翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon S3 ファイルゲートウェイの管理
このセクションのトピックでは、Amazon S3 ファイルゲートウェイリソースを管理する方法について説明します。ゲートウェイ管理には、ゲートウェイがファイル共有と Amazon S3 バケットにアクセスするためのアクセス許可の付与、ゲートウェイとファイル共有の情報と設定の編集、ファイル共有の削除、キャッシュされたオブジェクトの更新、ゲートウェイとファイル共有の運用ステータスインジケータの理解が含まれます。
**トピック**
+ [基本的なゲートウェイ情報を編集する](edit-gateway-information.md) - Storage Gateway コンソールを使用して、ゲートウェイ名、タイムゾーン、CloudWatch ロググループなどを含む、既存のゲートウェイの基本情報を編集する方法について説明します。
+ [アクセスとアクセス許可の付与](add-file-share.md) - IAM ロールを使用して、Amazon S3 バケットと Amazon VPC エンドポイントのアクセス許可をゲートウェイに提供し、特定のセキュリティ問題を防ぎ、 AWS アカウント間でファイル共有をバケットに接続する方法について説明します。
+ [ファイル共有の削除](remove-file-share.md) - Storage Gateway コンソールを使用してファイル共有を削除する方法について説明します。
+ [ゲートウェイ SMB 設定の編集](edit-smb-access-settings.md) - セキュリティ戦略、Active Directory 認証、ゲストアクセス、ローカルグループのアクセス許可、ゲートウェイ上の SMB ファイル共有向けのファイル共有の可視性を制御するゲートウェイレベルの SMB 設定を編集する方法について説明します。
+ [SMB ファイル共有設定の編集](edit-smbfileshare-settings.md) - SMB ファイル共有の名前、ログ記録、キャッシュ更新、ストレージクラス、ファイルエクスポートなどを設定する設定を編集する方法について説明します。
+ [SMB ファイル共有アクセスを制限する](edit-file-share-access-smb.md) - 許可または拒否されたユーザーまたはグループを追加して、SMB ファイル共有へのアクセスを制限する方法について説明します。
+ [NFS ファイル共有設定の編集](edit-storage-class.md) - NFS ファイル共有の名前、ログ記録、キャッシュ更新、ストレージクラス、ファイルエクスポートなどを設定する設定を編集する方法について説明します。
+ [NFS ファイル共有のデフォルトメタデータ値の編集](edit-metadata-defaults.md) - NFS ファイル共有のファイルとフォルダに対する Unix アクセス許可を含むデフォルトのメタデータ値を編集する方法について説明します。
+ [NFS ファイル共有アクセスを制限する](edit-nfs-client.md) - NFS ファイル共有向けに特定の IP アドレスまたは IP 範囲からクライアントへのアクセスを制限する方法について説明します。
+ [Amazon S3 バケットのオブジェクトキャッシュの更新](refresh-cache.md) - ファイル共有の S3 バケットオブジェクトキャッシュを更新し、キャッシュを自動的に更新するようにスケジュールを設定する方法について説明します。
+ [S3 Object Lock の使用](s3-object-lock.md) - Amazon S3 ファイルゲートウェイが S3 Object Lock特徴量とどのように連携するかについて説明します。
+ [ファイル共有ステータス](understand-file-share.md) - ファイル共有ステータスを表示および解釈する方法について説明します。
+ [ゲートウェイのステータス](understand-gateway-status.md) - ゲートウェイステータスを表示および解釈する方法について説明します。
+ [Amazon S3 ファイルゲートウェイの帯域幅の管理](MaintenanceUpdateBandwidth-common.md) - ゲートウェイから へのアップロードスループットを制限 AWS して、ゲートウェイが使用するネットワーク帯域幅の量を制御する方法について説明します。
# S3 ファイルゲートウェイの基本情報を編集するには
Storage Gateway コンソールを使用して、ゲートウェイ名、タイムゾーン、CloudWatch ロググループなど、既存のゲートウェイの基本情報を編集できます。
**既存のゲートウェイの基本情報を編集するには**
1. Storage Gateway コンソール[ (https://console.aws.amazon.com/storagegateway/home) ](https://console.aws.amazon.com/storagegateway/)を開きます。
1. [**ゲートウェイ**] を選択し、基本情報を編集するゲートウェイを選択します。
1. [**アクション**] ドロップダウンメニューから [**ゲートウェイ情報の編集**] を選択します。
1. **ゲートウェイ名** に、ゲートウェイの名前を入力します。この名前を検索して、Storage Gateway コンソールのリストページでゲートウェイを見つけることができます。
**注記**
ゲートウェイ名は 2~255 文字で、スラッシュ (`\` または `/`) を含めることはできません。
ゲートウェイの名前を変更すると、ゲートウェイを監視するために設定されたすべての CloudWatch アラームが切断されます。アラームを再接続するには、CloudWatch コンソールで各アラームの **GatewayName** を更新します。
1. [**ゲートウェイのタイムゾーン**] では、ゲートウェイをデプロイしたい地域のローカルタイムゾーンを選択します。
1. **[ロググループのセットアップ方法の選択]** では、ゲートウェイのヘルスをモニタリングするための Amazon CloudWatch Logs の設定方法を選択します。次のオプションから選択できます:
+ **新しいロググループを作成** - ゲートウェイをモニタリングするための新しいロググループを設定します。
+ **[既存のロググループの使用]** - 対応するドロップダウンリストから既存のロググループを選択します。
+ **ログの無効化** - ゲートウェイのモニタリングに Amazon CloudWatch Logs を使用しません。
1. 変更する設定の変更が完了したら、[**変更を保存**] を選択します。
# ファイル共有とバケットへのアクセスとアクセス許可の付与
S3 File Gateway がアクティブ化されて実行されたら、追加のファイル共有を追加し、ゲートウェイやファイル共有 AWS アカウント とは異なる のバケットを含む Amazon S3 バケットへのアクセスを許可できます。以下のセクションでは、IAM ロールを使用して、ゲートウェイに Amazon S3 バケットと VPC エンドポイントのアクセス許可を付与し、特定のセキュリティ問題を防ぎ、 AWS アカウント間でファイル共有をバケットに接続する方法について説明します。
ファイル共有を追加する方法については、「[ファイル共有の作成](GettingStartedCreateFileShare.md)」を参照してください。
このセクションでは、ファイル共有と Amazon S3 バケットへのアクセスとアクセス許可を付与する方法に関する追加情報を提供する以下のトピックについて説明します。
**トピック**
+ [Amazon S3 バケットに対するアクセス権限の付与](grant-access-s3.md) - ファイルゲートウェイにアクセス権限を付与して Amazon S3 バケットにファイルをアップロードし、バケットへの接続に使用するアクセスポイントまたは Amazon Virtual Private Cloud (Amazon VPC) エンドポイントに対してアクションを実行する方法について説明します。
+ [サービス間の混乱した代理の防止](cross-service-confused-deputy-prevention.md) - 共通のセキュリティ問題は、アクションを実行する許可を持たないエンティティが、より特権のあるエンティティにアクションを実行するように強制できるセキュリティの問題です。
+ [クロスアカウントアクセスでのファイル共有の使用](cross-account-access.md) - Amazon Web Services アカウントおよび、別の Amazon Web Services アカウントに属するリソースにアクセスするあカウントのユーザーにアクセス権限が付与されます。
# Amazon S3 バケットに対するアクセス権限の付与
ファイル共有を作成する際、ファイルゲートウェイは Amazon S3 バケットへのファイルアップロード、およびバケット接続に使用するアクセスポイントや仮想プライベートクラウド(VPC)エンドポイントに対するアクションを実行するためにアクセス権限を必要とします。このアクセスを付与するために、ファイルゲートウェイは、このアクセスを付与する IAM ポリシーに関連付けられた AWS Identity and Access Management (IAM) ロールを引き受けます。
このロールには、この IAM ポリシーに加え、Security Token Service (STS) 信頼関係が設定されていることが必要です。このポリシーによって、ロールで実行できるアクションが決まります。さらに、S3 バケットおよび関連するアクセスポイントまたは VPC エンドポイントには、IAM ロールによるアクセスを許可するアクセスポリシーが必要です。
これらのロールとアクセスポリシーは自分自身で作成したり、ユーザーに代わってファイルゲートウェイに作成させたりできます。ファイルゲートウェイでポリシーを作成した場合、そのポリシーには S3 アクションのリストが含まれます。ロールとアクセス許可については、*IAM ユーザーガイド*の [[AWS のサービスのサービスにアクセス許可を委任するロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)] を参照してください。
次に示すのは、ファイルゲートウェイが IAM ロールを引き受けられるようにする信頼ポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "storagegateway.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
**重要**
Storage Gateway は、`iam:PassRole` ポリシーアクションを使用して渡される既存のサービスロールを引き受けることができますが、`iam:PassedToService` コンテキストキーを使用してアクションを特定のサービスに制限する IAM ポリシーはサポートされていません。
詳細については、「*AWS Identity and Access Management ユーザーガイド*」の以下のトピックを参照してください。
[IAM: IAM ロールを特定の AWS サービスに渡す](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam-passrole-service.html)
[AWS サービスにロールを渡すアクセス許可をユーザーに付与する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)
[IAM で使用できるキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#ck_PassedToService)
ファイルゲートウェイがユーザーに代わってポリシーを作成しないようにするには、独自のポリシーを作成してファイル共有にアタッチします。これを行う方法については、「[ファイル共有の作成](GettingStartedCreateFileShare.md)」を参照してください。
次のポリシーの例では、ポリシーに表示されたすべての Amazon S3 アクションを、ファイルゲートウェイが実行することを許可します。ステートメントの最初の部分では、リストされたすべてのアクションを `amzn-s3-demo-bucket` という S3 バケットで実行するよう許可します。次に、`amzn-s3-demo-bucket` のすべてのオブジェクトでリストされたアクションを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetAccelerateConfiguration",
"s3:GetBucketLocation",
"s3:GetBucketVersioning",
"s3:ListBucket",
"s3:ListBucketVersions",
"s3:ListBucketMultipartUploads"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Effect": "Allow"
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectVersion",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Effect": "Allow"
}
]
}
```
------
次のポリシー例は前述のポリシーと似ていますが、ファイルゲートウェイがアクセスポイントを介してバケットにアクセスするために必要なアクションを実行できるようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectVersion",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:us-east-1:111122223333:accesspoint/TestAccessPointName/*",
"Effect": "Allow"
}
]
}
```
------
**注記**
ファイル共有を VPC エンドポイント経由で S3 バケットに接続する必要がある場合は、『*AWS PrivateLink ユーザーガイド*』の「[Amazon S3 のエンドポイントポリシー](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#vpc-endpoints-policies-s3)」を参照してください。
**注記**
暗号化されたバケットの場合、ファイル共有は送信先 S3 バケットアカウントのキーを使用する必要があります。
