Utilisation des listes ACL Microsoft Windows pour contrôler l'accès à un partage de fichiers SMB - AWSStorage Gateway
Activation des listes ACL Windows ACL sur un nouveau partage de fichiers SMBActivation des listes ACL Windows ACL sur un partage de fichiers SMB existantLimites lors de l'utilisation des listes ACL Windows

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des listes ACL Microsoft Windows pour contrôler l'accès à un partage de fichiers SMB

Amazon S3 File Gateway prend en charge deux méthodes différentes pour contrôler l'accès aux fichiers et répertoires stockés via un partage de fichiers SMB : Autorisations POSIX ou ACL Windows.

Dans cette section, vous trouverez des informations sur la façon d'utiliser les listes ACL Microsoft Windows sur les partages de fichiers SMB activés avec Microsoft Active Directory (AD). En utilisant les ACL Windows, vous pouvez définir des autorisations précises sur les fichiers et les dossiers dans votre partage de fichiers SMB.

Voici quelques caractéristiques importantes des listes de contrôle d'accès (ACL) Windows sur les partages de fichiers SMB :

  • Les listes ACL Windows sont sélectionnées par défaut pour les partages de fichiers SMB lorsque votre passerelle de fichiers est jointe à un domaine Active Directory.

  • Lorsque les listes ACL sont activées, les informations sur les ACL sont conservées dans les métadonnées d'objet Amazon S3.

  • La passerelle conserve jusqu'à 10 listes ACL par fichier ou dossier.

  • Lorsque vous utilisez un partage de fichiers SMB activé avec les listes de contrôle d'accès (ACL) pour accéder aux objets S3 créés en dehors de votre passerelle, les objets héritent les informations ACL du dossier parent.

  • L'ACL racine par défaut d'un partage de fichiers SMB accorde un accès complet à tout le monde, mais vous pouvez modifier les autorisations de la racine ACL. Vous pouvez utiliser les listes ACL racines pour contrôler l'accès au partage de fichiers. Vous pouvez définir les personnes qui peuvent monter le partage de fichiers (mapper le lecteur) et les autorisations accordées de façon récursive à l'utilisateur sur les fichiers et les dossiers du partage de fichiers. Cependant, nous vous recommandons de définir cette autorisation sur le dossier de niveau supérieur dans le compartiment S3 afin que votre liste ACL soit conservée.

Vous pouvez activer les listes ACL Windows lorsque vous créez un nouveau partage de fichiers SMB à l'aide de l'opération d'API CreateSMBFileShare. Ou vous pouvez activer les listes ACL Windows ACL sur un partage de fichiers SMB existant à l'aide de l'opération d'API UpdateSMBFileShare.

Activation des listes ACL Windows ACL sur un nouveau partage de fichiers SMB

Suivez les étapes ci-après pour activer les listes ACL Windows sur un nouveau partage de fichiers SMB.

Pour activer les listes ACL Windows lors de la création d'un nouveau partage de fichiers SMB

  1. Créez une passerelle de fichiers si vous n'en avez pas déjà une. Pour plus d'informations, consultez .

  2. Si la passerelle n'est pas jointes à un domaine, ajoutez-la à un domaine. Pour plus d'informations, consultez .

  3. Créez un partage de fichiers SMB.

  4. Activez la liste ACL Windows sur le partage de fichiers à partir de la console Storage Gateway.

    Pour utiliser la console Storage Gateway, procédez comme suit :

    1. Choisissez le partage de fichiers, puis Edit file share (Modifier le partage de fichiers).

    2. Pour l'option File/directory access controlled by (Accès au fichier/répertoire contrôlé par), choisissez Windows Access Control List (Liste de contrôle d'accès ACL).

  5. (Facultatif) Ajoutez un utilisateur administrateur à la liste AdminUsersList, si vous voulez que l'utilisateur administrateur ait des privilèges pour mettre à jour les listes ACL de tous les fichiers et dossiers du partage de fichiers.

