Windows ACLs を使用して SMB ファイル共有アクセスを制限する

Amazon S3 ファイルゲートウェイは、SMB ファイル共有を介して保存されるファイルとディレクトリへのアクセスを制御するために、POSIX アクセス許可または Windows ACLs 2 つの異なる方法をサポートしています。

このセクションでは、認証に Microsoft Active Directory (AD) を使用する SMB ファイル共有で Microsoft Windows アクセスコントロールリスト (ACLs) を使用する方法について説明します。Windows ACL を使用することで、SMB ファイル共有内のファイルとフォルダにおける詳細なアクセス権限を設定することができます。

SMB ファイル共有における Windows ACL の主要な特徴を以下に示します。

• Windows ACLs は、ファイルゲートウェイが Active Directory ドメインに参加しているときに、SMB ファイル共有に対してデフォルトで選択されます。

• ACLs がアクティブ化されると、ACL 情報は Amazon S3 オブジェクトメタデータに保持されます。

• ゲートウェイは、ファイルまたはフォルダごとに最大で 10 個までの ACL を保持します。

• ゲートウェイの外部で作成された S3 オブジェクトにアクセスするために ACLs を有効にした SMB ファイル共有を使用すると、オブジェクトは親フォルダから ACLs の情報を継承します。

注記

SMB ファイル共有のデフォルトのルート ACLはすべてのユーザーにフルアクセスを提供しますが、ルート ACL でこのアクセス権限を変更することもできます。ファイル共有のアクセスを制御するには、ルート ACL を使用します。ファイル共有をマウント (ドライブのマッピング) できるユーザーを設定し、ファイル共有で再帰的にファイルとフォルダに対してユーザーが取得する権限の内容を設定できます。ただし、ACL が維持されるように、このアクセス許可を S3 バケットの上位レベルフォルダに設定することをお勧めします。

CreateSMBFileShare API オペレーションを使用して、新しい SMB ファイル共有を作成するときに Windows ACLs を有効にできます。または、UpdateSMBFileShare API オペレーションを使用して、既存の SMB ファイル共有で Windows ACLs を有効にすることもできます。

新しい SMB ファイル共有での Windows ACLs のアクティブ化

新しい SMB ファイル共有で Windows ACLs をアクティブ化するには、次の手順を実行します。

新しい SMB ファイル共有を作成するときに Windows ACLs をアクティブ化するには

1. ファイルゲートウェイを作成します (まだ作成していない場合)。詳細については、「ゲートウェイを作成する」を参照してください。

2. ゲートウェイがドメインに結合していない場合は、これをドメインに追加します。詳細については、「Active Directory を使用してユーザーを認証する」を参照してください。

3. SMB ファイル共有を作成します。詳細については「」を参照してください。

4. Storage Gateway コンソールからファイル共有で Windows ACLs をアクティブ化します。

   Storage Gateway コンソールを使用するには、次の操作を行います。

   1. ファイル共有を選択し、[Edit file share (ファイル共有の編集)] を選択します。

   2. [File/directory access controlled by (ファイル/ディレクトリのアクセスコントロール)] オプションで、[Windows Access Control List] を選択します。

5. (オプション) 管理者ユーザーにファイル共有内のすべてのファイルで ACL を更新する権限があるようにするには、管理者ユーザーを AdminUsersList に追加します。

   注記

   SMB ファイル共有の設定で許可および拒否されたユーザーとグループのリストを設定した場合、ACLs はそれらのリストを上書きするアクセスを許可しません。

   許可されたユーザーとグループのリストは ACLsの前に評価され、ファイル共有をマウントまたはアクセスできるユーザーを制御します。ユーザーまたはグループが許可されたリストに配置されている場合、リストはアクティブと見なされ、それらのユーザーのみがファイル共有をマウントできます。

   ユーザーがファイル共有をマウントすると、ACLsユーザーがアクセスできる特定のファイルまたはフォルダを制御する、より詳細な保護を提供します。

6. ルートフォルダの親フォルダで ACL を更新します。これを行うには、Windows ファイルエクスプローラーを使用して、SMB ファイル共有内のフォルダの ACL を設定します。

   注記

   ルートの親フォルダではなく、ルートで ACL を設定した場合、ACL のアクセス許可は Amazon S3 では保持されません。

   ファイル共有のルートで ACL を直接設定するのではなく、ファイル共有のルートの最上位フォルダで ACL を設定することが推奨されます。このアプローチによって、Amazon S3 で情報がオブジェクトメタデータとして保持されます。

7. 必要に応じて継承を有効にします。

   注記

   2019 年 5 月 8 日以降に作成されたファイル共有の継承を有効にできます。

継承を有効にしてアクセス許可を再帰的に更新すると、Storage Gateway は S3 バケット内のすべてのオブジェクトを更新します。バケット内のオブジェクトの数によっては、更新の完了に時間がかかる場合があります。

既存の SMB ファイル共有での Windows ACLs のアクティブ化

POSIX アクセス許可を持つ既存の SMB ファイル共有で Windows ACLs をアクティブ化するには、次の手順を実行します。

Storage Gateway コンソールを使用して既存の SMB ファイル共有で Windows ACLs をアクティブ化するには

1. ファイル共有を選択し、[Edit file share (ファイル共有の編集)] を選択します。

2. [File/directory access controlled by (ファイル/ディレクトリのアクセスコントロール)] オプションで、[Windows Access Control List] を選択します。

3. 必要に応じて継承を有効にします。

   注記

   ルートレベルで ACL を設定してゲートウェイを削除すると、ACL を再度リセットする必要があるため、これは推奨されません。

継承を有効にしてアクセス許可を再帰的に更新すると、Storage Gateway は S3 バケット内のすべてのオブジェクトを更新します。バケット内のオブジェクトの数によっては、更新の完了に時間がかかる場合があります。

Windows ACL を使用する場合の制限事項

Windows ACL を使用して SMB ファイル共有へのアクセスを制限するときに、次の制限に留意してください。

• Windows ACLs は、Windows SMB クライアントを使用してファイル共有にアクセスするときに、認証に Active Directory を使用するファイル共有でのみサポートされます。

• ファイルゲートウェイでは、ファイルとディレクトリごとに最大で 10 個の ACL エントリがサポートされています。

• ファイルゲートウェイは、システムアクセスコントロールリスト (SACL) Alarmエントリである Auditおよび エントリをサポートしていません。 ファイルゲートウェイは、任意アクセスコントロールリスト (DACL) Denyエントリである Allowおよび エントリをサポートしています。

• ファイルゲートウェイは、アドバンストアクセスコントロールエントリ (ACE) アクセス許可をサポートしていません。

• SMB ファイル共有のルート ACL 設定はゲートウェイのみであり、この設定はケートウェイの更新と再起動後にも維持されます。

  注記

  ルートの親フォルダではなくルートで ACL を設定した場合、ACL のアクセス許可は Amazon S3 では保持されません。

  以上の条件を踏まえて、次を必ず実行します。

  • 同じ Amazon S3 バケットにアクセスする複数のゲートウェイを設定する場合は、各ゲートウェイ上でそのルート ACL を設定して、アクセス許可の整合性を維持します。

  • ファイル共有を削除して、同じ Amazon S3 バケット上で再作成する場合、一連の同じルート ACL を使用するようにしてください。