Microsoft Windows ACL를 사용하여 SMB 파일 공유에 대한 액세스 제어 - AWS Storage Gateway

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

Microsoft Windows ACL를 사용하여 SMB 파일 공유에 대한 액세스 제어

이 단원에서는 Microsoft Active Directory(AD)가 활성화된 SMB 파일 공유에서 Microsoft Windows 액세스 제어 목록(ACL)를 사용하는 방법을 볼 수 있습니다. Windows ACL을 사용하여 SMB 파일 공유에서 파일 및 폴더에 대한 세분화된 권한을 설정할 수 있습니다.

기본적으로 파일 게이트웨이는 NFS 또는 SMB 파일 공유를 통해 저장되는 파일 및 디렉터리에 대한 액세스를 제어하는 POSIX 권한을 지원합니다. SMB 파일 공유를 통해 저장되는 파일과 디렉터리의 경우 파일 게이트웨이를 사용하면 POSIX 권한 대신 Windows ACL을 사용하여 액세스를 제어할 수 있습니다. 이 유형의 액세스 제어는 기존 Windows 파일 공유에 대해 Windows ACL을 시뮬레이션합니다.

다음은 SMB 파일 공유에서 Windows ACL의 몇 가지 중요한 특징입니다.

  • 기본적으로 SMB 파일 공유의 Windows ACL은 활성화되어 있지 않습니다. Windows ACL을 활성화하려면 Storage Gateway SDK 또는 AWS CLI와 함께 UpdateSMBFileShare 작업을 사용하여 파일 공유에서 SmbAclEnabled 옵션을 true로 설정합니다.

  • ACL이 활성화되면 Amazon S3 객체 메타데이터에 ACL 정보가 유지됩니다.

  • 게이트웨이는 파일 또는 폴더당 최대 10개의 ACL을 유지합니다.

  • ACL이 활성화된 SMB 파일 공유를 사용하여 게이트웨이 밖에서 생성된 S3 객체에 액세스하면 객체들이 상위 폴더에서 ACL 정보를 상속합니다.

  • SMB 파일 공유용 기본 루트 ACL은 모두에게 전체 액세스 권한을 부여하지만 루트 ACL의 권한을 변경할 수 있습니다. 루트 ACL을 사용하여 파일 공유에 대한 액세스를 제어할 수 있습니다. 파일 공유를 마운트(드라이브 매핑)할 수 있는 주체와 파일 공유에서 사용자가 파일과 폴더에 대해 반복해서 받을 수 있는 권한을 설정할 수 있습니다. 그렇지만 ACL이 유지되도록 S3 버킷의 최상위 폴더에 이 권한을 설정하는 것이 좋습니다.

새 SMB 파일 공유를 생성할 때 CreateSMBFileShare API 작업을 사용하여 Windows ACL을 활성화할 수 있습니다. 또는 UpdateSMBFileShare API 작업을 사용하여 기존 SMB 파일에 Windows ACL을 활성화할 수 있습니다.

새 SMB 파일 공유에 Windows ACL 활성화

다음 단계에 따라 새 SMB 파일 공유에 Windows ACL을 활성화합니다.

SMB 파일 공유를 생성할 때 Windows ACL을 활성화하려면

  1. 파일 게이트웨이가 아직 없다면 지금 만드십시오. 자세한 내용은 파일 게이트웨이 생성 단원을 참조하십시오.

  2. 게이트웨이가 도메인에 조인되어 있지 않으면 도메인에 추가하십시오. 자세한 내용은 Active Directory를 사용하여 사용자 인증 단원을 참조하십시오.

  3. SMB 파일 공유를 생성하십시오. 자세한 내용은 파일 공유 생성 단원을 참조하십시오.

  4. Storage Gateway 콘솔에서 파일 공유의 Windows ACL을 활성화합니다.

    Storage Gateway 콘솔을 사용하여 다음을 수행할 수 있습니다.

    1. 파일 공유를 선택하고 파일 공유 편집을 선택합니다.

