データへのアクセス - Amazon FSx for Windows File Server

データへのアクセス

AWS クラウド 環境とオンプレミス環境の両方からサポートされているさまざまなクライアントとメソッドを使用して、Amazon FSx ファイルシステムにアクセスできます。

サポートされているクライアント

FSx for Windows File Server は、サーバーメッセージブロック (SMB) プロトコルバージョン 2.0 から 3.1.1 をサポートしているため、さまざまなコンピューティングインスタンスとオペレーティングシステムを使用してファイルシステムに接続できます。

AWS コンピューティングインスタンスは、Amazon FSx との使用をサポートしています。

Amazon FSx では、次のオペレーティングシステムがサポートされています。

  • Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、および Windows Server 2022。

  • Windows Vista、Windows 7、Windows 8、Windows 8.1、Windows 10 (WorkSpace の Windows 7 と Windows 10 のデスクトップエクスペリエンスを含む)、および Windows 11。

  • cifs-utils ツールを使用した Linux。

  • macOS

AWS クラウド 内からのデータへのアクセス

Amazon FSx の各ファイルシステムは、仮想プライベートクラウド (VPC) に関連付けられています。FSx for Windows File Server ファイルシステムには、アベイラビリティーゾーンに関係なく、ファイルシステムの VPC 内の任意の場所からアクセスできます。ファイルシステムとは異なる AWS アカウント または AWS リージョン にある VPC からファイルシステムにアクセスすることもできます。以降のセクションで説明する FSx for Windows File Server リソースへのアクセスの要件に加えて、データと管理トラフィックがファイルシステムとクライアントの間を移動できるようファイルシステムの VPC セキュリティグループが設定されていることを確認する必要もあります。必要なポートでのセキュリティグループの設定の詳細については、「Amazon VPC を使用したファイルシステムアクセスコントロール」を参照してください。

FSx for Windows File Server ファイルシステムには、ファイルシステムと同じ VPC にある、サポートされているクライアントからアクセスできます。詳細と手順については、「開始方法の前提条件。」を参照してください。

次の表は、ファイルシステムが作成された時期に応じて、サポートされている各環境で Amazon FSx がクライアントからのアクセスをサポートする環境を示しています。

次の場所に所在するクライアント 2019 年 2 月 22 日以前に作成されたファイルシステムへのアクセス 2020 年 12 月 17 日以前に作成されたファイルシステムへのアクセス 2020 年 12 月 17 日以降に作成されたファイルシステムへのアクセス

ファイルシステムが作成されるサブネット

ファイルシステムが作成された VPC のプライマリ CIDR ブロック

ファイルシステムが作成された VPC のセカンダリ CIDR

RFC1918 プライベート IP アドレス範囲内の IP アドレスを持つクライアント:

  • 10.0.0.0/8

  • 172.16.0.0/12

  • 192.168.0.0/16

IP アドレスが次の CIDR ブロック範囲外にあるクライアント: 198.19.0.0/16

その他の CIDR またはピアリングされたネットワーク

注記

場合によっては、2020 年 12 月 17 日以前に作成されたファイルシステムに、非プライベート IP アドレス範囲を使用してオンプレミスからアクセスしたいことがあります。これを行うには、ファイルシステムのバックアップから新しいファイルシステムを作成します。詳細については、「バックアップでデータを保護する。」を参照してください。

異なる VPC からのデータへのアクセス

FSx for Windows File Server ファイルシステムには、VPC ピアリングまたはトランジットゲートウェイを使用して、ファイルシステムに関連付けられているものとは異なる VPC、AWS アカウント、または AWS リージョン にあるサポートクライアントからアクセスできます。VPC ピアリング接続またはトランジットゲートウェイを使用して VPC を接続する場合、ある VPC にあるコンピューティングインスタンスは、別の VPC にある Amazon FSx ファイルシステムにアクセスできます。このアクセスは、VPC が異なる AWS アカウント に属していても、VPC が異なる AWS リージョン リージョンに存在していても可能です。

VPC ピアリング接続 とは、2 つの VPC 間のネットワーク接続のことで、プライベート IPv4 アドレスまたは IP バージョン 6 (IPv6) アドレスを使って VPC 間でトラフィックをルーティングする場合に使用できます。VPC ピアリング接続を使用して、同じ AWS リージョン内または AWS リージョン間の VPC を接続できます。VPC ピアリングの詳細については、「Amazon VPC ピアリングガイド」の「VPC ピアリングとは?」を参照してください。

トランジットゲートウェイ は、VPC とオンプレミスネットワークを相互接続するために使用できるネットワークのトランジットハブです。VPC トランジットゲートウェイの使用についての詳細は、「Amazon VPC トランジットゲートウェイ」の「トランジットゲートウェイの開始方法」を参照してください。

VPC ピアリング接続またはトランジットゲートウェイ接続を設定したら、DNS 名を使用してファイルシステムにアクセスできます。これは、関連付けられた VPC 内のコンピューティングインスタンスからの場合と同じように行います。