**注記**
ファイルゲートウェイが暗号化に SSE-KMS または DSSE-KMS を使用している場合は、ファイル共有に関連付けられた IAM ロールに *kms:Encrypt*、*kms:Decrypt*、*kms:ReEncrypt\$1*、*kms:GenerateDataKey*、および *kms:DescribeKey* のアクセス許可が含まれていることを確認してください。詳細については、「[Storage Gateway でアイデンティティベースのポリシー (IAM ポリシー) を使用する](https://docs.aws.amazon.com/filegateway/latest/files3/using-identity-based-policies.html)」を参照してください。
# サービス間の混乱した代理の防止
混乱した代理問題は、アクションを実行する許可を持たないエンティティが、より特権のあるエンティティにアクションを実行するように強制できるセキュリティの問題です。では AWS、サービス間のなりすましにより、混乱した代理問題が発生する可能性があります。サービス間でのなりすましは、1 つのサービス (*呼び出し元サービス*) が、別のサービス (*呼び出し対象サービス*) を呼び出すときに発生する可能性があります。呼び出し元サービスは、本来ならアクセスすることが許可されるべきではない方法でその許可を使用して、別のお客様のリソースに対する処理を実行するように操作される場合があります。これを防ぐため、 AWS では、アカウントのリソースへのアクセス権が付与されたサービスプリンシパルで、すべてのサービスのデータを保護するために役立つツールを提供しています。
リソースポリシーで [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)および [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) グローバル条件コンテキストキーを使用して、 がリソースに別のサービス AWS Storage Gateway に付与するアクセス許可を制限することをお勧めします。両方のグローバル条件コンテキストキーを同じポリシーステートメントで使用する場合は、`aws:SourceAccount` 値と、`aws:SourceArn` 値に含まれるアカウントが、同じアカウント ID を示している必要があります。
`aws:SourceArn` 値は、ファイル共有が関連付けられている Storage Gateway の ARN である必要があります。
混乱した代理問題から保護するための最も効果的な方法は、リソースの完全な ARN を指定して `aws:SourceArn` グローバル条件コンテキストキーを使用することです。リソースの完全な ARN が不明な場合や、複数のリソースを指定する場合は、`aws:SourceArn` グローバルコンテキスト条件キーを使用して、ARN の未知部分をワイルドカード (`*`) で表します。例えば、`arn:aws:servicename::123456789012:*` です。
次の例では、Storage Gateway で `aws:SourceArn` および `aws:SourceAccount` グローバル条件コンテキストキーを使用して、混乱した代理問題を回避する方法を示します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "storagegateway.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "444455556666"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:storagegateway:us-east-1:444455556666:gateway/sgw-123456DA"
}
}
}
]
}
```
------
# クロスアカウントアクセスでのファイル共有の使用
*クロスアカウント*アクセスでは、Amazon Web Services アカウントおよびそのアカウントのユーザーに、別の Amazon Web Services アカウントに属するリソースに対するアクセス権限が付与されます。ファイルゲートウェイを使用すると、1 つの Amazon Web Services アカウント内のファイル共有を使用して、別の Amazon Web Services アカウントに属する Amazon S3 バケットのオブジェクトにアクセスできます。
**ある Amazon Web Services アカウントが所有するファイル共有を使用して、別の Amazon Web Services アカウントの S3 バケットにアクセスするには**
1. アクセスする必要のある S3 バケットと、そのバケット内のオブジェクトへのアクセス権限が、S3 バケットの所有者から Amazon Web Services アカウントに付与されていることを確認します。このアクセス権を付与する方法については、*Amazon Simple Storage Service ユーザーガイド*の「[例 2: バケット所有者がクロスアカウントのバケットのアクセス許可を付与する](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html)」を参照してください。必要なアクセス権限のリストについては、「[Amazon S3 バケットに対するアクセス権限の付与](grant-access-s3.md)」を参照してください。
1. ファイル共有が S3 バケットにアクセスするために使用する IAM ロールには、`s3:GetObjectAcl` や `s3:PutObjectAcl` などのオペレーションを行うアクセス権限が含まれていることを確認します。さらに、この IAM ロールにはアカウントがこの IAM ロールを引き受けることができる信頼ポリシーが含まれていることを確認します。このような信頼ポリシーの例については、「[Amazon S3 バケットに対するアクセス権限の付与](grant-access-s3.md)」を参照してください。
ファイル共有が既存のロールを使用して S3 バケットにアクセスする場合は、`s3:GetObjectAc`l および `s3:PutObjectAcl` オペレーションに対するアクセス許可を含める必要があります。このロールには、アカウントがこのロールを引き受けることを許可する信頼ポリシーも必要です。このような信頼ポリシーの例については、「[Amazon S3 バケットに対するアクセス権限の付与](grant-access-s3.md)」を参照してください。
1. [https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/) で**ファイル共有を作成またはファイル共有設定を編集するときに、S3 バケット所有者がアクセスできるゲートウェイ**ファイルを選択します。
クロスアカウントアクセスのファイル共有を作成または更新して、ファイル共有をオンプレミスにマウントした場合は、セットアップをテストすることを強くお勧めします。これを行うには、ディレクトリの内容一覧を表示するか、テストファイルを書き込んで S3 バケットのオブジェクトとして表示されることを確認します。
**重要**
クロスアカウントにファイル共有に使用するアカウントへのアクセス権限が付与されるようにポリシーが正しくセットアップされていることを確認します。正しく設定されていない場合には、操作している Amazon S3 バケットに伝達していないオンプレミスアプリケーションからファイルを更新します。
## リソース
アクセスポリシーおよびアクセスコントロールリストの詳細については、以下を参照してください。
*Amazon Simple Storage Service ユーザーガイド*の[アクセスポリシーのオプションを使用するためのガイドライン](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-policy-alternatives-guidelines.html)
『*Amazon Simple Storage Service ユーザーガイド*』の「[アクセスコントロールリスト (ACL) の概要](https://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html)」
# ファイル共有の削除
ファイル共有が不要になった場合は、Storage Gateway コンソールから削除できます。ファイル共有を削除すると、ゲートウェイは、ファイル共有でマッピングされている Amazon S3 バケットからデタッチされます。ただし、S3 バケットとその内容は削除されません。
ファイル共有を削除する際にゲートウェイから S3 バケットにデータをアップロードしている場合は、すべてのデータがアップロードされるまで削除プロセスは完了しません。データが完全にアップロードされるまで、ファイル共有のステータスは「削除中 (DELETING)」になります。
データが完全にアップロードされるまで待ちたくない場合は、本トピックの後半の「**ファイル共有を強制的に削除するには**」の手順を参照してください。
**ファイル共有を削除するには**
1. Storage Gateway コンソール ([https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/)) を開きます。
1. [**ファイル共有**] を選択し、削除するファイル共有を 1 つ以上選択します。
1. [**アクション**] で、[**ファイル共有の削除**] を選択します。確認のダイアログボックスが表示されます。
1. 指定したテープを削除することを確認し、確認ボックスに 「*delete*」と入力して [**Delete (削除)**] を選択します。
場合によっては、ファイル共有を削除する前に、Network File System (NFS) ファイル共有のファイルに書き込まれるデータがすべてアップロードされるまで待機することがあります。例えば、書き込まれたもののまだアップロードされていないデータを意図的に破棄したい場合や、ファイル共有をバックアップしている Amazon S3 バケットが既に削除されている場合など、指定されたデータのアップロードができなくなっている可能性があります。
このような場合は、 AWS マネジメントコンソール または `DeleteFileShare` API オペレーションを使用して、ファイル共有を強制的に削除できます。このオペレーションでは、データのアップロードプロセスは中断されます。このオペレーションを実行すると、ファイル共有は、FORCE\$1DELETING ステータスに変わります。Storage Gateway コンソールからファイル共有を強制的に削除するには、次の手順を参照してください。
**ファイル共有を強制的に削除するには**
1. Storage Gateway コンソール ([https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/)) を開きます。
1. **ファイル共有**リストページで、上記の手順で削除フラグを付けたファイル共有を選択して詳細を表示します。数秒後、[**詳細**] タブに削除通知メッセージが表示されます。
1. [**詳細**] タブに表示されるメッセージで、強制的に削除するファイル共有の ID を確認し、確認のボックスを選択してから、[**今すぐ強制削除**] を選択します。
**注記**
強制削除オペレーションを元に戻すことはできません。
ファイル共有を強制的に削除すると、マルチパートアップロードから部分的に転送されたファイルが Amazon S3 に残り、ストレージ料金が発生する可能性があります。これらのファイルパーツを自動的に削除するように Amazon S3 バケットライフサイクルルールを設定することをお勧めします。詳細については、「[ベストプラクティス: マルチパートアップロードの管理](https://docs.aws.amazon.com/filegateway/latest/files3/best-practices-managing-multi-part-uploads.html)」を参照してください。
また、[DeleteFileShare](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_DeleteFileShare.html) API オペレーションを使用して、ファイル共有を強制的に削除することもできます。API を使用してファイル共有を削除するには、`storagegateway:DeleteFileShare` IAM ポリシーのアクセス許可が必要です。
# ゲートウェイの SMB 設定の編集
ゲートウェイレベルの SMB 設定では、ゲートウェイ上の SMB ファイル共有のセキュリティ戦略、Active Directory 認証、ゲストアクセス、ローカルグループのアクセス許可、ファイル共有の可視性を設定できます。
**ゲートウェイレベルの SMB 設定を編集するには**
1. Storage Gateway コンソール ([https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/)) を開きます。
1. **[ゲートウェイ]** を選択し、SMB 設定を編集するゲートウェイを選択します。
1. [**アクション**] ドロップダウンメニューから、[**SMB 設定の編集**] を選択し、編集する設定を選択します。
このセクションでは、ゲートウェイの個々の SMB 設定の設定に関する追加情報と手順を提供する以下のトピックについて説明します。
**トピック**
+ [ゲートウェイのセキュリティレベルを設定する](security-strategy.md) - セキュリティレベルを設定してサーバーメッセージブロック (SMB) の署名や暗号化などの接続要件を指定する方法、および SMB バージョン 1 クライアントからの接続を許可するかどうかについて説明します。
+ [Active Directory 認証の設定](enable-ad-settings.md) - SMB ファイル共有へのユーザー認証アクセス用に企業の Active Directory または AWS Managed Microsoft AD を設定する方法について説明します。
+ [ゲストアクセスの付与](guest-access.md) - 正しいゲストアカウントのユーザー名とパスワードを提供するすべてのユーザーのゲストアクセスを許可するようにゲートウェイを設定する方法について説明します。
+ [ローカルグループの設定](local-group-settings.md) - Active Directory ユーザーに特別なファイル共有アクセス許可を付与するためのローカルグループを設定する方法について説明します。
+ [ファイル共有の可視性を設定するには](file-share-visibility.md) - ユーザーに共有を一覧表示するときにゲートウェイ上の共有を表示するかどうかを指定する方法について説明します。
