カスタム設定で SMB ファイル共有を作成する - AWS Storage Gateway

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

カスタム設定で SMB ファイル共有を作成する

カスタム設定でサーバーメッセージブロック (SMB) ファイル共有を作成するには、次の手順を使用します。デフォルト設定で SMB ファイル共有を作成するには、「デフォルト設定を使用して SMB ファイル共有を作成する」を参照してください。

重要

ファイルゲートウェイからデータをアップロードするときに S3 バージョニング、クロスリージョンレプリケーション、または Rsync ユーティリティを使用すると、コストに大きな影響が生じる可能性があります。詳細については、「ファイルゲートウェイからデータをアップロードする際の予期しないコストを回避する」を参照してください。

前提条件

ファイル共有を作成する前に、次の作業を行います。

カスタマイズされた設定で SMB ファイル共有を作成するには

  1. https://console.aws.amazon.com/storagegateway/home/ で AWS Storage Gateway コンソールを開き、左側のナビゲーションペインからファイル共有を選択します。

  2. [ファイル共有の作成] を選択します。

  3. [設定をカスタマイズ] を選択します。このページの他のフィールドは無視できます。以降のステップで、ゲートウェイ、プロトコル、ストレージの設定を行うように求められます。

  4. [ゲートウェイ] では、ドロップダウンリストから Amazon S3 ファイルゲートウェイを選択します。

  5. CloudWatch ロググループでは、ドロップダウンリストから次のいずれかを選択します。

    • [ログの無効化] をクリックして、ログ記録をオフにします。

    • このファイル共有の新しいロググループを自動的に作成するには、[Storage Gateway で作成] を選択します。

    • このファイル共有のヘルスとリソースの通知を既存のロググループに送信するには、リストから目的のグループを選択します。

    監査ログの詳細については、S3 ファイルゲートウェイ監査ログについて」を参照してください。

  6. (オプション) [タグ - オプション][新しいタグの追加] を選択し、ファイル共有のキーを入力します。タグは、Storage Gateway リソースの分類に役立つ大文字と小文字を区別するキーと値のペアです。タグを追加すると、ファイル共有のフィルタリングと検索が容易になります。この手順を繰り返して、最大 50 個のタグを追加できます。

    完了したら、[次へ] を選択します。

  7. S3 バケットの場合は、次のいずれかを実行して、ファイルの保存先と取得先を指定します。

    • ファイル共有を Amazon Web Services アカウントの既存の S3 バケットに直接接続するには、ドロップダウンリストからバケット名を選択します。

    • ファイル共有を作成するために使用しているもの以外の Amazon Web Services アカウントが所有する既存の S3 バケットにファイル共有を接続するには、ドロップダウンリストから別のアカウントのバケットを選択し、クロスアカウントバケット名を入力します。

    • ファイル共有を新しい S3 バケットに接続するには、新しい S3 バケットの作成を選択し、新しいバケットの Amazon S3 エンドポイントがあるリージョンを選択し、一意の S3 バケット名を入力します。完了したら、[S3 バケットの作成] を選択します。Amazon S3 バケットの作成の詳細については、Amazon S3 ユーザーガイドの「バケットの作成」を参照してください。

    • アクセスポイント名を使用してファイル共有を S3 バケットに接続するには、ドロップダウンリストから Amazon S3 Access Points 名を選択し、アクセスポイント名を入力します。新しいアクセスポイントを作成する必要がある場合は、「S3 アクセスポイントの作成」を選択できます。詳細な手順については、Amazon S3 ユーザーガイドの「アクセスポイントの作成」を参照してください。アクセスポイントの詳細については、Amazon S3 ユーザーガイドの「Amazon S3 Access Points を使用したデータアクセスの管理」および「アクセスポイントへのアクセスコントロールの委任」を参照してください。