    2. 제어되는 파일/디렉터리 액세스 옵션에서 Windows 액세스 제어 목록을 선택합니다.

  5. (선택 사항) 파일 공유의 모든 파일과 폴더에 ACL을 업데이트할 권한을 관리자 사용자에게 부여하려면 AdminUsersList에 관리자 사용자를 추가합니다.

  6. 루트 폴더 아래에 상위 폴더의 ACL을 업데이트합니다. 그럴려면 Windows File Explorer를 사용하여 SMB 파일 공유의 폴더에 ACL을 구성합니다.

    참고

    루트 아래에 있는 상위 폴더 대신 루트에 ACL을 구성할 경우에는 ACL 권한이 Amazon S3에 유지되지 않습니다.

    파일 공유의 루트에서 직접 ACL을 설정하지 맑 파일 공유의 루트 아래에 있는 최상위 폴더에 ACL을 설정하는 것이 좋습니다. 이렇게 하면 정보가 객체 메타데이터로 Amazon S3에 유지됩니다.

  7. 상속을 적절히 활성화합니다.

    참고

    2019년 5월 8일 이후에 생성한 파일 공유의 상속을 활성화할 수 있습니다.

상속을 활성화하고 권한을 재귀적으로 업데이트하면 Storage Gateway이 S3 버킷의 모든 객체를 업데이트합니다. 버킷의 객체 수에 따라 업데이트를 완료하는 데 시간이 걸릴 수 있습니다.

기존 SMB 파일 공유에 Windows ACL 활성화

다음 단계에 따라 POSIX 권한이 있는 기존 SMB 파일 공유에 Windows ACL을 활성화합니다.

Storage Gateway 콘솔을 사용하여 기존 SMB 파일 공유에 Windows ACL을 활성화하려면

  1. 파일 공유를 선택하고 파일 공유 편집을 선택합니다.

  2. 제어되는 파일/디렉터리 액세스 옵션에서 Windows 액세스 제어 목록을 선택합니다.

  3. 상속을 적절히 활성화합니다.

    참고

    ACL을 루트 레벨에 설정하는 것은 권장하지 않습니다. 이 경우 게이트웨이를 삭제하면 ACL을 다시 재설정해야 하기 때문입니다.

상속을 활성화하고 권한을 재귀적으로 업데이트하면 Storage Gateway이 S3 버킷의 모든 객체를 업데이트합니다. 버킷의 객체 수에 따라 업데이트를 완료하는 데 시간이 걸릴 수 있습니다.

Windows ACL을 사용할 때의 제한 사항

Windows ACL을 사용하여 SMB 파일 공유에 대한 액세스를 제어할 때 다음과 같은 제한 사항을 명심해야 합니다.

  • Windows ACL은 Windows SMB 클라이언트를 사용하여 파일 공유에 액세스할 때 Active Directory용으로 활성화된 파일 공유에만 지원됩니다.

  • 파일 게이트웨이는 각 파일과 디렉터리에 대해 최대 10개의 ACL 항목을 지원합니다.

  • 파일 게이트웨이는 시스템 액세스 제어 목록(SACL) 항목인 AuditAlarm 항목은 지원하지 않습니다. 파일 게이트웨이는 임의 액세스 제어 목록(DACL) 항목인 AllowDeny 항목을 지원합니다.

  • SMB 파일 공유의 루트 ACL 설정은 게이트웨이에만 있으며, 게이트웨이 업데이트 및 재시작 시 유지됩니다.

    참고

    루트 아래에 있는 상위 폴더 대신 루트에 ACL을 구성할 경우에는 ACL 권한이 Amazon S3에 유지되지 않습니다.

    이러한 조건을 고려하여 다음을 수행해야 합니다.

    • 동일한 Amazon S3 버킷에 액세스할 여러 게이트웨이를 구성할 경우에는 각 게이트웨이마다 루트 ACL을 구성하여 권한을 유지하십시오.

    • 파일 공유를 삭제하고 동일 Amazon S3 버킷에서 다시 생성할 경우에는 동일한 루트 ACL 세트를 사용해야 합니다.