

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 创建文件共享
<a name="GettingStartedCreateFileShare"></a>

在该部分中，您可以找到有关如何创建文件共享的说明，该共享可通过网络文件系统（NFS）或服务器消息块（SMB）协议进行访问。

当您创建 NFS 共享时，默认情况下，任何有权访问 NFS 服务器的人员都能访问 NFS 文件共享。您可以通过 IP 地址限制对客户端的访问权限。

创建 SMB 文件共享时，可以使用以下三种身份验证模式之一：
+ 具有 Microsoft Active Directory（AD）访问权限的文件共享。任何经过身份验证的 Microsoft AD 用户都将获得对此文件共享类型的访问权限。
+ 具有有限访问权限的 SMB 文件共享。只有您指定的特定域用户和组才可以访问（通过允许清单）。也可以拒绝用户和组进行访问（通过拒绝清单）。
+ 具有来宾访问权限的 SMB 文件共享。可以提供来宾密码的任何用户都将获得对此文件共享的访问权限。
**注意**  
通过 NFS 文件共享网关导出的文件共享支持 POSIX 权限。对于 SMB 文件共享，您可以使用访问控制列表 (ACLs) 来管理文件共享中文件和文件夹的权限。有关更多信息，请参阅 [使用 Windows ACLs 限制 SMB 文件共享访问权限](smb-acl.md)。

文件网关可以托管一个或多个不同类型的文件共享。您可以在一个文件网关上有多个 NFS 和 SMB 文件共享。

**重要**  
要创建文件共享，文件网关需要您激活 AWS Security Token Service (AWS STS)。如果在创建文件网关 AWS 区域 的地方 AWS STS 未激活，请将其激活。有关如何激活的信息 AWS STS，请参阅《*AWS Identity and Access Management 用户指南》 AWS Security Token Service *[中的在 AWS 区域中激活和停用](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_temp_enable-regions.html#sts-regions-activate-deactivate)。

**Topics**
+ [避免上传网关数据时产生意外成本](avoid-unanticipated-costs.md)
+ [在 Amazon S3 中加密文件网关存储的对象](encrypt-objects-stored-by-file-gateway-in-amazon-s3.md)
+ [创建 NFS 文件共享](create-nfs-file-share.md)
+ [创建 SMB 文件共享](create-smb-file-share.md)

# 避免上传网关数据时产生意外成本
<a name="avoid-unanticipated-costs"></a>

当 NFS 客户端将文件写入文件网关时，文件网关会将文件的数据上传到 Amazon S3，然后上传其元数据。上传文件数据会创建 S3 对象，上传该文件的元数据会更新该 S3 对象的元数据。此过程会创建对象的附加版本。如果 S3 版本控制已开启，则会存储两个版本。

如果您更改存储在文件网关中的文件的元数据，则会创建一个新的 S3 对象，并替换现有的 S3 对象。这种行为不同于在文件系统中编辑文件，在文件系统中编辑文件不会导致创建新文件。测试您计划在 AWS Storage Gateway 中使用的所有文件操作，以便了解每个文件操作如何与 Amazon S3 存储进行交互。

从文件网关上传数据时，请谨慎考虑在 Amazon S3 中使用 S3 版本控制和跨区域复制（CRR）。开启 S3 版本控制后，将文件从文件网关上传到 Amazon S3 通常会导致 S3 对象有多个版本。

某些涉及大文件和文件写入模式的工作流（例如分几个步骤执行的文件上传）可能会增加存储的 S3 对象版本的数量。如果由于文件写入速率高，文件网关缓存需要释放空间，则可能会创建多个 S3 对象版本。如果启用 S3 版本控制，这些场景会增加 S3 存储空间，并增加与 CRR 相关的传输成本。测试您计划与 Storage Gateway 结合使用的所有文件操作，以了解每个文件操作如何与 Amazon S3 存储进行交互。

将 Rsync 实用程序与文件网关一起使用，可以在缓存中创建临时文件，并在 Amazon S3 中创建临时 S3 对象。这种情况会导致 S3 标准-不频繁访问（S3 标准-IA）存储类别的提前删除费用。

# 在 Amazon S3 中加密文件网关存储的对象
<a name="encrypt-objects-stored-by-file-gateway-in-amazon-s3"></a>

S3 文件网关支持对其存储在 Amazon S3 中的数据使用以下服务器端加密方法：
+ **SSE-S3**：默认情况下，上传到 Amazon S3 存储桶的所有新对象都使用 Amazon S3 托管密钥进行服务器端加密。有关更多信息，请参阅《Amazon Simple Storage Service 用户指南》**中的[使用 Amazon S3 托管密钥的服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。
+ **SSE-KMS** — 您可以将文件共享配置为使用 AWS Key Management Service (AWS KMS) 托管密钥的服务器端加密。 AWS KMS 是一项结合了安全、高度可用的硬件和软件的服务，可提供可扩展到云端的密钥管理系统。有关更多信息，请参阅[什么是 AWS 密钥管理服务？](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 在《*AWS Key Management Service 开发人员指南》*中。
+ **DSSE-KMS** — 带 AWS KMS 密钥的双层服务器端加密在对象上传到 Amazon S3 时会对对象进行两层加密。这有助于满足多层加密的合规性标准。有关更多信息，请参阅 A *mazon 简单存储服务用户*指南中的[使用带 AWS KMS 密钥的双层服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingDSSEncryption.html)。
**注意**  
使用 DSSE-KMS 和 AWS KMS 密钥需要支付额外费用。有关更多信息，请参阅[AWS KMS 定价](https://aws.amazon.com/kms/pricing/)。

创建新文件共享时，您可以使用 Storage Gateway 控制台或 Storage Gateway API 来指定加密方法。有关控制台操作步骤，请参阅[使用自定义配置创建 NFS 文件共享](CreatingAnNFSFileShare.md)或[使用自定义配置创建 SMB 文件共享](CreatingAnSMBFileShare.md)。有关相应的 API 命令的信息，请参阅 *AWS Storage Gateway API 参考*中的[创建NFSFileSMBFile共享](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_CreateNFSFileShare.html)[或创建共享](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_CreateSMBFileShare.html)。


您还可以使用 Storage Gateway 控制台或 Storage Gateway API 更新现有文件共享的加密设置。有关控制台操作步骤，请参阅[更改现有文件共享的服务器端加密方法](edit-file-share-encryption.md)。有关相应的 API 命令的信息，请参阅 *AWS Storage Gateway API 参考*中的[更新NFSFileSMBFile共享](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_UpdateNFSFileShare.html)[或更新共享](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_UpdateSMBFileShare.html)。

**注意**  
更新加密方法后，网关将使用新方法来处理其在 Amazon S3 中创建的所有新对象以及将来更新或修改的任何存储对象。现有 Amazon S3 对象仅在通过网关更新或修改时才会采用新的加密方法。

**重要**  
确保您的文件共享使用的加密类型，与其数据存储到的 Amazon S3 存储桶使用的加密类型相同。  
如果您将文件网关配置为使用 SSE-KMS 或 DSSE-KMS 进行加密，则必须手动向与文件共享关联的 IAM 角色添加 `kms:Encrypt`、`kms:Decrypt`、`kms:ReEncrypt*`、`kms:GenerateDataKey` 和 `kms:DescribeKey` 权限。有关更多信息，请参阅[为 Storage Gateway 使用基于身份的策略（IAM 策略）](https://docs.aws.amazon.com/filegateway/latest/files3/using-identity-based-policies.html)。

