SMB ファイルサーバーを使用した AWS DataSync 転送の設定 - AWS DataSync
DataSync に対する SMB ファイルサーバーへのアクセス許可の付与SMB 転送ロケーションの作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SMB ファイルサーバーを使用した AWS DataSync 転送の設定

を使用すると AWS DataSync、サーバーメッセージブロック (SMB) ファイルサーバーと次のいずれかの AWS ストレージサービスとの間でデータを転送できます。

このタイプの転送を設定するには、SMB ファイルサーバーのロケーションを作成します。このロケーションは送信元または送信先として使用できます。

DataSync に対する SMB ファイルサーバーへのアクセス許可の付与

DataSync は SMB プロトコルを使用してファイルサーバーに接続し、NTLM または Kerberos で認証できます。

サポートされている SMB バージョン

デフォルトでは、DataSync は SMB ファイルサーバーとのネゴシエーションに基づいて自動的に SMB プロトコルのバージョンを選択します。

特定の SMB バージョンを使用するように DataSync を設定することもできますが、これは DataSync が SMB ファイルサーバーと自動的にネゴシエーションできない場合にのみ行うことをお勧めします。DataSync は SMB バージョン 1.0 以降をサポートします。セキュリティ上の理由から、SMB バージョン 3.0.2 以降を使用することをお勧めします。SMB 1.0 などの以前のバージョンには、攻撃者がデータを侵害するために悪用できる既知のセキュリティ脆弱性が含まれています。

DataSync コンソールと API のオプションについては、次の表を参照してください。

コンソールオプション API オプション 説明
自動

AUTOMATIC

DataSync と SMB ファイルサーバーは 、2.1 から 3.1.1 の間で 、相互にサポートする最上位の SMB バージョンをネゴシエートします。

これはデフォルトの推奨オプションです。代わりに、ファイルサーバーがサポートしていない特定のバージョンを選択すると、Operation Not Supported エラーが表示されることがあります。

SMB 3.0.2

SMB3

プロトコルネゴシエーションを SMB バージョン 3.0.2 のみに制限します。
SMB 2.1

SMB2

 プロトコルネゴシエーションを SMB バージョン 2.1 のみに制限します。
SMB 2.0

SMB2_0

 プロトコルネゴシエーションを SMB バージョン 2.0 のみに制限します。
SMB 1.0

SMB1

 プロトコルネゴシエーションを SMB バージョン 1.0 のみに制限します。

NTLM 認証の使用

NTLM 認証を使用するには、DataSync が転送先または転送元の SMB ファイルサーバーにアクセスできるようにするユーザー名とパスワードを指定します。ユーザーは、ファイルサーバーのローカルユーザーでも、Microsoft Active Directory のドメインユーザーでもかまいません。

Kerberos 認証を使用する

Kerberos 認証を使用するには、転送先または転送元の SMB ファイルサーバーへのアクセスを DataSync に許可する Kerberos プリンシパル、Kerberos キーテーブル (キータブ) ファイル、および Kerberos 設定ファイルを指定します。

前提条件

DataSync が SMB ファイルサーバーにアクセスできるように、いくつかの Kerberos アーティファクトを作成し、ネットワークを設定する必要があります。

  • ktpass または kutil ユーティリティを使用して Kerberos キータブファイルを作成します。

    次の例では、 を使用してキータブファイルを作成しますktpass。指定する Kerberos 領域 (MYDOMAIN.ORG) は大文字である必要があります。

    ktpass /out C:\YOUR_KEYTAB.keytab /princ HOST/kerberosuser@MYDOMAIN.ORG /mapuser kerberosuser /pass * /crypto AES256-SHA1 /ptype KRB5_NT_PRINCIPAL

  • Kerberos 設定ファイルの簡略化されたバージョン () を準備しますkrb5.conf。領域、ドメイン管理サーバーの場所、Kerberos 領域へのホスト名のマッピングに関する情報を含めます。

    krb5.conf コンテンツが、レルムとドメインのレルム名に正しい大文字と小文字が混在してフォーマットされていることを確認します。以下に例を示します。

    [libdefaults] 
  dns_lookup_realm = true 
  dns_lookup_kdc = true 
  forwardable = true 
  default_realm = MYDOMAIN.ORG

