ファイルスクリーニング - Amazon FSx for Windows File Server
テンプレート例外通知管理コマンド

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ファイルスクリーニング

ファイルスクリーニングは、ユーザーがファイルシステムのフォルダに保存できるファイルの種類を制御します。ファイルスクリーニングは、ストレージポリシーの適用、不正なファイルタイプの防止、組織の要件への準拠の維持に役立ちます。

注記

ファイル画面は、ファイルグループを使用して、ブロックまたはモニタリングするファイルタイプを定義します。ファイルグループの作成と管理の詳細については、「」を参照してくださいファイルグループ

FSRM は 2 種類のファイル画面をサポートしています。

  1. アクティブなファイル画面 - ユーザーが指定されたファイルグループに一致するファイルを保存できないようにブロックし、ユーザーがブロックされたファイルを保存しようとしたときに通知を生成します。特定のフォルダで許可されるファイルタイプに関する厳格なポリシーを適用する必要がある場合は、アクティブなファイル画面を使用します。

  2. パッシブファイル画面 - ユーザーが指定されたファイルグループに一致するファイルを保存したときにモニタリングおよびログ記録しますが、保存オペレーションは妨げません。ユーザーワークフローを中断することなくファイルの使用パターンを追跡する場合は、パッシブファイル画面を使用します。

ファイル画面テンプレート

ファイル画面テンプレートは、ブロックまたはモニタリングするファイルグループや生成する通知など、ファイルスクリーニング設定を定義する再利用可能な設定を提供します。ファイル画面テンプレートを作成したら、毎回同じ設定を再設定することなく、複数のフォルダに適用できます。ファイル画面テンプレートを更新するときは、オプションで、そのテンプレートから作成されたすべてのファイル画面に変更を適用できます。

ファイル画面テンプレートを使用すると、いくつかの利点があります。

  • 整合性 - 類似フォルダのファイルスクリーニング設定が同じであることを確認します。

  • 効率 - ファイルスクリーニング設定を複数のフォルダにすばやく適用する

  • 保守性 - テンプレートを変更して複数のフォルダのファイルスクリーニング設定を更新する

ファイル画面の例外

ファイル画面の例外は、フォルダとそのすべてのサブフォルダに適用されるファイルスクリーニングルールを上書きします。ファイル画面の例外を作成するときは、親フォルダ内のファイル画面がブロックされているにもかかわらず、許可するファイルグループを指定します。ファイル画面の例外は、フォルダ階層のより高いレベルでより広範な制限を維持しながら、特定のサブフォルダで特定のファイルタイプを許可する必要がある場合に便利です。

たとえば、共有全体で実行可能ファイルをブロックし、管理者がインストールファイルを保存する必要がある特定のサブフォルダの例外を作成できます。

ファイルスクリーニング通知

ユーザーがアクティブなファイル画面によってブロックされているファイルを保存しようとすると、FSRM は管理者に警告する通知を生成したり、ユーザーに情報を提供したりできます。次のタイプの通知を設定できます。

  • イベントログ記録 - モニタリングと分析のために Amazon CloudWatch または Amazon Kinesis Data Firehose にイベントを記録します。イベントの重要度レベル (情報、警告、またはエラー) を指定し、カスタムメッセージ本文を指定できます。イベントログ記録は、ファイル画面違反を追跡し、既存のモニタリングシステムと統合するのに役立ちます。

  • ストレージレポート - ファイルスクリーニングアクティビティに関する詳細情報を提供するストレージ使用状況レポートを生成します。ストレージレポートは、ファイルの保存試行のパターンを特定し、ファイルスクリーニングポリシーについて情報に基づいた意思決定を行うのに役立ちます。詳細については、「ストレージレポート」を参照してください。

ファイルスクリーニング管理コマンド

ファイル画面を管理するために、FSx リモート PowerShell コマンドの 3 つのファミリーにアクセスできます。

  1. ファイル画面コマンド - 特定のフォルダで個々のファイル画面を作成、取得、変更、削除、リセットします。ファイル画面をfolder-by-folder管理する必要がある場合は、これらのコマンドを使用します。

  2. ファイル画面テンプレートコマンド - 再利用可能なファイルスクリーニング設定を定義するファイル画面テンプレートを作成、取得、変更、削除します。これらのコマンドを使用して、複数のフォルダに適用できる標準のファイルスクリーニングポリシーを確立します。

