기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Windows ACL을 사용하여 SMB 파일 공유 액세스 제한
Amazon S3 File Gateway는 SMB 파일 공유를 통해 저장된 파일 및 디렉터리에 대한 액세스를 제어하는 두 가지 방법, 즉 POSIX 권한 또는 Windows ACL을 지원합니다.
이 섹션에서는 인증에 Microsoft Active Directory(AD)를 사용하는 SMB 파일 공유에서 Microsoft Windows 액세스 제어 목록(ACL)을 사용하는 방법을 설명합니다. Windows ACL을 사용하여 SMB 파일 공유에서 파일 및 폴더에 대한 세분화된 권한을 설정할 수 있습니다.
다음은 SMB 파일 공유에서 Windows ACL의 몇 가지 중요한 특징입니다.
+ File Gateway가 Active Directory 도메인에 조인될 때 SMB 파일 공유에 대해 Windows ACL이 기본적으로 선택됩니다.
+ ACL이 활성화되면 Amazon S3 객체 메타데이터에 ACL 정보가 유지됩니다.
+ 게이트웨이는 파일 또는 폴더당 최대 10개의 ACL을 유지합니다.
+ ACL이 활성화된 SMB 파일 공유를 사용하여 게이트웨이 밖에서 생성된 S3 객체에 액세스하면 객체들이 상위 폴더에서 ACL 정보를 상속합니다.
**참고**
SMB 파일 공유용 기본 루트 ACL은 모두에게 전체 액세스 권한을 부여하지만 루트 ACL의 권한을 변경할 수 있습니다. 루트 ACL을 사용하여 파일 공유에 대한 액세스를 제어할 수 있습니다. 파일 공유를 마운트(드라이브 매핑)할 수 있는 주체와 파일 공유에서 사용자가 파일과 폴더에 대해 반복해서 받을 수 있는 권한을 설정할 수 있습니다. 그렇지만 ACL이 유지되도록 S3 버킷의 최상위 폴더에 이 권한을 설정하는 것이 좋습니다.
새 SMB 파일 공유를 생성할 때 [CreateSMBFileShare](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_CreateSMBFileShare.html) API 작업을 사용하여 Windows ACL을 활성화할 수 있습니다. 또는 [UpdateSMBFileShare](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_UpdateSMBFileShare.html) API 작업을 사용하여 기존 SMB 파일에 Windows ACL을 활성화할 수 있습니다.
## 새 SMB 파일 공유에 Windows ACL 활성화
다음 단계에 따라 새 SMB 파일 공유에 Windows ACL을 활성화합니다.
**SMB 파일 공유를 생성할 때 Windows ACL을 활성화하려면**
1. File Gateway가 아직 없다면 지금 만드세요. 자세한 내용은 [게이트웨이 생성](create-file-gateway.md) 단원을 참조하십시오.
1. 게이트웨이가 도메인에 조인되어 있지 않으면 도메인에 추가하십시오. 자세한 내용은 [Active Directory를 사용하여 사용자 인증](https://docs.aws.amazon.com/filegateway/latest/files3/enable-ad-settings.html)을 참조하세요.
1. SMB 파일 공유를 생성하십시오. 자세한 내용은 다음 섹션을 참조하세요.
1. Storage Gateway 콘솔에서 파일 공유의 Windows ACL을 활성화합니다.
Storage Gateway 콘솔을 사용하려면 다음을 수행합니다.
1. 파일 공유를 선택하고 **파일 공유 편집**을 선택합니다.
1. **제어되는 파일/디렉터리 액세스** 옵션에서 **Windows 액세스 제어 목록**을 선택합니다.
1. (선택 사항) 파일 공유의 모든 파일과 폴더에 ACL을 업데이트할 권한을 관리자 사용자에게 부여하려면 [AdminUsersList](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_CreateSMBFileShare.html#StorageGateway-CreateSMBFileShare-request-AdminUserList)에 관리자 사용자를 추가합니다.
**참고**
SMB 파일 공유의 설정에서 **허용 및 거부된 사용자 및 그룹** 목록을 구성한 경우 ACL은 해당 목록을 재정의하는 액세스 권한을 부여하지 않습니다.
