カスタム設定で SMB ファイル共有を作成する

カスタム設定でサーバーメッセージブロック (SMB) ファイル共有を作成するには、次の手順に従います。デフォルト設定を使用して SMB ファイル共有を作成するには、「デフォルト設定を使用して SMB ファイル共有を作成する」を参照してください。

重要

ファイルゲートウェイからデータをアップロードするときに S3 バージョニング、クロスリージョンレプリケーション、または Rsync ユーティリティを使用すると、コストに大きな影響を与える可能性があります。詳細については、「File Gateway からデータをアップロードする際の予期しないコストを回避する」を参照してください。

前提条件

ファイル共有を作成する前に、次の操作を行います。

• ファイルゲートウェイの SMB セキュリティ設定を構成します。手順については、「ゲートウェイのセキュリティレベルの設定」を参照してください。

• 認証のために Microsoft Active Directory またはゲストアクセスを設定します。手順については、「Active Directory を使用してユーザーを認証する」または「ファイル共有へのゲストアクセスを提供する」を参照してください。

• セキュリティグループで必要なポートが開いていることを確認します。詳細については、「ポート要件」を参照してください。

カスタマイズされた設定で SMB ファイル共有を作成するには

1. https://console.aws.amazon.com/storagegateway/home/ で AWS Storage Gatewayコンソールを開き、左側のナビゲーションペインからファイル共有を選択します。

2. [ファイル共有の作成] を選択します。

3. 設定をカスタマイズを選択します。このページの他のフィールドは無視できます。以降のステップで、ゲートウェイ、プロトコル、ストレージの設定を行うように求められます。

4. Gateway で、ドロップダウンリストから Amazon S3 File Gateway を選択します。

5. CloudWatch ロググループの場合、ドロップダウンリストから次のいずれかを選択します。

   • このファイル共有のログ記録を無効にするには、ログ記録を無効にするを選択します。

   • このファイル共有の新しいロググループを自動的に作成するには、Storage Gateway で作成 を選択します。

   • このファイル共有のヘルスとリソースの通知を既存のロググループに送信するには、リストから目的のグループを選択します。

   監査ログの詳細については、S3 File Gateway 監査ログについて」を参照してください。

6. （オプション) タグ - オプションで、新しいタグを追加を選択し、ファイル共有のキーと値を入力します。タグは、Storage Gateway リソースの分類に役立つ大文字と小文字を区別するキーと値のペアです。タグを追加すると、ファイル共有のフィルタリングと検索が容易になります。このステップを繰り返して、最大 50 個のタグを追加できます。

   完了したら次へを選択します。

7. S3 バケットの場合は、次のいずれかを実行して、ファイルの保存先と取得先を指定します。

   • ファイル共有を Amazon Web Services アカウントの既存の S3 バケットに直接接続するには、ドロップダウンリストからバケット名を選択します。

   • ファイル共有を作成するために使用しているもの以外の Amazon Web Services アカウントが所有する既存の S3 バケットにファイル共有を接続するには、ドロップダウンリストから別のアカウントのバケットを選択し、クロスアカウントバケット名を入力します。

   • ファイル共有を新しい S3 バケットに接続するには、新しい S3 バケットの作成を選択し、新しいバケットの Amazon S3 エンドポイントがあるリージョンを選択し、一意の S3 バケット名を入力します。完了したら、S3 バケットの作成を選択します。新しいバケットの作成の詳細については、Amazon S3 ユーザーガイドの「S3 バケットの作成方法」を参照してください。 Amazon S3

   • アクセスポイント名を使用してファイル共有を S3 バケットに接続するには、ドロップダウンリストから Amazon S3 アクセスポイント名を選択し、アクセスポイント名を入力します。新しいアクセスポイントを作成する必要がある場合は、S3 アクセスポイントの作成」を選択できます。詳細については、Amazon S3ユーザーガイド」の「アクセスポイントの作成」を参照してください。アクセスポイントの詳細については、Amazon S3アクセスポイントによるデータアクセスの管理」および「アクセスポイントへのアクセスコントロールの委任」を参照してください。 Amazon S3

