Usar as ACLs do Microsoft Windows para controlar o acesso a um compartilhamento de arquivos SMB - AWSStorage Gateway
Como habilitar ACLs do Windows em um novo compartilhamento de arquivos SMBComo habilitar ACLs do Windows em um compartilhamento de arquivos SMB existenteLimitações de uso de ACLs do Windows

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar as ACLs do Microsoft Windows para controlar o acesso a um compartilhamento de arquivos SMB

O Amazon S3 File Gateway oferece suporte a dois métodos diferentes para controlar o acesso a arquivos e diretórios armazenados por meio de um compartilhamento de arquivos SMB: Permissões POSIX ou ACLs do Windows.

Nesta seção, você pode encontrar informações sobre como usar listas de controle de acesso (ACLs) do Microsoft Windows em compartilhamentos de arquivos SMB habilitados com o Microsoft Active Directory (AD). Ao usar ACLs do Windows, você pode definir permissões refinadas em arquivos e pastas no seu compartilhamento de arquivos SMB.

Veja a seguir algumas características importantes de ACLs do Windows em compartilhamentos de arquivos SMB:

  • As ACLs do Windows são selecionadas por padrão para compartilhamentos de arquivos SMB quando o Gateway de arquivos é associado a um domínio do Active Directory.

  • Quando as ACLs são habilitadas, as informações da ACL são mantidas em metadados de objeto do Amazon S3.

  • O gateway preserva até 10 ACLs por arquivo ou pasta.

  • Quando você usa um compartilhamento de arquivos SMB ativado com ACLs para acessar objetos do S3 criados fora de seu gateway, os objetos herdam as informações das ACLs da pasta pai.

  • A ACL raiz padrão para um compartilhamento de arquivos SMB fornece acesso total a todos os usuários, mas você pode alterar as permissões da ACL raiz. É possível usar ACLs raiz para controlar o acesso ao compartilhamento de arquivos. Você pode definir quem pode montar o compartilhamento de arquivos (mapear a unidade) e quais permissões o usuário recebe para os arquivos e as pastas recursivamente no compartilhamento de arquivos. No entanto, recomendamos que definir essa permissão na pasta de nível superior no bucket do S3 para que sua ACL seja mantida.

Você pode ativar as ACLs do Windows quando cria um novo compartilhamento de arquivos CMB usando a operação de API CreateSMBFileShare. Ou você pode ativar as ACLs do Windows em um compartilhamento de arquivos SMB existente usando a operação de API UpdateSMBFileShare.

Como habilitar ACLs do Windows em um novo compartilhamento de arquivos SMB

Execute as seguintes etapas para habilitar as ACLs do Windows em um novo compartilhamento de arquivos SMB.

Para habilitar as ACLs do Windows ao criar um novo compartilhamento de arquivos SMB

  1. Crie um gateway de arquivos se você ainda não tiver um. Para obter mais informações, consulte .

  2. Se o gateway não tiver ingressado em um domínio, adicione-o a um domínio. Para obter mais informações, consulte .

  3. Crie um compartilhamento de arquivos SMB.

  4. Habilite a ACL do Windows no compartilhamento de arquivos no console do Storage Gateway.

    Para usar o console do Storage Gateway, faça o seguinte:

    1. Escolha o compartilhamento de arquivos e selecione Edit file share (Editar o compartilhamento de arquivos).

    2. Para a opção File/directory access controlled by (Acesso a arquivo/diretório controlado por), selecione Windows Access Control List (Lista de controle de acesso do Windows).

  5. (Opcional) Adicione um usuário administrador à AdminUsersList, se você quiser que o usuário administrador tenha privilégios para atualizar as ACLs em todos os arquivos e pastas no compartilhamento de arquivos.

  6. Atualize as ACLs das pastas pai na pasta raiz. Para fazer isso, use o Explorador de Arquivos do Windows para configurar as ACLs em pastas no compartilhamento de arquivos SMB.

    nota

    Se você configurar as ACLs na raiz em vez de na pasta pai na raiz, as permissões da ACL não serão mantidas no Amazon S3.

    Recomendamos definir ACLs na pasta de nível superior na raiz do seu compartilhamento de arquivos, em vez de definir ACLs diretamente na raiz do compartilhamento de arquivos. Essa abordagem mantém as informações como metadados de objeto no Amazon S3.

  7. Habilite a herança conforme apropriado.

    nota

    Você pode Habilitar a herança para compartilhamentos de arquivos criados após 8 de maio de 2019.

Se você habilitar a herança e atualizar as permissões recursivamente, o Storage Gateway atualizará todos os objetos no bucket do S3. Dependendo do número de objetos no bucket, a atualização pode demorar um pouco para ser concluída.

Como habilitar ACLs do Windows em um compartilhamento de arquivos SMB existente

Execute as seguintes etapas para habilitar ACLs do Windows em um compartilhamento de arquivos SMB existente com permissões POSIX.

Como habilitar as ACLs do Windows em um compartilhamento de arquivos SMB existente usando o console do Storage Gateway

  1. Escolha o compartilhamento de arquivos e selecione Edit file share (Editar o compartilhamento de arquivos).

  2. Para a opção File/directory access controlled by (Acesso a arquivo/diretório controlado por), selecione Windows Access Control List (Lista de controle de acesso do Windows).

  3. Habilite a herança conforme apropriado.

    nota

    Não recomendamos definir as ACLs no nível raiz porque, se você fizer isso e excluir seu gateway, precisará redefinir as ACLs novamente.

Se você habilitar a herança e atualizar as permissões recursivamente, o Storage Gateway atualizará todos os objetos no bucket do S3. Dependendo do número de objetos no bucket, a atualização pode demorar um pouco para ser concluída.

Limitações de uso de ACLs do Windows

Mantenha os seguintes limites em mente ao usar as ACLs do Windows para controlar o acesso a compartilhamentos de arquivos SMB:

  • As ACLs do Windows são compatíveis somente com compartilhamentos de arquivos que são habilitados para o Active Directory ao usar clientes do Windows SMB para acessar os compartilhamentos de arquivos.

  • Os gateways de arquivos comportam um máximo de 10 entradas de ACL para cada arquivo e diretório.

  • Os gateways de arquivos não oferecem suporte aoAuditeAlarmAs entradas, que são entradas da lista de controle de acesso do sistema (SACL). Os gateways de arquivos são compatíveis com as entradas Allow e Deny, que são entradas discricionárias de lista de controle de acesso (DACL).

  • As configurações de ACL raiz de compartilhamentos de arquivos SMB estão apenas no gateway, e as configurações são mantidas em atualizações e reinicializações de gateway.

    nota

    Se você configurar as ACLs na raiz em vez de na pasta pai na raiz, as permissões da ACL não serão mantidas no Amazon S3.

    Dadas essas condições, faça o seguinte:

    • Se você configurar vários gateways para acessar o mesmo bucket do Amazon S3, configure a ACL raiz em cada um dos gateways para manter as permissões consistentes.

    • Se você excluir um compartilhamento de arquivos e recriá-lo no mesmo bucket do Amazon S3, use o mesmo conjunto de ACLs raiz.