翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# ゲートウェイの SMB 設定の編集
ゲートウェイレベルの SMB 設定では、ゲートウェイ上の SMB ファイル共有のセキュリティ戦略、Active Directory 認証、ゲストアクセス、ローカルグループのアクセス許可、ファイル共有の可視性を設定できます。
**ゲートウェイレベルの SMB 設定を編集するには**
1. Storage Gateway コンソール ([https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/)) を開きます。
1. **[ゲートウェイ]** を選択し、SMB 設定を編集するゲートウェイを選択します。
1. [**アクション**] ドロップダウンメニューから、[**SMB 設定の編集**] を選択し、編集する設定を選択します。
このセクションでは、ゲートウェイの個々の SMB 設定の設定に関する追加情報と手順を提供する以下のトピックについて説明します。
**トピック**
+ [ゲートウェイのセキュリティレベルを設定する](security-strategy.md) - セキュリティレベルを設定してサーバーメッセージブロック (SMB) の署名や暗号化などの接続要件を指定する方法、および SMB バージョン 1 クライアントからの接続を許可するかどうかについて説明します。
+ [Active Directory 認証の設定](enable-ad-settings.md) - SMB ファイル共有へのユーザー認証アクセス用に企業の Active Directory または AWS Managed Microsoft AD を設定する方法について説明します。
+ [ゲストアクセスの付与](guest-access.md) - 正しいゲストアカウントのユーザー名とパスワードを提供するすべてのユーザーのゲストアクセスを許可するようにゲートウェイを設定する方法について説明します。
+ [ローカルグループの設定](local-group-settings.md) - Active Directory ユーザーに特別なファイル共有アクセス許可を付与するためのローカルグループを設定する方法について説明します。
+ [ファイル共有の可視性を設定するには](file-share-visibility.md) - ユーザーに共有を一覧表示するときにゲートウェイ上の共有を表示するかどうかを指定する方法について説明します。
# ゲートウェイのセキュリティレベル設定
S3 ファイルゲートウェイを使用して、ゲートウェイのセキュリティレベルを指定することができます。このセキュリティレベルを指定することで、ゲートウェイでサーバーメッセージブロック (SMB) 署名または SMB 暗号化を義務付けるか、または SMB バージョン 1 を許可するかどうかを設定できます。
**セキュリティレベルを設定するには**
1. Storage Gateway コンソール[ (https://console.aws.amazon.com/storagegateway/home) ](https://console.aws.amazon.com/storagegateway/)を開きます。
1. **[ゲートウェイ]** を選択し、SMB 設定を編集するゲートウェイを選択します。
1. [**アクション**] ドロップダウン メニューから [**SMB 設定の編集**] を選択し、[**SMB セキュリティ設定**] を選択します。
1. **[セキュリティレベル]** で、以下のいずれかを選択します。
**注記**
AWS API を使用してこの設定を設定する方法については、 API *AWS Storage Gateway リファレンス*の[UpdateSMBSecurityStrategy](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_UpdateSMBSecurityStrategy.html)」を参照してください。
セキュリティレベルが高いほど、ゲートウェイのパフォーマンスに影響する可能性があります。
+ **AES256 暗号化を適用する** – このオプションを選択した場合、S3 ファイルゲートウェイは 256 ビット AES 暗号化アルゴリズムを使用する SMBv3 クライアントからの接続のみを許可します。128 ビットアルゴリズムは許可されません。このオプションは、機密データを扱う環境で推奨されます。Microsoft Windows のすべての現在の SMB クライアントで動作します。
+ **暗号化の適用** — このオプションを選択した場合、S3 ファイルゲートウェイは、暗号化が有効になっている SMBv3 クライアントからの接続のみを許可します。256 ビットと 128 ビットの両方のアルゴリズムを使用できます。このオプションは、機密データを扱う環境で推奨されます。Microsoft Windows のすべての現在の SMB クライアントで動作します。
+ **署名の適用** — このオプションを選択した場合、S3 ファイルゲートウェイは、署名が有効になっている SMBv2 または SMBv3 クライアントからの接続のみを許可します。このオプションは、Microsoft Windows のすべての現在の SMB クライアントで機能します。
