本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用自定义配置创建 SMB 文件共享
使用以下步骤使用自定义配置创建服务器消息块 (SMB) 文件共享。要使用默认配置设置创建 SMB 文件共享,请参阅使用默认配置创建 SMB 文件共享。
重要
在从文件网关上传数据时使用 S3 版本控制、跨区域复制或 Rsync 实用程序可能会带来显著的成本影响。有关更多信息,请参阅在从 File Gateway 上传数据时避免意外成本。
先决条件
在创建文件共享之前,请执行以下操作:
-
为您的文件网关配置 SMB 安全设置。有关说明,请参阅为网关设置安全级别。
-
配置 Microsoft 活动目录或访客访问权限以进行身份验证。有关说明,请参阅使用 Active Directory 对用户进行身份验证或提供对文件共享的访客访问权限。
-
确保在您的安全组中打开了所需的端口。有关更多信息,请参阅端口要求。
使用自定义设置创建 SMB 文件共享
-
在家中 https://console.aws.amazon.com/storagegateway//
打开 Amazon Storage Gateway 控制台,然后从左侧导航窗格中选择文件共享。 -
选择创建文件共享。
-
选择自定义配置。您现在可以忽略此页面上的其他字段。在后续步骤中,系统将提示您配置网关、协议和存储设置。
-
对于网关,请从下拉列表中选择 Amazon S3 文件网关。
-
对于CloudWatch 日志组,请从下拉列表中选择以下选项之一:
-
要关闭此文件共享的日志记录,请选择 “禁用日志记录”。
-
要自动为此文件共享创建新的日志组,请选择由 Storage Gateway 创建。
-
要将此文件共享的运行状况和资源通知发送到现有日志组,请从列表中选择所需的组。
有关审核日志的更多信息,请参阅了解 S3 文件网关审核日志。
-
-
(可选)在 “标签-可选” 下,选择添加新标签,然后输入文件共享的密钥和值。标签是一个区分大小写的键值对,可帮助您对 Storage Gateway 资源进行分类。添加标签可以更轻松地筛选和搜索文件共享。您可以重复此步骤以添加最多 50 个标签。
完成后选择 “下一步”。
-
对于 S3 存储桶,请执行以下任一操作来指定存储和检索文件的位置:
-
要将文件共享直接连接到 Amazon Web Services 账户中的现有 S3 存储桶,请从下拉列表中选择存储桶名称。
-
要将文件共享连接到现有 S3 存储桶,而该存储桶属于一个 Amazon Web Services 账户,而不是您用来创建文件共享的账户,请从下拉列表中选择其他账户中的存储桶,然后输入跨账户存储桶名称。
-
要将文件共享连接到新的 S3 存储桶,请选择创建新的 S3 存储桶,然后选择新存储桶的 Amazon S3 终端节点所在的区域,并输入唯一的 S3 存储桶名称。完成后选择创建 S3 存储桶。有关创建新存储桶的更多信息,请参阅如何创建 S3 存储桶? 在 Amazon S3 用户指南中。
-
要使用接入点名称将文件共享连接到 S3 存储桶,请从下拉列表中选择 Amazon S3 接入点名称,然后输入接入点名称。如果您需要创建新的接入点,可以选择创建 S3 接入点。有关更多说明,请参阅 Amazon S3 用户指南中的创建接入点。有关接入点的更多信息,请参阅 Amazon S3 用户指南中的使用 Amazon S3 接入点管理数据访问和将访问控制委托给接入点。
-
要使用接入点别名将文件共享连接到 S3 存储桶,请从下拉列表中选择 Amazon S3 接入点别名,然后输入接入点别名。如果您需要创建新的接入点,可以选择创建 S3 接入点。有关更多说明,请参阅 Amazon S3 用户指南中的创建接入点。有关接入点别名的更多信息,请参阅 Amazon S3 用户指南中的为接入点使用存储桶式别名。
注意
每个文件共享只能连接到一个 S3 存储桶,但多个文件共享可以连接到同一个存储桶。如果您将多个文件共享连接到同一个存储桶,则必须将每个文件共享配置为使用唯一的、不重叠的 S3 存储桶前缀,以防止 read/write 冲突。
S3 文件网关不支持存储桶名称中带有句点 (
.
