Microsoft Windows ACL を使用して、SMB ファイル共有へのアクセスを制御する - AWS Storage Gateway

Amazon S3 ファイルゲートウェイのドキュメントがAmazon S3 ファイルゲートウェイとは

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Microsoft Windows ACL を使用して、SMB ファイル共有へのアクセスを制御する

このセクションでは、Microsoft Active Directory (AD) が有効化された SMB ファイル共有で Microsoft Windows アクセスコントロールリスト (ACL) を使用する方法についての詳細を説明しています。Windows ACL を使用することで、SMB ファイル共有内のファイルとフォルダにおける詳細なアクセス権限を設定することができます。

デフォルトでは、FNS または SMB ファイル共有を介して保存されるファイルやディレクトリへのアクセスを制御する POSIX 権限がファイルゲートウェイでサポートされています。SMB ファイル共有を介して保存されるファイルやディレクトリに対してファイルゲートウェイは、POSIX 権限の代わりに Windows ACL を使用したアクセスの制御を有効にします。この種類のアクセス制御は、ネイティブな Windows ファイル共有用の ACL をシミュレートします。

SMB ファイル共有における Windows ACL の主要な特徴を以下に示します。

  • デフォルトでは、SMB ファイル共有における Windows ACL は有効になっていません。Windows ACL を有効にするには、smbaclEnabledオプションをtrueを使用して、ファイル共有用のUpdateSMBFileShareStorage Gateway SDK またはAWS CLI。

  • ACL が有効である場合、ACL 情報は Amazon S3 オブジェクトメタデータに維持されます。

  • ゲートウェイは、ファイルまたはフォルダごとに最大で 10 個までの ACL を保持します。

  • ゲートウェイの外部で作成された S3 オブジェクトにアクセスするために ACL が有効化された SMB ファイル共有を使用すると、このオブジェクトは親フォルダからの ACL 情報を継承します。

  • SMB ファイル共有のデフォルトのルート ACLはすべてのユーザーにフルアクセスを提供しますが、ルート ACL でこのアクセス権限を変更することもできます。ファイル共有のアクセスを制御するには、ルート ACL を使用します。ファイル共有をマウント (ドライブのマッピング) できるユーザーを設定し、ファイル共有で再帰的にファイルとフォルダに対してユーザーが取得する権限の内容を設定できます。ただし、ACL が維持されるように、このアクセス許可を S3 バケットの上位レベルフォルダに設定することをお勧めします。

CreateSMBFileShare API オペレーションを使用して新規の SMB ファイル共有を作成するときに、Windows ACL を有効にできます。または、UpdateSMBFileShare API オペレーションを使用して、既存の SMB ファイル共有で Windows ACL を有効にします。

新規の SMB ファイル共有で Windows ACL を有効にする

新規の SMB ファイル共有で Windows ACL を有効にするには、次のステップを実行します。

新規の SMB ファイル共有を作成時に、Windows ACL を有効にするには

  1. ファイルゲートウェイを作成します (まだ作成していない場合)。詳細については、「ファイルゲートウェイの作成」を参照してください。

  2. ゲートウェイがドメインに結合していない場合は、これをドメインに追加します。詳細については、「Active Directory を使用したユーザーの認証」を参照してください。

  3. SMB ファイル共有を作成します。詳細については、「ファイル共有の作成」を参照してください。

  4. Storage Gateway コンソールからファイル共有で Windows ACL を有効にします。

    Storage Gateway コンソールを使用するには、次の操作を行います。

    1. ファイル共有を選択し、[Edit file share (ファイル共有の編集)] を選択します。

    2. [File/directory access controlled by (ファイル/ディレクトリのアクセスコントロール)] オプションで、[Windows Access Control List] を選択します。

  5. (オプション) 管理者ユーザーにファイル共有内のすべてのファイルで ACL を更新する権限があるようにするには、管理者ユーザーを AdminUsersList に追加します。

  6. ルートフォルダの親フォルダで ACL を更新します。これを行うには、Windows ファイルエクスプローラーを使用して、SMB ファイル共有内のフォルダの ACL を設定します。

    注記

    ルートの親フォルダではなくルートで ACL を設定した場合、ACL 権限は Amazon S3 で維持されません。

    ファイル共有のルートで ACL を直接設定するのではなく、ファイル共有のルートの最上位フォルダで ACL を設定することが推奨されます。このアプローチでは、Amazon S3 で情報がオブジェクトメタデータとして維持されます。

  7. 必要に応じて継承を有効にします。

    注記

    2019 年 5 月 8 日以降に作成されたファイル共有で継承を有効にすることができます。

継承を有効にして、アクセス権限を再帰的に更新すると、Storage Gateway は S3 バケット内のすべてのオブジェクトを更新します。バケット内のオブジェクトの数によっては、更新の完了に時間がかかる場合があります。

既存の SMB ファイル共有で Windows ACL を有効にする

POSIX アクセス権限がある 既存の SMB ファイル共有で Windows ACL を有効にするには、次のステップを実行します。

Storage Gateway コンソールを使用して既存の SMB ファイル共有で Windows ACL を有効にするには

  1. ファイル共有を選択し、[Edit file share (ファイル共有の編集)] を選択します。

  2. [File/directory access controlled by (ファイル/ディレクトリのアクセスコントロール)] オプションで、[Windows Access Control List] を選択します。

  3. 必要に応じて継承を有効にします。

    注記

    ルートレベルで ACL を設定してゲートウェイを削除すると、ACL を再度リセットする必要があるため、これは推奨されません。

継承を有効にして、アクセス権限を再帰的に更新すると、Storage Gateway は S3 バケット内のすべてのオブジェクトを更新します。バケット内のオブジェクトの数によっては、更新の完了に時間がかかる場合があります。

Windows ACL を使用する場合の制限事項

Windows ACL を使用して SMB ファイル共有へのアクセスを制限するときに、次の制限に留意してください。

  • Windows ACL は、Windows SMB クライアントを使用してファイル共有にアクセスするときに、Active Directory が有効化されているファイル共有のみでサポートされています。

  • ファイルゲートウェイでは、ファイルとディレクトリごとに最大で 10 個の ACL エントリがサポートされています。

  • ファイルゲートウェイは、システムアクセスコントロールリスト (SACL) エントリである Audit エントリおよび Alarm エントリをサポートしていません。ファイルゲートウェイは、任意アクセスコントロールリスト (DACL) エントリである Allow エントリおよび Deny エントリをサポートしています。

  • SMB ファイル共有のルート ACL 設定はゲートウェイのみであり、この設定はケートウェイの更新と再起動後にも維持されます。

    注記

    ルートの親フォルダではなくルートで ACL を設定した場合、ACL 権限は Amazon S3 で維持されません。

    以上の条件を踏まえて、次を必ず実行します。

    • 同じ Amazon S3 バケット間で複数のゲートウェイを設定する場合は、各ゲートウェイ上でルート ACL を設定して、アクセス権限の整合性を維持します。

    • ファイル共有を削除して、同じ Amazon S3 バケット上で再作成する場合、一連の同じルート ACL を使用するように注意します。