Menggunakan Microsoft Windows ACL untuk mengontrol akses ke berbagi file SMB - AWSStorage Gateway
Mengaktifkan Windows ACL pada berbagi file SMB baruMengaktifkan Windows ACL pada berbagi file SMB yang adaKeterbatasan saat menggunakan Windows ACL

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan Microsoft Windows ACL untuk mengontrol akses ke berbagi file SMB

Amazon S3 File Gateway mendukung dua metode berbeda untuk mengendalikan akses ke file dan direktori yang disimpan melalui berbagi file SMB: Izin POSIX, atau Windows ACL.

Pada bagian ini, Anda dapat menemukan informasi tentang cara menggunakan daftar kontrol akses Microsoft Windows (ACL) pada berbagi file SMB diaktifkan dengan Microsoft Active Directory (AD). Dengan menggunakan Windows ACL, Anda dapat mengatur izin berbutir halus pada file dan folder dalam berbagi file SMB Anda.

Berikut ini adalah beberapa karakteristik penting dari ACL Windows pada saham file SMB:

  • Windows ACL dipilih secara default untuk berbagi file SMB saat File Gateway bergabung ke domain Active Directory.

  • Saat ACL diaktifkan, informasi ACL disimpan dalam metadata objek Amazon S3.

  • Gateway mempertahankan hingga 10 ACL per file atau folder.

  • Bila Anda menggunakan berbagi file SMB yang diaktifkan dengan ACL untuk mengakses objek S3 yang dibuat di luar gateway, objek akan mewarisi informasi ACL dari folder induk.

  • Akar default ACL untuk berbagi file SMB memberikan akses penuh ke semua orang, tetapi Anda dapat mengubah izin dari ACL root. Anda dapat menggunakan ACL root untuk mengontrol akses ke berbagi file. Anda dapat mengatur siapa yang dapat me-mount berbagi file (memetakan drive) dan apa izin pengguna mendapatkan ke file dan folder rekursif di berbagi file. Namun, kami menyarankan agar Anda menetapkan izin ini pada folder tingkat atas dalam bucket S3 sehingga ACL Anda bertahan.

Anda dapat mengaktifkan Windows ACL ketika Anda membuat berbagi file SMB baru dengan menggunakanCreateSMBFileShareOperasi API. Atau Anda dapat mengaktifkan Windows ACL pada berbagi file SMB yang ada dengan menggunakanUpdateSMBFileShareOperasi API.

Mengaktifkan Windows ACL pada berbagi file SMB baru

Ambil langkah-langkah berikut untuk mengaktifkan Windows ACL pada berbagi file SMB baru.

Untuk mengaktifkan Windows ACL saat membuat berbagi file SMB baru

  1. Buat gateway file jika belum memilikinya. Untuk informasi selengkapnya, lihat .

  2. Jika gateway tidak bergabung ke domain, tambahkan ke domain. Untuk informasi selengkapnya, lihat .

  3. Buat berbagi file SMB.

  4. Aktifkan Windows ACL pada berbagi file dari konsol Storage Gateway.

    Untuk menggunakan konsol Storage Gateway, lakukan hal-hal berikut ini:

    1. Pilih berbagi file dan pilihMengedit berbagi file.

    2. UntukAkses file/direktori dikendalikan olehopsi, pilihDaftar Kontrol Akses.

  5. (Opsional) Tambahkan pengguna admin keAdminUsersList, jika Anda ingin pengguna admin memiliki hak istimewa untuk memperbarui ACL pada semua file dan folder dalam berbagi file.

  6. Perbarui ACL untuk folder induk di bawah folder root. Untuk melakukannya, gunakan Windows File Explorer untuk mengkonfigurasi ACL pada folder di berbagi file SMB.

    catatan

    Jika Anda mengkonfigurasi ACL di root, bukan folder induk di bawah root, izin ACL tidak disimpan di Amazon S3.

    Sebaiknya setel ACL di folder tingkat atas di bawah root berbagi file Anda, alih-alih menyetel ACL langsung di root berbagi file. Pendekatan ini tetap menyimpan informasi sebagai metadata objek di Amazon S3.

  7. Aktifkan warisan yang sesuai.

    catatan

    Anda dapat mengaktifkan warisan untuk berbagi file yang dibuat setelah 8 Mei 2019.

Jika Anda mengaktifkan warisan dan memperbarui izin secara rekursif, Storage Gateway memperbarui semua objek dalam bucket S3. Bergantung pada jumlah objek di bucket, pembaruan dapat memerlukan waktu lama untuk diselesaikan.

Mengaktifkan Windows ACL pada berbagi file SMB yang ada

Ambil langkah-langkah berikut untuk mengaktifkan Windows ACL pada berbagi file SMB yang ada yang memiliki izin POSIX.

Untuk mengaktifkan Windows ACL pada berbagi file SMB yang ada menggunakan konsol Storage Gateway

  1. Pilih berbagi file dan pilihMengedit berbagi file.

  2. UntukAkses file/direktori dikendalikan olehopsi, pilihDaftar Kontrol Akses.

  3. Aktifkan warisan yang sesuai.

    catatan

    Kami tidak menyarankan pengaturan ACL di level root, karena jika Anda melakukan ini dan menghapus gateway, Anda perlu mengatur ulang ACL lagi.

Jika Anda mengaktifkan warisan dan memperbarui izin secara rekursif, Storage Gateway memperbarui semua objek dalam bucket S3. Bergantung pada jumlah objek di bucket, pembaruan dapat memerlukan waktu lama untuk diselesaikan.

Keterbatasan saat menggunakan Windows ACL

Ingatlah keterbatasan berikut saat menggunakan Windows ACL untuk mengontrol akses ke berbagi file SMB:

  • Windows ACL hanya didukung pada berbagi file yang diaktifkan untuk Active Directory ketika Anda menggunakan klien Windows SMB untuk mengakses berbagi file.

  • Gateway file mendukung maksimal 10 entri ACL untuk setiap file dan direktori.

  • Gateway file tidak mendukungAuditdanAlarmentri, yang merupakan daftar kontrol akses sistem (SACL) entri. Dukungan gateway fileAllowdanDenyentri, yang merupakan daftar kontrol akses diskresioner (DACL) entri.

  • Pengaturan root ACL dari berbagi file SMB hanya ada di gateway, dan pengaturannya tetap ada di pembaruan gateway dan restart.

    catatan

    Jika Anda mengkonfigurasi ACL di root, bukan folder induk di bawah root, izin ACL tidak disimpan di Amazon S3.

    Mengingat kondisi ini, pastikan untuk melakukan hal berikut:

    • Jika Anda mengkonfigurasi beberapa gateway untuk mengakses bucket Amazon S3 yang sama, konfigurasikan ACL root pada masing-masing gateway agar izin tetap konsisten.

    • Jika Anda menghapus berbagi file dan membuatnya kembali pada bucket Amazon S3 yang sama, pastikan Anda menggunakan rangkaian ACL root yang sama.