[Storage Gateway] ファイルゲートウェイを SimpleAD でアクセス制御する

こんにちは、菊池です。

先日、Storage Gateway のアップデートで、SMB プロトコルによるアクセスがサポートされました。

[Storage Gateway] Windows で S3 オブジェクト保存！ファイルゲートウェイで SMB プロトコルがサポートされました

上記エントリでは、お試しとしてゲストアクセスで利用してみました。今回は、SimpleADを利用して、Storage Gatewayをドメインに参加させることで、ドメインのグループ/ユーザーによるアクセス制御を試してみました。

SimpleADでアクセス制御する

それでは、試してみます。

• SimpeADの作成
• Windowsインスタンスの起動
  • ドメインへの参加
• Storage Gatewayの起動
  • ゲートウェイの作成
  • ドメインへの結合
  • ファイル共有の作成
• Storage Gatewayへのアクセス

SimpleADの作成

まずはDirectory Serviceから、SimpleADを起動します。

必要項目を入力して進みます。

ディレクトリが作成できました。DNSアドレスを確認しておきましょう。

Windowsインスタンスの起動

続いて、SimpleADと同じVPCに、Windowsインスタンスを起動します。今回はWindows_Server-2016-Japanese-Full-Base-2018.03.24 (ami-07f2a061) を使用しました。

インスタンスを起動したら、以下の設定を行っておきます。

• DNSアドレスがSimpleADを指すようになっているか確認（VPCのDHCPオプションセットで設定しておく）
• ドメインへ参加
• Active Directory管理ツールのインストール

Storage Gatewayの起動

Storage Gatewayのファイルゲートウェイを起動します。

今回は、EC2で起動します。[インスタンスの起動]を選択すると、EC2起動ウィザードに進みますので、順に設定を選択し起動します。

EC2では以下の設定に注意しておきます。

• 追加ボリュームの作成（Storage Gatewayのキャッシュボリュームとして利用）
• パブリックIPの割り当て（ゲートウェイのアクティブ化の際、操作端末からアクセスする必要があります）
• Security Group でHTTP（TCP：80）の開放（ゲートウェイのアクティブ化の際、操作端末からアクセスする必要があります）

ゲートウェイインスタンスが起動したら、Storage Gatewayのコンソールに戻ります。ゲートウェイインスタンスのパブリックIPを入力して、接続しましょう。

タイムゾーン、ゲートウェイ名を設定してアクティブ化します。

アクティブ化できました。

次に、[SMB設定の編集]から、ドメインに参加させます。

ドメイン名、管理者権限のあるユーザー、パスワードを入力します。

ドメインの結合ができました。

最後に、ファイル共有の作成です。S3バケット、アクセスプロトコル（SMB）、ゲートウェイを選択して進みます。

ここはデフォルトのままです。

アクセス制御の設定です。WindowsインスタンスのAD管理ツールから、アクセスを許可するためのグループ [sg-users] を作成しておきます。

作成したグループを許可します。

ファイル共有が作成できました。

Storage Gatewayへのアクセス

それではアクセスしてみます。アクセスを許可したグループに、ユーザ[skikuchi]を追加しておきます。

アクセス許可のあるユーザでは、ネットワークドライブとしてマウントできました。

一方で、アクセス権のないユーザでマウントしようとすると、アクセスが拒否されます。

アクセス権限の設定は、後からでもファイル共有の設定から変更可能です。

ユーザー/グループ単位で許可/拒否が設定できます。

まとめ

新しく対応した、SMBによるファイルゲートウェイをSimpleADでアクセス制御してみました。

Windowsメインの環境では、Active Directoryを使ってきめ細やかに制御できるのが魅力かと思います。