   • アクセスポイントエイリアスを使用してファイル共有を S3 バケットに接続するには、ドロップダウンリストから Amazon S3 アクセスポイントエイリアスを選択し、アクセスポイントエイリアスを入力します。新しいアクセスポイントを作成する必要がある場合は、S3 アクセスポイントの作成」を選択できます。詳細については、Amazon S3ユーザーガイド」の「アクセスポイントの作成」を参照してください。アクセスポイントエイリアスの詳細については、Amazon S3 ユーザーガイド」の「アクセスポイントにバケットスタイルのエイリアスを使用する」を参照してください。

   注記

   各ファイル共有は 1 つの S3 バケットにのみ接続できますが、複数のファイル共有は同じバケットに接続できます。複数のファイル共有を同じバケットに接続する場合は、読み取り/書き込みの競合を防ぐために、重複しない一意の S3 バケットプレフィックスを使用するように各ファイル共有を設定する必要があります。

   S3 File Gateway は、バケット名にピリオド (.) を含む Amazon S3 バケットをサポートしていません。

   バケット名が Amazon S3 のバケット命名ルールに準拠していることを確認します。詳細については、Amazon Simple Storage Service ユーザーガイドでバケットの命名規則について参照してください。

8. （オプション) S3 バケットプレフィックスには、Amazon S3 で作成するオブジェクトに適用するファイル共有のプレフィックスを入力します。プレフィックスは、従来のファイル構造のディレクトリと同様に、S3 でデータを整理する方法です。詳細については、Amazon S3 ユーザーガイド」の「プレフィックスを使用してオブジェクトを整理する」を参照してください。

   注記

   • 複数のファイル共有を同じバケットに接続する場合は、読み取り/書き込みの競合を防ぐために、重複しない一意のプレフィックスを使用するように各ファイル共有を設定する必要があります。

   • このプレフィックスは、スラッシュ (/) で終わる必要があります。

   • ファイル共有の作成後、プレフィックスを変更または削除することはできません。

9. リージョンで、バケットの S3 エンドポイント AWS リージョン がある をドロップダウンリストから選択します。このフィールドは、S3 バケットの別のアカウントのアクセスポイントまたはバケットを指定する場合にのみ表示されます。

10. 新しいオブジェクトのストレージクラスで、ドロップダウンリストからストレージクラスを選択します。ストレージクラスの詳細については、「ファイルゲートウェイでのストレージクラスの使用」を参照してください。

11. IAM ロールの場合は、次のいずれかを実行して、ファイル共有の IAM ロールを設定します。

    • ファイル共有が正しく機能するために必要なアクセス許可を持つ新しい IAM ロールを自動的に作成するには、ドロップダウンリストからStorage Gateway で作成」を選択します。

    • 既存の IAM ロールを使用するには、ドロップダウンリストからロール名を選択します。

    • 新しい IAM ロールを作成するには、ロールの作成を選択します。詳細については、「 AWS Identity and Access Management ユーザーガイド」の「 AWS サービスにアクセス許可を委任するロールの作成」を参照してください。

    IAM ロールがファイル共有と S3 バケット間のアクセスを制御する方法の詳細については、「Amazon S3bucket へのアクセスの許可」を参照してください。

12. プライベートリンクの場合は、Virtual Private Cloud (VPC) のプライベートエンドポイント AWS を使用して と通信するようにファイル共有を設定する必要がある場合にのみ、以下を実行します。それ以外の場合は、この手順をスキップしてください。詳細については、PrivateLink ガイドの「PrivateLink とは AWS」を参照してください。 AWS PrivateLink