# ゲートウェイのセキュリティレベル設定
S3 ファイルゲートウェイを使用して、ゲートウェイのセキュリティレベルを指定することができます。このセキュリティレベルを指定することで、ゲートウェイでサーバーメッセージブロック (SMB) 署名または SMB 暗号化を義務付けるか、または SMB バージョン 1 を許可するかどうかを設定できます。
**セキュリティレベルを設定するには**
1. Storage Gateway コンソール[ (https://console.aws.amazon.com/storagegateway/home) ](https://console.aws.amazon.com/storagegateway/)を開きます。
1. **[ゲートウェイ]** を選択し、SMB 設定を編集するゲートウェイを選択します。
1. [**アクション**] ドロップダウン メニューから [**SMB 設定の編集**] を選択し、[**SMB セキュリティ設定**] を選択します。
1. **[セキュリティレベル]** で、以下のいずれかを選択します。
**注記**
AWS API を使用してこの設定を設定する方法については、 API *AWS Storage Gateway リファレンス*の[UpdateSMBSecurityStrategy](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_UpdateSMBSecurityStrategy.html)」を参照してください。
セキュリティレベルが高いほど、ゲートウェイのパフォーマンスに影響する可能性があります。
+ **AES256 暗号化を適用する** – このオプションを選択した場合、S3 ファイルゲートウェイは 256 ビット AES 暗号化アルゴリズムを使用する SMBv3 クライアントからの接続のみを許可します。128 ビットアルゴリズムは許可されません。このオプションは、機密データを扱う環境で推奨されます。Microsoft Windows のすべての現在の SMB クライアントで動作します。
+ **暗号化の適用** — このオプションを選択した場合、S3 ファイルゲートウェイは、暗号化が有効になっている SMBv3 クライアントからの接続のみを許可します。256 ビットと 128 ビットの両方のアルゴリズムを使用できます。このオプションは、機密データを扱う環境で推奨されます。Microsoft Windows のすべての現在の SMB クライアントで動作します。
+ **署名の適用** — このオプションを選択した場合、S3 ファイルゲートウェイは、署名が有効になっている SMBv2 または SMBv3 クライアントからの接続のみを許可します。このオプションは、Microsoft Windows のすべての現在の SMB クライアントで機能します。
+ [**Client negotiated (交渉したクライアント)**] — このオプションを選択した場合、リクエストは、クライアントによって交渉された内容に応じて確立されます。このオプションは、環境内の異なるクライアント間で互換性を最大限に高める場合に推奨されます。
**注記**
2019 年 6 月 20 日以前にアクティブ化されたゲートウェイの場合、デフォルトのセキュリティレベルは [**Client negotiated (交渉したクライアント)**] です。
2019 年 6 月 20 日以降にアクティブ化されたゲートウェイの場合、デフォルトのセキュリティレベルは **[暗号化の適用]** です。
1. [**Save (保存)**] を選択します。
# Active Directory を使用したユーザーの認証
企業の Active Directory を使用するか、ユーザーが SMB ファイル共有への認証アクセス AWS Managed Microsoft AD を行うには、Microsoft AD ドメイン認証情報を使用してゲートウェイの SMB 設定を編集します。これにより、ゲートウェイが Active Directory ドメインに参加し、ドメインのメンバーが SMB ファイル共有にアクセスできるようになります。
**注記**
を使用すると Directory Service、 でホストされた Active Directory ドメインサービスを作成できます AWS クラウド。
Amazon EC2 ゲートウェイ AWS Managed Microsoft AD で を使用するには、 と同じ VPC に Amazon EC2 インスタンスを作成し AWS Managed Microsoft AD、\$1workspaceMembers セキュリティグループを Amazon EC2 インスタンスに追加し、 の管理者認証情報を使用して AD ドメインに参加する必要があります AWS Managed Microsoft AD。
詳細については AWS Managed Microsoft AD、「 [https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)」を参照してください。
Amazon EC2 の詳細については、[https://docs.aws.amazon.com/ec2/](https://docs.aws.amazon.com/ec2/)を参照してください。
また、SMB ファイル共有でアクセスコントロールリスト (ACL) を有効にすることもできます。ACL をアクティブ化する方法については、「[Windows ACL を使用して SMB ファイル共有へのアクセスを制限する](smb-acl.md)」を参照してください。
**Active Directory 認証を有効化するには**
1. Storage Gateway コンソール[ (https://console.aws.amazon.com/storagegateway/home) ](https://console.aws.amazon.com/storagegateway/)を開きます。
1. **[ゲートウェイ]** を選択し、SMB 設定を編集するゲートウェイを選択します。
1. **アクション**ドロップダウン メニューから**SMB 設定の編集**を選択し、**Active Directory 設定**を選択します。
1. **ドメイン名**には、ゲートウェイを結合する Active Directory ドメインの名前を入力します。
**注記**
ゲートウェイがドメインに参加したことがない場合、**Active Directory のステータス**は**切断**と表示されます。
Active Directory サービスアカウントには、必要なアクセス許可が必要です。詳細については、[「Active Directory サービスアカウントのアクセス許可要件](https://docs.aws.amazon.com/filegateway/latest/files3/ad-serviceaccount-permissions.html)」「」を参照してください。
ドメインに加入すると、ゲートウェイの**ゲートウェイ ID** をアカウント名 (SGW-1234ADE など) として使用して、デフォルトのコンピュータコンテナ (OU ではない) に Active Directory コンピュータアカウントが作成されます。このアカウントの名前をカスタマイズすることはできません。
Active Directory 環境で、ドメイン結合プロセスを容易にするためにアカウントを事前ステージングする必要がある場合は、事前にこのアカウントを作成する必要があります。
Active Directory 環境に新しいコンピュータオブジェクト用に指定された OU がある場合は、ドメインに参加するときにその OU を指定する必要があります。
ゲートウェイが Active Directory ディレクトリと結合できない場合には、[JoinDomain](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_JoinDomain.html) API オペレーションを使用して、ディレクトリの IP アドレスとの結合をお試しください。
1. **ドメインユーザー**と**ドメインパスワード** には、ゲートウェイがドメインに参加するために使用する Active Directory サービスアカウントの認証情報を入力します。
1. (オプション) **[組織単位 (OU)]** には、Active Directory が新しいコンピュータオブジェクトに使用する指定された OU を入力します。
1. (オプション) **ドメインコントローラー (DC)**には、ゲートウェイが Active Directory に接続する 1 つ以上の DC の名前を入力します。複数の DC カンマ区切りのリストとして入力できます。このフィールドを空白のままにすると、DNS が DC を自動的に選択できるようになります。
1. [**Save changes (変更の保存) **] をクリックします。
**ファイル共有へのアクセスを特定の AD ユーザーおよびグループに制限するには**
1. Storage Gateway コンソールで、アクセスを制限するファイル共有を選択します。
1. [**Actions (アクション)**] ドロップダウンメニューから、[**ファイル共有アクセス設定の編集**] を選択します。
1. (オプション) [**User and group file share access (ユーザーとグループのファイル共有アクセス)**] セクションで、設定を選択します。
[**Allowed users and groups (許可されたユーザーおよびグループ)]** で、[**Add allowed user (許可するユーザーの追加)]** または [**Add allowed group(許可するグループの追加)**] を選択し、ファイル共有のアクセスを許可する AD ユーザーまたはグループを入力します。このプロセスを繰り返して、必要な数のユーザーとグループを許可します。
**[Denied users and groups]** (拒否されたユーザーおよびグループ) で、**[Add denied user]** (拒否するユーザーの追加) または**[Add denied group]** (拒否するグループの追加) を選択し、ファイル共有のアクセスを拒否する AD ユーザーまたはグループを入力します。このプロセスを繰り返して、必要な数のユーザーとグループを拒否します。
**注記**
[**Active Directory**] が選択されている場合のみ、[**User and group file share access (ユーザーとグループのファイル共有アクセス)**] セクションが表示されます。
グループには `@` 文字のプレフィックスを付ける必要があります。有効な形式は、`DOMAIN\User1`、`user1`、`@group1`、`@DOMAIN\group1` です。
[**Allowed and Denied Users and Groups (許可および拒否されたユーザーとグループ)**] のリストを設定した場合、Windows ACL はそれらのリストを上書きするアクセスを許可しません。
[**Allowed and Denied Users and Groups (許可および拒否されたユーザーとグループ)**] のリストは ACL の前に評価され、ファイル共有をマウントまたはアクセスできるユーザーを制御します。ユーザーまたはグループが **Allowed (許可された)** リストに配置されている場合、リストはアクティブと見なされ、それらのユーザーのみがファイル共有をマウントできます。
ユーザーがファイル共有をマウントすると、ACL は、ユーザーがアクセスできる特定のファイルまたはフォルダを制御する、より詳細な保護を提供します。詳細については、「[新しい SMB ファイル共有での Windows ACL](https://docs.aws.amazon.com/filegateway/latest/files3/smb-acl.html#enable-acl-new-fileshare)」を参照してください。
1. エントリの追加が完了したら、[**Save (保存)**] を選択します。
# ファイル共有のアクセス権限のゲストへの付与
正しいゲストアカウントのユーザー名とパスワードを提供できるすべてのユーザーにゲストアクセスを許可するように S3 ファイルゲートウェイを設定できます。ユーザーがファイルゲートウェイにアクセスできる唯一の方法にする場合は、ゲートウェイを Microsoft Active Directory ドメインに加える必要はありません。このゲストアクセス方法を使用して、Active Directory ドメインのメンバーである S3 ファイルゲートウェイにファイル共有を作成することもできます。
**ゲストアクセス**認証方法を使用するようにファイル共有を設定する場合、ゲストアクセスユーザー名は `smbguest` です。ゲストアクセスを使用するファイル共有を作成する前に、`smbguest` ユーザー向けにデフォルトのパスワードを変更する必要があります。
ゲストユーザー `smbguest` のパスワードを変更するには、次の手順を使用します。
**ゲストアクセスパスワードを変更するには**
1. Storage Gateway コンソール ([https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/)) を開きます。
1. コンソールページの左側にあるナビゲーションペインから [**Gateways (ゲートウェイ)**] を選択し、ゲストアクセスを提供するゲートウェイの [**Name (名前)**] を選択します。
1. [**Actions (アクション)**] ドロップダウンメニューから、[**Edit SMB settings (SMB 設定の編集)**] を選択し、[**ゲストアクセス設定**] を選択します。
1. [**Guest password (ゲストパスワード)**] で、設定するゲストアクセスパスワードを入力し、[**Save changes (変更の保存)**] を選択します。
# ゲートウェイのローカルグループを設定するには
ローカルグループ設定では、ゲートウェイ上の SMB ファイル共有に対する特別なアクセス許可を Active Directory ユーザーまたはグループに付与できます。
ローカルグループ設定を使用して、ゲートウェイ管理者のアクセス許可を割り当てることができます。Gateway 管理者は、共有フォルダ Microsoft マネジメントコンソールのスナップインを使用して、開いているファイルとロックされているファイルを強制的に閉じることができます。
**注記**
ゲートウェイを Active Directory ドメインに結合する前に、少なくとも 1 つの Gateway Admin ユーザーまたはグループを追加する必要があります。
