Configuración de transferencias AWS DataSync con un servidor de archivos SMB - AWS DataSync
Proporcionar acceso DataSync a servidores de archivos SMBCreación de la ubicación de transferencia de SMB

Configuración de transferencias AWS DataSync con un servidor de archivos SMB

ConAWS DataSync, puede transferir datos entre su servidor de archivos de Server Message Block (SMB) y uno de los siguientes servicios de AWS almacenamiento:

Para configurar este tipo de transferencia, cree una ubicación de transferencia para su servidos de archivos de SMB. Puede usar esto como origen o destino de la transferencia.

Proporcionar acceso DataSync a servidores de archivos SMB

DataSync se conecta a su servidor de archivos mediante el protocolo SMB y se puede autenticar con NTLM o Kerberos.

Versiones compatibles de SMB

De forma predeterminada, DataSync elige automáticamente una versión del protocolo SMB en función de la negociación con el servidor de archivos SMB.

Además, puede configurar DataSync para que utilice una versión de SMB específica; sin embargo, recomendamos que lo haga solo si DataSync tiene problemas para negociar de manera automática con el servidor de archivos SMB. DataSync admite las versiones 1.0 y posteriores de SMB. Por motivos de seguridad, se recomienda utilizar SMB versión 3.0.2 o posterior. Las versiones anteriores, como SMB 1.0, contienen vulnerabilidades de seguridad conocidas que los atacantes pueden explotar para comprometer los datos.

Consulte la siguiente tabla para ver una lista de opciones en la consola y la API de DataSync:

Opción de la consola Opción de la API Descripción
Automático

AUTOMATIC

DataSync y el servidor de archivos SMB negocian la versión más alta de SMB que ambos admiten entre 2.1 y 3.1.1.

Esta es la opción predeterminada y recomendada. Si, por el contrario, elige una versión específica que el servidor de archivos no admite, es posible que aparezca un error Operation Not Supported.

SMB 3.0.2

SMB3

Restringe la negociación del protocolo solo a la versión 3.0.2 de SMB.
SMB 2.1

SMB2

 Restringe la negociación del protocolo solo a la versión 2.1 de SMB.
SMB 2.0

SMB2_0

 Restringe la negociación del protocolo solo a la versión 2.0 de SMB.
SMB 1.0

SMB1

 Restringe la negociación del protocolo solo a la versión 1.0 de SMB.

Uso de la autenticación NTLM

Para utilizar la autenticación NTLM, proporcione un nombre de usuario y una contraseña que permitan a DataSync acceder al servidor de archivos SMB utilizado como origen o destino de la transferencia. El usuario puede ser un usuario local del servidor de archivos o un usuario de dominio en Microsoft Active Directory.

Uso de la autenticación Kerberos

Para utilizar la autenticación Kerberos, proporcione una entidad principal de Kerberos, un archivo de tabla de claves de Kerberos (keytab) y un archivo de configuración de Kerberos que permitan a DataSync acceder al servidor de archivos SMB utilizado como origen o destino de la transferencia.

Requisitos previos

Debe crear algunos artefactos de Kerberos y configurar la red para que DataSync pueda acceder al servidor de archivos SMB.

  • Cree un archivo keytab de Kerberos mediante la utilidad ktpass o kutil.

    El siguiente ejemplo crea un archivo keytab mediante ktpass. El dominio (realm) de Kerberos (MYDOMAIN.ORG) que especifique debe estar en mayúsculas.

    ktpass /out C:\YOUR_KEYTAB.keytab /princ HOST/kerberosuser@MYDOMAIN.ORG /mapuser kerberosuser /pass * /crypto AES256-SHA1 /ptype KRB5_NT_PRINCIPAL

  • Prepare una versión simplificada del archivo de configuración de Kerberos (krb5.conf). Incluya información sobre el dominio de Kerberos (realm), la ubicación de los servidores administradores del dominio, y las asignaciones de nombres de host al dominio (realm) de Kerberos.

    Verifique que el contenido krb5.conf tenga el formato adecuado con el uso correcto de mayúsculas y minúsculas mixtas para los dominios (realms) y los nombres de dominio del dominio (realm). Por ejemplo:

    [libdefaults] 
  dns_lookup_realm = true 
  dns_lookup_kdc = true 
  forwardable = true 
  default_realm = MYDOMAIN.ORG

[realms] 
  MYDOMAIN.ORG = { 
    kdc = mydomain.org 
    admin_server = mydomain.org 
  }

[domain_realm] 
  .mydomain.org = MYDOMAIN.ORG 
  mydomain.org = MYDOMAIN.ORG

  • En la configuración de red, asegúrese de que el puerto del servidor del Centro de distribución de claves de Kerberos (KDC) esté abierto. El puerto del KDC suele ser el puerto TCP 88.

