翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Windows ACL を使用して SMB ファイル共有へのアクセスを制限する
Amazon S3 ファイルゲートウェイは、SMB ファイル共有を介して保存されるファイルとディレクトリへのアクセスを制御するために、POSIX アクセス許可または Windows ACL という 2 つの異なる方法をサポートしています。
このセクションでは、認証に Microsoft Active Directory (AD) を使用する SMB ファイル共有におけるMicrosoft Windows アクセスコントロールリスト (ACL) の使用方法について説明します。Windows ACL を使用することで、SMB ファイル共有内のファイルとフォルダにおける詳細なアクセス権限を設定することができます。
SMB ファイル共有における Windows ACL の主要な特徴を以下に示します。
-
Windows ACL は、ファイルゲートウェイが Active Directory ドメインに参加している場合、SMB ファイル共有に対してデフォルトで選択されます。
-
ACL が有効である場合、ACL の情報は Amazon S3 のオブジェクトメタデータに保持されます。
-
ゲートウェイは、ファイルまたはフォルダごとに最大で 10 個までの ACL を保持します。
-
ゲートウェイの外部で作成された S3 オブジェクトにアクセスする際、 ACL が有効化された SMB ファイル共有を使用すると、これらオブジェクトは親フォルダからの ACL 情報を継承します。
注記
SMB ファイル共有のデフォルトのルート ACLはすべてのユーザーにフルアクセスを提供しますが、ルート ACL でこのアクセス権限を変更することもできます。ファイル共有のアクセスを制御するには、ルート ACL を使用します。ファイル共有をマウント (ドライブのマッピング) できるユーザーを設定し、ファイル共有で再帰的にファイルとフォルダに対してユーザーが取得する権限の内容を設定できます。ただし、ACL が維持されるように、このアクセス許可を S3 バケットの上位レベルフォルダに設定することをお勧めします。
CreateSMBFileShare API オペレーションを使用して新規の SMB ファイル共有を作成するときに、Windows ACL を有効にできます。または、UpdateSMBFileShare API オペレーションを使用して、既存の SMB ファイル共有で Windows ACL を有効にします。
新規の SMB ファイル共有で Windows ACL を有効にする
新規の SMB ファイル共有で Windows ACL を有効化にするには、次の手順を実行してください。
新規の SMB ファイル共有を作成時に、Windows ACL を有効化するには
-
ファイルゲートウェイを作成します (まだ作成していない場合)。詳細については、「ゲートウェイを作成する」を参照してください。
-
ゲートウェイがドメインに結合していない場合は、これをドメインに追加します。詳細については、「Active Directory を使用してユーザーを認証する」を参照してください。
-
SMB ファイル共有を作成します。詳細については、以下を参照してください。
-
Storage Gateway コンソールからファイル共有で Windows ACL を有効化します。
Storage Gateway コンソールを使用するには、次の操作を行います。
-
ファイル共有を選択し、ファイル共有の編集 を選択します。
-
ファイル/ディレクトリのアクセスコントロール オプションで、[Windows アクセスコントロールリスト] を選択します。
-
-
(オプション) 管理者ユーザーにファイル共有内のすべてのファイルで ACL を更新する権限があるようにするには、管理者ユーザーを AdminUsersList に追加します。
注記
SMB ファイル共有の設定で [許可および拒否されたユーザーとグループ] のリストを設定した場合、ACL はこれらのリストを上書きしてアクセスを許可することはありません。
[Allowed and Denied Users and Groups (許可および拒否されたユーザーとグループ)] のリストは ACL の前に評価され、ファイル共有をマウントまたはアクセスできるユーザーを制御します。ユーザーまたはグループが Allowed (許可された) リストに配置されている場合、リストはアクティブと見なされ、それらのユーザーのみがファイル共有をマウントできます。
ユーザーがファイル共有をマウントすると、ACL は、ユーザーがアクセスできる特定のファイルまたはフォルダを制御する、より詳細な保護を提供します。
-
ルートフォルダの親フォルダで ACL を更新します。これを行うには、Windows ファイルエクスプローラーを使用して、SMB ファイル共有内のフォルダの ACL を設定します。
注記
ルートの親フォルダではなく、ルートで ACL を設定した場合、ACL のアクセス許可は Amazon S3 では保持されません。
ファイル共有のルートで ACL を直接設定するのではなく、ファイル共有のルートの最上位フォルダで ACL を設定することが推奨されます。このアプローチによって、Amazon S3 で情報がオブジェクトメタデータとして保持されます。
-
必要に応じて継承を有効にします。
注記
2019 年 5 月 8 日以降に作成されたファイル共有で継承を有効にできます。
継承を有効にしてアクセス許可を再帰的に更新すると、Storage Gateway では S3 バケット内のすべてのオブジェクトが更新されます。バケット内のオブジェクトの数によっては、更新の完了に時間がかかる場合があります。
既存の SMB ファイル共有で Windows ACL を有効にする
POSIX アクセス権限が設定されている既存の SMB ファイル共有で Windows ACL を有効にするには、次の手順を実行してください。
Storage Gateway コンソールを使用して既存の SMB ファイル共有で Windows ACL を有効化するには
-
ファイル共有を選択し、ファイル共有の編集 を選択します。
-
ファイル/ディレクトリのアクセスコントロール オプションで、[Windows アクセスコントロールリスト] を選択します。
-
必要に応じて継承を有効にします。
注記
ルートレベルで ACL を設定してゲートウェイを削除すると、ACL を再度リセットする必要があるため、これは推奨されません。
継承を有効にしてアクセス許可を再帰的に更新すると、Storage Gateway では S3 バケット内のすべてのオブジェクトが更新されます。バケット内のオブジェクトの数によっては、更新の完了に時間がかかる場合があります。
Windows ACL を使用する場合の制限事項
Windows ACL を使用して SMB ファイル共有へのアクセスを制限するときに、次の制限に留意してください。
-
Windows ACL は、Windows SMB クライアントを使用してファイル共有にアクセスする場合に、認証に Active Directory を使用しているファイル共有でのみサポートされています。
-
ファイルゲートウェイでは、ファイルとディレクトリごとに最大で 10 個の ACL エントリがサポートされています。
-
ファイルゲートウェイは、システムアクセスコントロールリスト (SACL) エントリである
AuditおよびAlarmエントリをサポートしていません。 ファイルゲートウェイは、任意アクセスコントロールリスト (DACL) エントリであるAllowおよびDenyエントリをサポートしています。 -
ファイルゲートウェイは、アドバンストアクセスコントロールエントリ (ACE) アクセス許可をサポートしていません。
-
SMB ファイル共有のルート ACL 設定はゲートウェイのみであり、この設定はケートウェイの更新と再起動後にも維持されます。
注記
ルートの親フォルダではなくルートで ACL を設定した場合、ACL のアクセス許可は Amazon S3 では保持されません。
以上の条件を踏まえて、次を必ず実行します。
-
同じ Amazon S3 バケットにアクセスする複数のゲートウェイを設定する場合は、各ゲートウェイ上でそのルート ACL を設定して、アクセス許可の整合性を維持します。
-
ファイル共有を削除して、同じ Amazon S3 バケット上で再作成する場合、一連の同じルート ACL を使用するようにしてください。
-
