Windows ACL を使用したファイルレベルおよびフォルダレベルのアクセスコントロール - Amazon FSx for Windows ファイルサーバー

Windows ACL を使用したファイルレベルおよびフォルダレベルのアクセスコントロール

Amazon FSx for Windows ファイルサーバーは、Microsoft アクティブディレクトリを介したサーバーメッセージブロック (SMB) プロトコルへのアイデンティティベースの認証をサポートしています。アクティブディレクトリは、ネットワーク上のオブジェクトに関する情報を保存し、管理者とユーザーがこの情報を簡単に見つけて使用できるようにする Microsoft ディレクトリサービスです。これらのオブジェクトには通常、ファイルサーバー、ネットワークユーザーおよびコンピュータアカウントなどの共有リソースが含まれます。Amazon FSx でのアクティブディレクトリサポートの詳細については、「FSx for Windows ファイルサーバーでの Microsoft アクティブディレクトリの使用」を参照してください。

ドメインに参加しているコンピューティングインスタンスは、アクティブディレクトリ認証情報を使用して Amazon FSx ファイル共有にアクセスできます。きめ細かいファイルおよびフォルダレベルのアクセスコントロールには、スタンダードの Windows アクセスコントロールリスト (ACL) を使用します。Amazon FSx ファイルシステムは、ファイルシステムデータにアクセスするユーザーの認証情報を自動的に検証して、これらの Windows ACL を適用します。

すべての Amazon FSx ファイルシステムには、share と呼ばれるデフォルトの Windows ファイル共有が付属しています。この共有フォルダーの Windows ACL は、ドメインユーザーに読み取り/書き込みアクセスを許可するように設定されています。また、ファイルシステムで管理アクションを実行するように委任されたアクティブディレクトリ内の委任された管理者グループを完全にコントロールできます。ファイルシステムを AWS マネージド Microsoft AD と統合する場合、このグループは AWS 委任した FSx の管理者となります。ファイルシステムをセルフマネージドの Microsoft AD セットアップと統合する場合、このグループはドメイン管理者になることができます。または、ファイルシステムの作成時に指定したカスタムの委任された管理者グループにすることもできます。ACL を変更するには、委任された管理者グループのメンバーであるユーザーとして共有をマッピングできます。

警告

Amazon FSx では、SYSTEM ユーザーがファイルシステム内のすべてのフォルダーに対する フルコントロール の NTFS ACL アクセス許可を持っている必要があります。フォルダでこのユーザーの NTFSACL アクセス許可を変更しないでください。これを行うと、ファイル共有にアクセスできなくなり、ファイルシステムのバックアップを使用できなくなる可能性があります。