Amazon FSx for WindowsでABE(アクセスベースのディレクトリ列挙)の設定をしてみる

AWS運用自動化サービス「Cloud Automator」

こんにちは。
夏らしい強い日差しを求めている技術3課の島村です。

今年の梅雨は長いですね。
暑い中で冷えたアイスコーヒーを美味しく飲みたいものです。

さて、今回はFSxでABE(アクセスベースのディレクトリ列挙)の設定を行なっていきます。
本題に入る前にFSxの紹介とABE(アクセスベースのディレクトリ列挙)の説明を簡単します。

Amazon FSx for Windows

名前の通り、完全マネージドサービスで提供されているファイルシステムサービスです。
WindowsServerに構築されているため従来のWindowsServerで使用されている
WindowsACLとも互換性があります。

最近既存ADとも連携ができるようになり、使い勝手がさらに向上しました。
より機能の詳細を知りたい方は公式ページを参照してみてください。
https://aws.amazon.com/jp/fsx/windows/

ABE(アクセスベースのディレクトリ列挙)

基本的にWindowsOSではアクセス権のないフォルダでも表示されてしまいますが
ABEの設定を行うことにより、アクセス権のないフォルダは表示されなくなる機能です。

環境

今回、検証を行う環境を構成図にしてみました。
構成図の通り、ADサーバにFSxのファイルシステムをネットワークドライブとしてマウントしてABEの挙動を確認していきます。

前提

ADサーバとFSxは構築済みかつADサーバでFSxがマウントされている状態から進めていきます。
ADサーバとFSxの準備ができていない方は弊社鎌田がFSx構築のブログを書いておりますので
参考の上環境を作ってみてください。

Amazon FSx for Windowsが既存のActive Directoryのドメインを直接利用できるようになりました!

検証に使用するユーザーは以下の権限で作成しています。

ユーザ名 権限
FSxUser Domain User
FSxAdmin Domain Admin

1.ABEの有効化

早速設定をやっていきます。
ABEはデフォルトでオフとなっているのでABEの有効化をしていきます。

まずはADサーバーにログインし、Powershellを管理者権限で実行します。

ファイル共有モジュールのダウンロードを行います

設定前の確認

設定前の確認をするとABEの設定がDisabledになっていることが確認できると思います。

ABEの有効化

以下のコマンドを実行してABEの有効化を行います。

設定後の確認

ABEが有効になっているかを確認します。

ABEの設定がEnabledになりました!

これで有効化が終わりました。
実際に動きを確認していきましょう。

2.ABE有効化の反映確認

フォルダを2つ作成します。
※名前は任意です。

権限は次の通りとなっています。

以下の通り権限を設定します。
親フォルダの”Share”から継承を受けている状態となるので継承を無効化にして設定を行なってください。
ただし、SYSTEMグループだけは削除しないでください。ファイルシステムやフォルダが利用できなくなる可能性があります。

さて、これで準備ができたので各ユーザーでログインして試してみます。

FSxUserでログインした結果

FSxAdminでログインした結果

うまくいきました!!
ABEの制御できていてアクセス権のあるフォルダのみ表示されていると思います!

最後に

フルマネージドサービスのFSxでもABEによる制御ができました。
オンプレミスのファイルサーバの移行を考えている方はFSxを選択肢に入れてみてはいかがでしょうか。

AWS運用自動化サービス「Cloud Automator」