo di 10 voci ACL per ogni file e directory.

  • I gateway di file non supportano le Alarm voci Audit e, che sono voci della lista di controllo degli accessi di sistema (SACL). I gateway di file supportano le Deny voci Allow e le voci, che sono voci della lista di controllo di accesso discrezionale (DACL).

  • I file gateway non supportano le autorizzazioni Advanced Access Control Entry (ACE).

  • Le impostazioni ACL root di condivisione dei file SMB sono presenti solo sul gateway e le impostazioni vengono mantenute in aggiornamenti e riavvii del gateway.

    Nota

    Se configuri ACLs nella cartella principale anziché nella cartella principale sotto la cartella principale, le autorizzazioni ACL non vengono mantenute in Amazon S3.

    In tali condizioni, assicurati di eseguire quanto segue:

    • Se configuri più gateway per accedere allo stesso bucket Amazon S3, configura l'ACL root su ciascuno dei gateway per mantenere coerenti le autorizzazioni.

    • Se elimini una condivisione di file e la ricrei sullo stesso bucket Amazon S3, assicurati di utilizzare lo stesso set di root. ACLs