) 的 Amazon S3 存储桶。确保您的存储桶名称符合 Amazon S3 中的存储桶命名规则。有关更多信息,请参阅 Amazon Simple Storage Service 用户指南中的存储桶命名规则。
-
-
(可选)对于 S3 存储桶前缀,输入文件共享的前缀,以应用于其在 Amazon S3 中创建的对象。前缀是在 S3 中组织数据的一种方式,类似于传统文件结构中的目录。有关更多信息,请参阅 Amazon S3 用户指南中的使用前缀组织对象。
注意
-
如果您将多个文件共享连接到同一个存储桶,则必须将每个文件共享配置为使用唯一的、不重叠的前缀以防止 read/write 冲突。
-
前缀必须以正斜杠(/)结尾。
-
创建文件共享后,无法修改或删除前缀。
-
-
对于区域,从下拉列表中选择存储桶的 S3 终端节点所在的位置。 Amazon Web Services 区域 仅当您在另一个账户中为 S3 存储桶指定接入点或存储桶时,才会显示此字段。
-
对于新对象的存储类别,请从下拉列表中选择一个存储类别。有关存储类的更多信息,请参阅将存储类与文件网关一起使用。
-
对于 IAM 角色,请执行以下任一操作为您的文件共享配置 IAM 角色:
-
要自动创建具有文件共享正常运行所需权限的新 IAM 角色,请从下拉列表中选择 Created by Storage Gateway。
-
要使用现有 IAM 角色,请从下拉列表中选择角色名称。
-
要创建新的 IAM 角色,请选择创建角色。有关更多说明,请参阅《 Amazon Identity and Access Management 用户指南》中的创建角色以向 Amazon 服务委派权限。
有关 IAM 角色如何控制您的文件共享和 S3 存储桶之间的访问权限的更多信息,请参阅授予对 Amazon S3Bucket 的访问权限。
-
-
对于私有链接,只有当您需要将文件共享配置为 Amazon 使用虚拟私有云 (VPC) 中的私有终端节点进行通信时,才执行以下操作。否则,请跳过此步骤。有关更多信息,请参阅什么是 Amazon PrivateLink? 在 Amazon PrivateLink 指南中。
-
选择使用 VPC 终端节点。
-
对于通过识别 VPC 终端节点,请执行以下操作之一:
-
选择 VPC 终端节点 ID,然后从 V PC 终端节点下拉列表中选择要使用的终端节点。
-
选择 DNS 名称,然后输入要使用的终端节点的 DNS 名称。
-
-
-
对于加密,请选择用于加密文件网关存储在 Amazon S3 中的对象的加密密钥类型:
-
要使用由 Amazon S3 管理的服务器端加密 (SSE-S3),请选择 S3 托管密钥 (SSE-S3)。
有关更多信息,请参阅《亚马逊简单存储服务用户指南》中的对 Amazon S3 托管密钥使用服务器端加密。
-
要使用由 Amazon 密钥管理服务 (SSE-KMS) 管理的服务器端加密,请选择 KMS 管理的密钥 (SSE-K MS)。对于主 KMS 密钥,请选择现有的 Amazon KMS 密钥,或者选择创建新的 KMS 密钥以在密 Amazon 钥管理服务 (Amazon KMS) 控制台中创建新的 KMS 密钥。
有关的更多信息 Amazon KMS,请参阅什么是 Amazon 密钥管理服务? 在《Amazon Key Management Service 开发人员指南》中。
-
要使用由 Amazon 密钥管理服务 (DSSE-KMS) 管理的双层服务器端加密,请选择使用密钥进行双层服务器端加密 (DSSE-KMS)。 Amazon Key Management Service 对于主 KMS 密钥,请选择现有的 Amazon KMS 密钥,或者选择创建新的 KMS 密钥以在密 Amazon 钥管理服务 (Amazon KMS) 控制台中创建新的 KMS 密钥。
有关 DSSE-KMS 的更多信息,请参阅 A mazon 简单存储服务用户指南Amazon KMS 中的使用带密钥的双层服务器端加密。
注意
使用 DSSE-KMS 和 Amazon KMS 密钥需要支付额外费用。有关更多信息,请参阅Amazon KMS 定价
。 要指定别名未列出的 Amazon KMS 密 Amazon KMS 钥或使用来自其他 Amazon 账户的密钥,必须使用 Amazon Command Line Interface。不支持非对称 KMS 密钥。有关更多信息,请参阅 Amazon Storage Gateway API 参考中的创建SMBFile共享。
重要
确保您的文件共享使用与存储数据的 Amazon S3 存储桶相同的加密类型。
-
-
对于 Guess MIME 类型,请选择猜测媒体 MIME 类型,以允许 Storage Gateway 根据上传对象的文件扩展名猜测其多用途互联网邮件扩展 (MIME) 类型。
-
在文件共享名称中,输入文件共享的名称。
注意
有效的 SMB 文件共享名称不能包含以下字符:
[
、、、]
、#
、;
、<
、、>
、:
、"
、\
、/
、|
?