[realms] 
  MYDOMAIN.ORG = { 
    kdc = mydomain.org 
    admin_server = mydomain.org 
  }

[domain_realm] 
  .mydomain.org = MYDOMAIN.ORG 
  mydomain.org = MYDOMAIN.ORG

  • ネットワーク設定で、Kerberos Key Distribution Center (KDC) サーバーポートが開いていることを確認します。通常、KDC ポートは TCP ポート 88 です。

Kerberos の DataSync 設定オプション

Kerberos を使用する SMB の場所を作成するときは、次のオプションを設定します。

コンソールオプション API オプション 説明

SMB サーバー

ServerHostName

DataSync エージェントがマウントする SMB ファイルサーバーのドメイン名。Kerberos では、ファイルサーバーの IP アドレスを指定することはできません。

Kerberos プリンシパル

KerberosPrincipal

SMB ファイルサーバーのファイル、フォルダ、およびファイルメタデータにアクセスするアクセス許可を持つ Kerberos 領域の ID。

Kerberos プリンシパルは のようになりますHOST/kerberosuser@MYDOMAIN.ORG

プリンシパル名では大文字と小文字が区別されます。

Keytab ファイル

KerberosKeytab

Kerberos キーテーブル (キータブ) ファイル。Kerberos プリンシパルと暗号化キー間のマッピングが含まれます。

Kerberos 設定ファイル

KerberosKrbConf

Kerberos 領域設定を定義するkrb5.confファイル。

DNS IP アドレス (オプション)

DnsIpAddresses

SMB ファイルサーバーが属する DNS サーバーの IPv4 アドレス。

環境に複数のドメインがある場合は、これを設定すると、DataSync が適切な SMB ファイルサーバーに接続されます。

必要なアクセス許可

DataSync に提供する ID には、SMB ファイルサーバーのファイル、フォルダ、およびファイルメタデータをマウントしてアクセスするためのアクセス許可が必要です。

Active Directory で ID を指定する場合、その ID は、次のユーザー権限のいずれかまたは両方を持つ Active Directory グループのメンバーである必要があります (DataSync がコピーするメタデータによって異なります)。

ユーザー権限 説明

ファイルとディレクトリを復元する (SE_RESTORE_NAME)

DataSync がオブジェクトの所有権、アクセス許可、ファイルメタデータ、NTFS の任意アクセスリスト (DACL) をコピーすることを許可します。

このユーザー権限は通常、ドメイン管理者グループとバックアップオペレーターグループ (どちらもデフォルトの Active Directory グループ) のメンバーに付与されます。

監査ログとセキュリティログの管理 (SE_SECURITY_NAME)

DataSync が NTFS システムアクセスコントロールリスト (SACL) をコピーすることを許可します。

このユーザー権限は通常、ドメイン管理者グループのメンバーに付与されます。

Windows ACLs をコピーし、SMB ファイルサーバーと SMB を使用する別のストレージシステム (Amazon FSx for Windows File Server や FSx for ONTAP など) 間で転送する場合、DataSync に提供する ID は同じ Active Directory ドメインに属しているか、ドメイン間に Active Directory の信頼関係がある必要があります。

DFS 名前空間

DataSync は Microsoft Distributed File System (DFS) 名前空間をサポートしていません。DataSync ロケーションを作成するときは、基盤となるファイルサーバーを指定するか、共有することをお勧めします。

SMB 転送ロケーションの作成

開始する前に、データ転送元の SMB ファイルサーバーが必要です。

  1. https://console.aws.amazon.com/datasync/ で AWS DataSync コンソールを開きます。

  2. 左側のナビゲーションペインで [データ転送] を展開し、[ロケーション][ロケーションの作成] を選択します。

  3. [Location type (場所のタイプ)][サーバーメッセージブロック (SMB)]The UI tags need to be placed outside the brackets. を選択します。

