Active Directory を使用したユーザーの認証 - AWS Storage Gateway

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Active Directory を使用したユーザーの認証

企業の Active Directory または SMB ファイル共有へのユーザー認証アクセス AWS Managed Microsoft AD を使用するには、Microsoft AD ドメイン認証情報を使用してゲートウェイの SMB 設定を編集します。これにより、ゲートウェイが Active Directory ドメインに参加し、ドメインのメンバーが SMB ファイル共有にアクセスできるようになります。

注記

を使用すると Directory Service、 でホストされた Active Directory ドメインサービスを作成できます AWS クラウド。

Amazon EC2 ゲートウェイ AWS Managed Microsoft AD で を使用するには、 と同じ VPC に Amazon EC2 インスタンスを作成し AWS Managed Microsoft AD、_workspaceMembers セキュリティグループを Amazon EC2 インスタンスに追加し、 の管理者認証情報を使用して AD ドメインに参加する必要があります AWS Managed Microsoft AD。

詳細については AWS Managed Microsoft AD、「 AWS Directory Service 管理ガイド」を参照してください。

Amazon EC2 の詳細については、Amazon Elastic Compute Cloud ドキュメントを参照してください。

また、SMB ファイル共有でアクセスコントロールリスト (ACL) を有効にすることもできます。ACL をアクティブ化する方法については、「Windows ACL を使用して SMB ファイル共有へのアクセスを制限する」を参照してください。

Active Directory 認証を有効化するには

  1. Storage Gateway コンソール (https://console.aws.amazon.com/storagegateway/home) を開きます。

  2. [ゲートウェイ] を選択し、SMB 設定を編集するゲートウェイを選択します。

  3. アクションドロップダウン メニューからSMB 設定の編集を選択し、Active Directory 設定を選択します。

  4. ドメイン名には、ゲートウェイを結合する Active Directory ドメインの名前を入力します。

    注記

    ゲートウェイがドメインに参加したことがない場合、Active Directory のステータス切断と表示されます。

    Active Directory サービスアカウントには、必要なアクセス許可が必要です。詳細については、「Active Directory サービスアカウントのアクセス許可要件」「」を参照してください。

    ドメインに加入すると、ゲートウェイのゲートウェイ ID をアカウント名 (SGW-1234ADE など) として使用して、デフォルトのコンピュータコンテナ (OU ではない) に Active Directory コンピュータアカウントが作成されます。このアカウントの名前をカスタマイズすることはできません。

    Active Directory 環境で、ドメイン結合プロセスを容易にするためにアカウントを事前ステージングする必要がある場合は、事前にこのアカウントを作成する必要があります。

    Active Directory 環境に新しいコンピュータオブジェクト用に指定された OU がある場合は、ドメインに参加するときにその OU を指定する必要があります。

    ゲートウェイが Active Directory ディレクトリと結合できない場合には、JoinDomain API オペレーションを使用して、ディレクトリの IP アドレスとの結合をお試しください。

  5. ドメインユーザードメインパスワード には、ゲートウェイがドメインに参加するために使用する Active Directory サービスアカウントの認証情報を入力します。

  6. (オプション) [組織単位 (OU)] には、Active Directory が新しいコンピュータオブジェクトに使用する指定された OU を入力します。

  7. (オプション) ドメインコントローラー (DC)には、ゲートウェイが Active Directory に接続する 1 つ以上の DC の名前を入力します。複数の DC カンマ区切りのリストとして入力できます。このフィールドを空白のままにすると、DNS が DC を自動的に選択できるようになります。

  8. [Save changes (変更の保存) ] をクリックします。

ファイル共有へのアクセスを特定の AD ユーザーおよびグループに制限するには

  1. Storage Gateway コンソールで、アクセスを制限するファイル共有を選択します。

  2. [Actions (アクション)] ドロップダウンメニューから、[ファイル共有アクセス設定の編集] を選択します。

  3. (オプション) [User and group file share access (ユーザーとグループのファイル共有アクセス)] セクションで、設定を選択します。

    [Allowed users and groups (許可されたユーザーおよびグループ)] で、[Add allowed user (許可するユーザーの追加)] または [Add allowed group(許可するグループの追加)] を選択し、ファイル共有のアクセスを許可する AD ユーザーまたはグループを入力します。このプロセスを繰り返して、必要な数のユーザーとグループを許可します。

    [Denied users and groups] (拒否されたユーザーおよびグループ) で、[Add denied user] (拒否するユーザーの追加) または[Add denied group] (拒否するグループの追加) を選択し、ファイル共有のアクセスを拒否する AD ユーザーまたはグループを入力します。このプロセスを繰り返して、必要な数のユーザーとグループを拒否します。

    注記

    [Active Directory] が選択されている場合のみ、[User and group file share access (ユーザーとグループのファイル共有アクセス)] セクションが表示されます。

    グループには @ 文字のプレフィックスを付ける必要があります。有効な形式は、DOMAIN\User1user1@group1@DOMAIN\group1 です。

    [Allowed and Denied Users and Groups (許可および拒否されたユーザーとグループ)] のリストを設定した場合、Windows ACL はそれらのリストを上書きするアクセスを許可しません。

    [Allowed and Denied Users and Groups (許可および拒否されたユーザーとグループ)] のリストは ACL の前に評価され、ファイル共有をマウントまたはアクセスできるユーザーを制御します。ユーザーまたはグループが Allowed (許可された) リストに配置されている場合、リストはアクティブと見なされ、それらのユーザーのみがファイル共有をマウントできます。

    ユーザーがファイル共有をマウントすると、ACL は、ユーザーがアクセスできる特定のファイルまたはフォルダを制御する、より詳細な保護を提供します。詳細については、「新しい SMB ファイル共有での Windows ACL」を参照してください。

  4. エントリの追加が完了したら、[Save (保存)] を選択します。