使用自定义配置创建 SMB 文件共享 - Amazon Storage Gatewa
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用自定义配置创建 SMB 文件共享

使用以下步骤使用自定义配置创建服务器消息块 (SMB) 文件共享。要使用默认配置设置创建 SMB 文件共享,请参阅使用默认配置创建 SMB 文件共享

重要

在从文件网关上传数据时使用 S3 版本控制、跨区域复制或 Rsync 实用程序可能会带来显著的成本影响。有关更多信息,请参阅在从 File Gateway 上传数据时避免意外成本

先决条件

在创建文件共享之前,请执行以下操作:

使用自定义设置创建 SMB 文件共享
  1. 在家中 https://console.aws.amazon.com/storagegateway//打开 Amazon Storage Gateway 控制台,然后从左侧导航窗格中选择文件共享

  2. 选择创建文件共享

  3. 选择自定义配置。您现在可以忽略此页面上的其他字段。在后续步骤中,系统将提示您配置网关、协议和存储设置。

  4. 对于网关,请从下拉列表中选择 Amazon S3 文件网关。

  5. 对于CloudWatch 日志组,请从下拉列表中选择以下选项之一:

    • 要关闭此文件共享的日志记录,请选择 “禁用日志记录”。

    • 要自动为此文件共享创建新的日志组,请选择由 Storage Gateway 创建

    • 要将此文件共享的运行状况和资源通知发送到现有日志组,请从列表中选择所需的组。

    有关审核日志的更多信息,请参阅了解 S3 文件网关审核日志

  6. (可选)在 “标签-可选” 下,选择添加新标签,然后输入文件共享的密钥。标签是一个区分大小写的键值对,可帮助您对 Storage Gateway 资源进行分类。添加标签可以更轻松地筛选和搜索文件共享。您可以重复此步骤以添加最多 50 个标签。

    完成后选择 “下一步”。

  7. 对于 S3 存储桶,请执行以下任一操作来指定存储和检索文件的位置:

    • 要将文件共享直接连接到 Amazon Web Services 账户中的现有 S3 存储桶,请从下拉列表中选择存储桶名称。

    • 要将文件共享连接到现有 S3 存储桶,而该存储桶属于一个 Amazon Web Services 账户,而不是您用来创建文件共享的账户,请从下拉列表中选择其他账户中的存储桶,然后输入跨账户存储桶名称

    • 要将文件共享连接到新的 S3 存储桶,请选择创建新的 S3 存储桶,然后选择新存储桶的 Amazon S3 终端节点所在的区域,并输入唯一的 S3 存储桶名称。完成后选择创建 S3 存储桶。有关创建新存储桶的更多信息,请参阅如何创建 S3 存储桶? 在 Amazon S3 用户指南中。

    • 要使用接入点名称将文件共享连接到 S3 存储桶,请从下拉列表中选择 Amazon S3 接入点名称,然后输入接入点名称。如果您需要创建新的接入点,可以选择创建 S3 接入点。有关更多说明,请参阅 Amazon S3 用户指南中的创建接入点。有关接入点的更多信息,请参阅 Amazon S3 用户指南中的使用 Amazon S3 接入点管理数据访问和将访问控制委托给接入点

    • 要使用接入点别名将文件共享连接到 S3 存储桶,请从下拉列表中选择 Amazon S3 接入点别名,然后输入接入点别名。如果您需要创建新的接入点,可以选择创建 S3 接入点。有关更多说明,请参阅 Amazon S3 用户指南中的创建接入点。有关接入点别名的更多信息,请参阅 Amazon S3 用户指南中的为接入点使用存储桶式别名

    注意

    每个文件共享只能连接到一个 S3 存储桶,但多个文件共享可以连接到同一个存储桶。如果您将多个文件共享连接到同一个存储桶,则必须将每个文件共享配置为使用唯一的、不重叠的 S3 存储桶前缀,以防止 read/write 冲突。

