Active Directory を使用してユーザーを認証する - AWS Storage Gateway

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Active Directory を使用してユーザーを認証する

企業の Active Directory を使用するか、ユーザーが SMB ファイル共有への認証アクセス AWS Managed Microsoft AD を行うには、Microsoft AD ドメイン認証情報を使用してゲートウェイの SMB 設定を編集します。これにより、ゲートウェイが Active Directory ドメインに参加し、ドメインのメンバーが SMB ファイル共有にアクセスできるようになります。

注記

を使用すると AWS Directory Service、 でホストされた Active Directory ドメインサービスを作成できます AWS クラウド。

Amazon EC2 ゲートウェイ AWS Managed Microsoft AD で を使用するには、 と同じ VPC に Amazon EC2 インスタンスを作成し AWS Managed Microsoft AD、_workspaceMembers セキュリティグループを Amazon EC2 インスタンスに追加し、 の管理者認証情報を使用して AD ドメインに参加する必要があります AWS Managed Microsoft AD。

詳細については AWS Managed Microsoft AD、「 AWS Directory Service 管理ガイド」を参照してください。

Amazon EC2 の詳細については、「Amazon Elastic Compute Cloud ドキュメント」を参照してください。

SMB ファイル共有でアクセスコントロールリスト (ACLs) をアクティブ化することもできます。ACLs「」を参照してくださいWindows ACLs を使用して SMB ファイル共有アクセスを制限する

Active Directory 認証を有効にするには

  1. Storage Gateway コンソール (https://console.aws.amazon.com/storagegateway/home) を開きます。

  2. Gateways を選択し、SMB 設定を編集するゲートウェイを選択します。

  3. Actions ドロップダウンメニューから、SMB 設定の編集を選択し、Active Directory 設定を選択します。

  4. ドメイン名には、ゲートウェイを結合する Active Directory ドメインの名前を入力します。

    注記

    ゲートウェイがドメインに参加していないときは、[Active Directory status (Active Directory のステータス)] に [Detached (デタッチ済み)] と表示されます。

    Active Directory サービスアカウントには、必要なアクセス許可が必要です。詳細については、「Active Directory サービスアカウントのアクセス許可要件」を参照してください。

    ドメインに参加すると、ゲートウェイのゲートウェイ ID をアカウント名 (SGW-1234ADE など) として使用して、デフォルトのコンピュータコンテナ (OU ではない) に Active Directory コンピュータアカウントが作成されます。このアカウントの名前をカスタマイズすることはできません。

    Active Directory 環境で、ドメイン結合プロセスを容易にするためにアカウントを事前ステージングする必要がある場合は、事前にこのアカウントを作成する必要があります。

    Active Directory 環境に新しいコンピュータオブジェクト用に指定された OU がある場合は、ドメインに参加するときにその OU を指定する必要があります。

    ゲートウェイが Active Directory ディレクトリと結合できない場合には、JoinDomain API オペレーションを使用して、ディレクトリの IP アドレスとの結合をお試しください。

  5. ドメインユーザードメインパスワードには、ゲートウェイがドメインに参加するために使用する Active Directory サービスアカウントの認証情報を入力します。

  6. (オプション) Organization unit (OU) には、Active Directory が新しいコンピュータオブジェクトに使用する指定された OU を入力します。

  7. (オプション) ドメインコントローラー (DC) には、ゲートウェイが Active Directory に接続する 1 つ以上の DCs の名前を入力します。複数の DCsカンマ区切りのリストとして入力できます。このフィールドを空白のままにすると、DNS が DC を自動的に選択できるようになります。

  8. [Save changes] (変更の保存) をクリックします。

ファイル共有へのアクセスを特定の AD ユーザーおよびグループに制限するには

  1. Storage Gateway コンソールで、アクセスを制限するファイル共有を選択します。

  2. Actions ドロップダウンメニューから、ファイル共有アクセス設定の編集を選択します。

  3. ユーザーとグループのファイル共有アクセスセクションで、設定を選択します。

    [Allowed users and groups] (許可されたユーザーおよびグループ) で、[Add allowed user] (許可するユーザーの追加) または [Add allowed group] (許可するグループの追加) を選択し、ファイル共有のアクセスを許可する AD ユーザーまたはグループを入力します。このプロセスを繰り返して、必要な数のユーザーとグループを許可します。

    [Denied users and groups] (拒否されたユーザーおよびグループ) で、[Add denied user] (拒否するユーザーの追加) または[Add denied group] (拒否するグループの追加) を選択し、ファイル共有のアクセスを拒否する AD ユーザーまたはグループを入力します。このプロセスを繰り返して、必要な数のユーザーとグループを拒否します。

    注記

    [Active Directory] が選択されている場合のみ、[User and group file share access] (ユーザーとグループのファイル共有アクセス) セクションが表示されます。

    グループには @文字のプレフィックスを付ける必要があります。使用できる形式はDOMAIN\User1、、user1@group1、および です@DOMAIN\group1

    許可されたユーザーおよびグループリストと拒否されたユーザーおよびグループリストを設定した場合、Windows ACLs はそれらのリストを上書きするアクセスを許可しません。

    許可されたユーザーとグループのリストは ACLsの前に評価され、ファイル共有をマウントまたはアクセスできるユーザーを制御します。ユーザーまたはグループが許可されたリストに配置されている場合、リストはアクティブと見なされ、それらのユーザーのみがファイル共有をマウントできます。

    ユーザーがファイル共有をマウントすると、ACLsユーザーがアクセスできる特定のファイルまたはフォルダを制御する、より詳細な保護を提供します。詳細については、「新しい SMB ファイル共有での Windows ACLs」を参照してください。

  4. エントリの追加が完了したら、[Save] (保存) を選択します。