使用自定义配置创建 SMB 文件共享 - Amazon Storage Gatewa
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用自定义配置创建 SMB 文件共享

按照以下步骤创建包含自定义配置的服务器消息块(SMB)文件共享。要使用默认配置设置创建 SMB 文件共享,请参阅使用默认配置创建 SMB 文件共享

重要

从文件网关上传数据时,使用 S3 版本控制、跨区域复制或 Rsync 实用程序可能会显著影响成本。有关更多信息,请参阅在从文件网关上传数据时避免意外成本

先决条件

创建文件共享之前,请执行以下操作:

使用自定义设置创建 SMB 文件共享

  1. 在家中 https://console.aws.amazon.com/storagegateway//打开 Amazon Storage Gateway 控制台,然后从左侧导航窗格中选择文件共享

  2. 选择创建文件共享

  3. 选择自定义配置。您可以暂时忽略此窗格中的其他字段。在后续步骤中,系统将提示您配置网关、协议和存储设置。

  4. 对于网关,请从下拉列表中选择 Amazon S3 文件网关。

  5. 对于CloudWatch 日志组,请从下拉列表中选择以下选项之一:

    • 要关闭此文件共享的日志记录,请选择禁用日志记录

    • 要自动为此文件共享创建新的日志组,请选择由 Storage Gateway 创建

    • 要将此文件共享的运行状况和资源通知发送到现有日志组,请从列表中选择所需的组。

    有关审核日志的更多信息,请参阅了解 S3 文件网关审核日志

  6. (可选)在标签 - 可选下,选择添加新标签,然后输入文件共享的。标签是区分大小写的键值对,有助于您对 Storage Gateway 资源进行分类。添加标签可以更轻松地筛选和搜索文件共享。您可以重复此步骤以添加至多 50 个标签。

    完成后,选择下一步

  7. 对于 S3 存储桶,请执行以下任一操作来指定在何处存储和检索文件:

    • 要将文件共享直接连接到 Amazon Web Services 账户中的现有 S3 存储桶,请从下拉列表中选择存储桶名称。

    • 要将文件共享关联到 Amazon Web Services 账户拥有的现有 S3 存储桶,而不是您用于创建文件共享的账户,请从下拉列表中选择另一个账户中的存储桶,然后输入跨账户存储桶名称

    • 要将文件共享连接到新的 S3 存储桶,请选择创建新的 S3 存储桶,然后选择新存储桶的 Amazon S3 端点所在的区域,并输入唯一的 S3 存储桶名称。完成后,选择创建 S3 存储桶。有关创建新存储桶的更多信息,请参阅《Amazon S3 用户指南》中的如何创建 S3 存储桶?

    • 要使用接入点名称将文件共享连接到 S3 存储桶,请从下拉列表中选择 Amazon S3 接入点名称,然后输入接入点名称。如果需要创建新的接入点,可以选择创建 S3 接入点。有关详细说明,请参阅《Amazon S3 用户指南》中的创建接入点。有关接入点的更多信息,请参阅《Amazon S3 用户指南》中的使用 Amazon S3 接入点管理数据访问将访问控制委派到接入点

    • 要使用接入点别名将文件共享连接到 S3 存储桶,请从下拉列表中选择 Amazon S3 接入点别名,然后输入接入点别名。如果需要创建新的接入点,可以选择创建 S3 接入点。有关详细说明,请参阅《Amazon S3 用户指南》中的创建接入点。有关接入点别名的信息,请参阅《Amazon S3 用户指南》中的为接入点使用存储桶样式的别名

    注意

    每个文件共享只能连接到一个 S3 存储桶,但多个文件共享可连接到同一个存储桶。如果您将多个文件共享连接到同一个存储桶,则必须将每个文件共享配置为使用唯一的、不重叠的 S3 存储桶前缀,以防止 read/write 冲突。

