创建 SMB 文件共享 - Amazon Storage Gateway
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon S3 文件网关文档已移至什么是 Amazon S3 文件网关

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建 SMB 文件共享

在创建 SMB 文件共享之前,请确保为配置 SMB 安全设置。您还可以配置 Microsoft Active Directory (AD) 或来宾访问以进行身份验证。一个文件共享仅提供一种类型的 SMB 访问。

注意

如果所需的端口在安全组中没有打开,SMB 文件共享便无法正常运行。有关更多信息,请参阅端口要求

注意

当 SMB 客户端将文件写入文件网关时,文件网关会将文件的数据上传到 Amazon S3,然后跟其元数据(所有权、时间戳等)。上传文件数据会创建一个 S3 对象,上传文件的元数据会更新 S3 对象的元数据。此过程创建对象的另一个版本,从而生成对象的两个版本。如果启用 S3 版本控制,将存储两个版本。

如果您更改存储在文件网关中的文件的元数据,则会创建一个新的 S3 对象,并用它替换现有 S3 对象。此行为与编辑文件系统中的文件不同,在编辑文件时,编辑文件不会导致创建新文件。您应该测试计划与 Storage Gateway 一起使用的所有文件操作,以便了解每个文件操作如何与 Amazon S3 存储交互。

从文件网关上传数据时,应仔细考虑在 Amazon S3 中使用 S3 版本控制和跨区域复制 (CRR)。启用 S3 版本控制后,将文件从文件网关上传到 Amazon S3 会导致至少两个版本的 S3 对象。

某些涉及大型文件和文件写入模式的工作流(如通过多个步骤执行的文件上传)可能会增加存储 S3 对象版本的数量。如果文件网关缓存需要释放空间,因为高文件写入速率可能导致创建多个 S3 对象版本。如果启用了 S3 版本控制,这些方案会增加 S3 存储,并增加了与 CRR 相关的传输成本。您应该测试计划与 Storage Gateway 一起使用的所有文件操作,以便了解每个文件操作如何与 Amazon S3 存储交互。

将 Rsync 实用程序与文件网关结合使用会在缓存中创建临时文件,并在 Amazon S3 中创建临时 S3 对象。这将导致 S3 标准不经常访问 (S3 标准 — IA) 和 S3 智能分层存储类中的提前删除费用。

配置 SMB 设置

要为文件网关配置 SMB 设置,请执行以下操作:

  1. 打开Amazon Storage Gateway控制台位于https://console.aws.amazon.com/storagegateway/home/

  2. 选择网关,并在网关页面上,选中要加入到域的文件网关旁边的复选框。

  3. 对于操作,选择编辑 SMB 设置

现在,您即可为配置文件网关的设置:

配置 SMB 安全设置

按照以下过程配置文件网关 SMB 安全设置。

配置 SMB 安全设置

  1. 选择 SMB security settings (SMB 安全设置) 部分右上角的铅笔图标。

  2. 对于 Security level (安全级别),请选择下列选项之一:

    注意

    此设置在 API 参考中称为 SMBSecurityStrategy

    较高的安全级别可能会影响性能。

    • 强制实施加密— 如果选择此选项,则文件网关只允许来自已启用加密的 SMBv3 客户端的连接。对于处理敏感数据的环境,强烈建议使用此选项。此选项适用于 Microsoft Windows 8、Windows Server 2012 或更高版本上的 SMB 客户端。

    • 强制实施签名— 如果选择此选项,则文件网关只允许来自已启用签名的 SMBv2 或 SMBv3 客户端的连接。此选项适用于 Microsoft Windows Vista、Windows Server 2008 或更高版本上的 SMB 客户端。

    • 客户协商― 如果选择此选项,则会根据客户端协商的内容建立请求。当您希望最大程度地提高环境中的各个客户端之间的兼容性时,建议使用此选项。

    注意

    对于 2019 年 6 月 20 日之前激活的网关,默认安全级别为 Client negotiated (客户端协商)

    对于 2019 年 6 月 20 日及以后激活的网关,默认安全级别为 Enforce encryption (强制加密)

  3. 完成后,选择 Close (关闭)

配置 Microsoft Active Directory 访问权限

按照以下过程配置文件网关 Microsoft AD 访问设置。

配置 SMB 文件共享 Microsoft AD 访问设置

  1. 选择 Active Directory settings (Active Directory 设置) 部分右上角的铅笔图标。

  2. 对于域名,提供您希望网关加入的域。您可以通过使用域的 IP 地址或其组织单位加入域。组织单位 是 Active Directory 细分,可以包含用户、组、计算机和其他组织单位。