    1. VPC エンドポイントを使用するを選択します。

    2. で VPC エンドポイントを識別するには、次のいずれかを実行します。

       • VPC エンドポイント ID を選択し、VPC エンドポイントのドロップダウンリストから使用するエンドポイントを選択します。

       • DNS 名を選択し、使用するエンドポイントの DNS 名を入力します。

13. 暗号化では、ファイルゲートウェイが Amazon S3 に保存するオブジェクトの暗号化に使用する暗号化キーのタイプを選択します。

    • Amazon S3 (SSE-S3) で管理されるサーバー側の暗号化を使用するには、S3-Managedキー (SSE-S3) を選択します。

      詳細については、Amazon S3マネージドキーによるサーバー側の暗号化の使用」を参照してください。

    • AWS Key Management Service (SSE-KMS) で管理されるサーバー側の暗号化を使用するには、KMS マネージドキー (SSE-KMS) を選択します。プライマリ KMS キーで、既存の AWS KMS キーを選択するか、新しい KMS キーの作成を選択して、Key Management Service (AWS KMS) コンソールで新しい KMS AWS キーを作成します。

      詳細については AWS KMS、「 AWS Key Management Service デベロッパーガイド」のAWS 「 Key Management Service とは」を参照してください。

    • AWS Key Management Service (DSSE-KMS) で管理される二層式サーバー側の暗号化を使用するには、 AWS Key Management Service キーによる二層式サーバー側の暗号化 (DSSE-KMS) を選択します。プライマリ KMS キーで、既存の AWS KMS キーを選択するか、新しい KMS キーの作成を選択して、Key Management Service (AWS KMS) コンソールで新しい KMS AWS キーを作成します。

      DSSE-KMS の詳細については、Amazon Simple Storage Service ユーザーガイドの AWS KMS 「キーによる二層式サーバー側の暗号化の使用」を参照してください。

      注記

      DSSE-KMS および AWS KMS キーの使用には追加料金がかかります。詳細については、「AWS KMS 料金表」を参照してください。

      リストにないエイリアスで AWS KMS キーを指定するか、別の AWS アカウントの AWS KMS キーを使用するには、 を使用する必要があります AWS Command Line Interface。非対称 KMS キーはサポートされていません。詳細については、AWS Storage Gateway API リファレンスのCreateSMBFileShare」を参照してください。

    重要

    ファイル共有が、データを保存する Amazon S3 バケットと同じ暗号化タイプを使用していることを確認します。

14. Guess MIME タイプでは、Guess メディア MIME タイプを選択して、Storage Gateway がファイル拡張子に基づいてアップロードされたオブジェクトの多目的インターネットメール拡張 (MIME) タイプを推測できるようにします。

15. ファイル共有名に、ファイル共有の名前を入力します。

    注記

    有効な SMB ファイル共有名には[、、]、#、;<、>、:"、\、*、/|?、+、または ASCII コントロール文字 を含めることはできません1-31。

16. アップロードイベントで、Amazon S3 にファイルが正常にアップロードされたときにゲートウェイが CloudWatch ログイベントを記録する場合は、ゲートウェイによってファイルが正常にアップロードされたときにイベントを記録するを選択します。 CloudWatch 通知遅延は、最新のクライアント書き込みオペレーションからObjectUploadedログ通知の生成までの遅延を制御します。クライアントは短時間でファイルへの小さな書き込みを多数行うことができるため、同じファイルに対して複数の通知が迅速に連続して生成されないように、このパラメータをできるだけ長く設定することをお勧めします。詳細については、「Getting file upload notification」を参照してください。

    注記

    この設定は、S3 へのオブジェクトのアップロードのタイミングには影響せず、通知のタイミングにのみ影響します。

    この設定は、通知が送信される正確な時刻を指定することを目的としたものではありません。場合によっては、ゲートウェイが通知を生成して送信するために、指定された遅延時間よりも長い時間がかかることがあります。

    完了したら次へを選択します。

17. ファイル共有プロトコルで、SMB を選択します。

18. ユーザー認証では、ドロップダウンリストから使用する認証方法を選択します。

    • 企業の Microsoft Active Directory を使用するか、SMB ファイル共有へのユーザーアクセスを認証 AWS Managed Microsoft AD するには、Active Directory を選択します。この方法を使用するには、ゲートウェイをドメインに結合する必要があります。詳細については、「Active Directory を使用してユーザーを認証する」を参照してください。