# 创建 NFS 文件共享
<a name="create-nfs-file-share"></a>

网络文件系统（NFS）协议是用于基于 UNIX 的系统的有状态文件共享协议。当启用 NFS 的客户端和 NFS 服务器通信时，客户端使用远程过程调用（RPC）向服务器请求文件或目录。服务器验证文件或目录是否可用，以及客户端是否具有所需的访问权限。然后，服务器将文件或目录远程挂载到客户端，并通过虚拟连接共享访问权限。对于客户端操作，通过 NFS 使用远程服务器文件如同访问本地文件般便捷。

**注意**  
NFS 协议最多支持每个用户 16 个组。如果用户所属的组超过 16 个，则在挂载 NFS 文件共享时可能会遇到问题。为避免出现挂载问题，请确保用户访问 NFS 文件共享时所属组数不超过 16 个。

以下主题说明了为文件网关创建 NFS 文件共享的各种方法：

**Contents**
+ [使用默认配置创建 NFS 文件共享](nfs-fileshare-quickstart-settings.md)
  + [NFS 文件共享的默认配置设置](nfs-fileshare-quickstart-settings.md#quickstart-default-settings)
+ [使用自定义配置创建 NFS 文件共享](CreatingAnNFSFileShare.md)

# 使用默认配置创建 NFS 文件共享
<a name="nfs-fileshare-quickstart-settings"></a>

本部分介绍如何使用预配置的默认设置创建新的网络文件系统（NFS）文件共享。使用此方法进行基本部署、个人使用和测试，或作为快速部署多个文件共享的途径。这些共享后续可进行编辑和自定义。有关使用此过程创建的文件共享的默认设置列表，请参阅 [NFS 文件共享的默认配置设置](https://docs.aws.amazon.com/filegateway/latest/files3/nfs-fileshare-quickstart-settings.html#quickstart-default-settings)。如果您需要更精细的控制或想要对文件共享使用高级设置，请参阅[使用自定义配置创建 NFS 文件共享](https://docs.aws.amazon.com/filegateway/latest/files3/CreatingAnNFSFileShare.html)。

**注意**  
如果您需要通过虚拟私有云（VPC）将文件共享连接到 Amazon S3，则必须按照自定义配置程序进行操作。创建文件共享后，您无法对其 VPC 设置进行编辑。

**重要**  
从文件网关上传数据时，使用 S3 版本控制、跨区域复制或 Rsync 实用程序可能会显著影响成本。有关更多信息，请参阅在[从文件网关上传数据时避免意外成本](https://docs.aws.amazon.com/filegateway/latest/files3/avoid-unanticipated-costs.html)。

**要使用默认配置创建 NFS 文件共享：**

1. 在家中 [https://console.aws.amazon.com/storagegateway//](https://console.aws.amazon.com/storagegateway/home/)打开 AWS Storage Gateway 控制台，然后从左侧导航窗格中选择**文件共享**。

1. 选择**创建文件共享**。

1. 对于**网关**，请从列表中选择您的 Amazon S3 文件网关。

1. 对于**文件共享协议**，请选择 **NFS**。

1. 对于 **S3 存储桶**，请执行以下操作之一：
   + 从下拉列表中选择账户中的现有 Amazon S3 存储桶。
   + 从下拉列表中选择**其他账户中的存储桶**，然后在**跨账户存储桶名称**中输入该存储桶的名称。
   + 选择**创建新 S3 存储桶**，然后选择新存储桶的 Amazon S3 端点所在的 AWS 区域 ，并输入唯一的 **S3 存储桶名称**。完成后，选择**创建 S3 存储桶**。

     有关如何创建新存储桶的信息，请参阅《Amazon S3 用户指南》中的[如何创建 S3 存储桶？](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html)。
**注意**  
S3 文件网关不支持存储桶名称中带有句点（`.`）的 Amazon S3 存储桶。  
确保您的存储桶名称符合 Amazon S3 中的存储桶命名规则。有关更多信息，请参阅《Amazon Simple Storage Service 用户指南》**中的[存储桶命名规则](https://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html#bucketnamingrules)。

1. 查看**默认配置**下的设置，然后选择**创建文件共享**，使用默认配置创建新的 NFS 文件共享。

创建 NFS 文件共享后，您可以在 AWS Storage Gateway 控制台文件共享的**详细信息**选项卡上查看其配置设置。有关挂载文件共享的信息，请参阅在[客户端上挂载 NFS 文件共享](https://docs.aws.amazon.com/filegateway/latest/files3/GettingStartedAccessFileShare.html)。

## NFS 文件共享的默认配置设置
<a name="quickstart-default-settings"></a>

以下设置适用于您使用默认配置创建的所有新 NFS 文件共享。创建文件共享后，您可以从 AWS Storage Gateway 控制台**的文件共享**页面中选择该文件共享，以查看有关其配置的详细信息。

**重要**  
默认 NFS 文件共享配置为映射到文件共享的 S3 存储桶的所有者提供完全的文件控制和访问权限，即使该存储桶归其他 AWS 账户所有。有关使用文件共享来访问其他账户所拥有存储桶中的对象的更多信息，请参阅 [使用文件共享进行跨账户访问](cross-account-access.md)。


| 设置 | 默认值 | 注意 | 
| --- | --- | --- | 
|  **亚马逊 S3 地点**  |  文件共享直接连接到 Amazon S3 存储桶，并且与存储桶的名称相同。您的网关使用此存储桶来存储和检索文件。  |  该名称不包括前缀。  | 
|  **AWS PrivateLink 适用于 S3**  |  文件共享无法通过虚拟私有云（VPC）中的接口终端点连接到 Amazon S3。  |  | 
|   **文件上传通知**   |  关  |   | 
|  **新对象的存储类别**   |  Amazon S3 Standard   |  将您经常访问的对象数据冗余存储在地理上分开的多个可用区中。有关 Amazon S3 Standard 存储类别的更多信息，请参阅《Amazon Simple Storage Service 用户指南》**中的[经常访问对象的存储类别](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-class-intro.html#sc-freq-data-access)。  | 
|   **加密**  | 具有 S3 托管密钥的服务器端加密（SSE-S3） | 默认情况下，S3 文件网关上传、更新或修改的所有 Amazon S3 对象都使用具有 Amazon S3 托管密钥的服务器端加密进行加密。  | 
|   **对象元数据**  | 猜测 MIME 类型 | 这允许 Storage Gateway 根据文件扩展名猜测已上传对象的多用途 Internet 邮件扩展（MIME）类型。 此选项要求打开访问控制列表 (ACLs) 用于与您的文件共享关联的 Amazon S3 存储桶。如果 ACLs 是 关闭后，文件共享无法访问 Amazon S3 存储桶，并且仍处于 “**不可用**” 状态 无限期。  | 
|  **启用申请方付款**  |  关  |  有关更多信息，请参阅[申请方付款存储桶](https://docs.aws.amazon.com/AmazonS3/latest/dev/RequesterPaysBuckets.html)。  | 
|  **审核日志**  |  关  |  默认情况下，登录 Amazon CloudWatch 群组处于关闭状态。  | 
|   **访问 S3 存储桶**   |  创建新的 IAM 角色   |   默认选项允许文件网关代表您创建新的 IAM 角色和访问策略。允许所有 NFS 客户端进行访问。有关支持的 NFS 客户端的信息，请参阅 [文件网关支持的 NFS 和 SMB 客户端](Requirements.md#requirements-s3-fgw-clients)。    | 
|  **装载选项**  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/filegateway/latest/files3/nfs-fileshare-quickstart-settings.html)  |  **Squash 等级**的默认值意味着远程超级用户（根）的访问权限被映射到用户标识符（UID）（65534）和组标识符（GID）（65534）。  | 
|  **文件元数据默认值**  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/filegateway/latest/files3/nfs-fileshare-quickstart-settings.html)  | 