Opciones de configuración de DataSync para Kerberos

Al crear una ubicación SMB que utilice Kerberos, configure las siguientes opciones.

Opción de la consola Opción de la API Descripción

Servidor SMB

ServerHostName

El nombre de dominio del servidor de archivos SMB que el agente de DataSync montará. Con Kerberos, no puede especificar la dirección IP del servidor de archivos.

Entidad principal de Kerberos

KerberosPrincipal

Una identidad en el dominio (realm) de Kerberos que tiene permiso para acceder a los archivos, las carpetas y los metadatos de archivos en el servidor de archivos SMB.

Una entidad principal de Kerberos puede tener un formato similar a HOST/kerberosuser@MYDOMAIN.ORG.

Los nombres de las entidades principales distinguen entre mayúsculas y minúsculas.

Archivo keytab

KerberosKeytab

Un archivo de tabla de claves de Kerberos (keytab) que incluye asignaciones entre la entidad principal de Kerberos y las claves de cifrado.

Archivo de configuración de Kerberos

KerberosKrbConf

Un archivo krb5.conf que define la configuración del dominio (realm) de Kerberos.

Direcciones IP de DNS (opcional)

DnsIpAddresses

Las direcciones IPv4 de los servidores DNS a los que pertenece el servidor de archivos SMB.

Si tiene varios dominios en el entorno, configurar esta opción garantiza que DataSync se conecte al servidor de archivos SMB correcto.

Permisos necesarios

La identidad que proporcione a DataSync debe tener permiso para montar y acceder a los archivos, las carpetas y los metadatos de archivos del servidor de archivos SMB.

Si proporciona una identidad en el Active Directory, debe ser miembro de un grupo de Active Directory con uno o ambos de los siguientes derechos de usuario (según los metadatos que desee que DataSync copie):

Derecho de usuario Descripción

Restaurar archivos y directorios (SE_RESTORE_NAME)

Permite a DataSync copiar la propiedad de los objetos, los permisos, los metadatos de los archivos y las listas de acceso discrecional (DACL) de NTFS.

Este derecho de usuario se suele conceder a los miembros de los grupos Domain Admins y Backup Operators (ambos grupos predeterminados de Active Directory).

Administre el registro de auditoría y seguridad (SE_SECURITY_NAME)

Permite a DataSync copiar listas de control de acceso al sistema (SACL) de NTFS.

Este derecho de usuario se suele conceder a los miembros del grupo de administradores de dominio.

Si desea copiar ACL de Windows y transfiere datos entre un servidor de archivos SMB y otro sistema de almacenamiento que utiliza SMB (como Amazon FSx para Windows File Server o FSx para ONTAP), la identidad que proporcione a DataSync debe pertenecer al mismo dominio de Active Directory o existir una relación de confianza de Active Directory entre los dominios.

Espacios de nombres de DFS

DataSync no admite los espacios de nombres del Sistema de archivos distribuido (DFS) de Microsoft. En su lugar, le recomendamos que especifique un servidor de archivos subyacente o un recurso compartido al crear la ubicación de DataSync.

Creación de la ubicación de transferencia de SMB

Antes de empezar, necesita un servidor de archivos SMB desde el que quiera transferir datos.

  1. Abra la consola de AWS DataSync en https://console.aws.amazon.com/datasync/.

  2. En el panel de navegación situado a la izquierda, expanda Transferencia de datos y, a continuación, seleccione Ubicaciones y Crear ubicación.

  3. En Location type (Tipo de ubicación), elija Server Message Block (SMB).

    Puede configurar esta ubicación como origen o destino posteriormente.

  4. En Agentes, elija el agente de DataSync que puede conectarse al servidor de archivos SMB.

    Puede elegir más de un agente. Para obtener más información, consulte Uso de múltiples agentes de DataSync.

  5. En servidor SMB, introduzca el nombre de dominio o la dirección IP del servidor de archivos SMB que el agente de DataSync montará.

    Tenga en cuenta lo siguiente con esta configuración:

    • No puede especificar una dirección IP de versión 6 (IPv6).

