Verwenden von Microsoft Windows-ACLs zum Steuern des Zugriffs auf eine SMB-Dateifreigabe - AWSStorage Gateway

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Microsoft Windows-ACLs zum Steuern des Zugriffs auf eine SMB-Dateifreigabe

Amazon S3 File Gateway unterstützt zwei verschiedene Methoden zum Steuern des Zugriffs auf Dateien und Verzeichnisse, die über eine SMB-Dateifreigabe gespeichert werden: POSIX-Berechtigungen oder Windows-ACLs.

In diesem Abschnitt finden Sie Informationen zur Verwendung von Microsoft Windows-Zugriffskontrolllisten (Access Control Lists, ACLs) auf SMB-Dateifreigaben, die mit Microsoft Active Directory (AD) aktiviert sind. Durch die Verwendung von Windows-ACLs können Sie fein abgestimmte Berechtigungen für Dateien und Ordner in Ihrer SMB-Dateifreigabe festlegen.

Im Folgenden finden Sie einige wichtige Merkmale von Windows-ACLs auf SMB-Dateifreigaben:

  • Windows-ACLs sind standardmäßig für SMB-Dateifreigaben ausgewählt, wenn Ihr File Gateway einer Active Directory-Domäne zugeordnet ist.

  • Wenn ACLs aktiviert sind, sind die ACL-Informationen in Amazon S3 S3-Objektmetadaten persistent.

  • Die Gateway bewahrt bis zu 10 ACLs pro Datei oder Ordner auf.

  • Wenn Sie eine mit ACLs aktivierte SMB-Dateifreigabe für den Zugriff auf S3-Objekte verwenden, die außerhalb Ihres Gateways erstellt wurden, erben die Objekte die Informationen der ACLs aus dem übergeordneten Ordner.

  • Die Standard-Stamm-ACL für eine SMB-Dateifreigabe bietet allen vollständigen Zugriff, Sie können die Berechtigungen der Stamm-ACL aber ändern. Sie können Root-ACLs zum Steuern des Zugriffs auf die Dateifreigabe verwenden. Sie können festlegen, wer die Dateifreigabe mounten (das Laufwerk zuordnen) kann und welche Berechtigungen der Benutzer rekursiv für die Dateien und Ordner in der Dateifreigabe erhält. Wir empfehlen jedoch, dass Sie diese Berechtigung im Ordner der obersten Ebene im S3-Bucket festlegen, sodass Ihre ACL dauerhaft gespeichert wird.

Sie können Windows-ACLs mithilfe der API-Operation CreateSMBFileShare beim Erstellen einer neuen SMB-Dateifreigabe aktivieren. Oder Sie können Windows-ACLs mithilfe der API-Operation UpdateSMBFileShare auf einer vorhandenen SMB-Dateifreigabe aktivieren.

Aktivieren von Windows-ACLs auf einer neuen SMB-Dateifreigabe

Führen Sie die folgenden Schritte aus, um Windows-ACLs auf einer neuen SMB-Dateifreigabe zu aktivieren.

So aktivieren Sie Windows-ACLs beim Erstellen einer neuen SMB-Dateifreigabe
  1. Erstellen Sie ein File Gateway, sofern noch nicht geschehen. Weitere Informationen finden Sie unter .

  2. Wenn das Gateway keiner Domäne beigetreten ist, fügen Sie es einer Domäne hinzu. Weitere Informationen finden Sie unter .

  3. Erstellen Sie eine SMB-Dateifreigabe

  4. Aktivieren Sie die Windows-ACL für die Dateifreigabe über die Storage Gateway Gateway-Konsole.

    Gehen Sie wie folgt vor, um die Storage Gateway Gateway-Konsole zu verwenden:

    1. Wählen Sie die Dateifreigabe aus und klicken Sie auf Edit file share (Dateifreigabe bearbeiten).

    2. Wählen Sie für die Option File/directory access controlled by (Datei-/Verzeichniszugriff kontrolliert von) die Option Windows Access Control List (Windows-Zugriffskontrollliste) aus.

  5. (Optional) Fügen Sie einen Admin-Benutzer zu AdminUsersList hinzu, wenn Sie möchten, dass der Admin-Benutzer zum Aktualisieren von ACLs für alle Dateien und Ordnern in der Dateifreigabe berechtigt ist.

  6. Aktualisieren Sie die ACLs für die übergeordneten Ordner unter dem Stammverzeichnis. Hierzu konfigurieren Sie mithilfe von Windows-Explorer die ACLs in den Ordnern in der SMB-Dateifreigabe.