# 使用自定义配置创建 NFS 文件共享
<a name="CreatingAnNFSFileShare"></a>

使用以下过程创建包含自定义配置的网络文件系统（NFS）文件共享。要使用默认配置设置创建 NFS 文件共享，请参阅[使用默认配置创建 NFS 文件共享](https://docs.aws.amazon.com/filegateway/latest/files3/nfs-fileshare-quickstart-settings.html)。

**重要**  
从文件网关上传数据时，使用 S3 版本控制、跨区域复制或 Rsync 实用程序可能会显著影响成本。有关更多信息，请参阅在[从文件网关上传数据时避免意外成本](https://docs.aws.amazon.com/filegateway/latest/files3/avoid-unanticipated-costs.html)。

**使用自定义设置创建 NFS 文件共享**

1. 在家中 [https://console.aws.amazon.com/storagegateway//](https://console.aws.amazon.com/storagegateway/home/)打开 AWS Storage Gateway 控制台，然后从左侧导航窗格中选择**文件共享**。

1. 选择**创建文件共享**。

1. 选择**自定义配置**。您可以暂时忽略此窗格中的其他字段。在后续步骤中，系统将提示您配置网关、协议和存储设置。

1. 对于**网关**，从下拉列表中为您的新文件共享选择 Amazon S3 文件网关。

1. 对于**CloudWatch 日志组**，请从下拉列表中选择以下选项之一：
   + 要关闭此文件共享的日志记录，请选择**禁用日志记录**。
   + 要自动为此文件共享创建新的日志组，请选择**由 Storage Gateway 创建**。
   + 要将此文件共享的运行状况和资源通知发送到现有日志组，请从列表中选择所需的组。

   有关审核日志的更多信息，请参阅[了解 S3 文件网关审核日志](https://docs.aws.amazon.com/filegateway/latest/files3/monitoring-file-gateway.html#audit-logs)。

1. （可选）在**标签 - 可选**下，选择**添加新标签**，然后输入文件共享的**键**和**值**。

   标签是区分大小写的键值对，有助于您对 Storage Gateway 资源进行分类。添加标签可以更轻松地筛选和搜索文件共享。您可以重复此步骤以添加至多 50 个标签。

   完成后，选择**下一步**。

1. 对于 **S3 存储桶**，请执行以下任一操作来指定您的文件共享将在何处存储和检索文件：
   + 要将文件共享直接连接到 Amazon Web Services 账户中的现有 S3 存储桶，请从下拉列表中选择存储桶名称。
   + 要将文件共享关联到 Amazon Web Services 账户拥有的现有 S3 存储桶，而不是您用于创建文件共享的账户，请从下拉列表中选择**其他账户中的存储桶**，然后输入**跨账户存储桶名称**。
   + 要将文件共享连接到新的 S3 存储桶，请选择**创建新的 S3 存储桶**，然后选择新存储桶的 Amazon S3 端点所在的**区域**，并输入唯一的 **S3 存储桶名称**。完成后，选择**创建 S3 存储桶**。有关创建新存储桶的更多信息，请参阅《Amazon S3 用户指南》中的[如何创建 S3 存储桶？](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html)。
   + 要使用接入点名称将文件共享连接到 S3 存储桶，请从下拉列表中选择 **Amazon S3 接入点名称**，然后输入**接入点名称**。如果需要创建新的接入点，可以选择**创建 S3 接入点**。有关详细说明，请参阅《Amazon S3 用户指南》中的[创建接入点](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-access-points.html)。有关接入点的更多信息，请参阅《Amazon S3 用户指南》中的[使用 Amazon S3 接入点管理数据访问](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points.html)和[将访问控制委派到接入点](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-policies.html#access-points-delegating-control)。
   + 要使用接入点别名将文件共享连接到 S3 存储桶，请从下拉列表中选择 **Amazon S3 接入点别名**，然后输入**接入点别名**。如果需要创建新的接入点，可以选择**创建 S3 接入点**。有关详细说明，请参阅《Amazon S3 用户指南》中的[创建接入点](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-access-points.html)。有关接入点别名的信息，请参阅《Amazon S3 用户指南》中的[为接入点使用存储桶样式的别名](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-alias.html)。
**注意**  
每个文件共享只能连接到一个 S3 存储桶，但多个文件共享可连接到同一个存储桶。如果您将多个文件共享连接到同一个存储桶，则必须将每个文件共享配置为使用唯一的、不重叠的 **S3 存储桶前缀**，以防止 read/write 冲突。  
S3 文件网关不支持存储桶名称中带有句点（`.`）的 Amazon S3 存储桶。  
确保您的存储桶名称符合 Amazon S3 中的存储桶命名规则。有关更多信息，请参阅《Amazon Simple Storage Service 用户指南》**中的[存储桶命名规则](https://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html#bucketnamingrules)。

1. （可选）对于 **S3 存储桶前缀**，输入文件共享的前缀，以应用于其在 Amazon S3 中创建的对象。前缀是在 S3 中组织数据的方式，类似于传统文件结构中的目录。有关更多信息，请参阅《Amazon S3 用户指南》中的[使用前缀组织对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html)。
**注意**  
如果您将多个文件共享连接到同一个存储桶，则必须将每个文件共享配置为使用唯一的、不重叠的前缀以防止 read/write 冲突。
前缀必须以正斜杠（/）结尾。
文件共享后，前缀无法修改或删除。

1. 对于**区域**，从下拉列表中选择存储桶的 S3 终端节点所在的位置。 AWS 区域 仅当您在另一个账户中为 **S3 存储桶指定接入点或存储桶时，才会显示此字段**。

1. **对于新对象的存储类别**，请从下拉列表中选择一个存储类别。有关存储类别的更多信息，请参阅[使用文件网关的存储类别](https://docs.aws.amazon.com/filegateway/latest/files3/storage-classes.html#ia-file-gateway)。

1. 对于 **IAM 角色**，请执行以下任一操作为您的文件共享配置 IAM 角色：
   + 要自动创建具有文件共享正常运行所需权限的新 IAM 角色，请从下拉列表中选择**由 Storage Gateway 创建**。
   + 要使用现有 IAM 角色，从下拉列表中选择该角色。
   + 要创建新的 IAM 角色，请选择**创建角色**。有关更多说明，请参阅《 AWS Identity and Access Management 用户指南》中的[创建角色以向 AWS 服务委派权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。

   有关 IAM 角色如何控制文件共享和 S3 存储桶之间访问权限的更多信息，请参阅[授予对 Amazon S3 存储桶的访问权限](https://docs.aws.amazon.com/filegateway/latest/files3/add-file-share.html#grant-access-s3)。