**Gateway 管理者を割り当てるには**
1. Storage Gateway コンソール ([https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/)) を開きます。
1. **[ゲートウェイ]** を選択し、SMB 設定を編集するゲートウェイを選択します。
1. [**Actions (アクション)**] ドロップダウン メニューから [**SMB 設定の編集**] を選択し、[**Local Group settings (ローカルグループ設定)**] を選択します。
1. [**Local Group settings (ローカルグループ設定)**] セクションで、設定を選択します。このセクションは、Active Directory を使用するファイル共有に対してのみ表示されます。
[**Gateway Admins (ゲートウェイ管理者)**] には、ローカルゲートウェイ管理者のアクセス許可を付与する Active Directory ユーザーとグループを追加します。ドメイン名を含めて、行ごとに 1 つのユーザーまたはグループを追加します。例えば、**corp\$1Domain Admins**。追加の行を作成するには、[**Add new Gateway Admin (新しいゲートウェイ管理者の追加)**] を選択します。
**注記**
[Gateway Admins (ゲートウェイ管理者)]を編集すると、すべての SMB ファイル共有が切断および再接続されます。
1. [**Save changes (変更を保存)**]を選択し、[**Proceed (続行)**] を選択して、表示される警告メッセージを確認します。
# ファイル共有の可視性を設定するには
ファイル共有の可視性により、ユーザーに共有の一覧を表示する場合に、ゲートウェイ上の共有が表示されるかどうかを制御します。ゲートウェイ上のファイル共有が表示されている場合、クライアントはゲートウェイの IP アドレスまたは DNS 名を知っていれば、ファイルブラウザを使用して共有を簡単に検出できます。ファイル共有が表示されない場合、クライアントは共有を検出するためにゲートウェイ IP または DNS 名に加えてファイル共有名を知っている必要があります。
**注記**
この設定は、デプロイ内のファイル共有へのアクセスを保護する有効な方法ではありません。セキュリティのため、特定のユーザーとグループへのアクセスを制限するアクセス許可を設定することをお勧めします。手順については、「[SMB ファイル共有のユーザーとグループのアクセスを制限する](https://docs.aws.amazon.com/filegateway/latest/files3/edit-file-share-access-smb.html)」を参照してください。
**ファイル共有の可視性を設定するには**
1. Storage Gateway コンソール ([https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/)) を開きます。
1. **[ゲートウェイ]** を選択し、SMB 設定を編集するゲートウェイを選択します。
1. [**Actions (アクション)**] ドロップダウン メニューから [**SMB 設定の編集**] を選択し、[**ファイル共有の可視性設定**] を選択します。
1. **[Visibility status (可視性のステータス)]** でチェックボックスをオンにし、ユーザーに共有を一覧表示する際に、このゲートウェイ上の共有を表示させます。ユーザーに共有のリストを表示する際に、このゲートウェイ上の共有が表示されないようにするには、このチェックボックスをオフにします。
# SMB ファイル共有の設定の編集
既存の SMB ファイル共有の次の設定を編集できます。
+ **File share name (ファイル共有名)** - ファイル共有の名前を入力する
+ **Audit logs (監査ログ)** - 監査ログをオンまたはオフにする
+ **Existing log group list (既存のロググループリスト)** - 監査ログの既存のロググループを選択する
+ **Non-gateway file cache refresh time (ゲートウェイ以外のファイルキャッシュの更新時間)** - ファイル共有のキャッシュを更新する間隔を指定する
**注記**
この値を 30 分より短く設定すると、多数の Amazon S3 オブジェクトが頻繁に作成または削除される状況では、ゲートウェイのパフォーマンスに悪影響を及ぼす可能性があります。
+ **Upload events settling time (アップロードイベントの確定時間)** - クライアントがファイルへの書き込みを完了した最終時点から、`ObjectUploaded` 通知を生成するまでの待機時間を秒単位で指定する
+ **新しいオブジェクトのストレージクラス** - Amazon S3 バケットに作成された新しいオブジェクトで使用するストレージクラスを選択する
+ **Guess MIME type (MIME タイプの推測)** - アップロードされたオブジェクトの MIME タイプを、ファイル拡張子に基づいて Storage Gateway に推測させるかどうかを選択する
+ **S3 バケット所有者がアクセスできるゲートウェイファイル** - ファイル共有にリンクされている Amazon S3 バケットを所有する AWS アカウントがゲートウェイ上のファイルにアクセスできるようにするかどうかを選択します。
+ **リクエスタ支払いを有効にする** - バケット所有者ではなく、ファイル共有からデータを読み取るアカウントまたはリクエストするアカウントに、アクセス料金の支払いを要求するかどうかを選択する
+ **Export as (次の形式でエクスポート)** - ファイルが読み取り/書き込み状態または読み取り専用状態でエクスポートされるかどうかを選択する
+ **File and directory access controlled by (ファイルとディレクトリアクセスの制御元)** - Windows ACL または POSIX アクセス許可を使用してファイルとディレクトリへのアクセスを制御するかどうかを選択する
+ **日和見ロック(オプロック)** - ファイル共有がオポチュニスティックロックを使用してファイルバッファリング戦略を最適化できるようにするかどうかを選択する
+ **Force case sensitivity (大文字と小文字の区別を強制)** - クライアントまたはゲートウェイがファイル名とディレクトリ名の大文字と小文字の区別を制御するかどうかを選択する
**注記**
ファイル共有の大文字と小文字の区別が現在有効になっている場合、無効にすると、名前は同じですが、大文字と小文字が異なるファイル (file.txt、File.txt など) にアクセスできなくなる可能性があります。大文字と小文字を区別しないクライアントは、1 つのバージョンにのみアクセスできます。
+ **Access based enumeration for files and directories (ファイルとディレクトリのアクセスベースの列挙)** - ディレクトリの列挙中に共有上のファイルとフォルダをすべてのユーザーに表示するか、読み取りアクセス権を持つユーザーのみに表示するかを選択する
**注記**
既存のファイル共有を編集して新しいバケットまたはアクセスポイントをポイントしたり、VPC エンドポイント設定を変更したりすることはできません。これらの設定は、新しいファイル共有を作成する場合にのみ設定できます。
**ファイル共有の設定を編集するには**
1. Storage Gateway コンソール ([https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/)) を開きます。
1. [**File shares**] を選択し、更新するファイル共有を選択します。
1. [**Actions (アクション)**] で、[**Edit share settings (共有の設定の編集)**] をクリックします。
1. 必要に応じて任意の設定を編集します。
1. [**Save (保存)**] を選択します。
# SMB ファイル共有のユーザーおよびグループのアクセスを制限する
ファイル共有へのアクセスを制限するには、許可または拒否されたユーザーまたはグループを追加することをお勧めします。そうしないと、認証されたすべてのユーザーがファイル共有を利用できるようになってしまいます。
**SMB のアクセス設定を編集するには**
1. Storage Gateway コンソール ([https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/)) を開きます。
1. [**File shares (ファイル共有)**] を選択して、編集する SMB ファイル共有を選択します。
1. [**Actions (アクション)**] で、[**Edit share access settings (共有のアクセス設定の編集)**] を選択します。
1. (オプション) **[User and group file share access (ユーザーとグループのファイル共有アクセス)]** セクションで、設定を選択します。
[**Allowed users and groups (許可されたユーザーおよびグループ)]** で、[**Add allowed user (許可するユーザーの追加)]** または [**Add allowed group(許可するグループの追加)**] を選択し、ファイル共有のアクセスを許可する AD ユーザーまたはグループを入力します。このプロセスを繰り返して、必要な数のユーザーとグループを許可します。[**Allowed user and groups (許可されたユーザーとグループ)**] のリストにないユーザーは、アクセスを拒否されます。
**[Denied users and groups (拒否されたユーザーおよびグループ)]** で、**[Add denied user (拒否するユーザーの追加)]** または**[Add denied group (拒否するグループの追加)]** を選択し、ファイル共有のアクセスを拒否する AD ユーザーまたはグループを入力します。このプロセスを繰り返して、必要な数のユーザーとグループを拒否します。[**Allowed user and groups (許可されたユーザーとグループ)**] リストが空の場合、[**Denied users and groups (拒否されたユーザーとグループ)**] リストにあるユーザーを除くすべてのユーザーにアクセスが許可されます。
**注記**
AD ユーザー名またはグループ名のみを入力します。ドメイン名は、ゲートウェイが結合されている特定の AD のゲートウェイのメンバーシップによって暗黙的に設定されます。
許可された/拒否されたユーザーまたはグループを指定しない場合、認証されたすべての AD ユーザーがファイル共有をエクスポートできます。
# 既存のファイル共有のサーバー側の暗号化方法を変更する
次の手順では、Storage Gateway コンソールを使用して、既存の NFS または SMB ファイル共有のサーバー側の暗号化方法を変更する方法について説明します。Storage Gateway API を使用してこのアクションを実行するには、*AWS Storage Gateway API リファレンス*の「[UpdateNFSFileShare](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_UpdateNFSFileShare.html)」または「[UpdateSMBFileShare](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_UpdateSMBFileShare.html)」を参照してください。
**注記**
暗号化方法を更新すると、更新後に Amazon S3 バケットに保存されている既存のオブジェクトに新しい方法が適用されます。
暗号化に SSE-KMS を使用するようにファイルゲートウェイを設定する場合は、ファイル共有に関連付けられた IAM ロールに `kms:Encrypt`、`kms:Decrypt`、`kms:ReEncrypt*`、`kms:GenerateDataKey`、`kms:DescribeKey` のアクセス許可を手動で追加する必要があります。詳細については、「[Storage Gateway でアイデンティティベースのポリシー (IAM ポリシー) を使用する](https://docs.aws.amazon.com/filegateway/latest/files3/using-identity-based-policies.html)」を参照してください。
**NFS または SMB ファイル共有のサーバー側の暗号化方法を変更するには**
1. Storage Gateway コンソール ([https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/)) を開きます。
1. [**File shares (ファイル共有)**] を選択し、暗号化方法を変更するファイル共有を選択します。
1. [**Actions (アクション)**] で、[**Edit file share encryption (ファイル共有暗号化の編集)**] をクリックします。
1. [**Encryption (暗号化)**] では、Amazon S3 の保管中のファイルに使用する暗号化のタイプを選択します。
+ Amazon S3 で管理されるサーバーサイド暗号化 (SSE-S3) を使用するには、**[S3 マネージドキー (SSE-S3)]**を選択します。詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[Amazon S3 マネージドキーによるサーバー側の暗号化の使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)」を参照してください。
+ AWS Key Management Service (SSE-KMS) で管理されるサーバー側の暗号化を使用するには、**KMS マネージドキー (SSE-KMS)** を選択します。**プライマリ KMS キー**で、既存の AWS KMS キーを選択するか、**新しい KMS キーの作成**を選択して、Key Management Service (AWS KMS) コンソールで新しい KMS AWS キーを作成します。
詳細については AWS KMS、「 *AWS Key Management Service デベロッパーガイド*」の[AWS 「 Key Management Service とは](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)」を参照してください。