+ [**Client negotiated (交渉したクライアント)**] — このオプションを選択した場合、リクエストは、クライアントによって交渉された内容に応じて確立されます。このオプションは、環境内の異なるクライアント間で互換性を最大限に高める場合に推奨されます。
**注記**
2019 年 6 月 20 日以前にアクティブ化されたゲートウェイの場合、デフォルトのセキュリティレベルは [**Client negotiated (交渉したクライアント)**] です。
2019 年 6 月 20 日以降にアクティブ化されたゲートウェイの場合、デフォルトのセキュリティレベルは **[暗号化の適用]** です。
1. [**Save (保存)**] を選択します。
# Active Directory を使用したユーザーの認証
企業の Active Directory を使用するか、ユーザーが SMB ファイル共有への認証アクセス AWS Managed Microsoft AD を行うには、Microsoft AD ドメイン認証情報を使用してゲートウェイの SMB 設定を編集します。これにより、ゲートウェイが Active Directory ドメインに参加し、ドメインのメンバーが SMB ファイル共有にアクセスできるようになります。
**注記**
を使用すると Directory Service、 でホストされた Active Directory ドメインサービスを作成できます AWS クラウド。
Amazon EC2 ゲートウェイ AWS Managed Microsoft AD で を使用するには、 と同じ VPC に Amazon EC2 インスタンスを作成し AWS Managed Microsoft AD、\$1workspaceMembers セキュリティグループを Amazon EC2 インスタンスに追加し、 の管理者認証情報を使用して AD ドメインに参加する必要があります AWS Managed Microsoft AD。
詳細については AWS Managed Microsoft AD、「 [https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)」を参照してください。
Amazon EC2 の詳細については、[https://docs.aws.amazon.com/ec2/](https://docs.aws.amazon.com/ec2/)を参照してください。
また、SMB ファイル共有でアクセスコントロールリスト (ACL) を有効にすることもできます。ACL をアクティブ化する方法については、「[Windows ACL を使用して SMB ファイル共有へのアクセスを制限する](smb-acl.md)」を参照してください。
**Active Directory 認証を有効化するには**
1. Storage Gateway コンソール[ (https://console.aws.amazon.com/storagegateway/home) ](https://console.aws.amazon.com/storagegateway/)を開きます。
1. **[ゲートウェイ]** を選択し、SMB 設定を編集するゲートウェイを選択します。
1. **アクション**ドロップダウン メニューから**SMB 設定の編集**を選択し、**Active Directory 設定**を選択します。
1. **ドメイン名**には、ゲートウェイを結合する Active Directory ドメインの名前を入力します。
**注記**
ゲートウェイがドメインに参加したことがない場合、**Active Directory のステータス**は**切断**と表示されます。
Active Directory サービスアカウントには、必要なアクセス許可が必要です。詳細については、[「Active Directory サービスアカウントのアクセス許可要件](https://docs.aws.amazon.com/filegateway/latest/files3/ad-serviceaccount-permissions.html)」「」を参照してください。
ドメインに加入すると、ゲートウェイの**ゲートウェイ ID** をアカウント名 (SGW-1234ADE など) として使用して、デフォルトのコンピュータコンテナ (OU ではない) に Active Directory コンピュータアカウントが作成されます。このアカウントの名前をカスタマイズすることはできません。
Active Directory 環境で、ドメイン結合プロセスを容易にするためにアカウントを事前ステージングする必要がある場合は、事前にこのアカウントを作成する必要があります。
Active Directory 環境に新しいコンピュータオブジェクト用に指定された OU がある場合は、ドメインに参加するときにその OU を指定する必要があります。
ゲートウェイが Active Directory ディレクトリと結合できない場合には、[JoinDomain](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_JoinDomain.html) API オペレーションを使用して、ディレクトリの IP アドレスとの結合をお試しください。