  3. ファイル画面の例外コマンド - 親フォルダのファイルスクリーニングルールを上書きするファイル画面の例外を作成、取得、変更、削除します。より広範な制限を維持しながら、特定のサブフォルダで特定のファイルタイプを許可する必要がある場合は、これらのコマンドを使用します。

ファイルスクリーニング FSx リモート PowerShell コマンドのリスト

注記

このページのすべての例では、ファイルシステムの Windows Remote PowerShell エンドポイントで $FSxWindowsRemotePowerShellEndpoint変数が定義されていることを前提としています。このエンドポイントは、ファイルシステムの詳細ページの Amazon FSx コンソール、または コマンドを使用して AWS CLI describe-file-systems確認できます。

ファイル画面のコマンド

New-FSxFSRMFileScreen

ユーザーが指定されたタイプのファイルをフォルダに保存できないようにするファイル画面を作成します。

パラメータ :

  • Folder (string) - 必須。ファイル画面が適用されるフォルダパス。

  • Description (string) - オプション。ファイル画面の説明。

  • IncludeGroup (array) - オプション。ブロックまたはモニタリングするファイルを指定するファイルグループ名の配列。

  • Active (boolean) - オプション。true に設定すると、 はファイルをブロックするアクティブなファイル画面を作成します。false に設定すると、 はファイルのみをモニタリングするパッシブファイル画面を作成します。デフォルトは true です。

  • Template (string) - オプション。使用する既存のファイル画面テンプレートの名前。

  • NotificationConfigurations (array) - オプション。ユーザーがブロックされたファイルを保存しようとしたときの通知の設定の配列。各設定には次のプロパティがあります。

    • ActionType (string): 実行するアクションのタイプ。次の値を指定できます。

      1. Event: ファイルシステムのイベントログにイベントを記録します。イベントを指定するときは、次のプロパティも指定する必要があります。

        • EventType (string): 情報、警告、またはエラー

        • MessageBody (string): イベントでログに記録するメッセージテキスト。

      2. Report: ストレージ使用状況レポートを生成します。レポートを指定するときは、以下も指定する必要があります。

        • ReportType (string): レポートのタイプ。、DuplicateFiles、、FilesByFileGroup、、FilesByOwnerFilesByPropertyLargeFilesLeastRecentlyAccessedMostRecentlyAccessed、または の値を指定できますQuotaUsage

例:

  1. オーディオファイルをブロックする基本的なアクティブなファイル画面を作成します。

    Invoke-Command -ComputerName $FSxWindowsRemotePowerShellEndpoint -ConfigurationName FSxRemoteAdmin -ScriptBlock {
    New-FSxFSRMFileScreen -Folder "share\department" -IncludeGroup "Audio and Video Files"
}

  2. ユーザーがビデオファイルを保存しようとしたときに、ビデオファイルをブロックし、イベントログエントリを生成するファイル画面を作成します。

    $notifications = [System.Collections.ArrayList]@()
$eventNotification = @{
    ActionType = "Event"
    EventType = "Warning"
    MessageBody = "File screen violation detected"
}
$null = $notifications.Add($eventNotification)

Invoke-Command -ComputerName $FSxWindowsRemotePowerShellEndpoint -ConfigurationName FSxRemoteAdmin -ArgumentList $notifications -ScriptBlock {
    param($notifications)
    New-FSxFSRMFileScreen -Folder "share\projects" -IncludeGroup "Audio and Video Files" -NotificationConfigurations $Using:notifications 
}

Get-FSxFSRMFileScreen

ファイルシステムから 1 つ以上のファイル画面を取得します。

パラメータ :

  • Folder (string) - オプション。ファイル画面を取得するフォルダパス。フォルダパスを指定しない場合、コマンドはファイルシステム上のすべてのファイル画面を返します。

例:

  1. ファイルシステムのすべてのファイル画面を取得します。

    Invoke-Command -ComputerName $FSxWindowsRemotePowerShellEndpoint -ConfigurationName FSxRemoteAdmin -ScriptBlock {
    Get-FSxFSRMFileScreen
}

Set-FSxFSRMFileScreen

既存のファイル画面のプロパティを変更します。

パラメータ :

  • Folder (string) - 必須。変更するファイル画面を含むフォルダパス。

  • Description (string) - オプション。ファイル画面の新しい説明。

  • IncludeGroup (array) - オプション。ブロックまたはモニタリングするファイルを定義するファイルグループ名の新しい配列。

  • Active (boolean) - オプション。true に設定すると、ファイル画面がアクティブモード (ブロック) に設定されます。false に設定すると、ファイル画面はパッシブモード (モニタリングのみ) に設定されます。デフォルトは true です。