オンプレミスからデータにアクセスする

FSx for Windows ファイルサーバーは、AWS Direct Connect または AWS VPN をクリックして、オンプレミスのコンピューティングインスタンスからファイルシステムにアクセスします。AWS Direct Connect をサポートすることで、FSx for Windows ファイルサーバーは、オンプレミス環境から専用のネットワーク接続でファイルシステムにアクセスできるようになります。AWS VPN をサポートすることで、FSx for Windows ファイルサーバーは、安全なプライベートトンネルを介して、オンプレミスデバイスからファイルシステムにアクセスできるようになります。

Amazon FSx ファイルシステムに関連付けられた VPC にオンプレミス環境を接続すると、DNS 名または DNS エイリアスを使用してファイルシステムにアクセスできるようになります。これは、VPC 内のコンピューティングインスタンスからの場合と同様に行います。AWS Direct Connect の詳細については、「AWS Direct Connect ユーザーガイド」を参照してください。AWS VPN 接続の設定の詳細については、「Amazon VPC ユーザーガイド」の「VPN 接続」を参照してください。

FSx for Windows ファイルサーバーでは Amazon FSx ファイルゲートウェイの使用もサポートし、オンプレミスのコンピューティングインスタンスからクラウド内 FSx for Windows ファイルサーバー共有に低レイテンシーでシームレスにアクセスできます。詳細については、「Amazon FSx ファイルゲートウェイユーザーガイド」を参照してください。

注記

場合によっては、2020 年 12 月 17 日以前に作成されたファイルシステムに、非プライベート IP アドレス範囲を使用してオンプレミスからアクセスしたいことがあります。これを行うには、ファイルシステムのバックアップから新しいファイルシステムを作成します。詳細については、「バックアップでデータを保護する。」を参照してください。

デフォルトの DNS 名を使用したデータへのアクセス

FSx for Windows ファイルサーバーは、すべてのファイルシステムに対してドメインネームシステム (DNS) 名を提供します。FSx for Windows ファイルサーバーファイルシステムにアクセスするには、この DNS 名を使用して、コンピューティングインスタンス上のドライブ文字を Amazon FSx ファイル共有にマッピングします。詳細については、「ファイル共有を使用したデータへのアクセス」を参照してください。

重要

Amazon FSx は、Microsoft DNS をデフォルトの DNS として使用している場合にのみ、ファイルシステムの DNS レコードを登録します。サードパーティー DNS を使用している場合は、Amazon FSx ファイルシステムの DNS エントリをマニュアルで設定する必要があります。ファイルシステムに使用する正しい IP アドレスの選択については、「手動 DNS エントリに使用する正しいファイルシステムの IP アドレスの取得」を参照してください。

DNS 名を見つけるには:

  • Amazon FSx コンソールで [File systems] (ファイルシステム) を選択し、[Details] (詳細) を選択します。[Network & Security] (ネットワークとセキュリティ) で DNS 名を表示します。

  • または、CreateFileSystem ないし DescribeFileSystems API コマンドのレスポンスで表示します。

AWS マネージド Microsoft Active Directory に接続しているすべてのシングル AZ ファイルシステムの場合、DNS 名の形式は fs-0123456789abcdef0.ad-dns-domain-name になります。

セルフマネージド Active Directory に接続しているすべてのシングル AZ ファイルシステム、およびマルチ AZ ファイルシステムでは、DNS 名の形式は amznfsxaa11bb22.ad-domain.com になります。

DNS 名を使用した Kerberos 認証の使用

Amazon FSx との転送中に、Kerberos ベースの認証と暗号化を使用することをお勧めします。Kerberos は、ファイルシステムにアクセスするクライアントに対して最も安全な認証を提供します。SMB セッションで転送中のデータの Kerberos ベースの認証と暗号化を有効にするには、Amazon FSx によって提供されるファイルシステムの DNS 名を使用してファイルシステムにアクセスします。

AWS マネージド Microsoft アクティブディレクトリとオンプレミスのアクティブディレクトリの間に外部信頼が設定されている場合、Amazon FSx Remote PowerShell を Kerberos 認証で使用するには、クライアント上でフォレストの検索順序をローカルグループポリシーで設定する必要があります。詳細については、「Microsoft ドキュメント」の「Kerberos フォレスト検索順序 (KFSO) の設定」を参照してください。

分散ファイルシステム (DFS) 名前空間のサポート

FSx for Windows ファイルサーバーでは、Microsoft DFS 名前空間の使用がサポートされています。DFS 名前空間を使用して、複数のファイルシステム上にあるファイル共有を、ファイルデータセット全体にアクセスするために使用する 1 つの共通のフォルダ構造 (名前空間) に整理します。DFS 名前空間内の名前を使用して Amazon FSx ファイルシステムにアクセスするには、リンクターゲットをファイルシステムの DNS 名に設定します。詳細については、「複数の FSx for Windows File Server のファイルシステムと DFS 名前空間のグループ化」を参照してください。