1. 对于**私有链接**，只有当您需要将文件共享配置为 AWS 使用虚拟私有云 (VPC) 中的私有终端节点与之通信时，才执行以下操作。否则，请跳过此步骤。有关更多信息，请参阅[什么是 AWS PrivateLink？](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) 在 AWS PrivateLink 指南中。

   1. 选择**使用 VPC 端点**。

   1. 对于**通过下列方式识别 VPC 端点**，请执行下列操作之一：
      + 选择 **VPC 端点 ID**，然后从 **VPC 端点下拉列表中选择要使用的端点**。
      + 选择 **DNS 名称**，然后输入要使用的端点的 **DNS 名称**。

1. 对于**加密**，请选择文件共享将用于存储在 Amazon S3 中的数据的服务器端加密类型：
   + 要使用由 Amazon S3 托管的服务器端加密（SSE-S3），请选择 **S3 托管密钥（SSE-S3）**。

     有关更多信息，请参阅《Amazon Simple Storage Service 用户指南》**中的[使用 Amazon S3 托管密钥的服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。
   + 要使用由 AWS 密钥管理服务 (SSE-KMS) 管理的服务器端加密，请选择 KMS **管理的密钥 (SSE-K** MS)。对于**主 KMS 密钥**，请选择现有的 AWS KMS 密钥，或者选择**创建新的 KMS 密钥**以在密 AWS 钥管理服务 (AWS KMS) 控制台中创建新的 KMS 密钥。

     有关的更多信息 AWS KMS，请参阅[什么是 AWS 密钥管理服务？](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 在《*AWS Key Management Service 开发人员指南》*中。
   + 要使用由 AWS 密钥管理服务 (DSSE-KMS) 管理的双层服务器端加密，请选择使用密钥进行**双层服务器端加密** (DSSE-KMS)。 AWS Key Management Service 对于**主 KMS 密钥**，请选择现有的 AWS KMS 密钥，或者选择**创建新的 KMS 密钥**以在密 AWS 钥管理服务 (AWS KMS) 控制台中创建新的 KMS 密钥。

     有关 DSSE-KMS 的更多信息，请参阅 A *mazon 简单存储*服务用户指南[AWS KMS 中的使用带密钥的双层服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingDSSEncryption.html)。
**注意**  
使用 DSSE-KMS 和 AWS KMS 密钥需要支付额外费用。有关更多信息，请参阅[AWS KMS 定价](https://aws.amazon.com/kms/pricing/)。  
要指定别名未列出的 AWS KMS 密 AWS KMS 钥或使用来自其他 AWS 账户的密钥，必须使用 AWS Command Line Interface。不支持非对称 KMS 密钥。有关更多信息，请参阅 *AWS Storage Gateway API 参考*中的[创建NFSFile共享](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_CreateMFSFileShare.html)。
**重要**  
确保您的文件共享使用的加密类型，与其数据存储到的 Amazon S3 存储桶使用的加密类型相同。

1. 对于**猜测 MIME 类型**，请选择**猜测介质 MIME 类型**，以允许 Storage Gateway 根据上传对象的文件扩展名，来猜测上传对象的介质类型。

1. 对于**文件共享名称**，输入文件共享的名称。
**注意**  
有效的 NFS 文件共享名称只能包含以下字符：`a`-`z`、`A`-`Z`、`0`-`9`、`-`、`.` 和 `_`。

1. 对于**上传事件**，如果您希望**网关在成功将文件上传到** Amazon S3 时记录 CloudWatch 日志事件，请选择在网关成功上传文件时记录事件。通知延迟控制最近的客户端写入操作与生成 `ObjectUploaded` 日志通知之间的最低延迟。由于客户端可以在短时间内对文件进行多次小规模写入，因此，建议将此参数设置为尽可能长的时间，以避免快速、连续地为同一文件生成多个通知。有关更多信息，请参阅[获取文件上传通知](https://docs.aws.amazon.com/filegateway/latest/files3/monitoring-file-gateway.html#get-file-upload-notification)。
**注意**  
此设置不会影响对象上传到 S3 的时序，仅影响通知的时序。  
此设置并非用于指定通知发送的确切时间。在某些情况下，网关可能需要超过指定的延迟时间来生成并发送通知。

   完成后，选择**下一步**。

1. 

1. 对于**文件共享协议**，请选择 **NFS**。

1. 对于**客户端访问**，请执行以下任一操作以指定哪些 NFS 客户端可以访问您的文件共享：
   + 要接受所有传入的客户端连接，请选择**所有 NFS 客户端**。
   + 要仅接受来自特定 IP 地址的传入客户端连接，请选择**特定 NFS 客户端**，然后选择**添加客户端**。对于**允许的客户端**，指定接受连接的有效 IP 地址或 CIDR 数据块。如果需要指定其他 IP 地址，请选择**添加另一个客户端**。
**注意**  
建议使用**特定 NFS 客户端**选项配置对文件共享的访问限制。如果您未这样做，则您网络上的任何客户端均可挂载到您的文件共享。

1. 对于**访问类型**，选择以下项之一：
   + 要允许客户端读取和写入文件共享上的文件，请选择**读/写**。
   + 要允许客户端读取文件但不能写入文件共享，请选择**只读**。
**注意**  
对于在 Microsoft Windows 客户端上挂载的文件共享，如果您选择**只读**，则可能会看到有关某个意外错误阻止您创建文件夹的消息。您可以忽略此消息。

1. 对于**访问级别**，请选择以下选项之一：
   + **根 squash (默认)**：远程超级用户（root 用户）的访问权限将映射到 UID（65534）和 GID（65534）。
   + **所有 squash**：所有用户访问映射到用户 ID（UID）（65534）和组 ID（GID）（65534）。
   + **无根 squash**：远程超级用户（根）以根用户身份接收访问权限。

1. （可选）对于**从 S3 自动刷新缓存**，请选择**设置缓存刷新间隔**，然后使用存活时间（TTL）设置以**分钟**或**天**为单位刷新文件共享缓存的时间。TTL 指的是自上次刷新以来的时间长度。在 TTL 间隔过后，访问目录会使文件网关从 Amazon S3 存储桶刷新该目录的内容。
**注意**  
在经常创建或删除大量 Amazon S3 对象的情况下，将此值设置为短于 30 分钟会对网关性能产生负面影响。

1. 对于**文件元数据默认值**，如果您希望网关将文件元数据（包括 Unix 权限）应用于其在 S3 存储桶中发现的先前存在对象，请选择**更改不是由您的网关创建或修改的 S3 对象的默认元数据**。在相应字段中指定要应用的**目录权限**、**文件权限**、**用户 ID** 和**组 ID**。

1. 对于**文件所有权和权限**，如果您希望拥有 **S3 存储桶的 AWS 账户完全控制您的文件共享写入存储桶的所有对象，请选择 “授予 S3 存储桶所有者对网关创建的文件的完全所有权，包括读取、写入、编辑和删除权限**”。

   完成后，选择**下一步**。

1. 查看文件共享配置。选择**编辑**以修改您想要更改的任何部分的设置。完成后，选择**创建**。

创建 NFS 文件共享后，您可以在 AWS Storage Gateway 控制台文件共享的**详细信息**选项卡上查看其配置设置。有关挂载文件共享的说明，请参阅[在客户端上挂载 NFS 文件共享](https://docs.aws.amazon.com/filegateway/latest/files3/GettingStartedAccessFileShare.html)。

