使用 Microsoft Windows ACL 來控制 SMB 檔案共享的存取 - AWSStorage Gateway
在新 SMB 檔案共享上啟用 Windows ACL在現有 SMB 檔案共享上啟用 Windows ACL使用 Windows ACL 時的限制

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Microsoft Windows ACL 來控制 SMB 檔案共享的存取

Amazon S3 檔案 Gateway 支援兩種不同的方法,來控制透過 SMB 檔案共享存放之檔案和目錄的存取權:POSIX 權限或視窗 ACL。

在本節中,您可以找到如何在已啟用 Microsoft Active Directory (AD) 的 SMB 檔案共享上,使用 Microsoft Windows 存取控制清單 (ACL) 的相關資訊。使用 Windows ACL,您可以在 SMB 檔案共享的檔案和資料夾上設定精確的許可。

以下是 SMB 檔案共享上 Windows ACL 的一些重要的特性:

  • 當文件網關加入到活動目錄域時,默認情況下為 SMB 文件共享選擇 Windows ACL。

  • ACL 啟用時,ACL 資訊會保留在 Amazon S3 物件中繼資料。

  • 針對每個檔案或資料夾,閘道最多保留 10 個 ACL。

  • 使用已啟用 ACL 的 SMB 檔案共享來存取在閘道外部建立的 S3 物件時,物件會繼承父資料夾的 ACL 資訊。

  • SMB 檔案共享的預設根 ACL 提供完整存取權限給每個人,但您可以變更根 ACL 的許可。您可以使用根 ACL 來控制檔案共享的存取。您可以設定誰可以掛載檔案共享 (映射磁碟機),以及使用者在檔案共享中以遞迴方式可對檔案和資料夾取得那些許可。不過,我們建議您在 S3 儲存貯體的最上層資料夾設定此許可,如此可以保存您的 ACL。

當您使用 CreateSMBFileShare API 操作建立新的 SMB 檔案共享時,可以啟用 Windows ACL。或者,您也可以使用 UpdateSMBFileShare API 操作,在現有的 SMB 檔案共享上啟用 Windows ACL。

在新 SMB 檔案共享上啟用 Windows ACL

請依照下列步驟,在新的 SMB 檔案共享上啟用 Windows ACL。

若要建立新 SMB 檔案共享時啟用 Windows ACL

  1. 如果您還沒有檔案閘道,請建立一個。如需詳細資訊,請參閱 。

  2. 如果閘道尚未加入網域,請將其新增到網域。如需詳細資訊,請參閱 。

  3. 建立 SMB 檔案共享。

  4. 從 Storage Gateway 主控台在檔案共享上啟用 Windows ACL。

    若要使用 Storage Gateway 主控台,請執行下列動作:

    1. 選擇檔案共享,然後選擇 Edit file share (編輯檔案共享)

    2. 對於 File/directory access controlled by (檔案/目錄存取控制者) 選項,選擇 Windows Access Control List (Windows 存取控制清單)

  5. (選用) 如果您希望管理員使用者具有更新檔案共享中所有檔案和資料夾之 ACL 的權限,請新增管理員使用者到 AdminUsersList

  6. 更新根資料夾下方父資料夾的 ACL。若要這樣做,請使用 Windows 檔案總管在 SMB 檔案共享的資料夾上設定 ACL。

    注意

    如果您在根資料夾上設定 ACL,而非在根下方的父資料夾上設定,ACL 許可不會保留在 Amazon S3 中。

    我們建議在檔案共享根目錄的最上層資料夾設定 ACL,而不是在檔案共享的根目錄直接設定 ACL。這種方法會將資訊保存為 Amazon S3 中的物件中繼資料。

  7. 視需要啟用繼承。

    注意

    您可以為 2019 年 5 月 8 日之後建立的檔案共享啟用繼承。

如果您啟用繼承並以遞迴方式遞迴更新許可,Storage Gateway 會更新 S3 儲存貯體中的所有物件。根據儲存貯體中的物件數量,更新可能作需要一些時間才能完成。

在現有 SMB 檔案共享上啟用 Windows ACL

請依照下列步驟,在具有 POSIX 許可的現有 SMB 檔案共享上啟用 Windows ACL。

若要使用 Storage Gateway 道主控台在現有 SMB 檔案共享上啟用 Windows ACL

  1. 選擇檔案共享,然後選擇 Edit file share (編輯檔案共享)

  2. 對於 File/directory access controlled by (檔案/目錄存取控制者) 選項,選擇 Windows Access Control List (Windows 存取控制清單)

  3. 視需要啟用繼承。

    注意

    我們不建議您在根層級設定 ACL,因為如果您這麼做並刪除了閘道,您需要再次重設 ACL。

如果您啟用繼承並以遞迴方式遞迴更新許可,Storage Gateway 會更新 S3 儲存貯體中的所有物件。根據儲存貯體中的物件數量,更新可能作需要一些時間才能完成。

使用 Windows ACL 時的限制

使用 Windows ACL 來控制 SMB 檔案共享的存取時,請謹記下列限制:

  • 當您使用 Windows SMB 用戶端來存取檔案共享時,Windows ACL 僅支援啟用 Active Directory 的檔案共享。

  • 針對每個檔案和目錄,檔案閘道最多支援 10 個 ACL 項目。

  • 檔案 Gateway 不支援AuditAlarm項目,這是系統存取控制清單 (SACL) 項目。檔案閘道支援 AllowDeny 項目,這是判別式存取控制清單 (DACL) 項目。

  • SMB 檔案共享的根 ACL 設定只位於閘道上,並且此設定會在閘道更新和重新啟動之間持續存在。

    注意

    如果您在根資料夾上設定 ACL,而非在根下方的父資料夾上設定,ACL 許可不會保留在 Amazon S3 中。

    在這些條件下,請務必執行下列動作:

    • 如果您設定多個閘道存取相同的 Amazon S3 儲存貯體,請在每個閘道上設定根 ACL 以保持許可一致性。

    • 如果您刪除檔案共享並在相同的 Amazon S3 儲存貯體上重新建立,請確保您使用相同的根 ACL 設定。