    • アクセスポイントエイリアスを使用してファイル共有を S3 バケットに接続するには、ドロップダウンリストから [Amazon S3 Access Points エイリアス] を選択し、アクセスポイントエイリアスを入力します。新しいアクセスポイントを作成する必要がある場合は、[S3 アクセスポイントの作成] を選択できます。詳細な手順については、Amazon S3 ユーザーガイドの「アクセスポイントの作成」を参照してください。アクセスポイントのエイリアスの詳細については、Amazon S3 ユーザーガイドの「アクセスポイントにバケット形式のエイリアスを使用する」を参照してください。

    注記

    各ファイル共有は 1 つの S3 バケットにのみ接続できますが、複数のファイル共有は同じバケットに接続できます。複数のファイル共有を同じバケットに接続する場合は、読み書きの競合を防ぐために、各ファイル共有で一意かつ重複しない S3 バケットプレフィックスを設定する必要があります。

    S3 ファイルゲートウェイは、バケット名にピリオド (.) を使った Amazon S3 バケットをサポートしていません。

    バケット名が Amazon S3 のバケット命名ルールに準拠していることを確認します。詳細については、「Amazon Simple Storage Service ユーザーガイド」で「バケットの命名規則」を参照してください。

  8. (オプション) S3 バケットプレフィックスには、Amazon S3 で作成するオブジェクトに適用するファイル共有のプレフィックスを入力します。プレフィックスは、従来のファイル構造のディレクトリと同様に、S3 でデータを整理する方法です。詳細については、「Amazon S3 ユーザーガイド」の「プレフィックスを使用してオブジェクトを整理する」を参照してください。

    注記

    • 同じバケットに複数のファイル共有を接続する場合、読み書きの競合を防ぐために、各ファイル共有で一意かつ重複しないプレフィックスを設定する必要があります。

    • このプレフィックスは、スラッシュ (/) で終わる必要があります。

    • ファイル共有の作成後に、プレフィックスを修正したり削除することはできません。

  9. リージョンでは、ドロップダウンリストからバケットの S3 エンドポイントAWS リージョンがある を選択します。このフィールドは、S3 バケットの別のアカウントのアクセスポイントまたはバケットを指定する場合にのみ表示されます。

  10. 新しいオブジェクトのストレージクラスで、ドロップダウンリストからストレージクラスを選択します。ストレージクラスの詳細については、「ファイルゲートウェイでのストレージクラスの使用」を参照してください。

  11. IAM ロールの場合は、次のいずれかを実行して、ファイル共有の IAM ロールを設定します。

    • ファイル共有が正しく機能するために必要なアクセス許可を持つ新しい IAM ロールを自動的に作成するには、ドロップダウンリストから [Storage Gateway で作成] を選択します。

    • 既存の IAM ロールを使用するには、ドロップダウンリストからロール名を選択します。

    • 新しい IAM ロールを作成するには、[ロールの作成] を選択します。詳細な手順については、AWS Identity and Access Managementユーザーガイドの「AWS サービスに権限を委任するロールの作成」を参照してください。

    IAM ロールがファイル共有と S3 バケット間のアクセスを制御する方法の詳細については、「Amazon S3 バケットへのアクセスの許可」を参照してください。

  12. プライベートリンクについては、仮想プライベートクラウド (VPC) 内のプライベートエンドポイントを使用して AWS と通信するようにファイル共有を設定する必要がある場合にのみ、以下の手順を実行してください。それ以外の場合は、この手順をスキップしてください。詳細については、AWS PrivateLink ガイド」の「AWS PrivateLink とは」を参照してください。

    1. VPC エンドポイントを選択します。

    2. [VPC エンドポイントを識別する方法] では、次のいずれかを実行します。

      • [VPC エンドポイント ID] を選択し、[VPC エンドポイント] のドロップダウンリストから使用するエンドポイントを選択します。

      • DNS 名を選択し、使用するエンドポイントの DNS 名を入力します。

  13. [暗号化] で、ファイルゲートウェイにより Amazon S3 に保存されるオブジェクトの暗号化に使用する暗号化キーのタイプを選択します。

    • Amazon S3 で管理されるサーバーサイド暗号化 (SSE-S3) を使用するには、[S3 マネージドキー (SSE-S3)]を選択します。

      詳細については、「Amazon Simple Storage Service ユーザーガイド」の「Amazon S3 マネージドキーによるサーバー側の暗号化の使用」を参照してください。