+ AWS Key Management Service (DSSE-KMS) で管理される二層式サーバー側の暗号化を使用するには、** AWS Key Management Service キーによる二層式サーバー側の暗号化 (DSSE-KMS)** を選択します。**プライマリ KMS キー**で、既存の AWS KMS キーを選択するか、**新しい KMS キーの作成**を選択して、Key Management Service (AWS KMS) コンソールで新しい KMS AWS キーを作成します。
DSSE-KMS の詳細については、*「Amazon Simple Storage Service* [ユーザーガイド」の AWS KMS 「キーによる二層式サーバー側の暗号化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingDSSEncryption.html)の使用」を参照してください。
**注記**
DSSE-KMS および AWS KMS キーの使用には追加料金がかかります。詳細については、「[AWS KMS 料金表](https://aws.amazon.com/kms/pricing/)」を参照してください。
リストにないエイリアスで AWS KMS キーを指定するか、別の AWS アカウントの AWS KMS キーを使用するには、 を使用する必要があります AWS Command Line Interface。非対称 KMS キーはサポートされていません。詳細については、*AWS Storage Gateway API リファレンス*の「[CreateSMBFileShare](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_CreateSMBFileShare.html)」を参照してください。
1. 完了したら、**[変更を保存]** を選択します。
# NFS ファイル共有の設定の編集
作成後に既存の NFS ファイル共有の設定を編集するには、次の手順に従います。
**注記**
既存のファイル共有を編集して新しいバケットまたはアクセスポイントをポイントしたり、VPC エンドポイント設定を変更したりすることはできません。これらの設定は、新しいファイル共有を作成する場合にのみ設定できます。
**ファイル共有の設定を編集するには**
1. Storage Gateway コンソール ([https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/)) を開きます。
1. [**File shares**] を選択し、更新するファイル共有を選択します。
1. [**Actions (アクション)**] で、[**Edit share settings (共有の設定の編集)**] をクリックします。
1. **[File share name]** (ファイル共有名) で、ファイル共有の名前を入力します。
1. [**Audit logs (監査ログ)**] で、以下のいずれかを選択します。
+ このファイル共有の新しいロググループを作成するには、[**Create a new log group (新しいロググループを作成する)**] を選択します。
+ このファイル共有のヘルスとリソースの通知を既存のロググループに送信するには、[**Use and existing log group (既存のロググループを使用)**] を選択します。
+ このファイル共有のログ記録を無効にするには、[**ログの無効化**] を選択します。
監査ログの詳細については、「[S3 ファイルゲートウェイ監査ログについて](https://docs.aws.amazon.com/filegateway/latest/files3/monitoring-file-gateway.html#audit-logs)」を参照してください。
1. [**Non-gateway file cache refresh time (非ゲートウェイファイルキャッシュの更新時間)**] については、[**Set refresh interval (更新間隔の設定)**] を選択し、TTL(Time To Live)を使用してファイル共有のキャッシュを更新する時間を**分**または**日**で設定します。TTL は、最後に実行された更新からの時間的長さです。TTL 間隔が経過すると、ディレクトリにアクセスしたときに、ゲートウェイは Amazon S3 バケットからそのディレクトリの内容を更新します。
**注記**
この値を 30 分より短く設定すると、多数の Amazon S3 オブジェクトが頻繁に作成または削除される状況では、ゲートウェイのパフォーマンスに悪影響を及ぼす可能性があります。
1. [**Upload events settling time (イベント確定時間のアップロード)**] で、[**Settling time (確定時間)**] を選択し、確定時間を秒単位で入力します。[**Settling time (確定時間)**] は、最新のクライアント書き込み操作から `ObjectUploaded` ログ通知の生成までの遅延を制御します。クライアントは短時間でファイルに多数の小さな書き込みを行うこともあるため、同じファイルに対して複数の通知が連続して生成されないように、このパラメータをできるだけ長く設定することをお勧めします。詳細については、「[ファイルのアップロード通知の受け取り](https://docs.aws.amazon.com/filegateway/latest/files3/monitoring-file-gateway.html#get-file-upload-notification)」を参照してください。
1. [**新しいオブジェクトのストレージクラス**] で、ドロップダウンリストからストレージクラスを選択します。ストレージクラスの詳細については、「[ファイルゲートウェイでのストレージクラスの使用](https://docs.aws.amazon.com/filegateway/latest/files3/storage-classes.html#ia-file-gateway)」を参照してください。
1. [**Object metadata (オブジェクトメタデータ)**] で、以下の操作を行います。
1. Storage Gateway がファイル拡張子に基づいてアップロードされたオブジェクトのメディアタイプを推測できるようにする場合は、[**Guess MIME type (MIME タイプの推測)**] を選択します。
1. **S3 バケットを所有するアカウントが、読み取り、書き込み、編集、削除のアクセス許可など、ゲートウェイによって作成されたファイルの完全な所有権を持つようにする場合は、S3 バケット所有者がアクセスできるゲートウェイファイル**を選択します。 AWS S3
1. バケット所有者ではなくファイルリクエスタがデータリクエストのコストを支払い、S3 バケットからダウンロードする場合は、**[リクエスタ支払いを有効にする]** を選択します。
1.
1. **[アクセスレベル]** で、以下のいずれかを選択します。
+ **ルートスカッシュ (デフォルト)**: リモートスーパーユーザー (ルート) のアクセスは UID (65534) および GID (65534) にマッピングされます。
+ **All squash (すべてスカッシュ)**: すべてのユーザーアクセスはユーザー ID (UID) (65534) およびグループ ID (GID) (65534) にマッピングされます。
+ **No root squash (ルートスカッシュなし)**: リモートスーパーユーザー (ルート) はルートとしてのアクセスを受け取ります。
1. [**次の形式でエクスポート**] で、次のいずれかを選択します。
+ クライアントがファイル共有でファイルを読み書きできるようにするには、**読み取り/書き込み**を選択します。
+ クライアントがファイルを読み取ってもファイル共有に書き込めないようにするには、**読み取り専用**を選択します。
**注記**
Microsoft Windows クライアントにマウントされたファイル共有で、**[読み取り専用]** を選択した場合は、予期しないエラーによってフォルダを作成できないことを示すメッセージが表示される場合があります。このメッセージは無視できます。
1. 編集が終わったら、**[変更を保存]** を選択します。
# NFS ファイル共有でのデフォルトのメタデータ値の編集
バケットのファイルまたはディレクトリのメタデータ値を設定しない場合、S3 ファイルゲートウェイによりデフォルトのメタデータ値が設定されます。これらの値にはファイルとフォルダの Unix アクセス許可が含まれています。メタデータのデフォルト値は、Storage Gateway コンソールで編集することが可能です。
S3 ファイルゲートウェイはファイルとフォルダを Amazon S3 に保存し、Unix ファイルのアクセス許可はオブジェクトメタデータに保存されます。S3 ファイルゲートウェイが、S3 ファイルゲートウェイによって保存されなかったオブジェクトを検出した場合、これらのオブジェクトには、Unix ファイルへのアクセス許可がデフォルトで割り当てられます。次の表では、デフォルトの Unix のアクセス許可を示しています。
| メタデータ | 説明 |
| --- | --- |
| ディレクトリ権限 | 形式「nnnn」の Unix ディレクトリモード。たとえば、「0666」は、ファイル共有内のすべてのディレクトリのアクセスモードを表します。デフォルト値は 0777 です。 |
| ファイル権限 | 形式「nnnn」の Unix ファイルモード。たとえば、「0666」はファイル共有内のファイルモードを表します。デフォルト値は 0666 です。 |
| ユーザー ID | ファイル共有のファイルのデフォルトの所有者 ID。デフォルト値は 65534 です。 |
| グループ ID | ファイル共有のデフォルトグループ ID。デフォルト値は 65534 です。 |
**メタデータのデフォルト値を編集するには**
1. Storage Gateway コンソール ([https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/)) を開きます。
1. [**File shares**] を選択し、更新するファイル共有を選択します。
1. [**アクション**] で、[**メタデータのファイルのデフォルトの編集**] を選択します。
1. [**メタデータのファイルのデフォルトの編集**] ダイアログボックスで、メタデータの情報を提供して、[**保存**] を選択します。
# NFS ファイル共有のクライアントアクセスを制限する
NFS クライアントアクセス設定を に編集して、NFS ファイル共有への接続が許可されている NFS クライアントの特定のクライアント IP アドレスまたは CIDR ブロック範囲のリストを定義することをお勧めします。変更しない場合、ネットワークのすべてのクライアントがファイル共有にマウントできます。
**NFS ファイル共有のクライアントアクセスを制限するには**
1. Storage Gateway コンソール ([https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/)) を開きます。
1. コンソールページの左側にあるナビゲーションペインから [**ファイル共有**] を選択し、編集する NFS ファイル共有の [**ファイル共有のファイル共有 ID**] を選択します。
1. [**Actions (アクション)**] ドロップダウンメニューから、[**ファイル共有アクセス設定の編集**] を選択します。
[**Access object (アクセスオブジェクト)**] セクションには、現在 NFS ファイル共有への接続が許可されている IP アドレスと CIDR ブロックのリストが表示されます。アクセスが現在制限されていない場合は、0.0.0.0/0 CIDR ブロックの [**Allowed clients (許可されたクライアント)**] の下にエントリが表示されます。これは、可能なすべての IPv4 アドレスの接続が許可されていることを示します。
1. [**Allowed clients (許可されたクライアント)**」で、0.0.0.0/0 CIDR ブロックの右側にある [**Remove (削除)**]を選択します。
1. [**Add client (クライアントを追加)**] を選択し、許可するクライアントの IP アドレスまたはアドレス範囲を CIDR 表記で指定します。
1. 必要に応じて IP アドレスまたは範囲を追加するには、前のステップを繰り返します。間違えたり、アクセスを取り消す必要がある場合は、リストから削除する IP アドレスまたは範囲の右側にある [**Remove (削除)**] を選択できます。
1. 完了したら、**[変更を保存]** を選択します。
# Amazon S3 バケットのオブジェクトキャッシュの更新
NFS または SMB クライアントがファイルシステムオペレーションを実行すると、ゲートウェイはファイル共有に関連付けられた S3 オブジェクトキャッシュ内のインベントリを維持します。ゲートウェイは、このキャッシュされた在庫表を使用して、Amazon S3 リクエストのレイテンシーと頻度を減らします。このオペレーションでは、S3 ファイルゲートウェイのキャッシュストレージにファイルをインポートしません。キャッシュされたインベントリを更新するだけで、S3 オブジェクトキャッシュ内のオブジェクトのインベントリに変更が反映されます。
ファイル共有の S3 バケットオブジェクトキャッシュを更新するには、次のリストからユースケースに最適な方法を選択し、対応する以下の手順を実行します。
**注記**
使用する方法に関係なく、ディレクトリを初めて一覧表示すると、ゲートウェイは Amazon S3 からディレクトリのメタデータコンテンツを一覧表示します。ディレクトリの初期化に必要な時間は、そのディレクトリのエントリ数に比例します。
**Topics**
+ [Storage Gateway コンソールを使用して自動キャッシュ更新スケジュールを設定する](#auto-refresh-console-procedure)
+ [Amazon CloudWatch ルール AWS Lambda で を使用して自動キャッシュ更新スケジュールを設定する](#auto-refresh-lambda-procedure)
+ [Storage Gateway コンソールを使用して手動キャッシュ更新を実行する](#manual-refresh-console-procedure)
+ [Storage Gateway API を使用して手動キャッシュ更新を実行する](#manual-refresh-api-procedure)
## Storage Gateway コンソールを使用して自動キャッシュ更新スケジュールを設定する
次の手順では、指定した有効期限 (TTL) 値に基づいて自動キャッシュ更新スケジュールを設定します。TTL ベースのキャッシュ更新スケジュールを設定する前に、次の点を考慮してください。