      注記

      Amazon EC2 ゲートウェイ AWS Managed Microsoft AD で を使用するには、 と同じ VPC に Amazon EC2 インスタンスを作成し AWS Managed Microsoft AD、Amazon EC2 インスタンスに_workspaceMembersセキュリティグループを追加し、 の管理者認証情報を使用して AD ドメインに参加する必要があります AWS Managed Microsoft AD。

      詳細については AWS Managed Microsoft AD、「 AWS Directory Service 管理ガイド」を参照してください。

      Amazon EC2 の詳細については、「Amazon Elastic Compute Cloud ドキュメント」を参照してください。

      Join ステータスがゲートウェイがすでに Active Directory ドメインに参加していることを示している場合は、次のステップに進みます。それ以外の場合は以下の作業を行います。

      1. [設定] を選択します。

      2. ドメイン に、ゲートウェイを結合する Active Directory ドメインの名前を入力します。

      3. ゲートウェイがドメインに参加するために使用するユーザー名とパスワードを入力します。

      4. （オプション) Organization unit (OU) には、Active Directory が新しいコンピュータオブジェクトに使用する指定された OU を入力します。

      5. （オプション) ドメインコントローラー (DC) には、ゲートウェイが Active Directory に接続する DC の名前を入力します。このフィールドを空白のままにすると、DNS が DC を自動的に選択できるようになります。

      6. アクティブディレクトリに参加を選択します。

      注記

      ドメインに参加すると、ゲートウェイのゲートウェイ ID をアカウント名 (SGW-1234ADE など) として使用して、デフォルトのコンテナ (組織単位ではない) に Active Directory アカウントが作成されます。このアカウントの名前をカスタマイズすることはできません。

      Active Directory 環境で、ドメイン参加プロセスを容易にするためにアカウントを事前ステージングする必要がある場合は、このアカウントを事前に作成する必要があります。

      Active Directory 環境に新しいコンピュータオブジェクト用に指定された OU がある場合は、ドメインに参加するときにその OU を指定する必要があります。

    • 設定したゲストパスワードを提供するすべてのユーザーにパスワードで保護されたアクセスを許可するには、ゲストアクセスを選択します。この方法を使用するには、ファイルゲートウェイが Microsoft Active Directory ドメインの一部である必要はありません。Configure を選択してゲストパスワードを指定し、Save を選択します。

19. ユーザーアクセスの場合は、次のいずれかを実行して、ファイル共有にアクセスできる SMB クライアントを指定します。

    • Active Directory を介して正常に認証されたすべてのユーザーにアクセス権を付与するには、AD 認証されたすべてのユーザーを選択します。

    • 特定のユーザーまたはグループへのアクセスを許可または拒否するには、特定の AD 認証されたユーザーまたはグループを選択し、次の操作を行います。

      • 許可されたユーザーとグループで、許可されたユーザーの追加または許可されたグループの追加を選択し、ファイル共有アクセスを許可する Active Directory ユーザーまたはグループを入力します。このプロセスを繰り返して、必要な数のユーザーとグループを許可します。

      • 拒否されたユーザーとグループで、拒否されたユーザーの追加または拒否されたグループの追加を選択し、ファイル共有アクセスを拒否する Active Directory ユーザーまたはグループを入力します。このプロセスを繰り返して、必要な数のユーザーとグループを拒否します。

    注記

    ユーザーとグループのファイル共有アクセスセクションは、ユーザー認証が Active Directory に設定されている場合にのみ表示されます。

    ユーザーまたはグループを指定するときは、ドメインを含めないでください。ドメイン名は、ゲートウェイが結合されている特定の Active Directory のメンバーシップによって暗示されます。