    • AWS Key Management Service (SSE-KMS) で管理されるサーバー側の暗号化を使用するには、KMS マネージドキー (SSE-KMS) を選択します。[プライマリ KMS キー] では、既存の AWS KMS キーを選択するか、[新しい KMS キーを作成] を選択して、AWS Key Management Service (AWS KMS) コンソールで新しい KMS キーを作成します。

      AWS KMS の詳細については、AWS Key Management Service デベロッパーガイドの「AWS Key Management Service とは」を参照してください。

    • AWS Key Management Service (DSSE-KMS)で管理される二層式サーバー側の暗号化を使用するには、AWS Key Management Serviceキーによる二層式サーバー側の暗号化 (DSSE-KMS) を選択します。[プライマリ KMS キー] では、既存の AWS KMS キーを選択するか、[新しい KMS キーを作成] を選択して、AWS Key Management Service (AWS KMS) コンソールで新しい KMS キーを作成します。

      DSSE-KMS の詳細については、「Amazon Simple Storage Service ユーザーガイド」の「AWS KMS キーによる二層式サーバー側の暗号化」を参照してください。

      注記

      DSSE-KMS と AWS KMS キーを使用するためには追加料金がかかります。詳細については、「AWS KMS 料金表」を参照してください。

      エイリアスが登録されていない AWS KMS キーを指定するか、別の AWS アカウントの AWS KMS キーを使用するには、AWS Command Line Interface を使用する必要があります。非対称 KMS キーはサポートされていません。詳細については、AWS Storage Gateway API リファレンスの「CreateSMBFileShare」を参照してください。

    重要

    ファイル共有が、データを保存する Amazon S3 バケットと同じ暗号化タイプを使用していることを確認してください。

  14. Guess MIME typesでは、Guess media MIME typeを選択して、Storage Gateway がファイル拡張子に基づいてアップロードされたオブジェクトの多目的インターネットメール拡張 (MIME) タイプを推測できるようにします。

  15. [ファイル共有名] で、ファイル共有の名前を入力します。

    注記

    有効な SMB ファイル共有名には、[]#;<>:"\/|?*+、または Aまたは ASCII 制御文字を含めることはできません1-31

  16. [アップロードイベント] で、Amazon S3 にファイルが正常にアップロードされたときにゲートウェイが CloudWatch ログイベントを記録する場合は、[ゲートウェイによってファイルが正常にアップロードされたときにイベントを記録する] を選択します。[通知の遅延] は、最新のクライアント書き込み操作から ObjectUploaded ログ通知の生成までの遅延を制御します。クライアントは短時間でファイルに多数の小さな書き込みを行うこともあるため、同じファイルに対して複数の通知が連続して生成されないように、このパラメータをできるだけ長く設定することをお勧めします。詳細については、「ファイルのアップロード通知の受け取り」を参照してください。

    注記

    この設定は、S3 へのオブジェクトのアップロードのタイミングには影響せず、通知のタイミングにのみ影響します。

    この設定は、通知が送信される正確な時刻を指定することを目的としたものではありません。場合によっては、ゲートウェイが通知を生成して送信するために、指定された遅延時間よりも長い時間がかかることがあります。

    完了したら、[次へ] を選択します。

  17. [ファイル共有プロトコル] で、SMB を選択します。

  18. [認証方法] で、使用する認証方法をドロップダウンリストから選択します。

    • 企業の Microsoft Active Directory を使用する場合、または SMB ファイル共有へのユーザーアクセスを認証するためにAWS Managed Microsoft AD を使用する場合は、[Active Directory] を選択します。この方法を使用するには、ゲートウェイがドメインに参加している必要があります。詳細については、「Active Directory を使用してユーザーを認証する」を参照してください。

