Active Directory를 사용하여 사용자 인증 - AWS Storage Gateway

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Active Directory를 사용하여 사용자 인증

회사 Active Directory를 사용하거나 SMB 파일 공유 AWS Managed Microsoft AD 에 대한 사용자 인증 액세스를 위해 Microsoft AD 도메인 자격 증명으로 게이트웨이의 SMB 설정을 편집합니다. 이렇게 하면 게이트웨이가 Active Directory 도메인에 조인하고 도메인의 멤버들이 SMB 파일 공유에 액세스할 수 있습니다.

참고

를 사용하여에서 호스팅 Active Directory 도메인 서비스를 생성할 AWS Directory Service수 있습니다 AWS 클라우드.

Amazon EC2 게이트웨이와 AWS Managed Microsoft AD 함께를 사용하려면와 동일한 VPC에서 Amazon EC2 인스턴스를 생성하고 AWS Managed Microsoft AD, Amazon EC2 인스턴스에 _workspaceMembers 보안 그룹을 추가하고,의 관리자 자격 증명을 사용하여 AD 도메인에 가입해야 합니다 AWS Managed Microsoft AD.

에 대한 자세한 내용은 AWS Directory Service 관리 안내서를 AWS Managed Microsoft AD참조하세요.

Amazon EC2에 대한 자세한 내용은 Amazon Elastic Compute Cloud 설명서를 참조하세요.

SMB 파일 공유에서 액세스 제어 목록(ACLs 활성화할 수도 있습니다. ACLsWindows ACLs 사용하여 SMB 파일 공유 액세스 제한.

Active Directory 인증을 켜려면

  1. Storage Gateway 콘솔(https://console.aws.amazon.com/storagegateway/home)을 엽니다.

  2. 게이트웨이를 선택한 다음 SMB 설정을 편집할 게이트웨이를 선택합니다.

  3. 작업 드롭다운 메뉴에서 SMB 설정 편집을 선택한 다음 Active Directory 설정을 선택합니다.

  4. 도메인 이름에 게이트웨이가 조인할 Active Directory 도메인의 이름을 입력합니다.

    참고

    게이트웨이가 도메인에 조인한 적이 없는 경우Active Directory 상태는 분리 완료로 표시됩니다.

    Active Directory 서비스 계정에는 필요한 권한이 있어야 합니다. 자세한 내용은 Active Directory 서비스 계정 권한 요구 사항 참조하세요.

    도메인에 가입하면 게이트웨이의 게이트웨이 ID를 계정 이름(예: SGW-1234ADE)으로 사용하여 기본 컴퓨터 컨테이너(OU 아님)에 Active Directory 컴퓨터 계정이 생성됩니다. 이 계정의 이름은 사용자 지정할 수 없습니다.

    Active Directory 환경에서 도메인 조인 프로세스를 용이하게 하기 위해 계정을 사전 준비해야 하는 경우이 계정을 미리 생성해야 합니다.

    Active Directory 환경에 새 컴퓨터 객체에 대해 지정된 OU가 있는 경우 도메인을 조인할 때 해당 OU를 지정해야 합니다.

    게이트웨이에서 Active Directory 디렉터리를 조인할 수 없는 경우에는 JoinDomain API 작업을 사용하여 디렉터리의 IP 주소로 조인해보십시오.

  5. 도메인 사용자도메인 암호에 게이트웨이가 도메인에 가입하는 데 사용할 Active Directory 서비스 계정의 자격 증명을 입력합니다.

  6. (선택 사항) 조직 단위(OU)에 Active Directory가 새 컴퓨터 객체에 사용하는 지정된 OU를 입력합니다.

  7. (선택 사항) 도메인 컨트롤러(DC)에 게이트웨이가 Active Directory에 연결할 하나 이상의 DCs 이름을 입력합니다. 여러 DCs 쉼표로 구분된 목록으로 입력할 수 있습니다. DNS가 DC를 자동으로 선택할 수 있도록이 필드를 비워 둘 수 있습니다.

  8. 변경 사항 저장을 선택합니다.

특정 AD 사용자 및 그룹으로 파일 공유 액세스를 제한하려면

  1. Storage Gateway 콘솔에서 액세스를 제한할 파일 공유를 선택합니다.

  2. 작업 드롭다운 메뉴에서 파일 공유 액세스 설정 편집을 선택합니다.

  3. 사용자 및 그룹 파일 공유 액세스 섹션에서 설정을 선택합니다.

    허용된 사용자 및 그룹에서 허용된 사용자 추가 또는 허용된 그룹 추가를 선택하고 파일 공유 액세스를 허용할 AD 사용자 또는 그룹을 입력합니다. 필요한 수의 사용자와 그룹을 허용하려면이 프로세스를 반복합니다.

    거부된 사용자 및 그룹의 경우 거부된 사용자 추가 또는 거부된 그룹 추가를 선택하고 파일 공유 액세스를 거부할 AD 사용자 또는 그룹을 입력합니다. 이 프로세스를 반복하여 필요한 수만큼 사용자와 그룹을 거부합니다.

    참고

    Active Directory가 선택된 경우에만 사용자 및 그룹 파일 공유 액세스 섹션이 나타납니다.

    그룹에@는 문자 접두사가 붙어야 합니다. 허용되는 형식은 DOMAIN\User1, user1, @group1및 입니다@DOMAIN\group1.

    허용 및 거부된 사용자 및 그룹 목록을 구성하면 Windows ACLs은 해당 목록을 재정의하는 액세스 권한을 부여하지 않습니다.

    허용 및 거부 사용자 및 그룹 목록은 ACLs보다 먼저 평가되며 파일 공유를 탑재하거나 액세스할 수 있는 사용자를 제어합니다. 허용 목록에 사용자 또는 그룹이 있는 경우 해당 목록은 활성으로 간주되며 해당 사용자만 파일 공유를 탑재할 수 있습니다.

    사용자가 파일 공유를 탑재한 후 ACLs은 사용자가 액세스할 수 있는 특정 파일 또는 폴더를 제어하는 보다 세분화된 보호를 제공합니다. 자세한 내용은 새 SMB 파일 공유에서 Windows ACLs.

  4. 항목 추가를 마치면 저장을 선택하십시오.