Utilizzo di Microsoft Windows ACL per controllare l'accesso a una condivisione di file SMB - AWSStorage Gateway

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di Microsoft Windows ACL per controllare l'accesso a una condivisione di file SMB

Amazon S3 File Gateway supporta due metodi diversi per il controllo dell'accesso a file e directory che vengono archiviati tramite una condivisione di file SMB: Autorizzazioni POSIX o ACL Windows.

In questa sezione, è possibile trovare informazioni su come utilizzare le liste di controllo degli accessi (ACL) di Microsoft Windows su condivisioni di file SMB abilitate con Microsoft Active Directory (AD). Utilizzando le ACL di Windows, è possibile impostare autorizzazioni granulari su file e cartelle nella propria condivisione di file SMB.

Di seguito sono elencate alcune importanti caratteristiche delle Windows ACL su condivisioni di file SMB:

  • Gli ACL di Windows vengono selezionati per impostazione predefinita per le condivisioni di file SMB quando il File Gateway viene unito a un dominio Active Directory.

  • Quando le ACL sono abilitate, le informazioni sulle ACL vengono conservate nei metadati degli oggetti Amazon S3.

  • Il gateway conserva fino a 10 ACL per ogni file o cartella.

  • Quando si utilizza una condivisione di file SMB con ACL abilitati ad accedere a oggetti S3 creati all'esterno del gateway, gli oggetti ereditano le informazioni delle ACL dalla cartella principale.

  • La lista di controllo degli accessi root predefinita per un file di condivisione SMB offre accesso completo a tutti, ma è possibile modificare le autorizzazioni della ACL root. È possibile utilizzare le liste di controllo accessi (ACL) per controllare l'accesso alla condivisione di file. È possibile impostare chi può montare la condivisione di file (mappare l'unità) e quali autorizzazioni ottiene l'utente per i file e le cartelle in modo ricorsivo nella condivisione di file. Tuttavia, consigliamo di impostare questa autorizzazione nella cartella di livello superiore nel bucket S3 in modo che la lista di controllo degli accessi venga mantenuta.

È possibile abilitare le liste di controllo degli accessi di Windows al momento della creazione di un nuovo file di condivisione SMB utilizzando l'operazione API CreateSMBFileShare. In alternativa, è possibile abilitare le ACL di Windows in un file di condivisione SMB esistente tramite l'operazione API UpdateSMBFileShare.

Abilitazione di ACL di Windows in una nuova condivisione di file SMB

Segui la procedura seguente per abilitare le ACL di Windows in una nuova condivisione di file SMB.

Come abilitare le ACL di Windows al momento della creazione di una nuova condivisione di file SMB
  1. Creare un file gateway se non si dispone già di uno. Per ulteriori informazioni, consultare .

  2. Se il gateway non è stato aggiunto a un dominio, aggiungerlo a un dominio. Per ulteriori informazioni, consultare .

  3. Creare una condivisione di file SMB.

  4. Abilitare le ACL di Windows sulla condivisione file dalla console Storage Gateway.

    Per utilizzare la console Storage Gateway, eseguire queste operazioni:

    1. Scegliere la condivisione file e scegliere Edit file share (Modifica condivisione file).

    2. Per l'opzione File/directory access controlled by (Accesso a file/directory controllato da) scegliere Windows Access Control List (Lista di controllo accessi di Windows).

  5. (Facoltativo) Aggiungere un utente amministratore a AdminUsersList, se si desidera che l'utente amministratore disponga di privilegi per aggiornare le ACL su tutti i file e tutte le cartelle nella condivisione di file.

  6. Aggiornare le liste di controllo degli accessi per le cartelle padre nella cartella root. Per eseguire questa operazione, utilizzare Windows File Explorer per configurare le ACL nelle cartelle nella condivisione di file SMB.

    Nota

    Se configuri le liste di controllo degli accessi nella root invece della cartella padre in root, le autorizzazioni ACL non vengono mantenute in Amazon S3.

    Consigliamo di impostare le ACL nella cartella principale nel root della condivisione di file, invece di impostare le ACL direttamente nel root della condivisione di file. Questo approccio mantiene le informazioni come metadati degli oggetti in Amazon S3.

  7. Abilitare l'ereditarietà in base alle esigenze.

    Nota

    È possibile abilitare l'ereditarietà per condivisioni di file create dopo l'8 maggio 2019.

Se abiliti l'ereditarietà e aggiorni le autorizzazioni in modo ricorsivo, Storage Gateway aggiorna tutti gli oggetti nel bucket S3. A seconda del numero di oggetti nel bucket, l'aggiornamento può richiedere alcuni minuti per il completamento.

Abilitazione di ACL di Windows in una condivisione file SMB esistente

Segui la procedura seguente per abilitare le ACL di Windows in una condivisione di file SMB esistente con autorizzazioni POSIX.

Per abilitare le ACL di Windows su una condivisione file SMB esistente tramite la console Storage Gateway
  1. Scegliere la condivisione file e scegliere Edit file share (Modifica condivisione file).

  2. Per l'opzione File/directory access controlled by (Accesso a file/directory controllato da) scegliere Windows Access Control List (Lista di controllo accessi di Windows).

  3. Abilitare l'ereditarietà in base alle esigenze.

    Nota

    Non è consigliabile impostare le ACL al livello root, poiché se si effettua questa operazione e si elimina il gateway, è necessario ripristinare nuovamente le ACL.

Se abiliti l'ereditarietà e aggiorni le autorizzazioni in modo ricorsivo, Storage Gateway aggiorna tutti gli oggetti nel bucket S3. A seconda del numero di oggetti nel bucket, l'aggiornamento può richiedere alcuni minuti per il completamento.

Restrizioni nell'utilizzo di ACL di Windows

Mantieni i seguenti limiti quando utilizzi ACL di Windows per controllare l'accesso a condivisioni di file SMB:

  • Le ACL di Windows sono supportate solo su condivisioni di file abilitate per Active Directory quando utilizzi client SMB Windows per accedere alle condivisioni di file.

  • I gateway di file supportano un massimo di 10 voci ACL per ogni file e directory.

  • I gateway file non supportanoAuditeAlarmvoci, ovvero voci SACL (elenco di controllo degli accessi al sistema). I file gateway supportano voci Allow e Deny, ovvero voci DACL (elenco di controllo degli accessi discrezionale).

  • Le impostazioni ACL root di condivisione dei file SMB sono presenti solo sul gateway e le impostazioni vengono mantenute in aggiornamenti e riavvii del gateway.

    Nota

    Se configuri le ACL nella root invece della cartella padre nel root, le autorizzazioni ACL non vengono mantenute in Amazon S3.

    In tali condizioni, assicurati di eseguire quanto segue:

    • Se configuri più gateway per accedere allo stesso bucket Amazon S3, configura l'ACL root su ciascuno dei gateway per mantenere le autorizzazioni coerenti.

    • Se elimini una condivisione di file e la ricrei sullo stesso bucket Amazon S3, assicurati di utilizzare lo stesso set di ACL root.