Microsoft Windows ACL를 사용하여 SMB 파일 공유에 대한 액세스 제어 - AWSStorage Gateway

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Microsoft Windows ACL를 사용하여 SMB 파일 공유에 대한 액세스 제어

Amazon S3 File Gateway는 SMB 파일 공유를 통해 저장된 파일 및 디렉터리에 대한 액세스를 제어하는 두 가지 방법을 지원합니다. POSIX 권한 또는 윈도우 ACL

이 단원에서는 Microsoft Active Directory(AD)가 활성화된 SMB 파일 공유에서 Microsoft Windows 액세스 제어 목록(ACL)를 사용하는 방법을 볼 수 있습니다. Windows ACL을 사용하여 SMB 파일 공유에서 파일 및 폴더에 대한 세분화된 권한을 설정할 수 있습니다.

다음은 SMB 파일 공유에서 Windows ACL의 몇 가지 중요한 특징입니다.

  • 파일 게이트웨이가 Active Directory 도메인에 가입될 때 SMB 파일 공유에 대해 Windows ACL이 기본적으로 선택됩니다.

  • ACL이 활성화되면 Amazon S3 객체 메타데이터에 ACL 정보가 유지됩니다.

  • 게이트웨이는 파일 또는 폴더당 최대 10개의 ACL을 유지합니다.

  • ACL이 활성화된 SMB 파일 공유를 사용하여 게이트웨이 밖에서 생성된 S3 객체에 액세스하면 객체들이 상위 폴더에서 ACL 정보를 상속합니다.

  • SMB 파일 공유용 기본 루트 ACL은 모두에게 전체 액세스 권한을 부여하지만 루트 ACL의 권한을 변경할 수 있습니다. 루트 ACL을 사용하여 파일 공유에 대한 액세스를 제어할 수 있습니다. 파일 공유를 마운트(드라이브 매핑)할 수 있는 주체와 파일 공유에서 사용자가 파일과 폴더에 대해 반복해서 받을 수 있는 권한을 설정할 수 있습니다. 그렇지만 ACL이 유지되도록 S3 버킷의 최상위 폴더에 이 권한을 설정하는 것이 좋습니다.

새 SMB 파일 공유를 생성할 때 CreateSMBFileShare API 작업을 사용하여 Windows ACL을 활성화할 수 있습니다. 또는 UpdateSMBFileShare API 작업을 사용하여 기존 SMB 파일에 Windows ACL을 활성화할 수 있습니다.

새 SMB 파일 공유에 Windows ACL 활성화

다음 단계에 따라 새 SMB 파일 공유에 Windows ACL을 활성화합니다.

SMB 파일 공유를 생성할 때 Windows ACL을 활성화하려면
  1. 파일 게이트웨이가 아직 없다면 지금 만드십시오. 자세한 내용은 섹션을 참조하세요.

  2. 게이트웨이가 도메인에 조인되어 있지 않으면 도메인에 추가하십시오. 자세한 내용은 섹션을 참조하세요.

  3. SMB 파일 공유를 생성하십시오.

  4. Storage Gateway 콘솔에서 파일 공유에 Windows ACL을 활성화합니다.

    Storage Gateway 콘솔을 사용하려면 다음을 수행합니다.

    1. 파일 공유를 선택하고 파일 공유 편집을 선택합니다.

    2. 제어되는 파일/디렉터리 액세스 옵션에서 Windows 액세스 제어 목록을 선택합니다.

  5. (선택 사항) 파일 공유의 모든 파일과 폴더에 ACL을 업데이트할 권한을 관리자 사용자에게 부여하려면 AdminUsersList에 관리자 사용자를 추가합니다.

  6. 루트 폴더 아래에 상위 폴더의 ACL을 업데이트합니다. 그럴려면 Windows File Explorer를 사용하여 SMB 파일 공유의 폴더에 ACL을 구성합니다.

    참고

    루트 아래에 있는 상위 폴더 대신 루트에 ACL을 구성할 경우에는 ACL 권한이 Amazon S3 유지되지 않습니다.

    파일 공유의 루트에서 직접 ACL을 설정하지 맑 파일 공유의 루트 아래에 있는 최상위 폴더에 ACL을 설정하는 것이 좋습니다. 이 방법은 Amazon S3 정보를 객체 메타데이터로 유지합니다.

  7. 상속을 적절히 활성화합니다.

    참고

    2019년 5월 8일 이후에 생성한 파일 공유의 상속을 활성화할 수 있습니다.

상속을 활성화하고 권한을 재귀적으로 업데이트하면 Storage Gateway가 S3 버킷의 모든 객체를 업데이트합니다. 버킷의 객체 수에 따라 업데이트를 완료하는 데 시간이 걸릴 수 있습니다.

기존 SMB 파일 공유에 Windows ACL 활성화

다음 단계에 따라 POSIX 권한이 있는 기존 SMB 파일 공유에 Windows ACL을 활성화합니다.

Storage Gateway 콘솔을 사용하여 기존 SMB 파일 공유에 Windows ACL을 활성화하려면
  1. 파일 공유를 선택하고 파일 공유 편집을 선택합니다.

  2. 제어되는 파일/디렉터리 액세스 옵션에서 Windows 액세스 제어 목록을 선택합니다.

  3. 상속을 적절히 활성화합니다.

    참고

    ACL을 루트 레벨에 설정하는 것은 권장하지 않습니다. 이 경우 게이트웨이를 삭제하면 ACL을 다시 재설정해야 하기 때문입니다.

상속을 활성화하고 권한을 재귀적으로 업데이트하면 Storage Gateway가 S3 버킷의 모든 객체를 업데이트합니다. 버킷의 객체 수에 따라 업데이트를 완료하는 데 시간이 걸릴 수 있습니다.

Windows ACL 사용 시 제한 사항

Windows ACL을 사용하여 SMB 파일 공유에 대한 액세스를 제어할 때 다음과 같은 제한 사항을 명심해야 합니다.

  • Windows ACL은 Windows SMB 클라이언트를 사용하여 파일 공유에 액세스할 때 Active Directory용으로 활성화된 파일 공유에만 지원됩니다.

  • 파일 게이트웨이는 각 파일과 디렉터리에 대해 최대 10개의 ACL 항목을 지원합니다.

  • 파일 게이트웨이는 를 지원하지 않습니다.AuditAlarm항목 - 시스템 액세스 제어 목록 (SACL) 항목입니다. 파일 게이트웨이는 임의 액세스 제어 목록(DACL) 항목인 AllowDeny 항목을 지원합니다.

  • SMB 파일 공유의 루트 ACL 설정은 게이트웨이에만 있으며, 게이트웨이 업데이트 및 재시작 시 유지됩니다.

    참고

    루트 아래에 있는 상위 폴더 대신 루트에 ACL을 구성할 경우에는 ACL 권한이 Amazon S3 유지되지 않습니다.

    이러한 조건을 고려하여 다음을 수행해야 합니다.

    • 동일한 Amazon S3 버킷에 액세스하도록 여러 게이트웨이를 구성할 경우에는 각 게이트웨이마다 루트 ACL을 구성하여 권한을 유지하십시오.

    • 파일 공유를 삭제하고 동일 Amazon S3 버킷에서 다시 생성할 경우에는 동일한 루트 ACL 세트를 사용해야 합니다.