EC2 Windows にアタッチしている EBS のアクセス権を削除して、別 EC2 Windows インスタンスで再設定してみた

はじめに

テクニカルサポートの 片方 です。
EC2 Windows インスタンスに NTFS でアタッチしている EBS のアクセス権を削除して、異なる EC2 Windows インスタンスへアタッチした場合でもアクセス可能にする方法をご紹介します。

やってみた

前提として、AD 環境下ではないことをご認識ください。

拒否されることを確認

D:ドライブから権限を全て削除。アクセス拒否されることを確認しました。

対象 EBS をデタッチして、異なる Windows OS EC2 インスタンスへアタッチします。

前もって作成した u1 ユーザーで RDP を行い確認。D:ドライブの存在を確認したものの、アクセス拒否されます。

Administrator ユーザーで RDP を行い確認。こちらも D:ドライブの存在を確認したものの、アクセス拒否されます。

アクセス可能にする

Administrator 権限を使用して対象ドライブの所有者属性を (移行先の) Administrator ユーザーに変更します。
所有者権限より、対象ドライブ及びフォルダへアクセス権を付与する流れになります。

管理者アカウントは、ローカル デバイス上のファイル、ディレクトリ、サービス、およびその他のリソースを完全に制御できます。 Administrator アカウントでは、別のローカル ユーザーの作成、ユーザー権利の割り当て、およびアクセス許可の割り当てが可能です。 管理者アカウントは、ユーザー権限とアクセス許可を変更することで、ローカル リソースをいつでも制御できます。

所有者は、そのオブジェクトの作成時にオブジェクトに割り当てられます。 既定では、所有者は オブジェクトの作成者です。 オブジェクトに設定されているアクセス許可に関係なく、オブジェクトの所有者は常にアクセス許可を変更できます。 詳細については、「 オブジェクトの所有権の管理」を参照してください。

1.　対象ドライブ ⇒ プロパティ ⇒ セキュリティタブ選択 ⇒ 詳細設定

2.　所有者属性を変更するため、[変更] をクリック

3.

• Administrator ユーザーで RDP している場合
  選択するオブジェクト名に "Administrator" を記載。[名前の確認] をクリックして OK で終了です。

• Administrator ユーザー以外で RDP している場合 インスタンスに関連付けられたキーペアより、パスワードを取得します。

復号したパスワードを記載します

4. 所有者属性を移行先の Administrator ユーザーへ変更したので、後はドライブやフォルダへアクセス権を付与すれば終了です。 これで、使用可能になります。

まとめ

移行先の Administrator ユーザーでも所有者属性を変更可能です。
本ブログが誰かの参考となれば幸いです。

参考資料

• インスタンスへの Amazon EBS ボリュームのアタッチ - Amazon EBS
• インスタンスから Amazon EBS ボリュームをデタッチする - Amazon EBS
• ローカル アカウント - Windows Security | Microsoft Learn
• Access Controlの概要 - Windows Security | Microsoft Learn

アノテーション株式会社について

アノテーション株式会社は、クラスメソッド社のグループ企業として「オペレーション・エクセレンス」を担える企業を目指してチャレンジを続けています。「らしく働く、らしく生きる」のスローガンを掲げ、様々な背景をもつ多様なメンバーが自由度の高い働き方を通してお客様へサービスを提供し続けてきました。現在当社では一緒に会社を盛り上げていただけるメンバーを募集中です。少しでもご興味あれば、アノテーション株式会社WEBサイトをご覧ください。