  • NotificationConfigurations (array) - オプション。通知設定の新しい配列。

  • PassThru (boolean) - オプション。true に設定すると、変更されたファイル画面オブジェクトが返されます。

例:

  1. ファイル画面の説明とファイルグループを変更します。

    $includeGroups = @("Audio and Video Files")
Invoke-Command -ComputerName $FSxWindowsRemotePowerShellEndpoint -ConfigurationName FSxRemoteAdmin -ArgumentList $includeGroups -ScriptBlock {
    param($includeGroups)
    Set-FSxFSRMFileScreen -Folder "share\projects" -Description "Updated screen" -IncludeGroup $includeGroups 
}

  2. ファイル画面をアクティブモードに設定し、通知を追加します。

    $notifications = [System.Collections.ArrayList]@()
$eventNotification = @{
    ActionType = "Event"
    EventType = "Warning"
    MessageBody = "File screen violation detected"
}
$null = $notifications.Add($eventNotification)

Invoke-Command -ComputerName $FSxWindowsRemotePowerShellEndpoint -ConfigurationName FSxRemoteAdmin -ArgumentList $notifications -ScriptBlock {
    param($notifications)
    Set-FSxFSRMFileScreen -Folder "share\projects" -Active: $true -NotificationConfigurations $Using:notifications -PassThru 
}

Remove-FSxFSRMFileScreen

指定されたフォルダからファイル画面を削除します。

パラメータ :

  • Folder (string) - 必須。ファイル画面を削除するフォルダパス。

  • PassThru (boolean) - オプション。true に設定すると、削除されたファイル画面オブジェクトが返されます。

例:

  1. 特定のフォルダからファイル画面を削除します。

    Invoke-Command -ComputerName $FSxWindowsRemotePowerShellEndpoint -ConfigurationName FSxRemoteAdmin -ScriptBlock {
    Remove-FSxFSRMFileScreen -Folder "share\projects" -PassThru 
}

Reset-FSxFSRMFileScreen

指定したテンプレートの設定と一致するようにファイル画面をリセットします。

パラメータ :

  • Folder (string) - 必須。リセットするファイル画面を含むフォルダパス。

  • Template (string) - 必須。適用する既存のファイル画面テンプレートの名前。

例:

  1. ファイル画面テンプレートで定義されている設定と一致するようにファイル画面をリセットします。

    Invoke-Command -ComputerName $FSxWindowsRemotePowerShellEndpoint -ConfigurationName FSxRemoteAdmin -ScriptBlock {
    Reset-FSxFSRMFileScreen -Folder "share\department" -Template "Block Audio Files" 
}

ファイル画面のテンプレートコマンド

Get-FSxFSRMFileScreenTemplate

Get-FSxFSRMFileScreenTemplate コマンドは、ファイルシステムから 1 つ以上のファイル画面テンプレートを取得します。

パラメータ

  • Name (array) - オプション。取得するファイル画面テンプレートの名前の配列。名前を指定しない場合、コマンドはファイルシステム上のすべてのファイル画面テンプレートを返します。

1. すべてのファイル画面テンプレートを取得します。

Invoke-Command -ComputerName $FSxWindowsRemotePowerShellEndpoint -ConfigurationName FSxRemoteAdmin -ScriptBlock {
    Get-FSxFSRMFileScreenTemplate
}

New-FSxFSRMFileScreenTemplate

New-FSxFSRMFileScreenTemplate コマンドは、ファイル画面の再利用可能な設定を定義するファイル画面テンプレートを作成します。テンプレートは、ブロックするファイルグループと、ユーザーがブロックされたファイルを保存しようとしたときに生成する通知を指定します。

パラメータ

  • Name (string) - 必須。ファイル画面テンプレートの名前。

  • Description (string) - オプション。ファイル画面テンプレートの説明。

  • IncludeGroup (array) - オプション。ブロックまたはモニタリングするファイルを指定するファイルグループ名の配列。

  • Active (boolean) - オプション。true に設定すると、 はファイルをブロックするアクティブなファイル画面テンプレートを作成します。false に設定すると、 はファイルのみをモニタリングするパッシブテンプレートを作成します。デフォルトは true です。

  • NotificationConfigurations (array) - オプション。ユーザーがブロックされたファイルを保存しようとしたときの通知の設定の配列。各設定には次のプロパティがあります。

