AWS Storage Gateway
用户指南 (API 版本 2013-06-30)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

创建 SMB 文件共享

在创建 SMB 文件共享之前,请确保已为文件网关配置安全设置和 SMB 设置。您还可以配置 Microsoft Active Directory (AD) 或来宾访问以进行身份验证。一个文件共享仅提供一种类型的 SMB 访问。

注意

如果所需的端口在安全组中没有打开,SMB 文件共享便无法正常运行。有关更多信息,请参阅 端口要求

创建 SMB 文件共享

  1. 通过以下网址打开 AWS Storage Gateway 控制台:https://console.amazonaws.cn/storagegateway/home

  2. 选择 Gateways (网关),然后在 Gateway (网关) 页面上,选中要加入域的文件网关旁边的框。

  3. 对于操作,选择编辑 SMB 设置

此时,配置文件网关的设置:

  • 配置安全设置。

  • 配置 Active Directory 设置。

  • 配置来宾访问。

以下是有关如何配置这些设置的详细信息。

配置安全设置

  1. 在 SMB 安全设置部分中,选择 Set security level (设置安全级别)

  2. 对于 Security level (安全级别),请选择下列选项之一:

    注意

    此设置在 API 参考中称为 SMBSecurityStrategy。

    较高的安全级别可能会影响性能。

    • Enforce encryption (强制加密) – 如果选择此选项,则文件网关只允许来自启用加密的 SMBv3 客户端的连接。对于处理敏感数据的环境,强烈建议使用此选项。此选项适用于 Microsoft Windows 8、Windows Server 2012 或更高版本上的 SMB 客户端。

    • Enforce signing (强制签名) – 如果选择此选项,则文件网关只允许来自启用签名的 SMBv2 或 SMBv3 客户端的连接。此选项适用于 Microsoft Windows Vista、Windows Server 2008 或更高版本上的 SMB 客户端。

    • Client negotiated (客户端协商) – 如果选择此选项,则将根据客户端协商的内容建立请求。当您希望最大程度地提高环境中的各个客户端之间的兼容性时,建议使用此选项。

    注意

    对于 2019 年 6 月 20 日之前激活的网关,默认安全级别为 Client negotiated (客户端协商)

    对于 2019 年 6 月 20 日及以后激活的网关,默认安全级别为 Enforce encryption (强制加密)

对 SMB 文件共享进行 Microsoft Active Directory 访问配置

  1. 通过以下网址打开 AWS Storage Gateway 控制台:https://console.amazonaws.cn/storagegateway/home

  2. 选择 Gateways (网关),然后在 Gateway (网关) 页面上,选中要加入域的文件网关旁边的框。

  3. 对于操作,选择编辑 SMB 设置

  4. 对于 Microsoft Active Directory 身份验证,选择 Join domain (加入域)。您可以通过使用域的 IP 地址或其组织单位加入域。组织单位 是一个 Active Directory 细分,可以包含用户、组、计算机和其他组织单位。

    注意

    如果您的网关无法加入 Active Directory 目录,请尝试通过 JoinDomain API 操作使用目录的 IP 地址加入。

  5. 对于 Domain name (域名),输入您的完全限定域名。

    注意

    您可以使用 AWS Directory Service 在 AWS 云中创建托管的 Microsoft Active Directory 域服务。

  6. 对于 Domain user (域用户),输入您的账户名称。您的账户必须能够将服务器加入到域中。

  7. 对于 Domain password (域密码),请输入您的账户密码。

  8. 对于 Organizational unit (组织部门),输入您的组织部门。

  9. 对于 Domain controllers (域控制器),输入域服务器的 Internet 协议版本 4 (IPv4) 地址、NetBios 名称或主机名的逗号分隔的列表。

对 SMB 文件共享进行来宾访问配置

  1. 通过以下网址打开 AWS Storage Gateway 控制台:https://console.amazonaws.cn/storagegateway/home

  2. 选择 Gateways (网关),然后在 Gateway (网关) 页面上,选中要用于来宾文件共享的文件网关旁边的框。

  3. 对于操作,选择编辑 SMB 设置

  4. 选择 Set guest password (设置来宾密码) 以为 SMB 文件共享启用来宾访问。

    注意

    如果您仅提供来宾访问权限,您的文件网关不必是 AD 域的一部分。您还可以使用作为 Microsoft AD 域成员的文件网关来创建具有来宾访问权限的文件共享。

  5. 对于 Guest password (来宾密码),输入符合您组织的安全要求的密码。

  6. 选择保存以完成身份验证。

    您的控制台的 Gateways (网关) 部分顶部应该会显示一条消息,指示您网关的状态为 Successfully joined domain

    如果横幅显示消息 Invalid domain name/DNS name cannot be resolved,则表明未找到正确的终端节点。您还可能看到错误 Invalid users/Invalid password,这是一条身份验证失败错误,表示您的登录未被域服务识别。