    • Si utiliza autenticación Kerberos, debe especificar un nombre de dominio.

  6. En Nombre de recurso compartido, especifique el nombre del recurso compartido exportado por el servidor de archivos SMB donde DataSync leerá o escribirá los datos.

    Puede incluir un subdirectorio en la ruta del recurso compartido (por ejemplo, /path/to/subdirectory). Asegúrese de que otros clientes de SMB de la red también puedan montar esta ruta.

    Para copiar todos los datos en el subdirectorio, DataSync debe poder montar el recurso compartido de SMB y acceder a todos sus datos. Para obtener más información, consulte Permisos necesarios.

  7. (Opcional) Expanda Configuración adicional y elija una versión de SMB específica para que DataSync la utilice al acceder al servidor de archivos.

    De forma predeterminada, DataSync elige automáticamente una versión en función de la negociación con el servidor de archivos SMB. Para obtener más información, consulte Versiones compatibles de SMB.

  8. En Tipo de autenticación, seleccione NTLM o Kerberos.

  9. Realice una de las siguientes acciones según el tipo de autenticación:

    NTLM

    • En Usuario, especifique el nombre del usuario que puede montar su servidor de archivos SMB y que tiene permiso para acceder a los archivos y carpetas que intervienen en la transferencia.

      Para obtener más información, consulte Permisos necesarios.

    • En Contraseña, introduzca la contraseña del usuario que puede montar su servidor de archivos SMB y que tiene los permisos para acceder a los archivos y carpetas que intervienen en la transferencia.

    • (Opcional) En Dominio, ingrese el nombre del dominio de Windows al que pertenece su servidor de archivos SMB.

      Si tiene varios dominios en su entorno, al configurar este ajuste garantiza que DataSync se conecte al servidor de archivos correcto de SMB.

    Kerberos

    • En Entidad principal de Kerberos, especifique una entidad principal en el dominio (realm) de Kerberos que tenga permiso para acceder a los archivos, las carpetas y los metadatos de archivos del servidor de archivos SMB.

      Una entidad principal de Kerberos puede tener un formato similar a HOST/kerberosuser@MYDOMAIN.ORG.

      Los nombres de las entidades principales distinguen entre mayúsculas y minúsculas. La ejecución de la tarea de DataSync fallará si la entidad principal que especifique para esta configuración no coincide exactamente con la entidad principal que utilizó para crear el archivo keytab.

    • En Archivo keytab, cargue un archivo keytab que incluya las asignaciones entre la entidad principal de Kerberos y las claves de cifrado.

    • En Archivo de configuración de Kerberos, cargue un archivo krb5.conf que defina la configuración del dominio (realm) de Kerberos.

    • (Opcional) En Direcciones IP de DNS, especifique hasta dos direcciones IPv4 de los servidores DNS a los que pertenece el servidor de archivos SMB.

      Si el entorno incluye varios dominios, la configuración de este parámetro garantiza que DataSync se conecte al servidor de archivos SMB correcto.

  10. (Opcional) Seleccione Añadir etiqueta para etiquetar su ubicación de SMB.

    Las etiquetas son pares de clave-valor que le ayudan a administrar, filtrar y buscar sus recursos de DataSync. Le recomendamos crear al menos una etiqueta de nombre para su ubicación.

  11. Seleccione Crear ubicación.

Las siguientes instrucciones describen cómo crear ubicaciones SMB con autenticación NTLM o Kerberos.

NTLM

  1. Copie el siguiente comando create-location-smb.

    aws datasync create-location-smb \
    --agent-arns datasync-agent-arns \
    --server-hostname smb-server-address \
    --subdirectory smb-export-path \
    --authentication-type "NTLM" \
    --user user-who-can-mount-share \
    --password user-password \
    --domain windows-domain-of-smb-server

  2. En --agent-arns, especifique el agente de DataSync que se puede conectar al servidor de archivos SMB.

    Puede elegir más de un agente. Para obtener más información, consulte Uso de múltiples agentes de DataSync.

  3. En --server-hostname, especifique el nombre de dominio o la dirección IPv4 del servidor de archivos SMB que el agente de DataSync montará.

  4. En --subdirectory, especifique el nombre del recurso compartido exportado por el servidor de archivos SMB donde DataSync leerá o escribirá datos.

    Puede incluir un subdirectorio en la ruta del recurso compartido (por ejemplo, /path/to/subdirectory). Asegúrese de que otros clientes de SMB de la red también puedan montar esta ruta.

