Usando o Windows ACLs para limitar o acesso ao compartilhamento de arquivos SMB - AWS Storage Gateway
Ativando o Windows ACLs em um novo compartilhamento de arquivos SMBAtivando o Windows ACLs em um compartilhamento de arquivos SMB existenteLimitações ao usar o Windows ACLs

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando o Windows ACLs para limitar o acesso ao compartilhamento de arquivos SMB

O gateway de arquivos Amazon S3 oferece suporte a dois métodos diferentes para controlar o acesso a arquivos e diretórios armazenados por meio de um compartilhamento de arquivos SMB: permissões POSIX ou Windows. ACLs

Esta seção descreve como usar as listas de controle de acesso (ACLs) do Microsoft Windows em compartilhamentos de arquivos SMB que usam o Microsoft Active Directory (AD) para autenticação. Ao usar o Windows ACLs, você pode definir permissões refinadas em arquivos e pastas em seu compartilhamento de arquivos SMB.

A seguir estão algumas características importantes do Windows ACLs em compartilhamentos de arquivos SMB:

  • O Windows ACLs é selecionado por padrão para compartilhamentos de arquivos SMB quando seu gateway de arquivos é associado a um domínio do Active Directory.

  • Quando ACLs ativadas, as informações da ACL são mantidas nos metadados do objeto Amazon S3.

  • O gateway preserva até 10 ACLs por arquivo ou pasta.

  • Quando você usa um compartilhamento de arquivos SMB ACLs ativado para acessar objetos do S3 criados fora do seu gateway, os objetos herdam as informações ACLs 'da pasta principal.

nota

A ACL raiz padrão para um compartilhamento de arquivos SMB fornece acesso total a todos os usuários, mas você pode alterar as permissões da ACL raiz. Você pode usar o root ACLs para controlar o acesso ao compartilhamento de arquivos. Você pode definir quem pode montar o compartilhamento de arquivos (mapear a unidade) e quais permissões o usuário recebe para os arquivos e as pastas recursivamente no compartilhamento de arquivos. No entanto, recomendamos que definir essa permissão na pasta de nível superior no bucket do S3 para que sua ACL seja mantida.

Você pode ativar o Windows ACLs ao criar um novo compartilhamento de arquivos SMB usando a operação Create SMBFile Share API. Ou você pode ativar o Windows ACLs em um compartilhamento de arquivos SMB existente usando a operação Update SMBFile Share API.

Ativando o Windows ACLs em um novo compartilhamento de arquivos SMB

Siga as etapas a seguir para ativar o Windows ACLs em um novo compartilhamento de arquivos SMB.

Para ativar o Windows ACLs ao criar um novo compartilhamento de arquivos SMB

  1. Crie um gateway de arquivos se você ainda não tiver um. Para obter mais informações, consulte Como criar um gateway.

  2. Se o gateway não tiver ingressado em um domínio, adicione-o a um domínio. Para obter mais informações, consulte Usando o Active Directory para autenticar usuários.

  3. Crie um compartilhamento de arquivos SMB. Para obter mais informações, consulte .

  4. Ative o Windows ACLs no compartilhamento de arquivos no console do Storage Gateway.

    Para usar o console do Storage Gateway, faça o seguinte:

    1. Escolha o compartilhamento de arquivos e selecione Edit file share (Editar o compartilhamento de arquivos).

    2. Para a opção File/directory access controlled by (Acesso a arquivo/diretório controlado por), selecione Windows Access Control List (Lista de controle de acesso do Windows).

  5. (Opcional) Adicione um usuário administrador ao AdminUsersList, se quiser que o usuário administrador tenha privilégios para atualizar ACLs todos os arquivos e pastas no compartilhamento de arquivos.

    nota

    Se você tiver configurado as listas de Usuários e Grupos Permitidos e Negados nas configurações do compartilhamento de arquivos SMB, ACLs não concederá nenhum acesso que substitua essas listas.