    S3 文件网关不支持存储桶名称中带有句点 (.) 的 Amazon S3 存储桶。

    确保您的存储桶名称符合 Amazon S3 中的存储桶命名规则。有关更多信息,请参阅 Amazon Simple Storage Service 用户指南中的存储桶命名规则

  8. (可选)对于 S3 存储桶前缀,输入文件共享的前缀,以应用于其在 Amazon S3 中创建的对象。前缀是在 S3 中组织数据的一种方式,类似于传统文件结构中的目录。有关更多信息,请参阅 Amazon S3 用户指南中的使用前缀组织对象

    注意
    • 如果您将多个文件共享连接到同一个存储桶,则必须将每个文件共享配置为使用唯一的、不重叠的前缀以防止 read/write 冲突。

    • 前缀必须以正斜杠(/)结尾。

    • 创建文件共享后,无法修改或删除前缀。

  9. 对于区域,从下拉列表中选择存储桶的 S3 终端节点所在的位置。 Amazon Web Services 区域 仅当您在另一个账户中为 S3 存储桶指定接入点或存储桶时,才会显示此字段

  10. 对于新对象的存储类别,请从下拉列表中选择一个存储类别。有关存储类的更多信息,请参阅将存储类与文件网关一起使用

  11. 对于 IAM 角色,请执行以下任一操作为您的文件共享配置 IAM 角色:

    • 要自动创建具有文件共享正常运行所需权限的新 IAM 角色,请从下拉列表中选择 Created by Storage Gateway

    • 要使用现有 IAM 角色,请从下拉列表中选择角色名称。

    • 要创建新的 IAM 角色,请选择创建角色。有关更多说明,请参阅《 Amazon Identity and Access Management 用户指南》中的创建角色以向 Amazon 服务委派权限

    有关 IAM 角色如何控制您的文件共享和 S3 存储桶之间的访问权限的更多信息,请参阅授予对 Amazon S3Bucket 的访问权限

  12. 对于私有链接,只有当您需要将文件共享配置为 Amazon 使用虚拟私有云 (VPC) 中的私有终端节点进行通信时,才执行以下操作。否则,请跳过此步骤。有关更多信息,请参阅什么是 Amazon PrivateLink? 在 Amazon PrivateLink 指南中。

    1. 选择使用 VPC 终端节点

    2. 对于通过识别 VPC 终端节点,请执行以下操作之一:

      • 选择 VPC 终端节点 ID,然后从 V PC 终端节点下拉列表中选择要使用的终端节点

      • 选择 DNS 名称,然后输入要使用的终端节点的 DNS 名称

  13. 对于加密,请选择用于加密文件网关存储在 Amazon S3 中的对象的加密密钥类型:

    • 要使用由 Amazon S3 管理的服务器端加密 (SSE-S3),请选择 S3 托管密钥 (SSE-S3)。

      有关更多信息,请参阅《亚马逊简单存储服务用户指南》中的对 Amazon S3 托管密钥使用服务器端加密

    • 要使用由 Amazon 密钥管理服务 (SSE-KMS) 管理的服务器端加密,请选择 KMS 管理的密钥 (SSE-K MS)。对于主 KMS 密钥,请选择现有的 Amazon KMS 密钥,或者选择创建新的 KMS 密钥以在密 Amazon 钥管理服务 (Amazon KMS) 控制台中创建新的 KMS 密钥。

      有关的更多信息 Amazon KMS,请参阅什么是 Amazon 密钥管理服务? 在《Amazon Key Management Service 开发人员指南》中。

    • 要使用由 Amazon 密钥管理服务 (DSSE-KMS) 管理的双层服务器端加密,请选择使用密钥进行双层服务器端加密 (DSSE-KMS)。 Amazon Key Management Service 对于主 KMS 密钥,请选择现有的 Amazon KMS 密钥,或者选择创建新的 KMS 密钥以在密 Amazon 钥管理服务 (Amazon KMS) 控制台中创建新的 KMS 密钥。