    • ActionType (string): 実行するアクションのタイプ。次の値を指定できます。

      1. Event: ファイルシステムのイベントログにイベントを記録します。イベントを指定するときは、次のプロパティも指定する必要があります。

        • EventType (string): 情報、警告、またはエラー

        • MessageBody (string): イベントでログに記録するメッセージテキスト。

      2. Report: ストレージ使用状況レポートを生成します。レポートを指定するときは、以下も指定する必要があります。

        • ReportType (string): レポートのタイプ。次の値を指定できます: DuplicateFilesFilesByFileGroup、、FilesByOwnerFilesByPropertyLargeFilesLeastRecentlyAccessedMostRecentlyAccessed、、または QuotaUsage

1. 通知を含むファイル画面テンプレートを作成します。

$notifications = [System.Collections.ArrayList]@()
$eventNotif = @{
    ActionType = "Event"
    EventType = "Warning"
    MessageBody = "Blocked file detected"
}
$null = $notifications.Add($eventNotif)

Invoke-Command -ComputerName $FSxWindowsRemotePowerShellEndpoint -ConfigurationName FSxRemoteAdmin -ArgumentList $notifications -ScriptBlock {
    param($notifications)
    New-FSxFSRMFileScreenTemplate -Name "Block Executables" -Description "Blocks executable files" -IncludeGroup "Executable Files" -Active: $true -NotificationConfigurations $Using:notifications
}

Remove-FSxFSRMFileScreenTemplate

Remove-FSxFSRMFileScreenTemplate コマンドは、ファイルシステムから 1 つ以上のファイル画面テンプレートを削除します。テンプレートを削除すると、そのテンプレートから作成されたファイル画面は変更されません。

パラメータ

  • Name (array) - 必須。削除するファイル画面テンプレートの名前の配列。

  • PassThru (boolean) - オプション。true に設定すると、削除されたファイル画面テンプレートオブジェクトが返されます。

1. 1 つのファイル画面テンプレートを削除します。

Invoke-Command -ComputerName $FSxWindowsRemotePowerShellEndpoint -ConfigurationName FSxRemoteAdmin -ScriptBlock {
    Remove-FSxFSRMFileScreenTemplate -Name "Block Executables" -PassThru 
}

Set-FSxFSRMFileScreenTemplate

Set-FSxFSRMFileScreenTemplate コマンドは、既存のファイル画面テンプレートのプロパティを変更します。必要に応じて、変更されたテンプレートを使用して作成されたファイル画面を更新します。

パラメータ

  • Name (array) - 必須。変更するファイル画面テンプレートの名前の配列。

  • Description (string) - オプション。テンプレートの新しい説明。

  • IncludeGroup (array) - オプション。ブロックまたはモニタリングするファイルを定義するファイルグループ名の新しい配列。

  • Active (boolean) - オプション。true に設定すると、テンプレートをアクティブモード (ブロッキング) に設定します。false に設定すると、 テンプレートをパッシブモード (モニタリング) に設定します。デフォルトは true です。

  • NotificationConfigurations (array) - オプション。通知設定の新しい配列。

  • UpdateDerived (boolean) - オプション。true に設定すると、 は、これらのファイル画面に加えられた変更に関係なく、このテンプレートから作成されたすべての既存のファイル画面を更新します。

  • UpdateDerivedMatching (boolean) - オプション。true に設定すると、このテンプレートから作成されてから変更されていないファイル画面のみが更新されます。

  • PassThru (boolean) - オプション。true に設定すると、変更されたファイル画面テンプレートオブジェクトが返されます。

1. 新しいファイルグループでファイル画面テンプレートを更新します。

$includeGroups = @("Audio and Video Files")
Invoke-Command -ComputerName $FSxWindowsRemotePowerShellEndpoint -ConfigurationName FSxRemoteAdmin -ArgumentList $includeGroups -ScriptBlock {
    param($includeGroups)
    Set-FSxFSRMFileScreenTemplate -Name "Block Executables" -IncludeGroup $includeGroups 
}

2. ファイル画面テンプレートをアクティブモードに更新し、派生したすべてのファイル画面を更新します。

Invoke-Command -ComputerName $FSxWindowsRemotePowerShellEndpoint -ConfigurationName FSxRemoteAdmin -ScriptBlock {
    Set-FSxFSRMFileScreenTemplate -Name "Block Executables" -Active: $true -UpdateDerived 
}