+ TTL は、特定のディレクトリの最後のキャッシュ更新からの時間の長さとして測定されます。
+ TTL ベースのキャッシュ更新は、指定された TTL 期間が終了した後に特定のディレクトリにアクセスした場合にのみ発生します。
+ 更新は再帰的ではありません。アクセスされる特定のディレクトリでのみ発生します。
+ 更新では、TTL の有効期限が切れてから同期されていないディレクトリに対してのみ Amazon S3 API コストが発生します。
+ ディレクトリは、NFS または SMB アクティビティによってアクセスされる場合にのみ同期されます。
+ 同期は、指定した TTL 周期よりも頻繁に発生することはありません。
+ TTL ベースのキャッシュ更新の設定は、ゲートウェイと Amazon S3 バケット間のワークフローの外部で、Amazon S3 バケットのコンテンツを頻繁に直接更新する場合にのみ推奨されます。
+ 有効期限が切れた TTLs を持つディレクトリにアクセスする NFS および SMB オペレーションは、ゲートウェイがディレクトリの内容を更新する間ブロックされます。
**注記**
キャッシュの更新によりディレクトリアクセスオペレーションがブロックされる可能性があるため、デプロイに実用的な最長の TTL 期間を設定することをお勧めします。
**Storage Gateway コンソールを使用して自動キャッシュ更新スケジュールを設定するには**
1. Storage Gateway コンソール ([https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/)) を開きます。
1. [**File shares (ファイル共有)**] を選択します。
1. 更新スケジュールを設定するファイル共有を選択します。
1. [**Actions (アクション)**] で、[**Edit share settings (共有の設定の編集)**] をクリックします。
1. [**S3 からのキャッシュを自動化で更新する**] のチェックボックスをオンにし、有効期限 (Time To Live = TTL) を使用してファイル共有のキャッシュ更新を実行する時間を日、時間、分で指定します。TTL は、ディレクトリにアクセスすると、ファイルゲートウェイが最初にそのディレクトリのコンテンツを Amazon S3 バケットから更新するようになる、最後の更新からの期間です。
1. **[Save changes]** (変更の保存) をクリックします。
## Amazon CloudWatch ルール AWS Lambda で を使用して自動キャッシュ更新スケジュールを設定する
**Amazon CloudWatch ルール AWS Lambda で を使用して自動キャッシュ更新スケジュールを設定するには**
1. S3 ファイルゲートウェイで使用されている S3 バケットを特定します。
1. *[Event (イベント)]* セクションが空白であることを確認します。このセクションは、後で自動的に入力されます。
1. IAM ロールを作成し、Lambda 関数 `lambda.amazonaws.com` との信頼関係を許可します。
1. 以下のポリシーを使用します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "StorageGatewayPermissions",
"Effect": "Allow",
"Action": "storagegateway:RefreshCache",
"Resource": "*"
},
{
"Sid": "CloudWatchLogsPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
1. Lambda コンソールから Lambda 関数を作成します。
1. Lambda タスクに次の関数を使用します。
```
import json
import boto3
client = boto3.client('storagegateway')
def lambda_handler(event, context):
print(event)
response = client.refresh_cache(
FileShareARN='arn:aws:storagegateway:ap-southeast-2:672406474878:share/share-E51FBS9C'
)
print(response)
return 'Your FileShare cache has been refreshed'
```
1. **[Execution role]** (実行ロール) で、作成した IAM ロールを選択します。
1. オプションで、Amazon S3 のトリガーを追加し、イベント (**ObjectCreated** または **ObjectRemoved**) を選択します。
**注記**
`RefreshCache` では、新しいプロセスを開始する前に、前のプロセスを完了する必要があります。バケット内で多数のオブジェクトを作成または削除すると、パフォーマンスが低下する可能性があります。このため、S3 トリガーは使用しないことをお勧めします。代わりに、以下で説明する Amazon CloudWatch ルールを使用します。
1. CloudWatch コンソールで CloudWatch ルールを作成し、スケジュールを追加します。通常は、30 分間の*固定レート*の設定が推奨されます。ただし、S3 バケットが大規模な場合は、これを 1~2 時間にすることも可能です。
1. CloudWatch イベントのための新しいトリガーを追加し、作成したルールを選択します。
1. Lambda 設定を保存します。**[テスト]** を選択します。
1. **[S3 PUT]** をクリックし、要件に合わせてテストのカスタマイズを行います。
1. テストが成功します。成功しない場合は、JSON で要件を変更して再テストします。
1. Amazon S3 コンソールを開き、作成したイベントと Lambda 関数の ARN が存在することを確認します。
1. Amazon S3 コンソールまたは AWS CLIを使用して、オブジェクトをソース S3 バケットにアップロードします。
CloudWatch コンソールは、次のような CloudWatch 出力を生成します。
```
{
u'Records': [
{u'eventVersion': u'2.0', u'eventTime': u'2018-09-10T01:03:59.217Z', u'requestParameters': {u'sourceIPAddress': u'MY-IP-ADDRESS'},
u's3': {u'configurationId': u'95a51e1c-999f-485a-b994-9f830f84769f', u'object': {u'sequencer': u'00549CC2BF34D47AED', u'key': u'new/filename.jpeg'},
u'bucket': {u'arn': u'arn:aws:s3:::amzn-s3-demo-bucket', u'name': u'MY-GATEWAY-NAME', u'ownerIdentity': {u'principalId': u'A3OKNBZ72HVPP9'}}, u's3SchemaVersion': u'1.0'},
u'responseElements': {u'x-amz-id-2': u'76tiugjhvjfyriugiug87t890nefevbck0iA3rPU9I/s4NY9uXwtRL75tCyxasgsdgfsq+IhvAg5M=', u'x-amz-request-id': u'651C2D4101D31593'},
u'awsRegion': u'MY-REGION', u'eventName': u'ObjectCreated:PUT', u'userIdentity': {u'principalId': u'AWS:AROAI5LQR5JHFHDFHDFHJ:MY-USERNAME'}, u'eventSource': u'aws:s3'}
]
}
```
Lambda 呼び出では、次のように出力されます。
```
{
u'FileShareARN': u'arn:aws:storagegateway:REGION:ACCOUNT-ID:share/MY-SHARE-ID',
'ResponseMetadata': {'RetryAttempts': 0, 'HTTPStatusCode': 200, 'RequestId': '6663236a-b495-11e8-946a-bf44f413b71f',
'HTTPHeaders': {'x-amzn-requestid': '6663236a-b495-11e8-946a-bf44f413b71f', 'date': 'Mon, 10 Sep 2018 01:03:59 GMT',
'content-length': '90', 'content-type': 'application/x-amz-json-1.1'
}
}
}
```
この更新は、クライアントにマウントされた NFS 共有に反映されます。
**注記**
何百万ものオブジェクトを含む大規模なバケットで、大きなオブジェクトの作成または削除を更新するキャッシュの場合、更新に数時間かかる場合があります。
1. Amazon S3 コンソールまたは AWS CLIを使用して、オブジェクトを手動で削除します。
1. クライアントにマウントされている NFS 共有を表示します。(キャッシュが更新されたことにより) オブジェクトが消去されていることを確認します。
1. CloudWatch Logs をチェックして、イベント `ObjectRemoved:Delete` での削除に関するログを確認します。
```
{
u'account': u'MY-ACCOUNT-ID', u'region': u'MY-REGION', u'detail': {}, u'detail-type': u'Scheduled Event', u'source': u'aws.events',
u'version': u'0', u'time': u'2018-09-10T03:42:06Z', u'id': u'6468ef77-4db8-0200-82f0-04e16a8c2bdb',
u'resources': [u'arn:aws:events:REGION:MY-ACCOUNT-ID:rule/FGw-RefreshCache-CW']
}
```
**注記**
Cron ジョブまたはスケジュールされたタスクの場合、CloudWatch ログのイベントは `u'detail-type': u'Scheduled Event'` になります。
## Storage Gateway コンソールを使用して手動キャッシュ更新を実行する
**Storage Gateway コンソールを使用して手動キャッシュ更新を実行するには**
1. Storage Gateway コンソール ([https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/)) を開きます。
1. [**File shares (ファイル共有)**] を選択し、更新を実行するファイル共有を選択します。
1. [**Actions (アクション)**] では、[**Refresh cache (キャッシュを更新)**] を選択します。
更新処理にかかる時間は、ゲートウェイにキャッシュされているオブジェクトの数、および S3 バケットに対して追加または削除されたオブジェクトの数によって異なります。
## Storage Gateway API を使用して手動キャッシュ更新を実行する
次の手順で、Storage Gateway API を使用して手動キャッシュ更新を実行します。API ベースのキャッシュ更新を実行する前に、次の点を考慮してください。
+ 再帰更新または非再帰的更新を指定できます。
+ 再帰更新は、リソースを大量に消費し、コストが高くなります。
+ 更新には、リクエストで引数として渡すディレクトリと、再帰的な更新を指定した場合のそれらのディレクトリの子孫に対してのみ Amazon S3 API コストが発生します。
+ 更新は、ゲートウェイの使用中に他のオペレーションと同時に実行されます。
+ NFS および SMB オペレーションは、オペレーションによってアクセスされるディレクトリの更新がアクティブでない限り、通常、更新中にブロックされません。
+ ゲートウェイは、現在のキャッシュコンテンツが古くなっているかどうかを判断できず、鮮度に関係なく NFS および SMB オペレーションに現在のコンテンツを使用します。
+ キャッシュ更新はゲートウェイ仮想ハードウェアリソースを利用するため、更新の進行中にゲートウェイのパフォーマンスに悪影響を及ぼす可能性があります。
+ API ベースのキャッシュ更新の実行は、ゲートウェイと Amazon S3 バケット間のワークフローの外部で、Amazon S3 バケットの内容を直接更新する場合にのみ推奨されます。
**注記**
ゲートウェイワークフローの外部で Amazon S3 コンテンツを更新する特定のディレクトリがわかっている場合は、これらのディレクトリを API ベースの更新リクエストで指定して、Amazon S3 API のコストとゲートウェイのパフォーマンスへの影響を軽減することをお勧めします。
**Storage Gateway API を使用して手動キャッシュ更新を実行するには**
+ Storage Gateway API を使用して HTTP POST リクエストを送信し、目的のパラメータを使用して `RefreshCache`オペレーションを呼び出します。詳細については、*AWS Storage Gateway API リファレンス*の「[RefreshCache](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_RefreshCache.html)」を参照してください。
**注記**
`RefreshCache` リクエストの送信は、キャッシュ更新操作を開始するだけです。キャッシュの更新が完了しても、必ずしもファイルの更新が完了したとは限りません。ゲートウェイのファイル共有で新しいファイルを確認する前にファイルの更新オペレーションが完了したかどうかを判断するには、`refresh-complete` 通知を使用します。これをするには、Amazon CloudWatch Events を介して通知を受け取ることができます。詳細については、「[ファイルオペレーションについての通知を受信する](monitoring-file-gateway.md#get-notification)」を参照してください。