  6. Mettez à jour les listes ACL des dossiers parents sous le dossier racine. Pour ce faire, utilisez l'Explorateur de fichiers Windows afin de configurer les listes de contrôle d'accès (ACL) sur les dossiers du partage de fichiers SMB.

    Note

    Si vous configurez les listes de contrôle d'accès (ACL) sur la racine plutôt que sur le dossier parent sous la racine, les autorisations ACL ne sont pas conservées dans Amazon S3.

    Nous vous recommandons de définir les listes ACL au dossier de niveau supérieur sous la racine de votre partage de fichiers, au lieu de définir les listes de contrôle d'accès (ACL) directement à la racine du partage de fichiers. Cette approche conserve les informations sous la forme de métadonnées d'objet dans Amazon S3.

  7. Activez l'héritage, le cas échéant.

    Note

    Vous pouvez activer l'héritage pour les partages de fichiers créés après le 8 mai 2019.

Si vous activez l'héritage et mettez à jour les autorisations de manière récursive, Storage Gateway met à jour tous les objets du compartiment S3. Selon le nombre d'objets dans le compartiment, la mise à jour peut prendre un peu de temps.

Activation des listes ACL Windows ACL sur un partage de fichiers SMB existant

Suivez les étapes ci-après pour activer les ACL Windows sur un partage de fichiers SMB existant qui dispose des autorisations POSIX.

Pour activer les listes ACL Windows sur un partage de fichiers SMB existant à l'aide de la console Storage Gateway

  1. Choisissez le partage de fichiers, puis Edit file share (Modifier le partage de fichiers).

  2. Pour l'option File/directory access controlled by (Accès au fichier/répertoire contrôlé par), choisissez Windows Access Control List (Liste de contrôle d'accès ACL).

  3. Activez l'héritage, le cas échéant.

    Note

    Nous vous déconseillons de définir les listes de contrôle d'accès (ACL) à la racine, parce que si vous procédez ainsi et supprimez votre passerelle, vous devez réinitialiser à nouveau les listes de contrôle d'accès (ACL).

Si vous activez l'héritage et mettez à jour les autorisations de manière récursive, Storage Gateway met à jour tous les objets du compartiment S3. Selon le nombre d'objets dans le compartiment, la mise à jour peut prendre un peu de temps.

Limites lors de l'utilisation des listes ACL Windows

Gardez les limites suivantes à l'esprit lorsque vous utilisez les listes ACL Windows pour contrôler l'accès aux partages de fichiers SMB :

  • Les listes ACL Windows sont prises en charge uniquement sur les partages de fichiers qui sont activés pour Active Directory lorsque vous utilisez les clients Windows SMB pour accéder aux partages de fichiers.

  • Les passerelles de fichiers prennent en charge un maximum de 10 entrées ACL pour chaque fichier et répertoire.

  • Les passerelles de fichiers ne prennent pas en chargeAuditetAlarm, qui sont des entrées de liste ACL système (SACL). Les passerelles de fichiers prennent en charge les entrées Deny et Allow, qui sont des entrées de listes ACL discrétionnaires(DACL).

  • Les paramètres des listes ACL racine des partages de fichiers SMB ne se trouvent que sur la passerelle, et les paramètres sont conservés à travers les mises à jour et les redémarrages de la passerelle.

    Note

    Si vous configurez les listes de contrôle d'accès (ACL) sur la racine plutôt que sur le dossier parent sous la racine, les autorisations ACL ne sont pas conservées dans Amazon S3.

    En raison de ces conditions, veillez à effectuer les opérations suivantes :

    • Si vous configurez plusieurs passerelles pour accéder au même compartiment Amazon S3, configurez la racine ACL sur chacune des passerelles pour que les autorisations demeurent cohérentes.

    • Si vous supprimez un partage de fichiers et le recréez sur le même compartiment Amazon S3, assurez-vous d'utiliser le même ensemble de listes ACL racine.