Windows ACL을 사용하여 SMB 파일 공유 액세스 제한 - AWS Storage Gateway
새 SMB 파일 공유에 Windows ACL 활성화기존 SMB 파일 공유에서 Windows ACL 활성화Windows ACL을 사용할 때의 제한 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Windows ACL을 사용하여 SMB 파일 공유 액세스 제한

Amazon S3 File Gateway는 SMB 파일 공유를 통해 저장된 파일 및 디렉터리에 대한 액세스를 제어하는 두 가지 방법, 즉 POSIX 권한 또는 Windows ACL을 지원합니다.

이 섹션에서는 인증에 Microsoft Active Directory(AD)를 사용하는 SMB 파일 공유에서 Microsoft Windows 액세스 제어 목록(ACL)을 사용하는 방법을 설명합니다. Windows ACL을 사용하여 SMB 파일 공유에서 파일 및 폴더에 대한 세분화된 권한을 설정할 수 있습니다.

다음은 SMB 파일 공유에서 Windows ACL의 몇 가지 중요한 특징입니다.

  • File Gateway가 Active Directory 도메인에 조인될 때 SMB 파일 공유에 대해 Windows ACL이 기본적으로 선택됩니다.

  • ACL이 활성화되면 Amazon S3 객체 메타데이터에 ACL 정보가 유지됩니다.

  • 게이트웨이는 파일 또는 폴더당 최대 10개의 ACL을 유지합니다.

  • ACL이 활성화된 SMB 파일 공유를 사용하여 게이트웨이 밖에서 생성된 S3 객체에 액세스하면 객체들이 상위 폴더에서 ACL 정보를 상속합니다.

참고

SMB 파일 공유용 기본 루트 ACL은 모두에게 전체 액세스 권한을 부여하지만 루트 ACL의 권한을 변경할 수 있습니다. 루트 ACL을 사용하여 파일 공유에 대한 액세스를 제어할 수 있습니다. 파일 공유를 마운트(드라이브 매핑)할 수 있는 주체와 파일 공유에서 사용자가 파일과 폴더에 대해 반복해서 받을 수 있는 권한을 설정할 수 있습니다. 그렇지만 ACL이 유지되도록 S3 버킷의 최상위 폴더에 이 권한을 설정하는 것이 좋습니다.

새 SMB 파일 공유를 생성할 때 CreateSMBFileShare API 작업을 사용하여 Windows ACL을 활성화할 수 있습니다. 또는 UpdateSMBFileShare API 작업을 사용하여 기존 SMB 파일에 Windows ACL을 활성화할 수 있습니다.

새 SMB 파일 공유에 Windows ACL 활성화

다음 단계에 따라 새 SMB 파일 공유에 Windows ACL을 활성화합니다.

SMB 파일 공유를 생성할 때 Windows ACL을 활성화하려면

  1. File Gateway가 아직 없다면 지금 만드세요. 자세한 내용은 게이트웨이 생성 단원을 참조하십시오.

  2. 게이트웨이가 도메인에 조인되어 있지 않으면 도메인에 추가하십시오. 자세한 내용은 Active Directory를 사용하여 사용자 인증을 참조하세요.

  3. SMB 파일 공유를 생성하십시오. 자세한 내용은 다음 섹션을 참조하세요.

  4. Storage Gateway 콘솔에서 파일 공유의 Windows ACL을 활성화합니다.

    Storage Gateway 콘솔을 사용하려면 다음을 수행합니다.

    1. 파일 공유를 선택하고 파일 공유 편집을 선택합니다.

    2. 제어되는 파일/디렉터리 액세스 옵션에서 Windows 액세스 제어 목록을 선택합니다.

  5. (선택 사항) 파일 공유의 모든 파일과 폴더에 ACL을 업데이트할 권한을 관리자 사용자에게 부여하려면 AdminUsersList에 관리자 사용자를 추가합니다.

    참고

    SMB 파일 공유의 설정에서 허용 및 거부된 사용자 및 그룹 목록을 구성한 경우 ACL은 해당 목록을 재정의하는 액세스 권한을 부여하지 않습니다.