    Anmerkung

    Wenn Sie die ACLs anstatt im übergeordneten Order unter dem Stammverzeichnis im Stammverzeichnis selbst konfigurieren, sind die ACL-Berechtigungen in Amazon S3 nicht persistent.

    Wir empfehlen Ihnen, ACLs im Ordner der obersten Ebene unter dem Stammverzeichnis Ihrer Dateifreigabe festzulegen, anstatt ACLs direkt im Stammverzeichnis der Dateifreigabe festzulegen. Bei diesem Ansatz sind die Informationen als Objekt-Metadaten in Amazon S3 persistent.

  7. Aktivieren Sie die Vererbung entsprechend.

    Anmerkung

    Die Vererbung kann für Dateifreigaben aktiviert werden, die nach dem 8. Mai 2019 erstellt wurden.

Wenn Sie die Vererbung aktivieren und die Berechtigungen rekursiv aktualisieren, aktualisiert Storage Gateway alle Objekte im S3-Bucket. Je nach der Anzahl der Objekte im Bucket kann die Aktualisierung einige Zeit in Anspruch nehmen.

Aktivieren von Windows-ACLs auf einer vorhandenen SMB-Dateifreigabe

Führen Sie die folgenden Schritte aus, um Windows-ACLs auf einer vorhandenen SMB-Dateifreigabe mit POSIX-Berechtigungen zu aktivieren.

So aktivieren Sie Windows-ACLs für eine vorhandene SMB-Dateifreigabe mithilfe der Storage Gateway Gateway-Konsole
  1. Wählen Sie die Dateifreigabe aus und klicken Sie auf Edit file share (Dateifreigabe bearbeiten).

  2. Wählen Sie für die Option File/directory access controlled by (Datei-/Verzeichniszugriff kontrolliert von) die Option Windows Access Control List (Windows-Zugriffskontrollliste) aus.

  3. Aktivieren Sie die Vererbung entsprechend.

    Anmerkung

    Es wird nicht empfohlen, die ACLs auf der Stammebene festzulegen, da Sie die ACLs in diesem Fall erneut zurücksetzen müssen, wenn Sie das Gateway löschen.

Wenn Sie die Vererbung aktivieren und die Berechtigungen rekursiv aktualisieren, aktualisiert Storage Gateway alle Objekte im S3-Bucket. Je nach der Anzahl der Objekte im Bucket kann die Aktualisierung einige Zeit in Anspruch nehmen.

Einschränkungen bei der Verwendung von Windows-ACLs

Beachten Sie die folgenden Einschränkungen bei der Verwendung von Windows-ACLs zum Steuern des Zugriffs auf SMB-Dateifreigaben:

  • Windows-ACLs werden nur auf Dateifreigaben unterstützt, die für Active Directory aktiviert sind, wenn Sie mit Windows-SMB-Clients auf die Dateifreigaben zugreifen.

  • File Gateways unterstützt maximal 10 ACL-Einträge für die einzelnen Dateien und Ordner.

  • Datei-Gateways unterstützen nichtAuditundAlarmEinträge, bei denen es sich um Einträge einer System-Zugriffskontrollliste (System Access Control List, File Gateways unterstützen Allow- und Deny-Einträge, bei denen es sich um Einträge einer besitzerverwalteten Zugriffskontrollliste (Discretionary Access Control List, DACL) handelt.

  • Die Stamm-ACL-Einstellungen von SMB-Dateifreigaben befinden sich nur auf dem Gateway, und die Einstellungen sind über Gateway-Aktualisierungen und -Neustarts hinweg persistent.

    Anmerkung

    Wenn Sie die ACLs anstatt im übergeordneten Order unter dem Stammverzeichnis im Stammverzeichnis selbst konfigurieren, sind die ACL-Berechtigungen in Amazon S3 nicht persistent.

    Stellen Sie angesichts dieser Bedingungen sicher, dass Sie die folgenden Schritte ausführen:

    • Wenn Sie mehrere Gateways für den Zugriff auf denselben Amazon S3 S3-Bucket konfigurieren, konfigurieren Sie die Stamm-ACL auf jedem der Gateways, um die Berechtigungen konsistent zu halten.

    • Wenn Sie eine Dateifreigabe löschen und sie auf demselben Amazon S3 S3-Bucket neu erstellen, stellen Sie sicher, dass Sie denselben Satz von Stamm-ACLs verwenden.