# S3 ファイルゲートウェイでの S3 Object Lock の使用
Amazon S3 ファイルゲートウェイは、Amazon S3 Object Lock が有効化された、S3 バケットへのアクセスをサポートしています。Amazon S3 Object Lock により、「Write-Once-Read-Many (WORM)」モデルを使用したオブジェクトの保存が可能になります。Amazon S3 Object Lock を使用すると、S3 バケット内のオブジェクトが削除または上書きされるのを防ぐことができます。Amazon S3 Object Lock では、オブジェクトのバージョニングと連携してデータを保護します。
Amazon S3 Object Lock を有効化した後も、そのオブジェクトの変更は可能です。例えば、S3 ファイルゲートウェイ上のファイル共有を経由すれば、オブジェクトの書き込み、削除、または名前変更を行うことができます。このようにしてオブジェクトを変更すると、S3 ファイルゲートウェイは前のバージョン (つまりロックされたオブジェクト) に影響せずに、オブジェクトの新しいバージョンを配置します。
例えば、S3 ファイルゲートウェイの NFS または SMB インターフェイスを使用してファイルを削除する際に、対応する S3 オブジェクトがロックされていると、ゲートウェイはオブジェクトの新しいバージョンに S3 削除マーカーを付加し、元のバージョンのオブジェクトをそのまま保存します。同様に、S3 ファイルゲートウェイがロックされたオブジェクトのコンテンツまたはメタデータを変更した場合、そのオブジェクトの新しいバージョンはその変更と共にアップロードされますが、元のロックされたバージョンのオブジェクトは変更されません。
Amazon S3 Object Lock の詳細については、*Amazon Simple Storage Service ユーザーガイド*の「[S3 オブジェクトロックの使用](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)」を参照してください。
# ファイル共有のステータスについて
ステータスを確認することで、ファイル共有の状態を一目で確認できます。ステータスがファイル共有が正常に機能していることを示している場合は、ユーザー側で操作を行う必要はありません。ステータスに問題があることが示されている場合は、調査を行って、アクションが必要かどうかを判断できます。
ファイル共有のステータスは、Storage Gateway コンソールの **Status (ステータス)** 列で表示できます。ファイル共有が正しく機能している場合は、AVAILABLE のステータスが表示されます。これはほとんどの場合、ステータスである必要があります。
次の表に、ファイル共有のステータス、意味、アクションが必要かどうかを示します。
| ステータス | 意味 |
| --- | --- |
| 利用可能 | ファイル共有は適切に設定され、使用可能です。これは、正常に動作しているファイル共有の標準ステータスです。 |
| [CREATING] (作成中) | ファイル共有は作成中でまだ使用できません。作成中ステータスは遷移します。アクションは必要ありません。ファイル共有がこのステータスでスタックした場合、ゲートウェイ VM の接続が失われた可能性があります AWS。 |
| [UPDATING] (更新中) | ファイル共有設定は現在更新中です。更新中ステータスは推移的です。アクションは必要ありません。ファイル共有がこのステータスでスタックした場合、ゲートウェイ VM の接続が失われた可能性があります AWS。 |
| 削除中 | ファイル共有は削除中です。ファイル共有は、すべてのデータがアップロードされるまで削除されません AWS。削除中ステータスは変化するので、アクションは必要ではありません。 |
| FORCE\$1DELETING | ファイル共有は強制的に削除されます。ファイル共有はすぐに削除され、データはアップロードされません AWS。FORCE\$1DELETING ステータスは変化するため、必要なアクションはありません。 |
| 利用不可 | ファイル共有が異常です。アクションは必要ありません。考えられる原因には、ロールポリシーエラーや、存在しない Amazon S3 バケットへのマッピングなどがあります。異常な状態を引き起こしていた問題が解決すると、ファイル共有は使用可能な状態に戻ります。 |
# ゲートウェイのステータスを理解する
AWS Storage Gatewayデプロイの各ゲートウェイには、ゲートウェイの状態が一目でわかるステータスが関連付けられています。ほとんどの場合、このステータスはゲートウェイが正常に機能しており、ユーザー側でアクションを実行する必要がないことを示します。場合によっては、ステータスによって問題があることが示され、お客様による操作が必要な場合と、必要ない場合があります。
デプロイメント内の各ゲートウェイのステータスは、Storage Gateway コンソールの **ゲートウェイ** ページで確認できます。ゲートウェイのステータスは、ゲートウェイの名前の横にある**ステータス**列に表示されます。正常に機能しているゲートウェイのステータスは `RUNNING` となります。
次の表では、各ゲートウェイのステータスの説明と、それに基づく対応の要否が示されています。ゲートウェイは、使用中の全時間またはほとんどの時間、`RUNNING` ステータスになっている必要があります。
| ステータス | 意味 |
| --- | --- |
| RUNNING | ゲートウェイは適切に構成されており、使用可能です。 |
| OFFLINE | ゲートウェイが `OFFLINE` ステータスになっているのは、次の 1 つ以上の理由による可能性があります。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/filegateway/latest/files3/understand-gateway-status.html) |
# Amazon S3 ファイルゲートウェイの帯域幅の管理
ゲートウェイから へのアップロードスループットを制限 AWS して、ゲートウェイが使用するネットワーク帯域幅の量を制御できます。デフォルトでは、アクティブ化されたゲートウェイのレート制限は設定されていません。
bandwidth-rate-limitスケジュールは、、 AWS Software Development Kit (SDK) AWS マネジメントコンソール、または AWS Storage Gateway API を使用して設定できます (*AWS Storage Gateway API リファレンス*の[UpdateBandwidthRateLimitSchedule](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_UpdateBandwidthRateLimitSchedule.html)」を参照してください)。帯域幅レート制限スケジュールを使用すると、制限が 1 日または 1 週間を通して自動的に変更されるように設定できます。詳細については、「[Storage Gateway コンソールを使用して、ゲートウェイの帯域幅レート制限スケジュールを表示および編集します。](#SchedulingBandwidthThrottling)」を参照してください。
Storage Gateway コンソールまたは Amazon CloudWatch の [**Monitoring (モニタリング)**] タブの `CloudBytesUploaded` メトリクスを通じて、Storage Gateway のアップロードスループットをモニタリングできます。
**注記**
帯域幅のレート制限は、Storage Gateway ファイルのアップロードにのみ適用されます。他のゲートウェイオペレーションは影響を受けません。
帯域幅レート制限は、アップロードされるすべてのファイルのスループットを 1 秒あたりに平均して調整することで機能します。アップロードがマイクロ秒単位またはミリ秒単位で帯域幅レート制限を一時的に超えることもありますが、これによって長時間にわたって大きなスパイクが発生することは通常ありません。
帯域幅レート制限の設定とスケジュールは、Amazon FSx ファイルゲートウェイタイプでは現在サポートされていません。
**Topics**
+ [Storage Gateway コンソールを使用して、ゲートウェイの帯域幅レート制限スケジュールを表示および編集します。](#SchedulingBandwidthThrottling)
+ [を使用したゲートウェイ帯域幅レート制限の更新 AWS SDK for Java](#MaintenanceUpdateBandwidthJava-common)
+ [を使用したゲートウェイ帯域幅レート制限の更新 AWS SDK for .NET](#MaintenanceUpdateBandwidthDotNet-common)
+ [を使用したゲートウェイ帯域幅レート制限の更新 AWS Tools for Windows PowerShell](#MaintenanceUpdateBandwidthPowerShell-common)
## Storage Gateway コンソールを使用して、ゲートウェイの帯域幅レート制限スケジュールを表示および編集します。
このセクションでは、ゲートウェイの帯域幅レート制限スケジュールを表示および編集する方法について説明します。
**帯域幅レート制限スケジュールを表示および編集するには**
1. Storage Gateway コンソール ([https://console.aws.amazon.com/storagegateway/home](https://console.aws.amazon.com/storagegateway/)) を開きます。
1. 左側のナビゲーションペインで **[ゲートウェイ]** を選択してから、管理対象のゲートウェイを選択します。
1. **[Actions (アクション)]** で、**[Edit bandwidth rate limit schedule (帯域幅レート制限スケジュールの編集)]** を選択します。
ゲートウェイの帯域幅レート制限スケジュールは、[**帯域幅レート制限スケジュールの編集**] ダイアログボックスに表示されます。デフォルトでは、新規のゲートウェイには、帯域幅レート制限が定義されていません。
1. (オプション) [**新しい帯域幅レート制限を追加**] を選択して、設定可能な新しい間隔をスケジュールに追加します。追加する間隔ごとに、次の情報を入力します。
+ **アップロード速度** — アップロード速度の制限をメガビット/秒 (Mbps) 単位で入力します。最小値は 100 Mbps です。
+ **曜日** — 間隔を適用する定期的な曜日を選択します。間隔は、平日 (月曜日から金曜日)、週末 (土曜日と日曜日)、毎日、または毎週特定の日に適用できます。帯域幅レート制限を毎日、常に均一に適用するには、**No schedule (スケジュールなし)** を選択します。
+ **[Start time (開始時間)]** – HH:MM 形式とゲートウェイの UTC からのタイムゾーンオフセットを使用して、帯域幅期間の開始時間を入力します。
**注記**
帯域幅レート制限期間は、ここで分単位で指定した 1 分間の最初から始まります。
+ **[End time (終了時間)]** – HH:MM 形式とゲートウェイの GMT からのタイムゾーンオフセットを使用して、帯域幅期間の終了時間を入力します。
**重要**
帯域幅レート制限期間は、ここで分単位で指定した 1 分間の最後に終了します。1 時間の終わりに終了する期間をスケジュールするには、「**59**」と入力します。
連続する期間を続けてスケジュールする際に、1 時間の開始時に移行し、期間の間に中断がないようにするには、最初の期間の終了時間を「**59**」分と入力します。後の期間の開始時間は、「**00**」分と入力します。
1. (オプション) 帯域幅レート制限スケジュールが完了するまで、必要に応じて前のステップを繰り返します。スケジュールから間隔を削除する必要がある場合は、**[削除]** を選択します。
**重要**
帯域幅レート制限期間を重複させることはできません。期間の開始時間は、前の期間の終了時間より後、かつ、次の区間の開始時間より前である必要があります。
1. 完了したら、**[変更を保存]** を選択します。
## を使用したゲートウェイ帯域幅レート制限の更新 AWS SDK for Java
帯域幅レート制限をプログラムで更新することで (例えば、スケジュールされたタスクを使用することで)、一定期間にわたって制限を自動的に調整できます。次の例は、 AWS SDK for Javaを使用して、ゲートウェイの帯域幅レート制限を更新する方法を示しています。サンプルコードを使用するには、Java コンソールアプリケーションの実行について理解している必要があります。詳細については、*AWS SDK for Java デベロッパーガイド*の「[Getting Started](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/java-dg-setup.html)」を参照してください。
**Example : を使用したゲートウェイ帯域幅レート制限の更新 AWS SDK for Java**
次の Java コードの例では、ゲートウェイの帯域幅レート制限を更新します。このサンプルコードを使用するには、サービスエンドポイント、ゲートウェイ Amazon リソースネーム (ARN)、およびアップロード制限を指定する必要があります。Storage Gateway で使用可能な AWS サービスエンドポイントの一覧については、「*AWS 全般のリファレンス*」の「[AWS Storage Gateway エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/sg.html)」でご確認ください。
```
import java.io.IOException;
import com.amazonaws.AmazonClientException;
import com.amazonaws.auth.PropertiesCredentials;
import com.amazonaws.services.storagegateway.AWSStorageGatewayClient;
import com.amazonaws.services.storagegateway.model. UpdateBandwidthRateLimitScheduleRequest;
import com.amazonaws.services.storagegateway.model. UpdateBandwidthRateLimitScheduleReturn;
import java.util.Arrays;
import java.util.Collections;
import java.util.List;
public class UpdateBandwidthExample {
public static AWSStorageGatewayClient sgClient;