20. （オプション) 管理者ユーザーの場合は、Active Directory ユーザーとグループのカンマ区切りリストを入力します。管理者ユーザーは、ファイル共有内のすべてのファイルとフォルダのアクセスコントロールリスト (ACLs) を更新する権限を受け取ります。グループには、 などの @文字のプレフィックスを付ける必要があります@group1。

21. アクセスタイプで、次のいずれかを選択します。

    • クライアントがファイル共有でファイルを読み書きできるようにするには、読み取り/書き込みを選択します。

    • クライアントがファイルを読み取ってもファイル共有に書き込めないようにするには、読み取り専用を選択します。

      注記

      Microsoft Windows クライアントにマウントされたファイル共有で、[Read-only] (読み取り専用) を選択した場合は、予期しないエラーによってフォルダを作成できないことを示すメッセージが表示される場合があります。このメッセージは無視できます。

22. ファイルとディレクトリのアクセスコントロールでは、次のいずれかを選択します。

    • SMB ファイル共有内のファイルとフォルダにきめ細かなアクセス許可を設定するには、Windows アクセスコントロールリストを選択します。詳細については、「Microsoft Windows ACL を使用して、SMB ファイル共有へのアクセスを制御する」を参照してください。

    • POSIX アクセス許可を使用して SMB ファイル共有を介して保存されているファイルやディレクトリへのアクセスを制御するには、POSIX アクセス許可を選択します。

23. アクセスベースの列挙では、次のいずれかを実行します。

    • 共有上のファイルとフォルダを読み取りアクセス権を持つユーザーのみに表示するには、ユーザーがアクセス許可を持たないファイルとディレクトリを非表示を選択します。

    • ディレクトリの列挙中に共有上のファイルとフォルダをすべてのユーザーに表示するには、チェックボックスをオンにしないでください。

    注記

    アクセスベースの列挙は、共有のアクセスコントロールリスト (ACL) に基づいて、SMB ファイル共有上のファイルとフォルダの列挙をフィルタリングするシステムです。

24. ファイルアクセスオプションで、次のいずれかを選択します。

    • オポチュニスティックロックを使用してファイル共有のファイルバッファリング戦略を最適化するには、オポチュニスティックロックを選択します。ほとんどの場合、日和見ロックを有効にすると、特に Windows コンテキストメニューに関してパフォーマンスが向上します。

    • SMB クライアントではなくゲートウェイでファイル名の大文字と小文字の区別を制御するには、「大文字と小文字の区別を強制する」を選択します。

    • 両方の設定を無効にするには、「いいえ」を選択します。

    注記

    ファイルアクセスの競合を避けるため、これらの設定は相互に排他的であり、同時にアクティブ化することはできません。

25. （オプション) S3 からの自動キャッシュ更新では、キャッシュ更新間隔の設定を選択し、有効期限 (TTL) を使用してファイル共有のキャッシュを更新する時間を分または日数で設定します。TTL は、最後に実行された更新からの時間的長さです。TTL 間隔が経過すると、ディレクトリにアクセスすると、ファイルゲートウェイはそのディレクトリの内容を Amazon S3 バケットから更新します。

    注記

    この値を 30 分未満に設定すると、多数の Amazon S3 オブジェクトが頻繁に作成または削除される状況で、ゲートウェイのパフォーマンスに悪影響を及ぼす可能性があります。

26. ファイルの所有権とアクセス許可については、S3 バケットを所有するアカウントがファイル共有によってバケットに書き込まれたすべてのオブジェクトを完全に制御できるようにする場合は、読み取り、書き込み、編集、削除のアクセス許可など、ゲートウェイによって作成されたファイルの所有権を S3 バケット所有者に付与する を選択します。 AWS

    完了したら次へを選択します。

27. ファイル共有設定を確認します。編集 を選択して、変更するセクションの設定を変更します。終了したら、[作成] を選択します。

SMB ファイル共有を作成したら、ファイル共有の詳細タブの AWS Storage Gateway コンソールでその設定を表示できます。ファイル共有をマウントする手順については、「クライアントに SMB ファイル共有をマウントする」を参照してください。