创建文件共享 - AmazonStorage Gateway
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建文件共享

在此部分中,您可以找到有关如何创建文件共享的说明。您可以创建可使用网络文件系统 (NFS) 或服务器消息块 (SMB) 协议访问的文件共享。

注意

当 NFS 或 SMB 客户端将文件写入文件网关时,文件网关会将文件的数据上传到 Amazon S3,然后是其元数据(所有权、时间戳等)。上传文件数据将创建 S3 对象,上传文件的元数据将更新 S3 对象的元数据。此过程将创建对象的另一个版本,从而生成对象的两个版本。如果启用 S3 版本控制,将存储两个版本。

如果您更改文件网关中存储的文件的元数据,则会创建一个新的 S3 对象并替换现有 S3 对象。这种行为与编辑文件系统中的文件不同,在文件系统中编辑文件不会导致创建新文件。测试您计划与之配合使用的所有文件操作AmazonStorage Gateway,以便您了解每个文件操作如何与 Amazon S3 存储交互。

当您从文件网关上传数据时,请仔细考虑在 Amazon S3 中使用 S3 版本控制和跨区域复制 (CRR)。启用 S3 版本控制后,将文件从文件网关上传到 Amazon S3 会导致至少两个版本的 S3 对象。

某些涉及大型文件和文件写入模式的工作流程(例如,分几个步骤执行的文件上传)可能会增加存储的 S3 对象版本的数量。如果文件网关缓存由于高文件写入率而需要释放空间,则可能会创建多个 S3 对象版本。如果启用 S3 版本控制,这些方案会增加 S3 存储空间,并增加与 CRR 相关的传输成本。测试您计划与 Storage Gateway 一起使用的所有文件操作,以便了解每个文件操作如何与 Amazon S3 存储交互。

将 Rsync 实用程序与文件网关结合使用会导致在缓存中创建临时文件并在 Amazon S3 中创建临时 S3 对象。S3 标准-不常访问 (S3 标准 — IA) 和 S3 智能分层存储类中产生提前删除费用。

默认情况下,当您创建 NFS 共享时,有权访问 NFS 服务器的任何人都能访问 NFS 文件共享。您可以通过 IP 地址限制对客户端的访问。

对于 SMB,您可以拥有三种不同的身份验证模式之一:

  • 具有 Microsoft Active Directory (AD) 访问权限的文件共享。任何经过身份验证的 Microsoft AD 用户都将获得对此文件共享类型的访问权限。

  • 具有有限访问权限的 SMB 文件共享。只有您指定的特定域用户和组被允许访问(通过允许列表)。用户和组也可以被拒绝访问(通过拒绝列表)。

  • 具有来宾访问权限的 SMB 文件共享。可以提供来宾密码的任何用户都将获得对此文件共享的访问权限。

    注意

    通过 NFS 文件共享网关导出的文件共享支持 POSIX 权限。对于 SMB 文件共享,您可以使用访问控制列表 (ACL) 来管理文件共享中的文件和文件夹的权限。有关更多信息,请参阅使用 Microsoft Windows ACL 控制对 SMB 文件共享的访问

文件网关可以托管一个或多个不同类型的文件共享。您可以在一个文件网关上有多个 NFS 和 SMB 文件共享。

重要

要创建文件共享,文件网关要求您激活 Amazon Security Token Service (Amazon STS)。确保Amazon STS已在Amazon Web Services 区域您正在创建文件网关。如果Amazon STS在那里没有激活Amazon Web Services 区域,激活它。有关如何激活的信息Amazon STS请参阅,激活和停用Amazon STS在Amazon Web Services 区域中的Amazon Identity and Access Management用户指南.

注意

您可以使用Amazon Key Management Service(Amazon KMS) 加密文件网关在 Amazon S3 中存储的对象。若要使用 Storage Gateway 控制台执行此操作,请参阅创建 NFS 文件共享要么创建 SMB 文件共享. 您也可以通过使用 Storage Gateway API 来执行此操作。有关说明,请参阅CreateNFSFileShare要么CreateSMBFileShare中的AmazonStorage Gateway API 参考.

默认情况下,文件网关在将数据写入 S3 存储桶时使用 Amazon S3 (SSE-S3) 托管的服务器端加密。如果您使用 SSE-KMS (服务器端加密)Amazon KMS— 托管密钥) 您的 S3 存储桶的默认加密,文件网关存储在该处的对象将使用 SSE-KMS 进行加密。

要结合使用 SSE-KMS 与您自己的 Amazon KMS 密钥进行加密,您必须启用 SSE-KMS 加密。当您执行此操作时,需要在创建文件共享时提供 KMS 密钥的 Amazon 资源名称 (ARN)。您也可以通过使用 UpdateNFSFileShareUpdateSMBFileShare API 操作来更新文件共享的 KMS 设置。更新后,此更新应用于存储在 Amazon S3 存储桶中的对象。

如果将文件网关配置为使用 SSE-KMS 进行加密,则必须手动添加kms:Encryptkms:Decryptkms:ReEncryptkms:GenerateDataKey, 和kms:DescribeKey对与文件共享关联的 IAM 角色的权限。有关更多信息,请参阅 。为 Storage Gateway 使用基于身份的策略 (IAM 策略).

主题