    허용 및 거부된 사용자 및 그룹 목록은 ACL보다 먼저 평가되며 파일 공유를 탑재하거나 액세스할 수 있는 사용자를 제어합니다. 허용 목록에 사용자 또는 그룹이 있는 경우 해당 목록은 활성으로 간주되며 해당 사용자만 파일 공유를 탑재할 수 있습니다.

    사용자가 파일 공유를 탑재한 후 ACL은 사용자가 액세스할 수 있는 특정 파일 또는 폴더를 제어하는 보다 세분화된 보호를 제공합니다.

  6. 루트 폴더 아래에 상위 폴더의 ACL을 업데이트합니다. 그럴려면 Windows File Explorer를 사용하여 SMB 파일 공유의 폴더에 ACL을 구성합니다.

    참고

    루트 아래에 있는 상위 폴더 대신 루트에 ACL을 구성할 경우에는 ACL 권한이 Amazon S3에 유지되지 않습니다.

    파일 공유의 루트에서 직접 ACL을 설정하지 맑 파일 공유의 루트 아래에 있는 최상위 폴더에 ACL을 설정하는 것이 좋습니다. 이렇게 하면 정보가 객체 메타데이터로 Amazon S3에 유지됩니다.

  7. 필요에 따라 상속을 켭니다.

    참고

    2019년 5월 8일 이후에 생성한 파일 공유의 상속을 활성화할 수 있습니다.

상속을 활성화하고 권한을 재귀적으로 업데이트하면 Storage Gateway가 S3 버킷의 모든 객체를 업데이트합니다. 버킷의 객체 수에 따라 업데이트를 완료하는 데 시간이 걸릴 수 있습니다.

기존 SMB 파일 공유에서 Windows ACL 활성화

다음 단계에 따라 POSIX 권한이 있는 기존 SMB 파일 공유에서 Windows ACL을 활성화합니다.

Storage Gateway 콘솔을 사용하여 기존 SMB 파일 공유에서 Windows ACL을 활성화하려면

  1. 파일 공유를 선택하고 파일 공유 편집을 선택합니다.

  2. 제어되는 파일/디렉터리 액세스 옵션에서 Windows 액세스 제어 목록을 선택합니다.

  3. 필요에 따라 상속을 켭니다.

    참고

    ACL을 루트 레벨에 설정하는 것은 권장하지 않습니다. 이 경우 게이트웨이를 삭제하면 ACL을 다시 재설정해야 하기 때문입니다.

상속을 활성화하고 권한을 재귀적으로 업데이트하면 Storage Gateway가 S3 버킷의 모든 객체를 업데이트합니다. 버킷의 객체 수에 따라 업데이트를 완료하는 데 시간이 걸릴 수 있습니다.

Windows ACL을 사용할 때의 제한 사항

Windows ACL을 사용하여 SMB 파일 공유에 대한 액세스를 제어할 때 다음과 같은 제한 사항을 명심해야 합니다.

  • Windows ACL은 Windows SMB 클라이언트를 사용하여 파일 공유에 액세스할 때 인증을 위해 Active Directory를 사용하는 파일 공유에서만 지원됩니다.

  • File Gateway는 각 파일과 디렉터리에 대해 최대 10개의 ACL 항목을 지원합니다.

  • File Gateway는 시스템 액세스 제어 목록(SACL) 항목인 AuditAlarm 항목을 지원하지 않습니다. File Gateway는 임의 액세스 제어 목록(DACL) 항목인 AllowDeny 항목을 지원합니다.

  • File Gateway는 고급 액세스 제어 항목(ACE) 권한을 지원하지 않습니다.

  • SMB 파일 공유의 루트 ACL 설정은 게이트웨이에만 있으며, 게이트웨이 업데이트 및 재시작 시 유지됩니다.

    참고

    루트 아래에 있는 상위 폴더 대신 루트에 ACL을 구성할 경우에는 ACL 권한이 Amazon S3에 유지되지 않습니다.

    이러한 조건을 고려하여 다음을 수행해야 합니다.

    • 동일한 Amazon S3 버킷에 액세스할 여러 게이트웨이를 구성할 경우에는 각 게이트웨이마다 루트 ACL을 구성하여 권한을 유지하십시오.

    • 파일 공유를 삭제하고 동일 Amazon S3 버킷에서 다시 생성할 경우에는 동일한 루트 ACL 세트를 사용해야 합니다.