使用 Windows ACL 进行文件和文件夹级访问控制 - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Windows ACL 进行文件和文件夹级访问控制

适用于 Windows 文件服务器的 Amazon FSX 支持通过服务器消息块 (SMB) 协议通过 Microsoft 活动目录进行基于身份的身份验证。Active Directory 是 Microsoft 目录服务,用于存储有关网络上对象的信息,并使管理员和用户可以轻松查找和使用此信息。这些对象通常包括共享资源(如文件服务器)以及网络用户和计算机帐户。要了解有关 Amazon FSX 中活动目录支持的更多信息,请参阅使用 Microsoft Active Directory Amazon FSx in Windows File Server

加入域的计算实例可以使用活动目录凭据访问 Amazon FSX 文件共享。您可以使用标准 Windows 访问控制列表 (ACL) 进行精细的文件和文件夹级别的访问控制。Amazon FSX 文件系统会自动验证访问文件系统数据的用户的凭据,以强制执行这些 Windows ACL。

每个 Amazon FSX 文件系统都附带一个默认的 Windows 文件共享,名为share。此共享文件夹的 Windows ACL 配置为允许对域用户进行读/写访问。它们还允许对 Active Directory 中的委派管理员组进行完全控制,该组被委派在文件系统上执行管理操作。如果您正在将文件系统与Amazon托管微软 AD,此组是Amazon委派的 FSx 管理员。如果要将文件系统与自我管理的 Microsoft AD 设置集成,则此组可以是域管理员。或者,它可以是您在创建文件系统时指定的自定义委派管理员组。要更改 ACL,您可以将共享映射为属于委派管理员组成员的用户。

警告

亚马逊 FSX 要求系统用户具有FULL 控制对文件系统中所有文件夹的 NTFS ACL 权限。不要更改此用户在您的文件夹上的 NTFS ACL 权限。否则,可能会使您的文件共享无法访问。