本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 创建 SMB 文件共享
服务器消息块(SMB)协议已深度集成到 Microsoft Windows 产品套件中,并且仍然是 Windows 操作系统的默认文件共享协议。客户端-服务器通信的过程大体上与 NFS 类似,但在某些细节和运行机制上存在差异。例如,在 SMB 中,文件系统不挂载在本地 SMB 客户端上。而是通过网络路径访问托管在 SMB 服务器上的网络共享。
本节中的主题说明了为文件网关创建 SMB 文件共享的各种方法。
**Contents**
+ [使用默认配置创建 SMB 文件共享](smb-fileshare-quickstart-settings.md)
+ [SMB 文件共享的默认配置设置](smb-fileshare-quickstart-settings.md#quickstart-default-settings)
+ [使用自定义配置创建 SMB 文件共享](CreatingAnSMBFileShare.md)
# 使用默认配置创建 SMB 文件共享
本部分介绍如何使用预配置的默认设置创建新的服务器消息块(SMB)文件共享。使用此方法进行基本部署、个人使用和测试,或作为快速部署多个文件共享的途径。这些共享后续可进行编辑和自定义。有关使用此过程创建的文件共享的默认设置列表,请参阅 [SMB 文件共享的默认配置设置](https://docs.aws.amazon.com/filegateway/latest/files3/smb-fileshare-quickstart-settings.html#quickstart-default-settings)。如果您需要更精细的控制或想要对文件共享使用高级设置,请参阅[使用自定义配置创建 SMB 文件共享](https://docs.aws.amazon.com/filegateway/latest/files3/CreatingAnSMBFileShare.html)。
**注意**
如果您需要通过虚拟私有云(VPC)将文件共享连接到 Amazon S3,则必须按照自定义配置程序进行操作。创建文件共享后,您无法对其 VPC 设置进行编辑。
**重要**
从文件网关上传数据时,使用 S3 版本控制、跨区域复制或 Rsync 实用程序可能会显著影响成本。有关更多信息,请参阅在[从文件网关上传数据时避免意外成本](https://docs.aws.amazon.com/filegateway/latest/files3/avoid-unanticipated-costs.html)。
**先决条件**
创建文件共享之前,请执行以下操作:
+ 为您的文件网关配置 SMB 安全设置。有关说明,请参阅[为网关设置安全级别](https://docs.aws.amazon.com/filegateway/latest/files3/security-strategy.html)。
+ 可以配置 Microsoft Active Directory 或来宾访问以进行身份验证。有关说明,请参阅[使用 Active Directory 对用户进行身份验证](https://docs.aws.amazon.com/filegateway/latest/files3/enable-ad-settings.html)或[向来宾提供对文件共享的访问权限](https://docs.aws.amazon.com/filegateway/latest/files3/guest-access.html)。
+ 确保在您的安全组中所需的端口已打开。有关更多信息,请参阅[端口要求](https://docs.aws.amazon.com/filegateway/latest/files3/Resource_Ports.html)。
**要使用默认配置创建 SMB 文件共享:**
1. 在家中 [https://console.aws.amazon.com/storagegateway//](https://console.aws.amazon.com/storagegateway/home/)打开 AWS Storage Gateway 控制台,然后从左侧导航窗格中选择**文件共享**。
1. 选择**创建文件共享**。
1. 对于**网关**,请从下拉列表中选择 Amazon S3 文件网关。
1. 对于**文件共享协议**,请选择 **SMB**。
1. 对于 **S3 存储桶**,请执行以下操作之一:
+ 从下拉列表中选择账户中的现有 Amazon S3 存储桶。
+ 从下拉列表中选择**其他账户中的存储桶**,然后在**跨账户存储桶名称**中输入该存储桶的名称。
+ 选择**创建新 S3 存储桶**,然后选择新存储桶的 Amazon S3 端点所在的 AWS 区域 ,并输入唯一的 **S3 存储桶名称**。完成后,选择**创建 S3 存储桶**。
有关如何创建新存储桶的信息,请参阅《Amazon S3 用户指南》中的[如何创建 S3 存储桶?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html)。