    S3 文件网关不支持存储桶名称中带有句点(.)的 Amazon S3 存储桶。

    确保您的存储桶名称符合 Amazon S3 中的存储桶命名规则。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的存储桶命名规则

  8. (可选)对于 S3 存储桶前缀,输入文件共享的前缀,以应用于其在 Amazon S3 中创建的对象。前缀是在 S3 中组织数据的方式,类似于传统文件结构中的目录。有关更多信息,请参阅《Amazon S3 用户指南》中的使用前缀组织对象

    注意

    • 如果您将多个文件共享连接到同一个存储桶,则必须将每个文件共享配置为使用唯一的、不重叠的前缀以防止 read/write 冲突。

    • 前缀必须以正斜杠(/)结尾。

    • 文件共享后,前缀无法修改或删除。

  9. 对于区域,从下拉列表中选择存储桶的 S3 终端节点所在的位置。 Amazon Web Services 区域 仅当您在另一个账户中为 S3 存储桶指定接入点或存储桶时,才会显示此字段

  10. 对于新对象的存储类别,请从下拉列表中选择一个存储类别。有关存储类别的更多信息,请参阅使用文件网关的存储类别

  11. 对于 IAM 角色,请执行以下任一操作为您的文件共享配置 IAM 角色:

    • 要自动创建具有文件共享正常运行所需权限的新 IAM 角色,请从下拉列表中选择由 Storage Gateway 创建

    • 要使用现有 IAM 角色,从下拉列表中选择该角色。

    • 要创建新的 IAM 角色,请选择创建角色。有关更多说明,请参阅《 Amazon Identity and Access Management 用户指南》中的创建角色以向 Amazon 服务委派权限

    有关 IAM 角色如何控制文件共享和 S3 存储桶之间访问权限的更多信息,请参阅授予对 Amazon S3 存储桶的访问权限

  12. 对于私有链接,只有当您需要将文件共享配置为 Amazon 使用虚拟私有云 (VPC) 中的私有终端节点进行通信时,才执行以下操作。否则,请跳过此步骤。有关更多信息,请参阅什么是 Amazon PrivateLink? 在 Amazon PrivateLink 指南中。

    1. 选择使用 VPC 端点

    2. 对于通过下列方式识别 VPC 端点,请执行下列操作之一:

      • 选择 VPC 端点 ID,然后从 VPC 端点下拉列表中选择要使用的端点

      • 选择 DNS 名称,然后输入要使用的端点的 DNS 名称

  13. 对于加密,选择要用于加密文件网关在 Amazon S3 中存储的对象的加密密钥类型:

    • 要使用由 Amazon S3 托管的服务器端加密(SSE-S3),请选择 S3 托管密钥(SSE-S3)

      有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的使用 Amazon S3 托管密钥的服务器端加密

    • 要使用由 Amazon 密钥管理服务 (SSE-KMS) 管理的服务器端加密,请选择 KMS 管理的密钥 (SSE-K MS)。对于主 KMS 密钥,请选择现有的 Amazon KMS 密钥,或者选择创建新的 KMS 密钥以在密 Amazon 钥管理服务 (Amazon KMS) 控制台中创建新的 KMS 密钥。

      有关的更多信息 Amazon KMS,请参阅什么是 Amazon 密钥管理服务? 在《Amazon Key Management Service 开发人员指南》中。

    • 要使用由 Amazon 密钥管理服务 (DSSE-KMS) 管理的双层服务器端加密,请选择使用密钥进行双层服务器端加密 (DSSE-KMS)。 Amazon Key Management Service 对于主 KMS 密钥,请选择现有的 Amazon KMS 密钥,或者选择创建新的 KMS 密钥以在密 Amazon 钥管理服务 (Amazon KMS) 控制台中创建新的 KMS 密钥。