    後でこのロケーションを送信元あるいは送信先として設定します。

  4. [エージェント] で、SMB ファイルサーバーに接続可能な DataSync エージェントを選択します。

    エージェントは複数選択できます。詳細については、「複数の DataSync エージェントの使用」を参照してください。

  5. SMB サーバーの場合は、DataSync エージェントがマウントする SMB ファイルサーバーのドメイン名または IP アドレスを入力します。

    この設定では、次の点に注意してください。

    • IP バージョン 6 (IPv6) アドレスは指定できません。

    • Kerberos 認証を使用している場合は、ドメイン名を指定する必要があります。

  6. [共有名] には、DataSync がデータを読み書きする SMB ファイルサーバーによってエクスポートされた共有の名前を入力します。

    共有パスにはサブディレクトリ (例: /path/to/subdirectory) を含めることができます。ネットワーク内の他の SMB クライアントもこのパスをマウントできることを確認してください。

    サブディレクトリ内のすべてのデータをコピーするには、DataSync が SMB 共有をマウントし、その共有内のすべてのデータにアクセスできるようにする必要があります。詳細については、「必要なアクセス許可」を参照してください。

  7. (オプション) [その他の設定] を展開し、DataSync がファイルサーバーにアクセスするときに使用する SMB バージョンを選択します。

    デフォルトでは、DataSync は SMB サーバーとのネゴシエーションに基づいて自動的にバージョンを選択します。詳細については、サポートされている SMB バージョン を参照してください。

  8. 認証タイプで、NTLM または Kerberos を選択します。

  9. 認証タイプに応じて、次のいずれかを実行します。

    NTLM

    • [ユーザー] には、SMB ファイルサーバーをマウントし、転送に関係するファイルやフォルダにアクセスする権限を持つユーザー名を入力します。

      詳細については、「必要なアクセス許可」を参照してください。

    • [パスワード] には、SMB ファイルサーバーをマウントでき、転送に関連するファイルとフォルダへのアクセス権限を持つユーザーのパスワードを入力します。

    • (オプション) [ドメイン] には、SMB ファイルサーバーが属する Windows ドメイン名を入力します。

      環境内に複数のドメインがある場合、この設定を構成すると、DataSync が適切な SMB ファイルサーバーに接続できるようになります。

    Kerberos

    • Kerberos プリンシパルの場合、SMB ファイルサーバーのファイル、フォルダ、ファイルメタデータにアクセスする権限を持つプリンシパルを Kerberos 領域に指定します。

      Kerberos プリンシパルは のようになりますHOST/kerberosuser@MYDOMAIN.ORG

      プリンシパル名では大文字と小文字が区別されます。この設定に指定したプリンシパルが、キータブファイルの作成に使用するプリンシパルと完全に一致しない場合、DataSync タスクの実行は失敗します。

    • Keytab ファイルには、Kerberos プリンシパルと暗号化キー間のマッピングを含むキータブファイルをアップロードします。

    • Kerberos 設定ファイルの場合は、Kerberos 領域設定を定義するkrb5.confファイルをアップロードします。

    • (オプション) DNS IP アドレスには、SMB ファイルサーバーが属する DNS サーバーに最大 2 つの IPv4 アドレスを指定します。

      環境に複数のドメインがある場合、このパラメータを設定すると、DataSync が適切な SMB ファイルサーバーに接続されます。

  10. (オプション) [タグを追加] を選択して、SMB ロケーションにタグ付けします。

    タグは、ロケーションの管理、フィルタリング、検索に役立つキーバリューペアです。少なくとも場所の名前タグを作成することを推奨します。

  11. [ロケーションを作成] を選択します。

次の手順では、NTLM または Kerberos 認証を使用して SMB ロケーションを作成する方法について説明します。

NTLM

  1. 次の create-location-smb コマンドをコピーします。

    aws datasync create-location-smb \
    --agent-arns datasync-agent-arns \
    --server-hostname smb-server-address \
    --subdirectory smb-export-path \
    --authentication-type "NTLM" \
    --user user-who-can-mount-share \
    --password user-password \
    --domain windows-domain-of-smb-server

  2. には--agent-arns、SMB ファイルサーバーに接続できる DataSync エージェントを指定します。

    エージェントは複数選択できます。詳細については、「複数の DataSync エージェントの使用」を参照してください。

  3. には--server-hostname、DataSync エージェントがマウントする SMB ファイルサーバーのドメイン名または IPv4 アドレスを指定します。

  4. には--subdirectory、DataSync がデータを読み書きする SMB ファイルサーバーによってエクスポートされた共有の名前を指定します。

    共有パスにはサブディレクトリ (例: /path/to/subdirectory) を含めることができます。ネットワーク内の他の SMB クライアントもこのパスをマウントできることを確認してください。