**注意**
S3 文件网关不支持存储桶名称中带有句点(`.`)的 Amazon S3 存储桶。
确保您的存储桶名称符合 Amazon S3 中的存储桶命名规则。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》**中的[存储桶命名规则](https://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html#bucketnamingrules)。
1. **用户身份验证**,从下拉列表中选择要使用的身份验证方法:
+ 要使用你的公司 Microsoft Active Directory 或 AWS Managed Microsoft AD 验证用户对你的 SMB 文件共享的访问权限,请选择 A **ctive Direc** 您的网关必须加入域才能使用此方法。有关更多信息,请参阅[使用 Active Directory 对用户进行身份验证](https://docs.aws.amazon.com/filegateway/latest/files3/enable-ad-settings.html)。
**注意**
要 AWS Managed Microsoft AD 与 Amazon EC2 网关一起使用,您必须在与相同的 VPC 中创建 Amazon EC2 实例 AWS Managed Microsoft AD,将`_workspaceMembers`安全组添加到 Amazon EC2 实例,然后使用中的管理员证书加入 AD 域 AWS Managed Microsoft AD。
有关的更多信息 AWS Managed Microsoft AD,请参阅《[https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)。
有关 Amazon EC2 的更多信息,请参阅 [https://docs.aws.amazon.com/ec2/](https://docs.aws.amazon.com/ec2/)。
如果**加入状态**表明您的网关已加入 Active Directory 域,请继续下一步。否则,请执行以下操作:
1. 选择**配置**。
1. 在**域**中,输入您希望网关加入的 Active Directory 域的名称。
1. 输入网关用于加入域的**用户名**和**密码**。
1. (可选)对于**组织单元(OU)**,输入您的 Active Directory 用于新计算机对象的指定 OU。
1. (可选)对于**域控制器(DC)**,输入网关将通过其连接到 Active Directory 的 DC 的名称。您可以将此字段留空以允许 DNS 自动选择 DC。
1. 选择**加入 Active Directory**。
**注意**
加入域后,将在默认容器(不是组织单元)中创建一个 Active Directory 账户,使用网关 ID 作为账户名(例如 SGW-1234ADE)。此账户的名称无法自定义。
如果您的 Active Directory 环境要求您预先设置账户以简化域加入流程,则需要提前创建此账户。
如果您的 Active Directory 环境为新的计算机对象指定了 OU,则在加入域时必须指定该 OU。
+ 要向提供您配置的来宾密码的任何人员授予受密码保护的访问权限,请选择**来宾访问**。您的文件网关无需加入 Microsoft Active Directory 域即可使用此方法。选择**配置**以指定您的**来宾密码**,然后选择**保存**。
1. 查看**默认配置**下的设置,然后选择**创建文件共享**,使用默认配置创建新的 SMB 文件共享。
创建 SMB 文件共享后,您可以在 AWS Storage Gateway 控制台文件共享的**详细信息**选项卡上查看其配置设置。有关挂载文件共享的信息,请参阅在[客户端上挂载 SMB 文件共享](https://docs.aws.amazon.com/filegateway/latest/files3/using-smb-fileshare.html)。
## SMB 文件共享的默认配置设置
以下设置适用于您使用默认配置创建的所有新 SMB 文件共享。创建文件共享后,您可以从 AWS Storage Gateway 控制台**的文件共享**页面中选择该文件共享,以查看有关其配置的详细信息。
**重要**
默认 SMB 文件共享配置为映射到文件共享的 S3 存储桶的所有者提供完全的文件控制和访问权限,即使该存储桶归其他 Amazon Web Services 账户所有。有关使用文件共享访问其他账户拥有的存储桶中对象的更多信息,请参阅[使用文件共享进行跨账户访问](https://docs.aws.amazon.com/filegateway/latest/files3/add-file-share.html#cross-account-access)。
| 设置 | 默认值 | 注意 |
| --- | --- | --- |
| **亚马逊 S3 地点** | 文件共享直接连接到 Amazon S3 存储桶,并且与存储桶的名称相同。您的网关使用此存储桶来存储和检索文件。 | 该名称不包括前缀。 |