      注記

      Amazon EC2 ゲートウェイでAWS Managed Microsoft AD を使用するには、AWS Managed Microsoft ADと同じ VPC に Amazon EC2 インスタンスを作成し、Amazon EC2 インスタンスに_workspaceMembersセキュリティグループを追加し、AWS Managed Microsoft AD の管理者認証情報を使用して AD ドメインに参加する必要があります。

      AWS Managed Microsoft AD の詳細については、AWS Directory Service 管理者ガイドを参照してください。

      Amazon EC2 の詳細については、Amazon Elastic Compute Cloud ドキュメントを参照してください。

      Join ステータスがゲートウェイが既に Active Directory ドメインに参加していることを示している場合は、次のステップに進みます。それ以外の場合は以下の作業を行います。

      1. [設定] を選択します。

      2. Domain には、ゲートウェイを参加させる Active Directory ドメインの名前を入力します。

      3. UsernamePassword を入力します。これらは、ゲートウェイがドメインに参加する際に使用されます。

      4. (オプション) [組織単位 (OU)] には、Active Directory が新しいコンピュータオブジェクトに使用する指定された OU を入力します。

      5. (オプション) ドメインコントローラーには、ゲートウェイが Active Directory に接続する DC の名前を入力します。このフィールドを空白のままにすると、DNS が DC を自動的に選択できるようになります。

      6. [Active Directory に参加]を選択します。

      注記

      ドメインに参加すると、既定のコンテナ (組織単位ではない) に Active Directory アカウントが作成され、ゲートウェイの Gateway ID がアカウント名として使用されます (例:SGW-1234ADE)。このアカウントの名前をカスタマイズすることはできません。

      Active Directory 環境で、ドメイン参加プロセスを容易にするためにアカウントを事前にステージングする必要がある場合は、このアカウントを事前に作成しておく必要があります。

      Active Directory 環境に新しいコンピュータオブジェクト用に指定された OU がある場合は、ドメインに参加するときにその OU を指定する必要があります。

    • 設定したゲストパスワードを提供するすべてのユーザーにパスワード保護されたアクセスを許可するには、[ゲストアクセス] を選択します。この方法を使用するには、お使いのファイルゲートウェイが Microsoft Active Directory ドメインの一部である必要はありません。[設定] を選択して [ゲストパスワード] を指定し、[保存] を選択します。

  19. User accessでは、どの SMB クライアントがファイル共有にアクセスできるかを指定するために、次のいずれかを実行します。

    • Active Directory を通じて正常に認証されたすべてのユーザーにアクセス権を付与するには、All AD-authenticated usersを選択します。

    • 特定のユーザーまたはグループへのアクセスを許可または拒否するには、Specific AD-authenticated users or groupsを選択し、次の操作を行います。

      • [許可されたユーザーおよびグループ] で、[許可するユーザーの追加] または [許可するグループの追加] を選択し、ファイル共有のアクセスを許可する Active Directory ユーザーまたはグループを入力します。このプロセスを繰り返して、必要な数のユーザーとグループを許可します。

      • [拒否されたユーザーおよびグループ] で、[拒否するユーザーの追加] または[拒否するグループの追加] を選択し、ファイル共有のアクセスを拒否する Active Directory ユーザーまたはグループを入力します。このプロセスを繰り返して、必要な数のユーザーとグループを拒否します。

    注記

    User and group file share access セクションは、User authentication が Active Directory に設定されている場合にのみ表示されます。

    ユーザーまたはグループを指定するときは、ドメインを含めないでください。ドメイン名は、ゲートウェイが参加している特定の Active Directory のメンバーシップによって暗黙的に決定されます。

  20. (オプション) [Admin user] に、Active Directory ユーザーおよびグループのカンマ区切りのリストを入力します。管理者ユーザーには、ファイル共有内のすべてのファイルおよびフォルダーのアクセスコントロールリスト (ACL) を更新する権限が付与されます。プレフィックスとしてグループ名に文字 @ を付ける必要があります。(例: @group1)