    サブディレクトリ内のすべてのデータをコピーするには、DataSync が SMB 共有をマウントし、その共有内のすべてのデータにアクセスできるようにする必要があります。詳細については、「必要なアクセス許可」を参照してください。

  5. には--user、SMB ファイルサーバーをマウントでき、転送に関連するファイルとフォルダへのアクセス許可を持つユーザー名を指定します。

    詳細については、「必要なアクセス許可」を参照してください。

  6. には--password、SMB ファイルサーバーをマウントでき、転送に関連するファイルとフォルダにアクセスするアクセス許可を持つユーザーのパスワードを指定します。

  7. (オプション) で--domain、SMB ファイルサーバーが属する Windows ドメイン名を指定します。

    環境内に複数のドメインがある場合、この設定を構成すると、DataSync が適切な SMB ファイルサーバーに接続できるようになります。

  8. (オプション) DataSync で特定の SMB バージョンを使用する場合は、 --versionオプションを追加します。詳細については、「サポートされている SMB バージョン」を参照してください。

  9. create-location-smb コマンドを実行します。

    コマンドが成功すると、作成した場所の ARN を示す応答が返されます。以下に例を示します。

    {
    "arn:aws:datasync:us-east-1:123456789012:location/loc-01234567890example"
}
Kerberos

  1. 次の create-location-smb コマンドをコピーします。

    aws datasync create-location-smb \
    --agent-arns datasync-agent-arns \
    --server-hostname smb-server-address \
    --subdirectory smb-export-path \
    --authentication-type "KERBEROS" \
    --kerberos-principal "HOST/kerberosuser@EXAMPLE.COM" \
    --kerberos-keytab "fileb://path/to/file.keytab" \
    --kerberos-krb5-conf "file://path/to/krb5.conf" \
    --dns-ip-addresses array-of-ipv4-addresses

  2. には--agent-arns、SMB ファイルサーバーに接続できる DataSync エージェントを指定します。

    エージェントは複数選択できます。詳細については、「複数の DataSync エージェントの使用」を参照してください。

  3. には--server-hostname、DataSync エージェントがマウントする SMB ファイルサーバーのドメイン名を指定します。

  4. には--subdirectory、DataSync がデータを読み書きする SMB ファイルサーバーによってエクスポートされた共有の名前を指定します。

    共有パスにはサブディレクトリ (例: /path/to/subdirectory) を含めることができます。ネットワーク内の他の SMB クライアントもこのパスをマウントできることを確認してください。

    サブディレクトリ内のすべてのデータをコピーするには、DataSync が SMB 共有をマウントし、その共有内のすべてのデータにアクセスできるようにする必要があります。詳細については、「必要なアクセス許可」を参照してください。

  5. Kerberos オプションの場合は、次の操作を行います。

    • --kerberos-principal: SMB ファイルサーバーのファイル、フォルダ、およびファイルメタデータにアクセスするアクセス許可を持つプリンシパルを Kerberos 領域に指定します。

      Kerberos プリンシパルは のようになりますHOST/kerberosuser@MYDOMAIN.ORG

      プリンシパル名では大文字と小文字が区別されます。このオプションに指定したプリンシパルが、キータブファイルの作成に使用するプリンシパルと完全に一致しない場合、DataSync タスクの実行は失敗します。

    • --kerberos-keytab: Kerberos プリンシパルと暗号化キー間のマッピングを含むキータブファイルを指定します。

    • --kerberos-krb5-conf: Kerberos 領域設定を定義するkrb5.confファイルを指定します。

    • (オプション) --dns-ip-addresses: SMB ファイルサーバーが属する DNS サーバーに最大 2 つの IPv4 アドレスを指定します。

      環境に複数のドメインがある場合、このパラメータを設定すると、DataSync が適切な SMB ファイルサーバーに接続されます。

  6. (オプション) DataSync で特定の SMB バージョンを使用する場合は、 --versionオプションを追加します。詳細については、「サポートされている SMB バージョン」を参照してください。

  7. create-location-smb コマンドを実行します。

    コマンドが成功すると、作成した場所の ARN を示す応答が返されます。以下に例を示します。

    {
    "arn:aws:datasync:us-east-1:123456789012:location/loc-01234567890example"
}