// The gatewayARN
public static String gatewayARN = "*** provide gateway ARN ***";
// The endpoint
static String serviceURL = "https://storagegateway.us-east-1.amazonaws.com";
// Rates
static long uploadRate = 100 * 1024 * 1024; // Bits per second, minimum 100 Megabits/second
public static void main(String[] args) throws IOException {
// Create a Storage Gateway client
sgClient = new AWSStorageGatewayClient(new PropertiesCredentials(
UpdateBandwidthExample.class.getResourceAsStream("AwsCredentials.properties")));
sgClient.setEndpoint(serviceURL);
UpdateBandwidth(gatewayARN, uploadRate, null); // download rate not supported by S3 File Gateways
}
private static void UpdateBandwidth(String gatewayArn, long uploadRate, long downloadRate) {
try
{
BandwidthRateLimit bandwidthRateLimit = new BandwidthRateLimit(downloadRate, uploadRate);
BandwidthRateLimitInterval noScheduleInterval = new BandwidthRateLimitInterval()
.withBandwidthRateLimit(bandwidthRateLimit)
.withDaysOfWeek(Arrays.asList(1, 2, 3, 4, 5, 6, 0))
.withStartHourOfDay(0)
.withStartMinuteOfHour(0)
.withEndHourOfDay(23)
.withEndMinuteOfHour(59);
UpdateBandwidthRateLimitScheduleRequest updateBandwidthRateLimitScheduleRequest =
new UpdateBandwidthRateLimitScheduleRequest()
.withGatewayARN(gatewayArn)
.with BandwidthRateLimitIntervals(Collections.singletonList(noScheduleInterval));
UpdateBandwidthRateLimitScheduleReturn updateBandwidthRateLimitScheuduleResponse = sgClient.UpdateBandwidthRateLimitSchedule(updateBandwidthRateLimitScheduleRequest);
String returnGatewayARN = updateBandwidthRateLimitScheuduleResponse.getGatewayARN();
System.out.println("Updated the bandwidth rate limits of " + returnGatewayARN);
System.out.println("Upload bandwidth limit = " + uploadRate + " bits per second");
}
catch (AmazonClientException ex)
{
System.err.println("Error updating gateway bandwith.\n" + ex.toString());
}
}
}
```
## を使用したゲートウェイ帯域幅レート制限の更新 AWS SDK for .NET
帯域幅レート制限をプログラムで更新することで (例えば、スケジュールされたタスクを使用することで)、一定期間にわたって制限を自動的に調整できます。次の例は、.NET 用 AWS Software Development Kit (SDK) を使用してゲートウェイの帯域幅レート制限を更新する方法を示しています。サンプルコードを使用するには、.NET コンソールアプリケーションの実行について理解している必要があります。詳細については、*AWS SDK for .NET デベロッパーガイド*の「[Getting Started](https://docs.aws.amazon.com/sdk-for-net/latest/developer-guide/net-dg-setup.html)」を参照してください。
**Example : を使用してゲートウェイ帯域幅レート制限を更新する AWS SDK for .NET**
次の C\$1 コードの例では、ゲートウェイの帯域幅レート制限を更新します。このサンプルコードを使用するには、サービスエンドポイント、ゲートウェイ Amazon リソースネーム (ARN)、およびアップロード制限を指定する必要があります。Storage Gateway で使用可能な AWS サービスエンドポイントの一覧については、「*AWS 全般のリファレンス*」の「[AWS Storage Gateway エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/sg.html)」でご確認ください。
```
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using Amazon.StorageGateway;
using Amazon.StorageGateway.Model;
namespace AWSStorageGateway
{
class UpdateBandwidthExample
{
static AmazonStorageGatewayClient sgClient;
static AmazonStorageGatewayConfig sgConfig;
// The gatewayARN
public static String gatewayARN = "*** provide gateway ARN ***";
// The endpoint
static String serviceURL = "https://storagegateway.us-east-1.amazonaws.com";
// Rates
static long uploadRate = 100 * 1024 * 1024; // Bits per second, minimum 100 Megabits/second
public static void Main(string[] args)
{
// Create a Storage Gateway client
sgConfig = new AmazonStorageGatewayConfig();
sgConfig.ServiceURL = serviceURL;
sgClient = new AmazonStorageGatewayClient(sgConfig);
UpdateBandwidth(gatewayARN, uploadRate, null);
Console.WriteLine("\nTo continue, press Enter.");
Console.Read();
}
public static void UpdateBandwidth(string gatewayARN, long uploadRate, long downloadRate)
{
try
{
BandwidthRateLimit bandwidthRateLimit = new BandwidthRateLimit(downloadRate, uploadRate);
BandwidthRateLimitInterval noScheduleInterval = new BandwidthRateLimitInterval()
.withBandwidthRateLimit(bandwidthRateLimit)
.withDaysOfWeek(Arrays.asList(1, 2, 3, 4, 5, 6, 0))
.withStartHourOfDay(0)
.withStartMinuteOfHour(0)
.withEndHourOfDay(23)
.withEndMinuteOfHour(59);
List bandwidthRateLimitIntervals = new List();
bandwidthRateLimitIntervals.Add(noScheduleInterval);
UpdateBandwidthRateLimitScheduleRequest updateBandwidthRateLimitScheduleRequest =
new UpdateBandwidthRateLimitScheduleRequest()
.withGatewayARN(gatewayARN)
.with BandwidthRateLimitIntervals(bandwidthRateLimitIntervals);
UpdateBandwidthRateLimitScheduleReturn updateBandwidthRateLimitScheuduleResponse = sgClient.UpdateBandwidthRateLimitSchedule(updateBandwidthRateLimitScheduleRequest);
String returnGatewayARN = updateBandwidthRateLimitScheuduleResponse.GatewayARN;
Console.WriteLine("Updated the bandwidth rate limits of " + returnGatewayARN);
Console.WriteLine("Upload bandwidth limit = " + uploadRate + " bits per second");
}
catch (AmazonStorageGatewayException ex)
{
Console.WriteLine("Error updating gateway bandwith.\n" + ex.ToString());
}
}
}
}
```
## を使用したゲートウェイ帯域幅レート制限の更新 AWS Tools for Windows PowerShell
帯域幅レート制限をプログラムで更新することで (例えば、スケジュールされたタスクを使用することで)、一定期間にわたって制限を自動的に調整できます。次の例は、 AWS Tools for Windows PowerShellを使用して、ゲートウェイの帯域幅レート制限を更新する方法を示しています。サンプルコードを使用するには、PowerShell スクリプトの実行について理解している必要があります。詳細については、*AWS Tools for PowerShell ユーザーガイド*の「[使用開始](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-started.html)」を参照してください。
**Example : を使用してゲートウェイ帯域幅レート制限を更新する AWS Tools for Windows PowerShell**
次の PowerShell スクリプトの例では、ゲートウェイの帯域幅レート制限を更新します。このサンプルスクリプトを使用するには、ゲートウェイ Amazon リソースネーム (ARN)、およびアップロード制限を指定する必要があります。
```
<#
.DESCRIPTION
Update Gateway bandwidth limits schedule
.NOTES
PREREQUISITES:
1) AWS Tools for PowerShell from https://aws.amazon.com/powershell/
2) Credentials and region stored in session using Initialize-AWSDefault.
For more info, see https://docs.aws.amazon.com/powershell/latest/userguide/specifying-your-aws-credentials.html
.EXAMPLE
powershell.exe .\SG_UpdateBandwidth.ps1
#>
$UploadBandwidthRate = 100 * 1024 * 1024
$gatewayARN = "*** provide gateway ARN ***"
$bandwidthRateLimitInterval = New-Object Amazon.StorageGateway.Model.BandwidthRateLimitInterval
$bandwidthRateLimitInterval.StartHourOfDay = 0
$bandwidthRateLimitInterval.StartMinuteOfHour = 0
$bandwidthRateLimitInterval.EndHourOfDay = 23
$bandwidthRateLimitInterval.EndMinuteOfHour = 59
$bandwidthRateLimitInterval.DaysOfWeek = 0,1,2,3,4,5,6
$bandwidthRateLimitInterval.AverageUploadRateLimitInBitsPerSec = $UploadBandwidthRate
#Update Bandwidth Rate Limits
Update-SGBandwidthRateLimitSchedule -GatewayARN $gatewayARN `
-BandwidthRateLimitInterval @($bandwidthRateLimitInterval)
$schedule = Get-SGBandwidthRateLimitSchedule -GatewayARN $gatewayARN
Write-Output("`nGateway: " + $gatewayARN);
Write-Output("`nNew bandwidth throttle schedule: " + $schedule.BandwidthRateLimitIntervals.AverageUploadRateLimitInBitsPerSec)
```