    As listas de usuários e grupos permitidos e negados são avaliadas anteriormente ACLs e controlam quais usuários podem montar ou acessar o compartilhamento de arquivos. Se algum usuário ou grupo for colocado na lista Permitidos, a lista será considerada ativa e somente esses usuários poderão montar o compartilhamento de arquivos.

    Depois que um usuário montar um compartilhamento de arquivos, ACLs forneça uma proteção mais granular que controle quais arquivos ou pastas específicos o usuário pode acessar.

  6. Atualize o ACLs para as pastas principais abaixo da pasta raiz. Para fazer isso, use o Explorador de Arquivos do Windows para configurar o ACLs nas pastas do compartilhamento de arquivos SMB.

    nota

    Se você configurar o ACLs na raiz em vez da pasta principal na raiz, as permissões de ACL não serão mantidas no Amazon S3.

    Recomendamos configurar ACLs na pasta de nível superior abaixo da raiz do compartilhamento de arquivos, em vez de configurar ACLs diretamente na raiz do compartilhamento de arquivos. Essa abordagem mantém as informações como metadados de objetos no Amazon S3.

  7. Ative a herança conforme apropriado.

    nota

    Você pode ativar a herança para compartilhamentos de arquivos criados após 8 de maio de 2019.

Se você ativar a herança e atualizar as permissões recursivamente, o Storage Gateway atualizará todos os objetos no bucket do S3. Dependendo do número de objetos no bucket, a atualização pode demorar um pouco para ser concluída.

Ativando o Windows ACLs em um compartilhamento de arquivos SMB existente

Siga as etapas a seguir para ativar o Windows ACLs em um compartilhamento de arquivos SMB existente que tenha permissões POSIX.

Para ativar o Windows ACLs em um compartilhamento de arquivos SMB existente usando o Storage Gateway Console

  1. Escolha o compartilhamento de arquivos e selecione Edit file share (Editar o compartilhamento de arquivos).

  2. Para a opção File/directory access controlled by (Acesso a arquivo/diretório controlado por), selecione Windows Access Control List (Lista de controle de acesso do Windows).

  3. Ative a herança conforme apropriado.

    nota

    Não recomendamos definir o ACLs no nível raiz, porque se você fizer isso e excluir seu gateway, precisará redefini-lo ACLs novamente.

Se você ativar a herança e atualizar as permissões recursivamente, o Storage Gateway atualizará todos os objetos no bucket do S3. Dependendo do número de objetos no bucket, a atualização pode demorar um pouco para ser concluída.

Limitações ao usar o Windows ACLs

Lembre-se das seguintes limitações ao usar o Windows ACLs para controlar o acesso aos compartilhamentos de arquivos SMB:

  • O Windows ACLs só tem suporte em compartilhamentos de arquivos que usam o Active Directory para autenticação quando você usa clientes Windows SMB para acessar os compartilhamentos de arquivos.

  • Os gateways de arquivos comportam um máximo de 10 entradas de ACL para cada arquivo e diretório.

  • Os gateways de arquivos não suportam Alarm entradas Audit e, que são entradas da lista de controle de acesso do sistema (SACL). Suporte Allow e entradas dos gateways de arquivos, que são Deny entradas da lista de controle de acesso discricionário (DACL).

  • Os gateways de arquivos não oferecem suporte às permissões de Entrada de Controle de Acesso Avançado (ACE).

  • As configurações de ACL raiz de compartilhamentos de arquivos SMB estão apenas no gateway, e as configurações são mantidas em atualizações e reinicializações de gateway.

    nota

    Se você configurar o ACLs na raiz em vez da pasta principal abaixo da raiz, as permissões de ACL não serão mantidas no Amazon S3.

    Dadas essas condições, faça o seguinte:

    • Se você configurar vários gateways para acessar o mesmo bucket do Amazon S3, configure a ACL raiz em cada um dos gateways para manter as permissões consistentes.

    • Se você excluir um compartilhamento de arquivos e recriá-lo no mesmo bucket do Amazon S3, certifique-se de usar o mesmo conjunto de raiz. ACLs