Activar Windows ACLs en un nuevo recurso compartido de archivos SMB Activación de Windows ACLs en un recurso compartido de archivos SMB existente Limitaciones del uso de Windows ACLs

Uso de Windows ACLs para limitar el acceso a los archivos compartidos en pequeñas y medianas empresas

La puerta de enlace de archivos Amazon S3 admite dos métodos diferentes para controlar el acceso a los archivos y directorios que se almacenan a través de un recurso compartido de archivos SMB: permisos POSIX o Windows. ACLs

En esta sección se describe cómo utilizar las listas de control de acceso (ACLs) de Microsoft Windows en los recursos compartidos de archivos SMB que utilizan Microsoft Active Directory (AD) para la autenticación. Con Windows ACLs, puede establecer permisos detallados en los archivos y carpetas del recurso compartido de archivos SMB.

A continuación se indican algunas características importantes de Windows ACLs en los recursos compartidos de archivos SMB:

Windows ACLs se selecciona de forma predeterminada para los recursos compartidos de archivos SMB cuando la puerta de enlace de archivos se une a un dominio de Active Directory.
Cuando ACLs se activan, la información de ACL se conserva en los metadatos del objeto de Amazon S3.
La puerta de enlace conserva hasta 10 ACLs por archivo o carpeta.
Cuando se utiliza un recurso compartido de archivos SMB con el acceso ACLs activado a los objetos de S3 creados fuera de la puerta de enlace, los objetos ACLs «heredan» la información de la carpeta principal.

nota

La ACL raíz predeterminada de un recurso compartido de archivos SMB concede acceso completo a todo el mundo, pero es posible cambiar los permisos de la ACL raíz. Puede usar la raíz ACLs para controlar el acceso al recurso compartido de archivos. Puede establecer quién puede montar el recurso compartido de archivos (mapear la unidad) y los permisos que obtiene el usuario de forma recursiva para los archivos y las carpetas del recurso compartido de archivos. Sin embargo, le recomendamos que defina este permiso en la carpeta de nivel superior del bucket de S3 para que se conserve la ACL.

Puede activar Windows ACLs al crear un nuevo recurso compartido de archivos SMB mediante la operación de API Create SMBFile Share. O bien, puede activar Windows ACLs en un recurso compartido de archivos SMB existente mediante la operación de API Update SMBFile Share.

Activar Windows ACLs en un nuevo recurso compartido de archivos SMB

Realice los siguientes pasos para activar Windows ACLs en un nuevo recurso compartido de archivos SMB.

Para activar Windows ACLs al crear un nuevo recurso compartido de archivos SMB

Cree una gateway de archivos si todavía no tiene una. Para obtener más información, consulte Creación de la puerta de enlace.
Si la gateway no se ha unido a un dominio, añádala a un dominio. Para obtener más información, consulte Uso de Active Directory para autenticar usuarios.
Cree un recurso compartido de archivos SMB. Para obtener más información, consulte
Active Windows ACLs en el recurso compartido de archivos desde la consola Storage Gateway.

Para usar la consola Storage Gateway, haga lo siguiente:
1. Elija el recurso compartido de archivos y elija Edit file share (Editar recurso compartido de archivos).
2. Para la opción File/directory access controlled by (Acceso de archivo/directorio controlado por) elija Windows Access Control List (Lista de control de acceso de Windows).
(Opcional) Agregue un usuario administrador a AdminUsersList, si desea que el usuario administrador tenga privilegios para actualizar todos ACLs los archivos y carpetas del recurso compartido de archivos.

nota
Si ha configurado las listas de usuarios y grupos permitidos y denegados en la configuración del recurso compartido de archivos SMB, no ACLs concederá ningún acceso que invalide esas listas.
Las listas de usuarios y grupos permitidos y denegados se evalúan previamente ACLs y controlan qué usuarios pueden montar el recurso compartido de archivos o acceder a él. Si se incluye algún usuario o grupo en la lista de permitidos, la lista se considera activa y solo esos usuarios pueden montar el recurso compartido de archivos.
Una vez que un usuario haya montado un recurso compartido de archivos, ofrezca una protección más detallada que ACLs controle a qué archivos o carpetas específicos puede acceder el usuario.
Actualice ACLs las carpetas principales de la carpeta raíz. Para ello, utilice el Explorador de archivos de Windows para configurar ACLs las carpetas del recurso compartido de archivos SMB.

nota
Si configura la carpeta raíz ACLs en lugar de la carpeta principal situada debajo de la raíz, los permisos de ACL no se conservan en Amazon S3.

Recomendamos configurarlos ACLs en la carpeta de nivel superior situada debajo de la raíz del recurso compartido de archivos, en lugar de configurarlos ACLs directamente en la raíz del recurso compartido de archivos. Este enfoque conserva la información como metadatos de objetos en Amazon S3.
Active la herencia según corresponda.

nota
Puedes activar la herencia en los archivos compartidos creados después del 8 de mayo de 2019.

Si activas la herencia y actualizas los permisos de forma recursiva, Storage Gateway actualiza todos los objetos del bucket de S3. En función del número de objetos del bucket, la actualización puede tardar un tiempo en completarse.

Activación de Windows ACLs en un recurso compartido de archivos SMB existente

Siga los siguientes pasos para activar Windows ACLs en un recurso compartido de archivos SMB existente que tenga permisos POSIX.

Para activar Windows ACLs en un recurso compartido de archivos SMB existente mediante la consola Storage Gateway

Elija el recurso compartido de archivos y elija Edit file share (Editar recurso compartido de archivos).
Para la opción File/directory access controlled by (Acceso de archivo/directorio controlado por) elija Windows Access Control List (Lista de control de acceso de Windows).
Active la herencia según corresponda.

nota
No recomendamos configurarlo ACLs en el nivel raíz, ya que si lo haces y eliminas la puerta de enlace, tendrás que ACLs volver a restablecerla.

Limitaciones del uso de Windows ACLs

Tenga en cuenta las siguientes limitaciones cuando utilice Windows ACLs para controlar el acceso a los recursos compartidos de archivos SMB:

Windows solo ACLs se admite en los recursos compartidos de archivos que utilizan Active Directory para la autenticación cuando se utilizan clientes SMB de Windows para acceder a los recursos compartidos de archivos.
Las gateways de archivos admiten un máximo de 10 entradas de ACL para cada archivo y directorio.
Las puertas de enlace de archivos no admiten Audit Alarm entradas, que son entradas de la lista de control de acceso al sistema (SACL). Las puertas de enlace de archivos admiten Allow Deny entradas, que son entradas de la lista de control de acceso discrecional (DACL).
Las pasarelas de archivos no admiten los permisos de entrada de control de acceso avanzado (ACE).
La configuración de la ACL raíz de los recursos compartidos de archivos SMB solo se realiza en la puerta de enlace, y los ajustes se conservan si se actualiza o se reinicia la puerta de enlace.

nota
Si configura la carpeta raíz ACLs en lugar de la carpeta principal situada debajo de la raíz, los permisos de ACL no se conservan en Amazon S3.

Teniendo en cuenta estas condiciones, asegúrese de hacer lo siguiente:
- Si configura varias puertas de enlace para acceder al mismo bucket de Amazon S3, configure la ACL raíz en cada una de las puertas de enlace para mantener la coherencia de los permisos.
- Si eliminas un archivo compartido y lo vuelves a crear en el mismo bucket de Amazon S3, asegúrate de usar el mismo conjunto de root ACLs.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Uso de etiquetas para controlar el acceso a los recursos de

Validación de conformidad