    错误消息 The gateway cannot connect to the specified domain 指明用户配额已用完,换句话说,配额中没有更多的用户。默认限制允许每个用户将最多 10 个系统加入到域。如果尝试连接的用户没有管理员权限,也会出现此错误。

    错误消息 The specified request timed out 可能表示您的防火墙规则有问题,不允许访问域。

在下一个过程中,您将创建具有 Active Directory 或来宾访问权限的 SMB 文件共享。请确保在执行以下步骤之前为您的文件网关定义 SMB 文件共享设置。

创建 SMB 文件共享

  1. 通过以下网址打开 AWS Storage Gateway 控制台:https://console.amazonaws.cn/storagegateway/home

  2. 在导航窗格上,选择 Shares (共享),选择要使用的文件网关,然后选择 Create file share (创建文件共享)

  3. 配置文件共享设置页面上,对于 Amazon S3 存储桶名称,提供现有 Amazon S3 存储桶的名称。您可对您的网关使用此存储桶来存储文件和检索

  4. 对于使用以下工具访问对象,选择服务器消息块(SMB)

  5. 对于网关,确保已选择您的网关,然后选择下一步

    此时将显示 Amazon S3 页面中的配置文件的存储方式,如下所示。

  6. 对于新对象的存储类,选择要用于在 Amazon S3 存储桶中创建的新对象的存储类:

    • 选择 S3 标准将您经常访问的对象数据冗余存储在地理上分开的多个可用区中。

    • 选择 S3 标准 - IA 将您不常访问的对象数据冗余存储在地理上分开的多个可用区中。

    • 选择 S3 单区 - IA 将您不常访问的对象数据存储在单个可用区中。

    有关更多信息,请参阅 Amazon Simple Storage Service 开发人员指南 中的存储类别

  7. 对于对象元数据,选择要使用的元数据:

    • 选择猜测 MIME 访问类型,启用根据文件扩展名猜测已上传对象的 MIME 类型。

    • 选择给予存储桶拥有者完全控制权限以向映射到文件 SMB 文件共享的 S3 存储桶的所有者授予完全控制权限。有关使用文件共享来访问其他账户拥有的存储桶中的对象的更多信息,请参阅使用文件共享进行跨账户访问

    • 如果您在要求请求者或读取者(而不是存储桶拥有者)支付访问费用的存储桶上使用此文件共享,请选择启用申请方付款。有关更多信息,请参阅申请方付款存储桶

  8. 对于访问您的存储桶,选择您希望网关用来访问您的 Amazon S3 存储桶的 AWS Identity and Access Management (IAM) 角色。此角色允许网关访问您的 S3 存储桶。文件网关可以代表您创建新的 IAM 角色和访问策略。或者,如果您有要使用的 IAM 角色,则可以在 IAM 角色框中指定它,并手动设置访问策略。有关更多信息,请参阅授予对 Amazon S3 存储桶的访问权限。有关 IAM 角色的信息,请参阅 IAM 用户指南 中的 IAM 角色

  9. (可选)在 Add tags (添加标签) 部分中,输入键和值以将标签添加到您的文件共享。标签是帮助您管理、筛选和搜索文件共享的区分大小写的键/值对。

  10. 选择下一步以查看您的 SMB 文件共享的审核配置设置,如下图所示。

  11. 对于 Microsoft AD 身份验证,请确保为选择身份验证方法显示 Active Directory。Microsoft AD 访问是默认身份验证方法。

    注意

    对于 Microsoft AD 访问,您的文件网关必须加入域。

    对于来宾访问,您必须设置一个来宾访问密码。

    这两种访问类型同时可用。

  12. 对于“Export as (导出为)”,选择 Read-write (读写)(默认值)或 Read-only (只读)。选择关闭以强制实施您的身份验证设置。

  13. 对于 File/directory access controlled by (文件/目录访问控制方式),选择下列选项之一:

    • 选择 Windows Access Control List (Windows 访问控制列表) 可为 SMB 文件共享中的文件和文件夹设置精细控制权限。有关更多信息,请参阅使用 Microsoft Windows ACL 控制对 SMB 文件共享的访问

    • 选择 POSIX permissions (POSIX 权限) 可使用 POSIX 权限控制对通过 NFS 或 SMB 文件共享存储的文件和目录的访问。

  14. (可选)对于 Admin users/groups (管理员用户/组),输入 AD 用户和组的逗号分隔列表。如果您希望管理员用户有权更新文件共享中的所有文件和文件夹的 ACL,请执行此操作。之后,这些用户和组将具有文件共享的管理员权限。组的前缀必须为 @ 字符,例如 @group1

  15. 查看文件共享配置设置,然后选择创建文件共享

    在创建 SMB 文件共享之后,您可以在文件共享的详细信息选项卡中查看文件共享设置。

上述过程创建了一个 Microsoft Active Directory 文件共享。拥有域凭证的任何人均可访问此文件共享。要将访问权限限制到特定用户和组,请参阅使用 Active Directory 对用户进行身份验证

下一步

在客户端上挂载您的 SMB 文件共享