    Para copiar todos los datos en el subdirectorio, DataSync debe poder montar el recurso compartido de SMB y acceder a todos sus datos. Para obtener más información, consulte Permisos necesarios.

  5. En --user, especifique un nombre de usuario que pueda montar el servidor de archivos SMB y que tenga permiso para acceder a los archivos y carpetas implicados en la transferencia.

    Para obtener más información, consulte Permisos necesarios.

  6. En --password, especifique la contraseña del usuario que puede montar el servidor de archivos SMB y que tiene permiso para acceder a los archivos y carpetas implicados en la transferencia.

  7. (Opcional) En --domain, especifique el nombre del dominio de Windows al que pertenece el servidor de archivos SMB.

    Si tiene varios dominios en su entorno, al configurar este ajuste garantiza que DataSync se conecte al servidor de archivos correcto de SMB.

  8. (Opcional) Agregue la opción --version si desea que DataSync utilice una versión específica de SMB. Para obtener más información, consulte Versiones compatibles de SMB.

  9. Ejecute el comando create-location-smb.

    Si el comando se ejecuta correctamente, recibirá una respuesta que le mostrará el ARN de la ubicación que creó. Por ejemplo:

    {
    "arn:aws:datasync:us-east-1:123456789012:location/loc-01234567890example"
}
Kerberos

  1. Copie el siguiente comando create-location-smb.

    aws datasync create-location-smb \
    --agent-arns datasync-agent-arns \
    --server-hostname smb-server-address \
    --subdirectory smb-export-path \
    --authentication-type "KERBEROS" \
    --kerberos-principal "HOST/kerberosuser@EXAMPLE.COM" \
    --kerberos-keytab "fileb://path/to/file.keytab" \
    --kerberos-krb5-conf "file://path/to/krb5.conf" \
    --dns-ip-addresses array-of-ipv4-addresses

  2. En --agent-arns, especifique el agente de DataSync que se puede conectar al servidor de archivos SMB.

    Puede elegir más de un agente. Para obtener más información, consulte Uso de múltiples agentes de DataSync.

  3. En --server-hostname, especifique el nombre de dominio del servidor de archivos SMB que el agente de DataSync montará.

  4. En --subdirectory, especifique el nombre del recurso compartido exportado por el servidor de archivos SMB donde DataSync leerá o escribirá datos.

    Puede incluir un subdirectorio en la ruta del recurso compartido (por ejemplo, /path/to/subdirectory). Asegúrese de que otros clientes de SMB de la red también puedan montar esta ruta.

    Para copiar todos los datos en el subdirectorio, DataSync debe poder montar el recurso compartido de SMB y acceder a todos sus datos. Para obtener más información, consulte Permisos necesarios.

  5. Para las opciones de Kerberos, realice lo siguiente:

    • --kerberos-principal: especifique una entidad principal en el dominio (realm) de Kerberos que tenga permiso para acceder a los archivos, las carpetas y los metadatos de archivos del servidor de archivos SMB.

      Una entidad principal de Kerberos puede tener un formato similar a HOST/kerberosuser@MYDOMAIN.ORG.

      Los nombres de las entidades principales distinguen entre mayúsculas y minúsculas. La ejecución de la tarea de DataSync fallará si la entidad principal que especifique para esta opción no coincide exactamente con la entidad principal que utilizó para crear el archivo keytab.

    • --kerberos-keytab: especifique un archivo keytab que incluya las asignaciones entre la entidad principal de Kerberos y las claves de cifrado.

    • --kerberos-krb5-conf: especifique un archivo krb5.conf que defina la configuración del dominio (realm) de Kerberos.

    • (Opcional) --dns-ip-addresses: especifique hasta dos direcciones IPv4 de los servidores DNS a los que pertenece el servidor de archivos SMB.

      Si el entorno incluye varios dominios, la configuración de este parámetro garantiza que DataSync se conecte al servidor de archivos SMB correcto.

  6. (Opcional) Agregue la opción --version si desea que DataSync utilice una versión específica de SMB. Para obtener más información, consulte Versiones compatibles de SMB.

  7. Ejecute el comando create-location-smb.

    Si el comando se ejecuta correctamente, recibirá una respuesta que le mostrará el ARN de la ubicación que creó. Por ejemplo:

    {
    "arn:aws:datasync:us-east-1:123456789012:location/loc-01234567890example"
}