      有关 DSSE-KMS 的更多信息,请参阅 A mazon 简单存储服务用户指南Amazon KMS 中的使用带密钥的双层服务器端加密

      注意

      使用 DSSE-KMS 和 Amazon KMS 密钥需要支付额外费用。有关更多信息,请参阅Amazon KMS 定价

      要指定别名未列出的 Amazon KMS 密 Amazon KMS 钥或使用来自其他 Amazon 账户的密钥,必须使用 Amazon Command Line Interface。不支持非对称 KMS 密钥。有关更多信息,请参阅 Amazon Storage Gateway API 参考中的创建SMBFile共享

    重要

    确保您的文件共享使用与存储数据的 Amazon S3 存储桶相同的加密类型。

  14. 对于 Guess MIME 类型,请选择猜测媒体 MIME 类型,以允许 Storage Gateway 根据上传对象的文件扩展名猜测其多用途互联网邮件扩展 (MIME) 类型。

  15. 文件共享名称中,输入文件共享的名称。

    注意

    有效的 SMB 文件共享名称不能包含以下字符:[、、、]#;<、、>:"\/|?*+、或 ASCII 控制字符。1-31

  16. 对于上传事件,如果您希望网关在成功将文件上传到 Amazon S3 时记录 CloudWatch 日志事件,请选择在网关成功上传文件时记录事件。通知延迟控制最近一次客户端写入操作与生成ObjectUploaded日志通知之间的延迟。由于客户端可以在短时间内对文件进行多次小写操作,因此我们建议尽可能长时间地设置此参数,以避免快速连续为同一个文件生成多个通知。有关更多信息,请参阅获取文件上传通知

    注意

    此设置对对象上传到 S3 的时间没有影响,只影响通知的时间。

    此设置并不是为了指定发送通知的确切时间。在某些情况下,网关生成和发送通知所需的延迟时间可能会超过指定的延迟时间。

    完成后选择 “下一步”。

  17. 对于文件共享协议,请选择 SMB

  18. 对于用户身份验证,请从下拉列表中选择要使用的身份验证方法:

    • 要使用你的公司 Microsoft Active Directory 或 Amazon Managed Microsoft AD 验证用户对你的 SMB 文件共享的访问权限,请选择 A ctive Direc 您的网关必须加入域才能使用此方法。有关更多信息,请参阅使用 Active Directory 对用户进行身份验证

      注意

      要 Amazon Managed Microsoft AD 与 Amazon EC2 网关一起使用,您必须在与相同的 VPC 中创建亚马逊实 EC2 例 Amazon Managed Microsoft AD,将_workspaceMembers安全组添加到亚马逊 EC2实例,然后使用中的管理员证书加入 AD 域 Amazon Managed Microsoft AD。

      有关的更多信息 Amazon Managed Microsoft AD,请参阅《Amazon Directory Service 管理指南》

      有关亚马逊的更多信息 EC2,请参阅亚马逊弹性计算云文档

      如果加入状态表明您的网关已加入 Active Directory 域,请继续下一步。否则请执行以下操作:

      1. 选择 配置

      2. 中,输入您希望网关加入的 Active Directory 域的名称。

      3. 输入网关用于加入域的用户名和密码

      4. (可选)对于组织单位 (OU),输入您的 Active Directory 用于新计算机对象的指定 OU。

      5. (可选)对于域控制器 (DC),输入网关将通过它连接到 Active Directory 的 DC 的名称。您可以将此字段留空以允许 DNS 自动选择 DC。

      6. 选择 “加入活动目录”

      注意

      加入域名会在默认容器(不是组织单位)中创建一个 Active Directory 账户,使用网关的网关 ID 作为账户名(例如,SGW-1234ADE)。无法自定义此账户的名称。

      如果您的 Active Directory 环境要求您预先设置账户以简化域加入流程,则需要提前创建此帐户。

      如果您的 Active Directory 环境为新的计算机对象指定了 OU,则在加入域时必须指定该 OU。

    • 要向提供您配置的访客密码的任何人授予受密码保护的访问权限,请选择访客访问权限。你的文件网关不必是 Microsoft Active Directory 域的一部分就能使用此方法。选择配置以指定您的访客密码,然后选择保存

