[Storage Gateway] ファイルゲートウェイを SimpleAD でアクセス制御する

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、菊池です。

先日、Storage Gateway のアップデートで、SMB プロトコルによるアクセスがサポートされました。

[Storage Gateway] Windows で S3 オブジェクト保存!ファイルゲートウェイで SMB プロトコルがサポートされました

上記エントリでは、お試しとしてゲストアクセスで利用してみました。今回は、SimpleADを利用して、Storage Gatewayをドメインに参加させることで、ドメインのグループ/ユーザーによるアクセス制御を試してみました。

SimpleADでアクセス制御する

それでは、試してみます。

  • SimpeADの作成
  • Windowsインスタンスの起動
    • ドメインへの参加
  • Storage Gatewayの起動
    • ゲートウェイの作成
    • ドメインへの結合
    • ファイル共有の作成
  • Storage Gatewayへのアクセス

SimpleADの作成

まずはDirectory Serviceから、SimpleADを起動します。

必要項目を入力して進みます。

ディレクトリが作成できました。DNSアドレスを確認しておきましょう。

Windowsインスタンスの起動

続いて、SimpleADと同じVPCに、Windowsインスタンスを起動します。今回はWindows_Server-2016-Japanese-Full-Base-2018.03.24 (ami-07f2a061) を使用しました。

インスタンスを起動したら、以下の設定を行っておきます。

  • DNSアドレスがSimpleADを指すようになっているか確認(VPCのDHCPオプションセットで設定しておく)
  • ドメインへ参加
  • Active Directory管理ツールのインストール

Storage Gatewayの起動

Storage Gatewayのファイルゲートウェイを起動します。

今回は、EC2で起動します。[インスタンスの起動]を選択すると、EC2起動ウィザードに進みますので、順に設定を選択し起動します。

EC2では以下の設定に注意しておきます。

  • 追加ボリュームの作成(Storage Gatewayのキャッシュボリュームとして利用)
  • パブリックIPの割り当て(ゲートウェイのアクティブ化の際、操作端末からアクセスする必要があります)
  • Security Group でHTTP(TCP:80)の開放(ゲートウェイのアクティブ化の際、操作端末からアクセスする必要があります)

ゲートウェイインスタンスが起動したら、Storage Gatewayのコンソールに戻ります。ゲートウェイインスタンスのパブリックIPを入力して、接続しましょう。

タイムゾーン、ゲートウェイ名を設定してアクティブ化します。

アクティブ化できました。

次に、[SMB設定の編集]から、ドメインに参加させます。

ドメイン名、管理者権限のあるユーザー、パスワードを入力します。

ドメインの結合ができました。

最後に、ファイル共有の作成です。S3バケット、アクセスプロトコル(SMB)、ゲートウェイを選択して進みます。

ここはデフォルトのままです。

アクセス制御の設定です。WindowsインスタンスのAD管理ツールから、アクセスを許可するためのグループ [sg-users] を作成しておきます。

作成したグループを許可します。

ファイル共有が作成できました。

Storage Gatewayへのアクセス

それではアクセスしてみます。アクセスを許可したグループに、ユーザ[skikuchi]を追加しておきます。

アクセス許可のあるユーザでは、ネットワークドライブとしてマウントできました。

一方で、アクセス権のないユーザでマウントしようとすると、アクセスが拒否されます。

アクセス権限の設定は、後からでもファイル共有の設定から変更可能です。

ユーザー/グループ単位で許可/拒否が設定できます。

まとめ

新しく対応した、SMBによるファイルゲートウェイをSimpleADでアクセス制御してみました。

Windowsメインの環境では、Active Directoryを使ってきめ細やかに制御できるのが魅力かと思います。