**허용 및 거부된 사용자 및 그룹** 목록은 ACL보다 먼저 평가되며 파일 공유를 탑재하거나 액세스할 수 있는 사용자를 제어합니다. **허용** 목록에 사용자 또는 그룹이 있는 경우 해당 목록은 활성으로 간주되며 해당 사용자만 파일 공유를 탑재할 수 있습니다.
사용자가 파일 공유를 탑재한 후 ACL은 사용자가 액세스할 수 있는 특정 파일 또는 폴더를 제어하는 보다 세분화된 보호를 제공합니다.
1. 루트 폴더 아래에 상위 폴더의 ACL을 업데이트합니다. 그럴려면 Windows File Explorer를 사용하여 SMB 파일 공유의 폴더에 ACL을 구성합니다.
**참고**
루트 아래에 있는 상위 폴더 대신 루트에 ACL을 구성할 경우에는 ACL 권한이 Amazon S3에 유지되지 않습니다.
파일 공유의 루트에서 직접 ACL을 설정하지 맑 파일 공유의 루트 아래에 있는 최상위 폴더에 ACL을 설정하는 것이 좋습니다. 이렇게 하면 정보가 객체 메타데이터로 Amazon S3에 유지됩니다.
1. 필요에 따라 상속을 켭니다.
**참고**
2019년 5월 8일 이후에 생성한 파일 공유의 상속을 활성화할 수 있습니다.
상속을 활성화하고 권한을 재귀적으로 업데이트하면 Storage Gateway가 S3 버킷의 모든 객체를 업데이트합니다. 버킷의 객체 수에 따라 업데이트를 완료하는 데 시간이 걸릴 수 있습니다.
## 기존 SMB 파일 공유에서 Windows ACL 활성화
다음 단계에 따라 POSIX 권한이 있는 기존 SMB 파일 공유에서 Windows ACL을 활성화합니다.
**Storage Gateway 콘솔을 사용하여 기존 SMB 파일 공유에서 Windows ACL을 활성화하려면**
1. 파일 공유를 선택하고 **파일 공유 편집**을 선택합니다.
1. **제어되는 파일/디렉터리 액세스** 옵션에서 **Windows 액세스 제어 목록**을 선택합니다.
1. 필요에 따라 상속을 켭니다.
**참고**
ACL을 루트 레벨에 설정하는 것은 권장하지 않습니다. 이 경우 게이트웨이를 삭제하면 ACL을 다시 재설정해야 하기 때문입니다.
상속을 활성화하고 권한을 재귀적으로 업데이트하면 Storage Gateway가 S3 버킷의 모든 객체를 업데이트합니다. 버킷의 객체 수에 따라 업데이트를 완료하는 데 시간이 걸릴 수 있습니다.
## Windows ACL을 사용할 때의 제한 사항
Windows ACL을 사용하여 SMB 파일 공유에 대한 액세스를 제어할 때 다음과 같은 제한 사항을 명심해야 합니다.
+ Windows ACL은 Windows SMB 클라이언트를 사용하여 파일 공유에 액세스할 때 인증을 위해 Active Directory를 사용하는 파일 공유에서만 지원됩니다.
+ File Gateway는 각 파일과 디렉터리에 대해 최대 10개의 ACL 항목을 지원합니다.
+ File Gateway는 시스템 액세스 제어 목록(SACL) 항목인 `Audit` 및 `Alarm` 항목을 지원하지 않습니다. File Gateway는 임의 액세스 제어 목록(DACL) 항목인 `Allow` 및 `Deny` 항목을 지원합니다.
+ File Gateway는 고급 액세스 제어 항목(ACE) 권한을 지원하지 않습니다.
+ SMB 파일 공유의 루트 ACL 설정은 게이트웨이에만 있으며, 게이트웨이 업데이트 및 재시작 시 유지됩니다.
**참고**
루트 아래에 있는 상위 폴더 대신 루트에 ACL을 구성할 경우에는 ACL 권한이 Amazon S3에 유지되지 않습니다.
이러한 조건을 고려하여 다음을 수행해야 합니다.
+ 동일한 Amazon S3 버킷에 액세스할 여러 게이트웨이를 구성할 경우에는 각 게이트웨이마다 루트 ACL을 구성하여 권한을 유지하십시오.
+ 파일 공유를 삭제하고 동일 Amazon S3 버킷에서 다시 생성할 경우에는 동일한 루트 ACL 세트를 사용해야 합니다.