  19. 要获得用户访问权限,请执行以下任一操作以指定哪些 SMB 客户端可以访问您的文件共享:

    • 要向所有成功通过 Active Directory 进行身份验证的用户授予访问权限,请选择所有通过 AD 身份验证的用户。

    • 要允许或拒绝特定用户或群组的访问权限,请选择经过 AD 身份验证的特定用户或群组,然后执行以下操作:

      • 对于 “允许的用户和群组”,选择 “添加允许的用户” 或 “添加允许的群组”,然后输入要允许文件共享访问权限的 Active Directory 用户或群组。重复此过程以允许任意数量的用户和群组

      • 对于被拒绝的用户和群组,选择添加被拒绝的用户添加被拒绝的群组,然后输入要拒绝文件共享访问的 Active Directory 用户或群组。重复此过程,根据需要拒绝尽可能多的用户和群组。

    注意

    仅当用户身份验证设置为 Ac tiv e Directory 时,用户和群组文件共享访问权限部分才会出现。

    指定用户或组时,请不要包括域。网关在其加入的特定 Active Directory 中的成员资格暗示了该域名。

  20. (可选)对于管理员用户,请输入以逗号分隔的 Active Directory 用户和群组列表。管理员用户有权更新文件共享中所有文件和文件夹的访问控制列表 (ACLs)。群组必须以@字符为前缀,@group1例如。

  21. 对于访问类型,请选择以下选项之一:

    • 要允许客户端读取和写入文件共享上的文件,请选择 “读/ 写”。

    • 要允许客户端读取文件但不允许写入文件共享,请选择只读

      注意

      对于挂载在 Microsoft Windows 客户端上的文件共享,如果您选择只读,则可能会看到一条消息,说明出现意外错误,使您无法创建文件夹。您可以忽略此消息。

  22. 对于文件和目录访问控制,请选择以下选项之一:

  23. 对于基于访问权限的枚举,请执行以下任一操作:

    • 要使共享上的文件和文件夹仅对具有读取权限的用户可见,请选择 “隐藏用户没有权限的文件和目录”。

    • 要在目录枚举期间让所有用户都能看到共享上的文件和文件夹,请不要选中该复选框。

    注意

    基于访问权限的枚举是一个根据共享的访问控制列表 () 筛选 SMB 文件共享上文件和文件夹枚举的系统。ACLs

  24. 对于文件访问选项,请选择以下选项之一:

    • 要使用机会锁定来优化文件共享的文件缓冲策略,请选择机会锁定。在大多数情况下,激活机会主义锁定可以提高性能,尤其是在Windows上下文菜单方面。

    • 要允许网关(而不是 SMB 客户端)控制文件名区分大小写,请选择 “强制区分大小写”。

    • 要停用这两个设置,请选择 “都不是”。

    注意

    为避免文件访问冲突,这些设置是互斥的,不能同时激活。

  25. (可选)对于从 S3 自动刷新缓存,请选择设置缓存刷新间隔,然后使用存活时间 (TTL) 设置以分钟为单位刷新文件共享缓存的时间。TTL 是自上次刷新以来的时间长度。TTL 间隔过后,访问目录会导致文件网关从 Amazon S3 存储桶中刷新该目录的内容。

    注意

    在频繁创建或删除大量 Amazon S3 对象的情况下,将此值设置为 30 分钟会对网关性能产生负面影响。

  26. 对于文件所有权和权限,如果您希望拥有 S3 存储桶的 Amazon 账户完全控制您的文件共享写入存储桶的所有对象,请选择 “授予 S3 存储桶所有者对网关创建的文件的完全所有权,包括读取、写入、编辑和删除权限”。

    完成后选择 “下一步”。

  27. 查看文件共享配置。选择 “编辑” 可修改要更改的任何分区的设置。完成后,选择 Create(创建)。

创建 SMB 文件共享后,您可以在 Amazon Storage Gateway 控制台的文件共享的 “详细信息” 选项卡上查看其配置设置。有关挂载文件共享的说明,请参阅在客户端上挂载 SMB 文件共享