1. **ドメインユーザー**と**ドメインパスワード** には、ゲートウェイがドメインに参加するために使用する Active Directory サービスアカウントの認証情報を入力します。
1. (オプション) **[組織単位 (OU)]** には、Active Directory が新しいコンピュータオブジェクトに使用する指定された OU を入力します。
1. (オプション) **ドメインコントローラー (DC)**には、ゲートウェイが Active Directory に接続する 1 つ以上の DC の名前を入力します。複数の DC カンマ区切りのリストとして入力できます。このフィールドを空白のままにすると、DNS が DC を自動的に選択できるようになります。
1. [**Save changes (変更の保存) **] をクリックします。
**ファイル共有へのアクセスを特定の AD ユーザーおよびグループに制限するには**
1. Storage Gateway コンソールで、アクセスを制限するファイル共有を選択します。
1. [**Actions (アクション)**] ドロップダウンメニューから、[**ファイル共有アクセス設定の編集**] を選択します。
1. (オプション) [**User and group file share access (ユーザーとグループのファイル共有アクセス)**] セクションで、設定を選択します。
[**Allowed users and groups (許可されたユーザーおよびグループ)]** で、[**Add allowed user (許可するユーザーの追加)]** または [**Add allowed group(許可するグループの追加)**] を選択し、ファイル共有のアクセスを許可する AD ユーザーまたはグループを入力します。このプロセスを繰り返して、必要な数のユーザーとグループを許可します。
**[Denied users and groups]** (拒否されたユーザーおよびグループ) で、**[Add denied user]** (拒否するユーザーの追加) または**[Add denied group]** (拒否するグループの追加) を選択し、ファイル共有のアクセスを拒否する AD ユーザーまたはグループを入力します。このプロセスを繰り返して、必要な数のユーザーとグループを拒否します。
**注記**
[**Active Directory**] が選択されている場合のみ、[**User and group file share access (ユーザーとグループのファイル共有アクセス)**] セクションが表示されます。
グループには `@` 文字のプレフィックスを付ける必要があります。有効な形式は、`DOMAIN\User1`、`user1`、`@group1`、`@DOMAIN\group1` です。
[**Allowed and Denied Users and Groups (許可および拒否されたユーザーとグループ)**] のリストを設定した場合、Windows ACL はそれらのリストを上書きするアクセスを許可しません。
[**Allowed and Denied Users and Groups (許可および拒否されたユーザーとグループ)**] のリストは ACL の前に評価され、ファイル共有をマウントまたはアクセスできるユーザーを制御します。ユーザーまたはグループが **Allowed (許可された)** リストに配置されている場合、リストはアクティブと見なされ、それらのユーザーのみがファイル共有をマウントできます。
ユーザーがファイル共有をマウントすると、ACL は、ユーザーがアクセスできる特定のファイルまたはフォルダを制御する、より詳細な保護を提供します。詳細については、「[新しい SMB ファイル共有での Windows ACL](https://docs.aws.amazon.com/filegateway/latest/files3/smb-acl.html#enable-acl-new-fileshare)」を参照してください。
1. エントリの追加が完了したら、[**Save (保存)**] を選択します。
# ファイル共有のアクセス権限のゲストへの付与
正しいゲストアカウントのユーザー名とパスワードを提供できるすべてのユーザーにゲストアクセスを許可するように S3 ファイルゲートウェイを設定できます。ユーザーがファイルゲートウェイにアクセスできる唯一の方法にする場合は、ゲートウェイを Microsoft Active Directory ドメインに加える必要はありません。このゲストアクセス方法を使用して、Active Directory ドメインのメンバーである S3 ファイルゲートウェイにファイル共有を作成することもできます。
**ゲストアクセス**認証方法を使用するようにファイル共有を設定する場合、ゲストアクセスユーザー名は `smbguest` です。ゲストアクセスを使用するファイル共有を作成する前に、`smbguest` ユーザー向けにデフォルトのパスワードを変更する必要があります。
ゲストユーザー `smbguest` のパスワードを変更するには、次の手順を使用します。
**ゲストアクセスパスワードを変更するには**
1. Storage Gateway コンソール ([https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/)) を開きます。