# 创建 SMB 文件共享
<a name="create-smb-file-share"></a>

服务器消息块（SMB）协议已深度集成到 Microsoft Windows 产品套件中，并且仍然是 Windows 操作系统的默认文件共享协议。客户端-服务器通信的过程大体上与 NFS 类似，但在某些细节和运行机制上存在差异。例如，在 SMB 中，文件系统不挂载在本地 SMB 客户端上。而是通过网络路径访问托管在 SMB 服务器上的网络共享。

本节中的主题说明了为文件网关创建 SMB 文件共享的各种方法。

**Contents**
+ [使用默认配置创建 SMB 文件共享](smb-fileshare-quickstart-settings.md)
  + [SMB 文件共享的默认配置设置](smb-fileshare-quickstart-settings.md#quickstart-default-settings)
+ [使用自定义配置创建 SMB 文件共享](CreatingAnSMBFileShare.md)

# 使用默认配置创建 SMB 文件共享
<a name="smb-fileshare-quickstart-settings"></a>

本部分介绍如何使用预配置的默认设置创建新的服务器消息块（SMB）文件共享。使用此方法进行基本部署、个人使用和测试，或作为快速部署多个文件共享的途径。这些共享后续可进行编辑和自定义。有关使用此过程创建的文件共享的默认设置列表，请参阅 [SMB 文件共享的默认配置设置](https://docs.aws.amazon.com/filegateway/latest/files3/smb-fileshare-quickstart-settings.html#quickstart-default-settings)。如果您需要更精细的控制或想要对文件共享使用高级设置，请参阅[使用自定义配置创建 SMB 文件共享](https://docs.aws.amazon.com/filegateway/latest/files3/CreatingAnSMBFileShare.html)。

**注意**  
如果您需要通过虚拟私有云（VPC）将文件共享连接到 Amazon S3，则必须按照自定义配置程序进行操作。创建文件共享后，您无法对其 VPC 设置进行编辑。

**重要**  
从文件网关上传数据时，使用 S3 版本控制、跨区域复制或 Rsync 实用程序可能会显著影响成本。有关更多信息，请参阅在[从文件网关上传数据时避免意外成本](https://docs.aws.amazon.com/filegateway/latest/files3/avoid-unanticipated-costs.html)。

**先决条件**  
创建文件共享之前，请执行以下操作：
+ 为您的文件网关配置 SMB 安全设置。有关说明，请参阅[为网关设置安全级别](https://docs.aws.amazon.com/filegateway/latest/files3/security-strategy.html)。
+ 可以配置 Microsoft Active Directory 或来宾访问以进行身份验证。有关说明，请参阅[使用 Active Directory 对用户进行身份验证](https://docs.aws.amazon.com/filegateway/latest/files3/enable-ad-settings.html)或[向来宾提供对文件共享的访问权限](https://docs.aws.amazon.com/filegateway/latest/files3/guest-access.html)。
+ 确保在您的安全组中所需的端口已打开。有关更多信息，请参阅[端口要求](https://docs.aws.amazon.com/filegateway/latest/files3/Resource_Ports.html)。

**要使用默认配置创建 SMB 文件共享：**

1. 在家中 [https://console.aws.amazon.com/storagegateway//](https://console.aws.amazon.com/storagegateway/home/)打开 AWS Storage Gateway 控制台，然后从左侧导航窗格中选择**文件共享**。

1. 选择**创建文件共享**。

1. 对于**网关**，请从下拉列表中选择 Amazon S3 文件网关。

1. 对于**文件共享协议**，请选择 **SMB**。

1. 对于 **S3 存储桶**，请执行以下操作之一：
   + 从下拉列表中选择账户中的现有 Amazon S3 存储桶。
   + 从下拉列表中选择**其他账户中的存储桶**，然后在**跨账户存储桶名称**中输入该存储桶的名称。
   + 选择**创建新 S3 存储桶**，然后选择新存储桶的 Amazon S3 端点所在的 AWS 区域 ，并输入唯一的 **S3 存储桶名称**。完成后，选择**创建 S3 存储桶**。

     有关如何创建新存储桶的信息，请参阅《Amazon S3 用户指南》中的[如何创建 S3 存储桶？](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html)。
**注意**  
S3 文件网关不支持存储桶名称中带有句点（`.`）的 Amazon S3 存储桶。  
确保您的存储桶名称符合 Amazon S3 中的存储桶命名规则。有关更多信息，请参阅《Amazon Simple Storage Service 用户指南》**中的[存储桶命名规则](https://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html#bucketnamingrules)。

1.  **用户身份验证**，从下拉列表中选择要使用的身份验证方法：
   + 要使用你的公司 Microsoft Active Directory 或 AWS Managed Microsoft AD 验证用户对你的 SMB 文件共享的访问权限，请选择 A **ctive Direc** 您的网关必须加入域才能使用此方法。有关更多信息，请参阅[使用 Active Directory 对用户进行身份验证](https://docs.aws.amazon.com/filegateway/latest/files3/enable-ad-settings.html)。
**注意**  
要 AWS Managed Microsoft AD 与 Amazon EC2 网关一起使用，您必须在与相同的 VPC 中创建 Amazon EC2 实例 AWS Managed Microsoft AD，将`_workspaceMembers`安全组添加到 Amazon EC2 实例，然后使用中的管理员证书加入 AD 域 AWS Managed Microsoft AD。  
有关的更多信息 AWS Managed Microsoft AD，请参阅《[https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)。  
有关 Amazon EC2 的更多信息，请参阅 [https://docs.aws.amazon.com/ec2/](https://docs.aws.amazon.com/ec2/)。

     如果**加入状态**表明您的网关已加入 Active Directory 域，请继续下一步。否则，请执行以下操作：

     1. 选择**配置**。

     1. 在**域**中，输入您希望网关加入的 Active Directory 域的名称。

     1. 输入网关用于加入域的**用户名**和**密码**。

     1. （可选）对于**组织单元（OU）**，输入您的 Active Directory 用于新计算机对象的指定 OU。

     1. （可选）对于**域控制器（DC）**，输入网关将通过其连接到 Active Directory 的 DC 的名称。您可以将此字段留空以允许 DNS 自动选择 DC。

     1. 选择**加入 Active Directory**。
**注意**  
加入域后，将在默认容器（不是组织单元）中创建一个 Active Directory 账户，使用网关 ID 作为账户名（例如 SGW-1234ADE）。此账户的名称无法自定义。  
如果您的 Active Directory 环境要求您预先设置账户以简化域加入流程，则需要提前创建此账户。  
如果您的 Active Directory 环境为新的计算机对象指定了 OU，则在加入域时必须指定该 OU。
   + 要向提供您配置的来宾密码的任何人员授予受密码保护的访问权限，请选择**来宾访问**。您的文件网关无需加入 Microsoft Active Directory 域即可使用此方法。选择**配置**以指定您的**来宾密码**，然后选择**保存**。

1. 查看**默认配置**下的设置，然后选择**创建文件共享**，使用默认配置创建新的 SMB 文件共享。

创建 SMB 文件共享后，您可以在 AWS Storage Gateway 控制台文件共享的**详细信息**选项卡上查看其配置设置。有关挂载文件共享的信息，请参阅在[客户端上挂载 SMB 文件共享](https://docs.aws.amazon.com/filegateway/latest/files3/using-smb-fileshare.html)。