      有关 DSSE-KMS 的更多信息,请参阅 A mazon 简单存储服务用户指南Amazon KMS 中的使用带密钥的双层服务器端加密

      注意

      使用 DSSE-KMS 和 Amazon KMS 密钥需要支付额外费用。有关更多信息,请参阅Amazon KMS 定价

      要指定别名未列出的 Amazon KMS 密 Amazon KMS 钥或使用来自其他 Amazon 账户的密钥,必须使用 Amazon Command Line Interface。不支持非对称 KMS 密钥。有关更多信息,请参阅 Amazon Storage Gateway API 参考中的创建SMBFile共享

    重要

    确保您的文件共享使用的加密类型,与其数据存储到的 Amazon S3 存储桶使用的加密类型相同。

  14. 对于猜测 MIME 类型,请选择猜测介质 MIME 类型,以允许 Storage Gateway 根据上传对象的文件扩展名,来猜测上传对象的多用途 Internet 邮件扩展(MIME)类型。

  15. 对于文件共享名称,输入文件共享的名称。

    注意

    有效的 SMB 文件共享名称不能包含以下字符:[]#;<>:"\/|?*+,也不能包含 ASCII 控制字符 1-31

  16. 对于上传事件,如果您希望网关在成功将文件上传到 Amazon S3 时记录 CloudWatch 日志事件,请选择在网关成功上传文件时记录事件。通知延迟控制最近的客户端写入操作与生成 ObjectUploaded 日志通知之间的延迟。由于客户端可以在短时间内对文件进行多次小规模写入,因此,建议将此参数设置为尽可能长的时间,以避免快速、连续地为同一文件生成多个通知。有关更多信息,请参阅获取文件上传通知

    注意

    此设置不会影响对象上传到 S3 的时序,仅影响通知的时序。

    此设置并非用于指定通知发送的确切时间。在某些情况下,网关可能需要超过指定的延迟时间来生成并发送通知。

    完成后,选择下一步

  17. 对于文件共享协议,请选择 SMB

  18. 对于用户身份验证,从下拉列表中选择要使用的身份验证方法:

    • 要使用你的公司 Microsoft Active Directory 或 Amazon Managed Microsoft AD 验证用户对你的 SMB 文件共享的访问权限,请选择 A ctive Direc 您的网关必须加入域才能使用此方法。有关更多信息,请参阅使用 Active Directory 对用户进行身份验证

      注意

      要 Amazon Managed Microsoft AD 与 Amazon EC2 网关一起使用,您必须在与相同的 VPC 中创建 Amazon EC2 实例 Amazon Managed Microsoft AD,将_workspaceMembers安全组添加到 Amazon EC2 实例,然后使用中的管理员证书加入 AD 域 Amazon Managed Microsoft AD。

      有关的更多信息 Amazon Managed Microsoft AD,请参阅《Amazon Directory Service 管理指南》

      有关 Amazon EC2 的更多信息,请参阅 Amazon Elastic Compute Cloud 文档

      如果加入状态表明您的网关已加入 Active Directory 域,请继续下一步。否则,请执行以下操作:

      1. 选择配置

      2. 中,输入您希望网关加入的 Active Directory 域的名称。

      3. 输入网关用于加入域的用户名密码

      4. (可选)对于组织单元(OU),输入您的 Active Directory 用于新计算机对象的指定 OU。

      5. (可选)对于域控制器(DC),输入网关将通过其连接到 Active Directory 的 DC 的名称。您可以将此字段留空以允许 DNS 自动选择 DC。

      6. 选择加入 Active Directory

      注意

      加入域后,将在默认容器(不是组织单元)中创建一个 Active Directory 账户,使用网关的网关 ID 作为账户名(例如 SGW-1234ADE)。此账户的名称无法自定义。

      如果您的 Active Directory 环境要求您预先设置账户以简化域加入流程,则需要提前创建此账户。

      如果您的 Active Directory 环境为新的计算机对象指定了 OU,则在加入域时必须指定该 OU。

    • 要向提供您配置的来宾密码的任何人员授予受密码保护的访问权限,请选择来宾访问。您的文件网关无需加入 Microsoft Active Directory 域即可使用此方法。选择配置以指定您的来宾密码,然后选择保存