*
+
、或 ASCII 控制字符。1-31
-
对于上传事件,如果您希望网关在成功将文件上传到 Amazon S3 时记录 CloudWatch 日志事件,请选择在网关成功上传文件时记录事件。通知延迟控制最近一次客户端写入操作与生成
ObjectUploaded
日志通知之间的延迟。由于客户端可以在短时间内对文件进行多次小写操作,因此我们建议尽可能长时间地设置此参数,以避免快速连续为同一个文件生成多个通知。有关更多信息,请参阅获取文件上传通知。注意
此设置对对象上传到 S3 的时间没有影响,只影响通知的时间。
此设置并不是为了指定发送通知的确切时间。在某些情况下,网关生成和发送通知所需的延迟时间可能会超过指定的延迟时间。
完成后选择 “下一步”。
-
对于文件共享协议,请选择 SMB。
-
对于用户身份验证,请从下拉列表中选择要使用的身份验证方法:
-
要使用你的公司 Microsoft Active Directory 或 Amazon Managed Microsoft AD 验证用户对你的 SMB 文件共享的访问权限,请选择 A ctive Direc 您的网关必须加入域才能使用此方法。有关更多信息,请参阅使用 Active Directory 对用户进行身份验证。
注意
要 Amazon Managed Microsoft AD 与 Amazon EC2 网关一起使用,您必须在与相同的 VPC 中创建亚马逊实 EC2 例 Amazon Managed Microsoft AD,将
_workspaceMembers
安全组添加到亚马逊 EC2实例,然后使用中的管理员证书加入 AD 域 Amazon Managed Microsoft AD。有关的更多信息 Amazon Managed Microsoft AD,请参阅《Amazon Directory Service 管理指南》。
有关亚马逊的更多信息 EC2,请参阅亚马逊弹性计算云文档。
如果加入状态表明您的网关已加入 Active Directory 域,请继续下一步。否则请执行以下操作:
-
选择 配置。
-
在域中,输入您希望网关加入的 Active Directory 域的名称。
-
输入网关用于加入域的用户名和密码。
-
(可选)对于组织单位 (OU),输入您的 Active Directory 用于新计算机对象的指定 OU。
-
(可选)对于域控制器 (DC),输入网关将通过它连接到 Active Directory 的 DC 的名称。您可以将此字段留空以允许 DNS 自动选择 DC。
-
选择 “加入活动目录”。
注意
加入域名会在默认容器(不是组织单位)中创建一个 Active Directory 账户,使用网关的网关 ID 作为账户名(例如,SGW-1234ADE)。无法自定义此账户的名称。
如果您的 Active Directory 环境要求您预先设置账户以简化域加入流程,则需要提前创建此帐户。
如果您的 Active Directory 环境为新的计算机对象指定了 OU,则在加入域时必须指定该 OU。
-
-
要向提供您配置的访客密码的任何人授予受密码保护的访问权限,请选择访客访问权限。你的文件网关不必是 Microsoft Active Directory 域的一部分就能使用此方法。选择配置以指定您的访客密码,然后选择保存。
-
-
要获得用户访问权限,请执行以下任一操作以指定哪些 SMB 客户端可以访问您的文件共享:
-
要向所有成功通过 Active Directory 进行身份验证的用户授予访问权限,请选择所有通过 AD 身份验证的用户。
-
要允许或拒绝特定用户或群组的访问权限,请选择经过 AD 身份验证的特定用户或群组,然后执行以下操作:
-