## SMB 文件共享的默认配置设置
<a name="quickstart-default-settings"></a>

以下设置适用于您使用默认配置创建的所有新 SMB 文件共享。创建文件共享后，您可以从 AWS Storage Gateway 控制台**的文件共享**页面中选择该文件共享，以查看有关其配置的详细信息。

**重要**  
默认 SMB 文件共享配置为映射到文件共享的 S3 存储桶的所有者提供完全的文件控制和访问权限，即使该存储桶归其他 Amazon Web Services 账户所有。有关使用文件共享访问其他账户拥有的存储桶中对象的更多信息，请参阅[使用文件共享进行跨账户访问](https://docs.aws.amazon.com/filegateway/latest/files3/add-file-share.html#cross-account-access)。


| 设置 | 默认值 | 注意 | 
| --- | --- | --- | 
|  **亚马逊 S3 地点**  |  文件共享直接连接到 Amazon S3 存储桶，并且与存储桶的名称相同。您的网关使用此存储桶来存储和检索文件。  |  该名称不包括前缀。  | 
|  **AWS PrivateLink 适用于 S3**  |  文件共享无法通过虚拟私有云（VPC）中的接口终端点连接到 Amazon S3。  |  | 
|   **文件上传通知**   |  关  |   | 
|  **新对象的存储类别**   |  Amazon S3 Standard  |  将您经常访问的对象数据冗余存储在地理上分开的多个可用区中。有关 Amazon S3 Standard 存储类别的更多信息，请参阅《Amazon Simple Storage Service 用户指南》**中的[经常访问对象的存储类别](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-class-intro.html#sc-freq-data-access)。  | 
|   **加密**  | 具有 S3 托管密钥的服务器端加密（SSE-S3） | 默认情况下，S3 文件网关上传、更新或修改的所有 Amazon S3 对象都使用具有 Amazon S3 托管密钥的服务器端加密进行加密。  | 
|   **对象元数据**  | 猜测 MIME 类型 | 这允许 Storage Gateway 根据文件扩展名猜测已上传对象的多用途 Internet 邮件扩展（MIME）类型。 此选项要求为与您的文件共享关联的 Amazon S3 存储桶启用访问控制列表 (ACLs)。如果 ACLs 是 关闭后，文件共享将无法访问 Amazon S3 存储桶，并且仍处于 “**不可用**” 状态 无限期地。  | 
|  **基于访问的枚举**  |  未激活  |  在目录枚举过程中，文件共享上的文件和文件夹对所有用户可见。基于访问的枚举是一个筛选枚举的系统 SMB 文件共享上的文件和文件夹，具体取决于共享的访问权限 控制清单 (ACLs)。  | 
|  **启用申请方付款**  |  关  |  有关更多信息，请参阅[申请方付款存储桶](https://docs.aws.amazon.com/AmazonS3/latest/dev/RequesterPaysBuckets.html)。  | 
|  **操作锁定**  |  开  |  这让文件共享可以使用操作锁定来优化文件缓冲策略。  在大多数情况下，激活操作锁定可改善性能，尤其是在 Windows 上下文菜单方面。  | 
|  **审核日志**  |  关  |  默认情况下，登录 Amazon CloudWatch 群组处于关闭状态。  | 
|  **强制区分大小写**  |  关  |  这让客户端可以控制区分大小写。  | 
|   **访问 S3 存储桶**   |  创建新的 IAM 角色   |   默认选项允许文件网关代表您创建新的 IAM 角色和访问策略。  | 

# 使用自定义配置创建 SMB 文件共享
<a name="CreatingAnSMBFileShare"></a>

按照以下步骤创建包含自定义配置的服务器消息块（SMB）文件共享。要使用默认配置设置创建 SMB 文件共享，请参阅[使用默认配置创建 SMB 文件共享](https://docs.aws.amazon.com/filegateway/latest/files3/smb-fileshare-quickstart-settings.html)。

**重要**  
从文件网关上传数据时，使用 S3 版本控制、跨区域复制或 Rsync 实用程序可能会显著影响成本。有关更多信息，请参阅在[从文件网关上传数据时避免意外成本](https://docs.aws.amazon.com/filegateway/latest/files3/avoid-unanticipated-costs.html)。

**先决条件**  
创建文件共享之前，请执行以下操作：
+ 为您的文件网关配置 SMB 安全设置。有关说明，请参阅[为网关设置安全级别](https://docs.aws.amazon.com/filegateway/latest/files3/security-strategy.html)。
+ 可以配置 Microsoft Active Directory 或来宾访问以进行身份验证。有关说明，请参阅[使用 Active Directory 对用户进行身份验证](https://docs.aws.amazon.com/filegateway/latest/files3/enable-ad-settings.html)或[向来宾提供对文件共享的访问权限](https://docs.aws.amazon.com/filegateway/latest/files3/guest-access.html)。
+ 确保在您的安全组中所需的端口已打开。有关更多信息，请参阅[端口要求](https://docs.aws.amazon.com/filegateway/latest/files3/Resource_Ports.html)。

**使用自定义设置创建 SMB 文件共享**

1. 在家中 [https://console.aws.amazon.com/storagegateway//](https://console.aws.amazon.com/storagegateway/home/)打开 AWS Storage Gateway 控制台，然后从左侧导航窗格中选择**文件共享**。

1. 选择**创建文件共享**。

1. 选择**自定义配置**。您可以暂时忽略此窗格中的其他字段。在后续步骤中，系统将提示您配置网关、协议和存储设置。

1. 对于**网关**，请从下拉列表中选择 Amazon S3 文件网关。

1. 对于**CloudWatch 日志组**，请从下拉列表中选择以下选项之一：
   + 要关闭此文件共享的日志记录，请选择**禁用日志记录**。
   + 要自动为此文件共享创建新的日志组，请选择**由 Storage Gateway 创建**。
   + 要将此文件共享的运行状况和资源通知发送到现有日志组，请从列表中选择所需的组。

   有关审核日志的更多信息，请参阅[了解 S3 文件网关审核日志](https://docs.aws.amazon.com/filegateway/latest/files3/monitoring-file-gateway.html#audit-logs)。

1. （可选）在**标签 - 可选**下，选择**添加新标签**，然后输入文件共享的**键**和**值**。标签是区分大小写的键值对，有助于您对 Storage Gateway 资源进行分类。添加标签可以更轻松地筛选和搜索文件共享。您可以重复此步骤以添加至多 50 个标签。