ファイル画面の例外コマンド

New-FSxFSRMFileScreenException

New-FSxFSRMFileScreenException コマンドは、フォルダとそのすべてのサブフォルダに適用されるファイルスクリーニングルールを上書きするファイル画面の例外を作成します。これにより、親フォルダのファイル画面によってブロックされていても、特定のファイルタイプを例外フォルダに作成できます。

パラメータ

  • Folder (string) - 必須。ファイル画面の例外が適用されるフォルダパス。この例外は、このフォルダとそのすべてのサブフォルダに適用されます。

  • Description (string) - オプション。ファイル画面の例外の説明。

  • IncludeGroup (array) - オプション。親フォルダから適用されるブロッキングファイル画面にもかかわらず、許可するファイルを指定するファイルグループ名の配列。

1. 特定のフォルダとファイルグループのファイル画面の例外を作成します。

Invoke-Command -ComputerName $FSxWindowsRemotePowerShellEndpoint -ConfigurationName FSxRemoteAdmin -ScriptBlock {
    New-FSxFSRMFileScreenException -Folder "share\department" -IncludeGroup "Text Files" 
}

2. 複数のファイルグループでファイル画面の例外を作成します。

$includeGroups = @("Audio and Video Files", "Documents")
Invoke-Command -ComputerName $FSxWindowsRemotePowerShellEndpoint -ConfigurationName FSxRemoteAdmin -ArgumentList $includeGroups -ScriptBlock {
    param($includeGroups)
    New-FSxFSRMFileScreenException -Folder "share\projects" -Description "Allow media files in project folder" -IncludeGroup $includeGroups 
    }

Get-FSxFSRMFileScreenException

Get-FSxFSRMFileScreenException コマンドは、ファイルシステムから 1 つ以上のファイル画面の例外を取得します。

パラメータ

  • Folder (string) - オプション。ファイル画面の例外を取得するフォルダパス。フォルダパスを指定しない場合、コマンドはファイルシステム上のすべてのファイル画面の例外を返します。

1. ファイルシステムのすべてのファイル画面の例外を取得します。

Invoke-Command -ComputerName $FSxWindowsRemotePowerShellEndpoint -ConfigurationName FSxRemoteAdmin -ScriptBlock {
    Get-FSxFSRMFileScreenException
}

2. 特定のフォルダのファイル画面の例外を取得します。

Invoke-Command -ComputerName $FSxWindowsRemotePowerShellEndpoint -ConfigurationName FSxRemoteAdmin -ScriptBlock {
    Get-FSxFSRMFileScreenException -Folder "share\department"
}

Remove-FSxFSRMFileScreenException

Remove-FSxFSRMFileScreenException コマンドは、指定されたフォルダからファイル画面の例外を削除します。削除後、フォルダとそのサブフォルダには、例外によって以前に上書きされた親フォルダからのファイルスクリーニングルールが適用されます。

パラメータ

  • Folder (string) - 必須。ファイル画面の例外を削除するフォルダパス。

  • PassThru (boolean) - オプション。true に設定すると、削除されたファイル画面の例外オブジェクトが返されます。

1. 特定のフォルダからファイル画面の例外を削除します。

Invoke-Command -ComputerName $FSxWindowsRemotePowerShellEndpoint -ConfigurationName FSxRemoteAdmin -ScriptBlock {
    Remove-FSxFSRMFileScreenException -Folder "share\projects" -PassThru 
}

Set-FSxFSRMFileScreenException

Set-FSxFSRMFileScreenException コマンドは、ファイル画面の例外のプロパティを変更します。

パラメータ

  • Folder (string) - 必須。変更するファイル画面の例外を含むフォルダパス。

  • Description (string) - オプション。ファイル画面の例外に関する新しい説明。

  • IncludeGroup (array) - オプション。親フォルダから適用されるブロッキングファイル画面にもかかわらず、許可するファイルを定義するファイルグループ名の新しい配列。

  • PassThru (boolean) - オプション。true に設定すると、変更されたファイル画面の例外オブジェクトが返されます。

1. ファイル画面例外の許可されたファイルグループを更新します。

$includeGroups = @("Audio and Video Files")
Invoke-Command -ComputerName $FSxWindowsRemotePowerShellEndpoint -ConfigurationName FSxRemoteAdmin -ArgumentList $includeGroups -ScriptBlock {
    param($includeGroups)
    Set-FSxFSRMFileScreenException -Folder "share\projects" -IncludeGroup $includeGroups -PassThru 
}