对于 “允许的用户和群组”,选择 “添加允许的用户” 或 “添加允许的群组”,然后输入要允许文件共享访问权限的 Active Directory 用户或群组。重复此过程以允许任意数量的用户和群组
-
对于被拒绝的用户和群组,选择添加被拒绝的用户或添加被拒绝的群组,然后输入要拒绝文件共享访问的 Active Directory 用户或群组。重复此过程,根据需要拒绝尽可能多的用户和群组。
-
注意
仅当用户身份验证设置为 Ac tiv e Directory 时,用户和群组文件共享访问权限部分才会出现。
指定用户或组时,请不要包括域。网关在其加入的特定 Active Directory 中的成员资格暗示了该域名。
-
-
(可选)对于管理员用户,请输入以逗号分隔的 Active Directory 用户和群组列表。管理员用户有权更新文件共享中所有文件和文件夹的访问控制列表 (ACLs)。群组必须以
@
字符为前缀,@group1
例如。 -
对于访问类型,请选择以下选项之一:
-
要允许客户端读取和写入文件共享上的文件,请选择 “读/ 写”。
-
要允许客户端读取文件但不允许写入文件共享,请选择只读。
注意
对于挂载在 Microsoft Windows 客户端上的文件共享,如果您选择只读,则可能会看到一条消息,说明出现意外错误,使您无法创建文件夹。您可以忽略此消息。
-
-
对于文件和目录访问控制,请选择以下选项之一:
-
要对 SMB 文件共享中的文件和文件夹设置精细权限,请选择 “Windows 访问控制列表”。有关更多信息,请参阅使用 Microsoft Windows ACLs 控制对 SMB 文件共享的访问权限。
-
要使用 POSIX 权限控制对通过 SMB 文件共享存储的文件和目录的访问权限,请选择 POSI X 权限。
-
-
对于基于访问权限的枚举,请执行以下任一操作:
-
要使共享上的文件和文件夹仅对具有读取权限的用户可见,请选择 “隐藏用户没有权限的文件和目录”。
-
要在目录枚举期间让所有用户都能看到共享上的文件和文件夹,请不要选中该复选框。
注意
基于访问权限的枚举是一个根据共享的访问控制列表 () 筛选 SMB 文件共享上文件和文件夹枚举的系统。ACLs
-
-
对于文件访问选项,请选择以下选项之一:
-
要使用机会锁定来优化文件共享的文件缓冲策略,请选择机会锁定。在大多数情况下,激活机会主义锁定可以提高性能,尤其是在Windows上下文菜单方面。
-
要允许网关(而不是 SMB 客户端)控制文件名区分大小写,请选择 “强制区分大小写”。
-
要停用这两个设置,请选择 “都不是”。
注意
为避免文件访问冲突,这些设置是互斥的,不能同时激活。
-
-
(可选)对于从 S3 自动刷新缓存,请选择设置缓存刷新间隔,然后使用存活时间 (TTL) 设置以分钟或天为单位刷新文件共享缓存的时间。TTL 是自上次刷新以来的时间长度。TTL 间隔过后,访问目录会导致文件网关从 Amazon S3 存储桶中刷新该目录的内容。
注意
在频繁创建或删除大量 Amazon S3 对象的情况下,将此值设置为 30 分钟会对网关性能产生负面影响。
-
对于文件所有权和权限,如果您希望拥有 S3 存储桶的 Amazon 账户完全控制您的文件共享写入存储桶的所有对象,请选择 “授予 S3 存储桶所有者对网关创建的文件的完全所有权,包括读取、写入、编辑和删除权限”。
完成后选择 “下一步”。
-
查看文件共享配置。选择 “编辑” 可修改要更改的任何分区的设置。完成后,选择 Create(创建)。
创建 SMB 文件共享后,您可以在 Amazon Storage Gateway 控制台的文件共享的 “详细信息” 选项卡上查看其配置设置。有关挂载文件共享的说明,请参阅在客户端上挂载 SMB 文件共享。