1. コンソールページの左側にあるナビゲーションペインから [**Gateways (ゲートウェイ)**] を選択し、ゲストアクセスを提供するゲートウェイの [**Name (名前)**] を選択します。
1. [**Actions (アクション)**] ドロップダウンメニューから、[**Edit SMB settings (SMB 設定の編集)**] を選択し、[**ゲストアクセス設定**] を選択します。
1. [**Guest password (ゲストパスワード)**] で、設定するゲストアクセスパスワードを入力し、[**Save changes (変更の保存)**] を選択します。
# ゲートウェイのローカルグループを設定するには
ローカルグループ設定では、ゲートウェイ上の SMB ファイル共有に対する特別なアクセス許可を Active Directory ユーザーまたはグループに付与できます。
ローカルグループ設定を使用して、ゲートウェイ管理者のアクセス許可を割り当てることができます。Gateway 管理者は、共有フォルダ Microsoft マネジメントコンソールのスナップインを使用して、開いているファイルとロックされているファイルを強制的に閉じることができます。
**注記**
ゲートウェイを Active Directory ドメインに結合する前に、少なくとも 1 つの Gateway Admin ユーザーまたはグループを追加する必要があります。
**Gateway 管理者を割り当てるには**
1. Storage Gateway コンソール ([https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/)) を開きます。
1. **[ゲートウェイ]** を選択し、SMB 設定を編集するゲートウェイを選択します。
1. [**Actions (アクション)**] ドロップダウン メニューから [**SMB 設定の編集**] を選択し、[**Local Group settings (ローカルグループ設定)**] を選択します。
1. [**Local Group settings (ローカルグループ設定)**] セクションで、設定を選択します。このセクションは、Active Directory を使用するファイル共有に対してのみ表示されます。
[**Gateway Admins (ゲートウェイ管理者)**] には、ローカルゲートウェイ管理者のアクセス許可を付与する Active Directory ユーザーとグループを追加します。ドメイン名を含めて、行ごとに 1 つのユーザーまたはグループを追加します。例えば、**corp\$1Domain Admins**。追加の行を作成するには、[**Add new Gateway Admin (新しいゲートウェイ管理者の追加)**] を選択します。
**注記**
[Gateway Admins (ゲートウェイ管理者)]を編集すると、すべての SMB ファイル共有が切断および再接続されます。
1. [**Save changes (変更を保存)**]を選択し、[**Proceed (続行)**] を選択して、表示される警告メッセージを確認します。
# ファイル共有の可視性を設定するには
ファイル共有の可視性により、ユーザーに共有の一覧を表示する場合に、ゲートウェイ上の共有が表示されるかどうかを制御します。ゲートウェイ上のファイル共有が表示されている場合、クライアントはゲートウェイの IP アドレスまたは DNS 名を知っていれば、ファイルブラウザを使用して共有を簡単に検出できます。ファイル共有が表示されない場合、クライアントは共有を検出するためにゲートウェイ IP または DNS 名に加えてファイル共有名を知っている必要があります。
**注記**
この設定は、デプロイ内のファイル共有へのアクセスを保護する有効な方法ではありません。セキュリティのため、特定のユーザーとグループへのアクセスを制限するアクセス許可を設定することをお勧めします。手順については、「[SMB ファイル共有のユーザーとグループのアクセスを制限する](https://docs.aws.amazon.com/filegateway/latest/files3/edit-file-share-access-smb.html)」を参照してください。
**ファイル共有の可視性を設定するには**
1. Storage Gateway コンソール ([https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/)) を開きます。
1. **[ゲートウェイ]** を選択し、SMB 設定を編集するゲートウェイを選択します。
1. [**Actions (アクション)**] ドロップダウン メニューから [**SMB 設定の編集**] を選択し、[**ファイル共有の可視性設定**] を選択します。
1. **[Visibility status (可視性のステータス)]** でチェックボックスをオンにし、ユーザーに共有を一覧表示する際に、このゲートウェイ上の共有を表示させます。ユーザーに共有のリストを表示する際に、このゲートウェイ上の共有が表示されないようにするには、このチェックボックスをオフにします。