    注意

    您可以将Amazon Directory Service在 Amazon Web Service Cloud 中创建托管的 Microsoft AD 域服务。

    如果您的网关无法加入 Microsoft AD 目录,请尝试通过 JoinDomain API 操作使用目录的 IP 地址加入。

    当网关从未加入域时,Active Directory status (Active Directory 状态) 显示 Detached (已分离)

  3. 对于 Domain user (域用户),输入您的账户名称。您的账户必须能够将服务器加入到域中。

  4. 对于 Domain password (域密码),请输入您的账户密码。

  5. (可选)对于 Organizational unit (组织单位),输入您的组织单位。

  6. (可选)对于 Domain controllers (域控制器),输入域服务器的 Internet 协议版本 4 (IPv4) 地址、NetBIOS 名称或主机名的逗号分隔列表。

  7. 选择 Save 以保存您的更改。

  8. 完成后,选择 Close (关闭)

配置来宾访问

按照以下过程配置文件网关来宾访问设置。

对 SMB 文件共享进行来宾访问配置

  1. 选择 Guest access settings (来宾访问设置) 部分右上角的铅笔图标。

  2. 对于 Guest password (来宾密码),输入符合您组织的安全要求的密码。

  3. 选择保存以完成身份验证。

    注意

    如果您仅提供来宾访问权限,您的文件网关不必是 AD 域的一部分。您还可以使用作为 Microsoft AD 域成员的文件网关来创建具有来宾访问权限的文件共享。

  4. 完成后,选择 Close (关闭)

您的控制台的 Gateways (网关) 部分顶部应该会显示一条消息,指示您网关的状态为 Successfully joined domain

如果横幅显示消息 Invalid domain name/DNS name cannot be resolved,则表明未找到正确的终端节点。您还可能看到错误 Invalid users/Invalid password,这是一条身份验证失败错误,表示您的登录未被域服务识别。

错误消息 The gateway cannot connect to the specified domain 指明用户配额已用完,换句话说,配额中没有更多的用户。默认限制允许每个用户将最多 10 个系统加入到域。如果尝试连接的用户没有管理员权限,也会出现此错误。

错误消息 The specified request timed out 可能表示您的防火墙规则有问题,不允许访问域。

创建 SMB 文件共享

在这个过程中,您将创建具有 Microsoft AD 或来宾访问权限的 SMB 文件共享。请确保在执行以下步骤之前为您的文件网关定义 SMB 文件共享设置。要配置 SMB 文件共享设置,请参阅配置 SMB 设置

创建 SMB 文件共享

  1. 打开Amazon Storage Gateway控制台位于https://console.aws.amazon.com/storagegateway/home/

  2. 选择创建文件共享

  3. 在存储库的配置文件共享设置页面, 适用于Amazon S3 存储桶名称/前缀名称,执行以下一项或多项操作:

    • In现有 S3 存储桶名称中,输入现有 Amazon S3 存储桶的名称。您可对您的网关使用此存储桶来存储文件和进行检索。有关创建新存储桶的信息,请参阅如何创建 S3 存储桶?中的Amazon Simple Storage Service 控制台用户指南

    • (可选)S3 前缀中,输入 S3 存储桶的前缀名称。

      注意
      • 前缀名称必须以 “/” 结尾。

      • 如果输入前缀名称,则必须输入文件共享名称。

      • 创建文件共享后,无法修改或删除前缀名称。

  4. (可选)文件共享名称中,为文件共享输入名称。默认名称为 S3 存储桶名称。

    注意
    • 如果输入前缀名称,则必须输入文件共享名称。

    • 创建文件共享后,无法删除文件共享名称。

  5. 对于使用以下工具访问对象,选择服务器消息块 (SMB).

