2018.07.23

【AWS StorageGateway】ファイルゲートウェイで簡単マウント/簡単アクセス制御

AWS Storage Gateway サービスのファイルゲートウェイでSMB(サーバーメッセージブロック)プロトコルがサポートされました。
これまでは、WindowsクライアントからS3のバケットにファイルをアップロードするには、APIやNFS Clientなどのツールが必要でしたが、SMBプロトコルを利用することで、ツールをインストールすることなく簡単にS3バケットにアクセス可能になりました。また、ActiveDirectoryと連携することで、バケットへのアクセス制御も行えます。

それでは、早速利用してみましょう。

1.事前準備

まずは事前準備です。
今回はActiveDirectoryを利用してアクセス制御を行いますので、以下の準備をしておきます。
 ・ActiveDirectory/DNS
 ・VPCのDHCPオプションセットで、DNSを設定
 ・ファイル共有用のS3 Bucketの作成

2.ストレージゲートウェイの設定

AWSコンソールから「Storage Gateway」サービスを起動し、「今すぐ始める」をクリックします。

「ファイルゲートウェイ」を選択して、「次へ」をクリックします。

「AmazonEC2」を選択し、「インスタンスの起動」をクリックします。

別ウィンドウが開き、インスタンスの選択画面になりますので、インスタンスタイプを選択し、「次の手順:インスタンスの詳細の設定」クリックします。ファミリーはどのファミリーでも良いのですが、タイプはxlarge以上を選択します。

インスタンスの詳細設定を行い、「次の手順:ストレージの追加」をクリックします。

キャッシュ用の領域を追加して、「次の手順:タグの追加」をクリックします。
※キャッシュは、読み込み/書き込みに利用されパフォーマンスに影響しますので、容量に応じ必要な分を確保してください。

タグ情報を入力し、「次の手順:セキュリティグループの設定」をクリックします。

セキュリティグループを設定し、「確認と作成」をクリックします。

インスタンスの確認画面が表示されるので「作成」をクリックします。

インスタンスが起動したらEIPを割り当て、StorageGatewayの画面に戻り「次へ」をクリックします。

先ほど、立ち上げたStorageGatewayサーバのIPアドレスを入力し、「ゲートウェイ接続」をクリックします。

タイムゾーンを選択、ゲートウェイ名を入力して、「ゲートウェイのアクティブ化」をクリックします。

キャッシュ用のディスク選択し、「保存して続行」をクリックします。

ドメインへの参加

作成したファイルゲートウェイをドメインに参加させます。
ファイルゲートウェイを選択し、「アクション」メニューから、「SMB設定の編集」をクリックします。

ドメイン統合にチェックを施し、ドメイン名、ドメインユーザー、パスワードを入力して、「保存」をクリックします。

正常に結合(ドメイン参加)されることを確認します。

ActiveDirectory側でも、ちゃんと登録されていることを確認します。

ファイル共有設定

続いて、ファイル共有の設定です。
画面左のメニューからファイル共有を選択し、「ファイル共有の作成」をクリックします。

ファイル共有を行うS3 バケット名を入力、「サーバーメッセージブロック(SMB)」を選択して、「次へ」をクリックします。

ファイルを保存する方法の設定を行います。
今回はデフォルトで、「次へ」をクリックします。

許可/拒否をされたユーザーとグループを変更し、ActiveDirectoryのユーザーを指定します。
今回は、事前に準備した以下のユーザーを設定します。
 許可されたユーザー:allow-user
 拒否されたユーザー:deny-user
内容を確認し、「ファイル共有の作成」をクリックします。

ファイル共有が作成されたら、「詳細」情報から接続用のコマンドを確認します。

クライアントからの接続

クライアントPCでコマンドプロンプト起動し、先ほど確認したコマンドを入力します。

許可されたユーザー名とパスワードの入力が求められるので、先ほど許可されたユーザーとして設定した、ユーザー名とパスワードを入力します。ユーザー名の入力は、ドメイン名\ユーザー名の形で入力します。

※アクセス拒否ユーザーの場合は、ちゃんとアクセスが拒否されます。

エクスプローラーから、ドライブが割り当てられていることを確認します。

それでは、フォルダとファイルを作成してみます。

S3のバケットを見てみると、ちゃんと保存されています。

最後に

いかがでしたでしょうか。
FileGatewayがSMBプロトコルに対応したことで、クライアントPCにアプリケーションをインストールすることなくS3のバケットが利用できるようになりました。
またシステム管理者の人は、ActiveDirectoryのグループでS3バケットのアクセス制御ができるようになり、活用の場が広がったと思います。
ぜひ、活用してみてはいかかでしょうか。
最後までお読みいただきありがとうございました。
65 件
     
  • banner
  • banner

関連する記事