   完成后，选择**下一步**。

1. 对于 **S3 存储桶**，请执行以下任一操作来指定在何处存储和检索文件：
   + 要将文件共享直接连接到 Amazon Web Services 账户中的现有 S3 存储桶，请从下拉列表中选择存储桶名称。
   + 要将文件共享关联到 Amazon Web Services 账户拥有的现有 S3 存储桶，而不是您用于创建文件共享的账户，请从下拉列表中选择**另一个账户中的存储桶**，然后输入**跨账户存储桶名称**。
   + 要将文件共享连接到新的 S3 存储桶，请选择**创建新的 S3 存储桶**，然后选择新存储桶的 Amazon S3 端点所在的**区域**，并输入唯一的 **S3 存储桶名称**。完成后，选择**创建 S3 存储桶**。有关创建新存储桶的更多信息，请参阅《Amazon S3 用户指南》中的[如何创建 S3 存储桶？](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html)。
   + 要使用接入点名称将文件共享连接到 S3 存储桶，请从下拉列表中选择 **Amazon S3 接入点名称**，然后输入**接入点名称**。如果需要创建新的接入点，可以选择**创建 S3 接入点**。有关详细说明，请参阅《Amazon S3 用户指南》中的[创建接入点](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-access-points.html)。有关接入点的更多信息，请参阅《Amazon S3 用户指南》中的[使用 Amazon S3 接入点管理数据访问](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points.html)和[将访问控制委派到接入点](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-policies.html#access-points-delegating-control)。
   + 要使用接入点别名将文件共享连接到 S3 存储桶，请从下拉列表中选择 **Amazon S3 接入点别名**，然后输入**接入点别名**。如果需要创建新的接入点，可以选择**创建 S3 接入点**。有关详细说明，请参阅《Amazon S3 用户指南》中的[创建接入点](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-access-points.html)。有关接入点别名的信息，请参阅《Amazon S3 用户指南》中的[为接入点使用存储桶样式的别名](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-alias.html)。
**注意**  
每个文件共享只能连接到一个 S3 存储桶，但多个文件共享可连接到同一个存储桶。如果您将多个文件共享连接到同一个存储桶，则必须将每个文件共享配置为使用唯一的、不重叠的 **S3 存储桶前缀**，以防止 read/write 冲突。  
S3 文件网关不支持存储桶名称中带有句点（`.`）的 Amazon S3 存储桶。  
确保您的存储桶名称符合 Amazon S3 中的存储桶命名规则。有关更多信息，请参阅《Amazon Simple Storage Service 用户指南》**中的[存储桶命名规则](https://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html#bucketnamingrules)。

1. （可选）对于 **S3 存储桶前缀**，输入文件共享的前缀，以应用于其在 Amazon S3 中创建的对象。前缀是在 S3 中组织数据的方式，类似于传统文件结构中的目录。有关更多信息，请参阅《Amazon S3 用户指南》中的[使用前缀组织对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html)。
**注意**  
如果您将多个文件共享连接到同一个存储桶，则必须将每个文件共享配置为使用唯一的、不重叠的前缀以防止 read/write 冲突。
前缀必须以正斜杠（/）结尾。
文件共享后，前缀无法修改或删除。

1. 对于**区域**，从下拉列表中选择存储桶的 S3 终端节点所在的位置。 AWS 区域 仅当您在另一个账户中为 **S3 存储桶指定接入点或存储桶时，才会显示此字段**。

1. **对于新对象的存储类别**，请从下拉列表中选择一个存储类别。有关存储类别的更多信息，请参阅[使用文件网关的存储类别](https://docs.aws.amazon.com/filegateway/latest/files3/storage-classes.html#ia-file-gateway)。

1. 对于 **IAM 角色**，请执行以下任一操作为您的文件共享配置 IAM 角色：
   + 要自动创建具有文件共享正常运行所需权限的新 IAM 角色，请从下拉列表中选择**由 Storage Gateway 创建**。
   + 要使用现有 IAM 角色，从下拉列表中选择该角色。
   + 要创建新的 IAM 角色，请选择**创建角色**。有关更多说明，请参阅《 AWS Identity and Access Management 用户指南》中的[创建角色以向 AWS 服务委派权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。

   有关 IAM 角色如何控制文件共享和 S3 存储桶之间访问权限的更多信息，请参阅[授予对 Amazon S3 存储桶的访问权限](https://docs.aws.amazon.com/filegateway/latest/files3/add-file-share.html#grant-access-s3)。

1. 对于**私有链接**，只有当您需要将文件共享配置为 AWS 使用虚拟私有云 (VPC) 中的私有终端节点进行通信时，才执行以下操作。否则，请跳过此步骤。有关更多信息，请参阅[什么是 AWS PrivateLink？](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) 在 AWS PrivateLink 指南中。

   1. 选择**使用 VPC 端点**。

   1. 对于**通过下列方式识别 VPC 端点**，请执行下列操作之一：
      + 选择 **VPC 端点 ID**，然后从 **VPC 端点下拉列表中选择要使用的端点**。
      + 选择 **DNS 名称**，然后输入要使用的端点的 **DNS 名称**。

1. 对于**加密**，选择要用于加密文件网关在 Amazon S3 中存储的对象的加密密钥类型：
   + 要使用由 Amazon S3 托管的服务器端加密（SSE-S3），请选择 **S3 托管密钥（SSE-S3）**。

     有关更多信息，请参阅《Amazon Simple Storage Service 用户指南》**中的[使用 Amazon S3 托管密钥的服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。
   + 要使用由 AWS 密钥管理服务 (SSE-KMS) 管理的服务器端加密，请选择 KMS **管理的密钥 (SSE-K** MS)。对于**主 KMS 密钥**，请选择现有的 AWS KMS 密钥，或者选择**创建新的 KMS 密钥**以在密 AWS 钥管理服务 (AWS KMS) 控制台中创建新的 KMS 密钥。

     有关的更多信息 AWS KMS，请参阅[什么是 AWS 密钥管理服务？](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 在《*AWS Key Management Service 开发人员指南》*中。
   + 要使用由 AWS 密钥管理服务 (DSSE-KMS) 管理的双层服务器端加密，请选择使用密钥进行**双层服务器端加密** (DSSE-KMS)。 AWS Key Management Service 对于**主 KMS 密钥**，请选择现有的 AWS KMS 密钥，或者选择**创建新的 KMS 密钥**以在密 AWS 钥管理服务 (AWS KMS) 控制台中创建新的 KMS 密钥。

     有关 DSSE-KMS 的更多信息，请参阅 A *mazon 简单存储*服务用户指南[AWS KMS 中的使用带密钥的双层服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingDSSEncryption.html)。
**注意**  
使用 DSSE-KMS 和 AWS KMS 密钥需要支付额外费用。有关更多信息，请参阅[AWS KMS 定价](https://aws.amazon.com/kms/pricing/)。  
要指定别名未列出的 AWS KMS 密 AWS KMS 钥或使用来自其他 AWS 账户的密钥，必须使用 AWS Command Line Interface。不支持非对称 KMS 密钥。有关更多信息，请参阅 *AWS Storage Gateway API 参考*中的[创建SMBFile共享](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_CreateSMBFileShare.html)。
**重要**  
确保您的文件共享使用的加密类型，与其数据存储到的 Amazon S3 存储桶使用的加密类型相同。

1. 对于**猜测 MIME 类型**，请选择**猜测介质 MIME 类型**，以允许 Storage Gateway 根据上传对象的文件扩展名，来猜测上传对象的多用途 Internet 邮件扩展（MIME）类型。

1. 对于**文件共享名称**，输入文件共享的名称。
**注意**  
有效的 SMB 文件共享名称不能包含以下字符：`[`、`]`、`#`、`;`、`<`、`>`、`:`、`"`、`\`、`/`、`|`、`?`、`*`、`+`，也不能包含 ASCII 控制字符 `1-31`。

1. 对于**上传事件**，如果您希望**网关在成功将文件上传到** Amazon S3 时记录 CloudWatch 日志事件，请选择在网关成功上传文件时记录事件。通知延迟控制最近的客户端写入操作与生成 `ObjectUploaded` 日志通知之间的延迟。由于客户端可以在短时间内对文件进行多次小规模写入，因此，建议将此参数设置为尽可能长的时间，以避免快速、连续地为同一文件生成多个通知。有关更多信息，请参阅[获取文件上传通知](https://docs.aws.amazon.com/filegateway/latest/files3/monitoring-file-gateway.html#get-file-upload-notification)。
**注意**  
此设置不会影响对象上传到 S3 的时序，仅影响通知的时序。  
此设置并非用于指定通知发送的确切时间。在某些情况下，网关可能需要超过指定的延迟时间来生成并发送通知。