  6. 对于网关,确保已选择您的网关。

  7. 对于 Audit logs (审核日志),请选择以下选项之一:

    • Disable logging (禁用日志记录)

    • Create a new log group (创建新的日志组),以创建新的审核日志。

    • Use an existing log group (使用现有日志组),并从列表中选择现有的审核日志。

    有关审核日志的更多信息,请参阅了解文件网关审核日志

  8. (可选)从 S3 自动刷新缓存中,选中该复选框并设置使用生存时间 (TTL) 刷新文件共享缓存的时间(以天、小时和分钟为单位)。TTL 是自上次刷新以来的时间长度,之后对目录的访问将导致文件网关首先从 Amazon S3 存储桶刷新该目录的内容。

  9. (可选)文件上传通知中,选中文件网关将文件完全上载到 S3 时通知的复选框。设置建立时间以秒为单位,以控制在客户端写入文件的最后一个时间点之后等待的秒数,然后再生成ObjectUploaded通知功能. 由于客户端可以对文件进行许多小写操作,因此最好尽可能长时间设置此参数,以避免在短时间内为同一文件生成多个通知。有关更多信息,请参阅获取文件上传通知

    注意

    此设置不影响对象上传到 S3 的时间,只影响通知的时间。

  10. (可选)在 Add tags (添加标签) 部分中,输入键和值以将标签添加到您的文件共享。标签是帮助您管理、筛选和搜索文件共享的区分大小写的键/值对。

  11. 选择 Next (下一步)。这些区域有:配置 Amazon S3 中文件的存储方式页面。

  12. 适用于新对象的存储类,选择要用于在 Amazon S3 存储桶中创建的新对象的存储类:

    • 选择 S3 标准将您经常访问的对象数据冗余存储在地理上分开的多个可用区中。有关 S3 标准存储类的更多信息,请参阅。经常访问对象的存储类中的Amazon Simple Storage Service 开发人员指南

    • 选择 S3 Intelligent-Tiering (S3 智能分层),可通过自动将数据移动到最具成本效益的存储访问层来优化存储成本。有关 S3 智能分层存储类的更多信息,请参阅。可自动优化经常访问和不经常访问的对象的存储类中的Amazon Simple Storage Service 开发人员指南

    • 选择 S3 标准 - IA 将您不常访问的对象数据冗余存储在地理上分开的多个可用区中。有关 S3 标准 — IA 存储类的更多信息,请参阅。不经常访问对象的存储类中的Amazon Simple Storage Service 开发人员指南

    • 选择 S3 单区 - IA 将您不常访问的对象数据存储在单个可用区中。有关 S3 单区-IA 存储类的更多信息,请参阅。不经常访问对象的存储类中的Amazon Simple Storage Service 开发人员指南

  13. 对于对象元数据,选择要使用的元数据:

    • 选择猜测 MIME 访问类型,启用根据文件扩展名猜测已上传对象的 MIME 类型。

    • 选择给予存储桶拥有者完全控制权限以向映射到文件 SMB 文件共享的 S3 存储桶的所有者授予完全控制权限。有关使用文件共享来访问其他账户拥有的存储桶中的对象的更多信息,请参阅使用文件共享进行跨账户访问

    • 如果您在要求请求者或读取者(而不是存储桶拥有者)支付访问费用的存储桶上使用此文件共享,请选择启用申请方付款。有关更多信息,请参阅申请方付款存储桶

  14. 适用于对 S3 存储桶的访问中,选择Amazon Identity and Access Management(IAM) 角色,您希望文件网关用来访问 Amazon S3 存储桶:

    • 创建新的 IAM 角色,允许文件网关创建新的 IAM 角色并代表您访问策略。

    • 使用现有 IAM 角色选择现有的 IAM 角色并手动设置访问策略。在IAM 角色框中,输入用于访问您的存储桶的角色的 Amazon 资源名称 (ARN)。有关 IAM 角色的信息,请参阅IAM 角色中的Amazon Identity and Access Management用户指南

    有关 S3 存储桶访问权限的更多信息,请参阅授予对 Amazon S3 存储桶的访问权限

  15. 适用于加密中,选择要用于加密在 Amazon S3 中存储的文件网关对象的加密密钥类型:

    • 选择S3 托管密钥 (SSE-S3)以使用 Amazon S3 托管的服务器端加密 (SSE-S3)。

    • 选择 KMS-Managed Keys (SSE-KMS) (KMS 托管密钥 (SSE-KMS)) 以使用 Amazon Key Management Service (SSE-KMS) 托管的服务器端加密。在 Master key (主密钥) 框中,选择现有的 KMS 主密钥,或选择 Create a new KMS key (创建新的 KMS 密钥) 以在 Amazon Key Management Service (Amazon KMS) 控制台中创建新的 KMS 密钥。有关 的更多信息Amazon KMS、是什么Amazon Key Management Service?中的Amazon Key Management Service开发人员指南

