File Gateway の WindowsACL 利用について

AWS運用自動化サービス「Cloud Automator」

こんにちは、技術2課、大阪勤務の全(ちょん)です。

最近、便利なWindowsのコマンドを発見しました。
fsutil
大容量データの転送テストの際によく使われるコマンドとなりますが、CUIに長けている方は「常識だろ」と思われる方は多いかもしれません。
5年早く知って入ればテキストファイルに文字列を繰り返しコピペするといった苦行を味合わずに済んだのにと、恥ずかしくなりました。

今回はFile GatewayのWindowsACLについて調査した内容についてブログに残しました。

前提条件

今回はFile Gateway on EC2を利用します。
ファイル共有プロトコルはSMBを利用します。
通信要件についてはクリアしているものとします。
File Gateway構築手順は省略します。

ドメイン結合

File Gatewayのドメイン結合に失敗する場合、File GatewayのDNS設定にドメインのIPアドレスを設定する必要があります。
以下、設定手順となります。

File Gatewayにssh接続(デフォルトユーザーは「admin」)し、管理コンソール画面にアクセスした後、「2」(Network Configuration)を入力します。

NetWork Configurationの問に「1」(Edit DNS Configuration)を入力します。
Available adaptersの問に「eth0」を入力します。
Assign by DHCPの問に「N」を入力します。
Primary DNSの問にドメインのDNSのIPアドレスを入力します。(画面では検証環境のIPアドレスを指定)
secondary DNSの問は入力無しとしました。
Apply configの問に「y」を入力します。

File Gateway側の設定は以上となります。

Storage Gatewayコンソールに戻りドメイン情報(管理者ユーザ、パスワード)を入力すると成功するはずです。

ファイル共有作成

ファイル共有作成時にWindowsアクセスコントロールリスト(デフォルト)を指定することでFile GatewayでのWindowsACLの利用が可能となります。

ファイル共有作成時にPOSIXアクセス許可にしてしまった場合でも、コンソール画面でWindowsアクセスコントロールリストに変更が可能です。

参考までにPOSIXアクセス許可の場合、WindowsACLの設定を適用しようとすると以下のようなエラーとなります。

ルートへのWindowsACL設定

AWSドキュメントの注記に以下のような記載があります。

ルートの親フォルダではなくルートで ACL を設定した場合、この ACL 権限は Amazon S3 で維持されません。
https://docs.aws.amazon.com/ja_jp/storagegateway/latest/userguide/smb-acl.html#acl-limits

File Gateway上で設定したWindowsACLは、図のようにディレクトリのアクセス権限情報のみをS3へ保存します。

そのため、別のFile Gatewayを用意し既存のS3をファイル共有に設定した場合、フォルダには設定されたWindowsACL情報がセットされるため、ご注意ください。

まとめ

File Gatewayはバックアップとしてはもちろん、アクセス権の設定をしっかりすることでファイルサーバとしても十分に候補として考えられると思います。
他にも魅力的なリソースもありますが、候補の1つとして検討されてみてはいかがでしょうか。

AWS運用自動化サービス「Cloud Automator」