  21. [アクセスタイプ] では、次のいずれかを選択します。

    • クライアントがファイル共有でファイルを読み書きできるようにするには、読み取り/書き込みを選択します。

    • クライアントがファイルを読み取ってもファイル共有に書き込めないようにするには、読み取り専用を選択します。

      注記

      Microsoft Windows クライアントにマウントされたファイル共有で、[読み取り専用] を選択した場合は、予期しないエラーによってフォルダを作成できないことを示すメッセージが表示される場合があります。このメッセージは無視できます。

  22. [ファイル/ディレクトリのアクセスコントロール] で、次のいずれかを選択します。

    • SMB ファイル共有内のファイルおよびフォルダにきめ細かいアクセス許可を設定するには、[Windows アクセスコントロールリスト] を選択します。詳細については、「Microsoft Windows ACL を使用して、SMB ファイル共有へのアクセスを制御する」を参照してください。

    • SMB ファイル共有を介して保存されるファイルやディレクトリへのアクセスを POSIX 権限で制御するには、[POSIX 権限] を選択します。

  23. Access based enumerationの場合は、次のいずれかを実行します。

    • 共有上のファイルとフォルダーを読み取りアクセス権を持つユーザーのみに表示するには、Hide files and directories where user doesn't have permissionを選択します。

    • ディレクトリの列挙時に共有上のファイルとフォルダーをすべてのユーザーに表示するには、このチェックボックスをオフのままにします。

    注記

    アクセスベースの列挙は、共有のアクセスコントロールリスト (ACL) に基づいて、SMB ファイル共有上のファイルとフォルダの列挙をフィルタリングするシステムです。

  24. File access options の場合は、以下のオプションのいずれかを選択します。

    • オポチュニスティックロックを使用してファイル共有のファイルバッファリング戦略を最適化するには、日和見ロックを選択します。ほとんどの場合、日和見ロックを有効化すると、特に Windows コンテキストメニューに関してパフォーマンスが向上します。

    • SMB クライアントではなくゲートウェイがファイル名の大文字と小文字の区別を制御するには、[大文字と小文字の区別を強制] を選択します。

    • 両方の設定を無効にするには、[いずれも使用しない] を選択します。

    注記

    ファイルアクセスの競合を避けるため、これらの設定は相互に排他的であり、同時にアクティブ化することはできません。

  25. (オプション)[S3 の自動キャッシュ更新] では、[キャッシュの更新間隔を設定] を選択し、ファイル共有のキャッシュを Time To Live (TTL) を使用して更新する時間を、[分] または [日] で指定します。TTL は、最後に実行された更新からの時間的長さです。TTL 間隔が経過すると、ディレクトリにアクセスしたときに、ゲートウェイは Amazon S3 バケットからそのディレクトリの内容を更新します。

    注記

    この値を 30 分より短く設定すると、多数の Amazon S3 オブジェクトが頻繁に作成または削除される状況では、ゲートウェイのパフォーマンスに悪影響を及ぼす可能性があります。

  26. [ファイルの所有権とアクセス許可] については、S3 バケットを所有する AWS アカウントがファイル共有によってバケットに書き込まれたすべてのオブジェクトを完全に制御できるようにする場合は、[読み取り、書き込み、編集、削除のアクセス許可を含め、ゲートウェイによって作成されたファイルの所有権を S3 バケット所有者に付与する] を選択します。

    完了したら、[次へ] を選択します。

  27. ファイル共有設定を確認します。設定を変更するには、変更するセクションの [編集] を選択します。終了したら、[作成] を選択します。

SMB ファイル共有を作成したら、そのファイル共有の [詳細] タブの AWS Storage Gateway コンソールで設定を表示できます。ファイル共有をマウントする手順については、「SMB ファイル共有をクライアントにマウントする」を参照してください。