      注意

      指定一个Amazon KMS键没有列出,或者使用Amazon KMS密钥,则必须使用Amazon Command Line Interface(Amazon CLI)。有关更多信息,请参阅 。CreateSMBFileShare中的Amazon Storage GatewayAPI 参考

      不支持非对称客户主密钥 (CMK)。

  16. 选择下一步查看文件共享的配置设置。您的文件网关会将默认设置应用于您的文件共享。

更改 SMB 文件共享的配置设置

  1. 为要更改的设置选择编辑。选择 Close (关闭) 以强制实施您的设置。

  2. 对于 SMB share settings (SMB 共享设置),您可以编辑身份验证方法、导出为、文件和目录访问权限以及管理员用户和组。

    对于 Select authentication method (选择身份验证方法),请选择以下选项之一:

    • Active Directory(默认值),以便使用公司 Microsoft AD 对 SMB 文件共享进行经过用户身份验证的访问。

    • Guest access (来宾访问权限),只提供来宾访问权限,您的文件网关不必是 Microsoft AD 域的一部分。您还可以使用作为 AD 域成员的文件网关来创建具有来宾访问权限的文件共享。

    注意

    对于 Microsoft AD 访问,您的文件网关必须加入域。

    对于来宾访问,您必须设置一个来宾访问密码。

    这两种访问类型同时可用。

    对于 Export as (导出为),选择以下选项之一:

    • Read-write (读写)(默认值)

    • Read-only

    注意

    对于在 Microsoft Windows 客户端上挂载的文件共享,如果您选择 Read-only (只读),则可能会看到有关某个错误阻止您创建文件夹的消息。您可以忽略此消息。

    对于 File/directory access controlled by (文件/目录访问控制方式),选择下列选项之一:

    • 选择 Windows Access Control List (Windows 访问控制列表) 可为 SMB 文件共享中的文件和文件夹设置精细控制权限。有关更多信息,请参阅使用 Microsoft Windows ACL 控制对 SMB 文件共享的访问

    • 选择 POSIX permissions (POSIX 权限) 可使用 POSIX 权限控制对通过 NFS 或 SMB 文件共享存储的文件和目录的访问。

    (可选)对于 Admin users/groups (管理员用户/组),输入 AD 用户和组的逗号分隔列表。如果您希望管理员用户有权更新文件共享中的所有文件和文件夹的 ACL,请执行此操作。之后,这些用户和组将具有文件共享的管理员权限。组的前缀必须为 @ 字符,例如 @group1

    (可选)区分大小写中,选中该复选框以允许网关控制区分大小写,或保持清除复选框以允许客户端控制区分大小写。

    注意
    • 如果选择该选项,此设置将立即应用于新的 SMB 客户端连接。现有 SMB 客户端连接必须断开与文件共享的连接,然后重新连接才能使设置生效。

    (可选)基于访问的枚举中,选中该复选框以使共享上的文件和文件夹仅对具有读取权限的用户可见。保持清除该复选框,以使共享上的文件和文件夹在目录枚举期间对所有用户可见。

    注意

    基于访问的枚举是一种系统,它根据共享的访问控制列表 (ACL) 筛选 SMB 文件共享上的文件和文件夹枚举。

  3. (可选)对于 Allowed/denied users and groups (允许/拒绝的用户和组),选择 Add entry (添加条目),并提供要允许或拒绝文件共享访问的 AD 用户或组的列表。

    注意

    这些区域有:允许/拒绝的用户和组部分仅在Active Directory处于选中状态。

    仅输入 AD 用户或组名称。域名由网关加入的特定 AD 中的网关成员资格表示。

    如果您未指定有效或无效的用户或组,任何经过身份验证的 AD 用户都可以导出文件共享。

  4. 对于 Tags (标签),添加新标签或删除现有标签。

  5. 查看文件共享配置设置,然后选择创建文件共享

    在创建 SMB 文件共享之后,您可以在文件共享的 Details (详细信息) 选项卡中查看文件共享设置。

上述过程创建 Microsoft AD 文件共享。拥有域凭证的任何人均可访问此文件共享。要将访问权限限制到特定用户和组,请参阅使用 Active Directory 对用户进行身份验证

下一步

将 SMB 文件共享挂载到您的客户端上