  19. 对于用户访问,请执行以下任一操作以指定哪些 SMB 客户端可以访问您的文件共享:

    • 要向所有通过 Active Directory 成功进行身份验证的用户授予访问权限,请选择所有通过 AD 身份验证的用户

    • 要允许或拒绝特定用户或组的访问,请选择通过 AD 身份验证的特定用户或组,然后执行以下操作:

      • 对于允许的用户和组,选择添加允许的用户添加允许的组,然后输入要允许文件共享访问的 Active Directory 用户或组。重复此过程以允许所需数量的用户和组

      • 对于拒绝的用户和组,选择添加拒绝的用户添加拒绝的组,然后输入要拒绝文件共享访问的 Active Directory 用户或组。重复此过程以根据需要拒绝所需数量的用户和组。

    注意

    仅当用户身份验证设置为 Active Directory 时,用户和组文件共享访问部分才会出现。

    指定用户或组时,不要包括域。域名是由网关所加入的特定 Active Directory 域的成员身份隐含决定的。

  20. (可选)对于管理员用户,输入 Active Directory 用户和组的逗号分隔列表。管理员用户有权更新文件共享中所有文件和文件夹的访问控制列表 (ACLs)。组的前缀必须为 @ 字符,例如 @group1

  21. 对于访问类型,选择以下项之一:

    • 要允许客户端读取和写入文件共享上的文件,请选择读/写

    • 要允许客户端读取文件但不能写入文件共享,请选择只读

      注意

      对于在 Microsoft Windows 客户端上挂载的文件共享,如果您选择只读,则可能会看到有关某个意外错误阻止您创建文件夹的消息。您可以忽略此消息。

  22. 对于文件和目录访问控制方式,选择以下选项之一:

  23. 对于基于访问的枚举,请执行以下任一操作:

    • 要使共享上的文件和文件夹仅对具有读取权限的用户可见,请选择隐藏用户没有权限的文件和目录

    • 要在目录枚举期间让所有用户都能看到共享上的文件和文件夹,请不要选中该复选框。

    注意

    基于访问权限的枚举是一个根据共享的访问控制列表 () 筛选 SMB 文件共享上文件和文件夹枚举的系统。ACLs

  24. 对于文件访问权限,请选择以下选项之一:

    • 要使用操作锁定来优化文件共享的文件缓冲策略,请选择操作锁定。在大多数情况下,激活操作锁定可改善性能,尤其是在 Windows 上下文菜单方面。

    • 要让网关(而不是 SMB 客户端)来控制文件名区分大小写,请选择强制区分大小写

    • 要停用这两个设置,请选择都不是

    注意

    为避免文件访问冲突,这些设置是互斥的,不能同时激活。

  25. (可选)对于从 S3 自动刷新缓存,请选择设置缓存刷新间隔,然后使用存活时间(TTL)设置以分钟为单位刷新文件共享缓存的时间。TTL 指的是自上次刷新以来的时间长度。在 TTL 间隔过后,访问目录会使文件网关从 Amazon S3 存储桶刷新该目录的内容。

    注意

    在经常创建或删除大量 Amazon S3 对象的情况下,将此值设置为短于 30 分钟会对网关性能产生负面影响。

  26. 对于文件所有权和权限,如果您希望拥有 S3 存储桶的 Amazon 账户完全控制您的文件共享写入存储桶的所有对象,请选择 “授予 S3 存储桶所有者对网关创建的文件的完全所有权,包括读取、写入、编辑和删除权限”。

    完成后,选择下一步

  27. 查看文件共享配置。选择编辑以修改您想要更改的任何部分的设置。完成后,选择创建

创建 SMB 文件共享后,您可以在 Amazon Storage Gateway 控制台文件共享的详细信息选项卡上查看其配置设置。有关挂载文件共享的说明,请参阅在客户端上挂载 SMB 文件共享