   完成后，选择**下一步**。

1. 对于**文件共享协议**，请选择 **SMB**。

1. 对于**用户身份验证**，从下拉列表中选择要使用的身份验证方法：
   + 要使用你的公司 Microsoft Active Directory 或 AWS Managed Microsoft AD 验证用户对你的 SMB 文件共享的访问权限，请选择 A **ctive Direc** 您的网关必须加入域才能使用此方法。有关更多信息，请参阅[使用 Active Directory 对用户进行身份验证](https://docs.aws.amazon.com/filegateway/latest/files3/enable-ad-settings.html)。
**注意**  
要 AWS Managed Microsoft AD 与 Amazon EC2 网关一起使用，您必须在与相同的 VPC 中创建 Amazon EC2 实例 AWS Managed Microsoft AD，将`_workspaceMembers`安全组添加到 Amazon EC2 实例，然后使用中的管理员证书加入 AD 域 AWS Managed Microsoft AD。  
有关的更多信息 AWS Managed Microsoft AD，请参阅《[https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)。  
有关 Amazon EC2 的更多信息，请参阅 [https://docs.aws.amazon.com/ec2/](https://docs.aws.amazon.com/ec2/)。

     如果**加入状态**表明您的网关已加入 Active Directory 域，请继续下一步。否则，请执行以下操作：

     1. 选择**配置**。

     1. 在**域**中，输入您希望网关加入的 Active Directory 域的名称。

     1. 输入网关用于加入域的**用户名**和**密码**。

     1. （可选）对于**组织单元（OU）**，输入您的 Active Directory 用于新计算机对象的指定 OU。

     1. （可选）对于**域控制器（DC）**，输入网关将通过其连接到 Active Directory 的 DC 的名称。您可以将此字段留空以允许 DNS 自动选择 DC。

     1. 选择**加入 Active Directory**。
**注意**  
加入域后，将在默认容器（不是组织单元）中创建一个 Active Directory 账户，使用网关的网关 ID 作为账户名（例如 SGW-1234ADE）。此账户的名称无法自定义。  
如果您的 Active Directory 环境要求您预先设置账户以简化域加入流程，则需要提前创建此账户。  
如果您的 Active Directory 环境为新的计算机对象指定了 OU，则在加入域时必须指定该 OU。
   + 要向提供您配置的来宾密码的任何人员授予受密码保护的访问权限，请选择**来宾访问**。您的文件网关无需加入 Microsoft Active Directory 域即可使用此方法。选择**配置**以指定您的**来宾密码**，然后选择**保存**。

1. 对于**用户访问**，请执行以下任一操作以指定哪些 SMB 客户端可以访问您的文件共享：
   + 要向所有通过 Active Directory 成功进行身份验证的用户授予访问权限，请选择**所有通过 AD 身份验证的用户**。
   + 要允许或拒绝特定用户或组的访问，请选择**通过 AD 身份验证的特定用户或组**，然后执行以下操作：
     + 对于**允许的用户和组**，选择**添加允许的用户**或**添加允许的组**，然后输入要允许文件共享访问的 Active Directory 用户或组。重复此过程以允许所需数量的用户和组
     + 对于**拒绝的用户和组**，选择**添加拒绝的用户**或**添加拒绝的组**，然后输入要拒绝文件共享访问的 Active Directory 用户或组。重复此过程以根据需要拒绝所需数量的用户和组。
**注意**  
仅当用户身份验证设置为 **Active Directory** 时，**用户和组文件共享访问**部分才会出现。  
指定用户或组时，不要包括域。域名是由网关所加入的特定 Active Directory 域的成员身份隐含决定的。

1. （可选）对于**管理员用户**，输入 Active Directory 用户和组的逗号分隔列表。管理员用户有权更新文件共享中所有文件和文件夹的访问控制列表 (ACLs)。组的前缀必须为 `@` 字符，例如 `@group1`。

1. 对于**访问类型**，选择以下项之一：
   + 要允许客户端读取和写入文件共享上的文件，请选择**读/写**。
   + 要允许客户端读取文件但不能写入文件共享，请选择**只读**。
**注意**  
对于在 Microsoft Windows 客户端上挂载的文件共享，如果您选择**只读**，则可能会看到有关某个意外错误阻止您创建文件夹的消息。您可以忽略此消息。

1. 对于**文件和目录访问控制方式**，选择以下选项之一：
   + 要为 SMB 文件共享中的文件和文件夹设置精细控制权限，请选择 **Windows 访问控制列表**。有关更多信息，请参阅[使用 Microsoft Windows ACLs 控制对 SMB 文件共享的访问权限](https://docs.aws.amazon.com/filegateway/latest/files3/smb-acl.html)。
   + 要使用 POSIX 权限控制对通过 SMB 文件共享存储的文件和目录的访问，请选择 **POSIX 权限**。

1. 对于**基于访问的枚举**，请执行以下任一操作：
   + 要使共享上的文件和文件夹仅对具有读取权限的用户可见，请选择**隐藏用户没有权限的文件和目录**。
   + 要在目录枚举期间让所有用户都能看到共享上的文件和文件夹，请不要选中该复选框。
**注意**  
基于访问权限的枚举是一个根据共享的访问控制列表 () 筛选 SMB 文件共享上文件和文件夹枚举的系统。ACLs

1. 对于文件访问权限，请选择以下选项之一：
   + 要使用操作锁定来优化文件共享的文件缓冲策略，请选择**操作锁定**。在大多数情况下，激活操作锁定可改善性能，尤其是在 Windows 上下文菜单方面。
   + 要让网关（而不是 SMB 客户端）来控制文件名区分大小写，请选择**强制区分大小写**。
   + 要停用这两个设置，请选择**都不是**。
**注意**  
为避免文件访问冲突，这些设置是互斥的，不能同时激活。

1. （可选）对于**从 S3 自动刷新缓存**，请选择**设置缓存刷新间隔**，然后使用存活时间（TTL）设置以**分钟**或**天**为单位刷新文件共享缓存的时间。TTL 指的是自上次刷新以来的时间长度。在 TTL 间隔过后，访问目录会使文件网关从 Amazon S3 存储桶刷新该目录的内容。
**注意**  
在经常创建或删除大量 Amazon S3 对象的情况下，将此值设置为短于 30 分钟会对网关性能产生负面影响。

1. 对于**文件所有权和权限**，如果您希望拥有 **S3 存储桶的 AWS 账户完全控制您的文件共享写入存储桶的所有对象，请选择 “授予 S3 存储桶所有者对网关创建的文件的完全所有权，包括读取、写入、编辑和删除权限**”。

   完成后，选择**下一步**。

1. 查看文件共享配置。选择**编辑**以修改您想要更改的任何部分的设置。完成后，选择**创建**。

创建 SMB 文件共享后，您可以在 AWS Storage Gateway 控制台文件共享的**详细信息**选项卡上查看其配置设置。有关挂载文件共享的说明，请参阅[在客户端上挂载 SMB 文件共享](https://docs.aws.amazon.com/filegateway/latest/files3/using-smb-fileshare.html)。