| **AWS PrivateLink 适用于 S3** | 文件共享无法通过虚拟私有云(VPC)中的接口终端点连接到 Amazon S3。 | |
| **文件上传通知** | 关 | |
| **新对象的存储类别** | Amazon S3 Standard | 将您经常访问的对象数据冗余存储在地理上分开的多个可用区中。有关 Amazon S3 Standard 存储类别的更多信息,请参阅《Amazon Simple Storage Service 用户指南》**中的[经常访问对象的存储类别](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-class-intro.html#sc-freq-data-access)。 |
| **加密** | 具有 S3 托管密钥的服务器端加密(SSE-S3) | 默认情况下,S3 文件网关上传、更新或修改的所有 Amazon S3 对象都使用具有 Amazon S3 托管密钥的服务器端加密进行加密。
|
| **对象元数据** | 猜测 MIME 类型 | 这允许 Storage Gateway 根据文件扩展名猜测已上传对象的多用途 Internet 邮件扩展(MIME)类型。 此选项要求为与您的文件共享关联的 Amazon S3 存储桶启用访问控制列表 (ACLs)。如果 ACLs 是 关闭后,文件共享将无法访问 Amazon S3 存储桶,并且仍处于 “**不可用**” 状态 无限期地。
|
| **基于访问的枚举** | 未激活 | 在目录枚举过程中,文件共享上的文件和文件夹对所有用户可见。基于访问的枚举是一个筛选枚举的系统 SMB 文件共享上的文件和文件夹,具体取决于共享的访问权限 控制清单 (ACLs)。 |
| **启用申请方付款** | 关 | 有关更多信息,请参阅[申请方付款存储桶](https://docs.aws.amazon.com/AmazonS3/latest/dev/RequesterPaysBuckets.html)。 |
| **操作锁定** | 开 | 这让文件共享可以使用操作锁定来优化文件缓冲策略。
在大多数情况下,激活操作锁定可改善性能,尤其是在 Windows 上下文菜单方面。 |
| **审核日志** | 关 | 默认情况下,登录 Amazon CloudWatch 群组处于关闭状态。 |
| **强制区分大小写** | 关 | 这让客户端可以控制区分大小写。 |
| **访问 S3 存储桶** | 创建新的 IAM 角色 |
默认选项允许文件网关代表您创建新的 IAM 角色和访问策略。 |
# 使用自定义配置创建 SMB 文件共享
按照以下步骤创建包含自定义配置的服务器消息块(SMB)文件共享。要使用默认配置设置创建 SMB 文件共享,请参阅[使用默认配置创建 SMB 文件共享](https://docs.aws.amazon.com/filegateway/latest/files3/smb-fileshare-quickstart-settings.html)。
**重要**
从文件网关上传数据时,使用 S3 版本控制、跨区域复制或 Rsync 实用程序可能会显著影响成本。有关更多信息,请参阅在[从文件网关上传数据时避免意外成本](https://docs.aws.amazon.com/filegateway/latest/files3/avoid-unanticipated-costs.html)。
**先决条件**
创建文件共享之前,请执行以下操作:
+ 为您的文件网关配置 SMB 安全设置。有关说明,请参阅[为网关设置安全级别](https://docs.aws.amazon.com/filegateway/latest/files3/security-strategy.html)。
+ 可以配置 Microsoft Active Directory 或来宾访问以进行身份验证。有关说明,请参阅[使用 Active Directory 对用户进行身份验证](https://docs.aws.amazon.com/filegateway/latest/files3/enable-ad-settings.html)或[向来宾提供对文件共享的访问权限](https://docs.aws.amazon.com/filegateway/latest/files3/guest-access.html)。
+ 确保在您的安全组中所需的端口已打开。有关更多信息,请参阅[端口要求](https://docs.aws.amazon.com/filegateway/latest/files3/Resource_Ports.html)。
**使用自定义设置创建 SMB 文件共享**
1. 在家中 [https://console.aws.amazon.com/storagegateway//](https://console.aws.amazon.com/storagegateway/home/)打开 AWS Storage Gateway 控制台,然后从左侧导航窗格中选择**文件共享**。
1. 选择**创建文件共享**。
1. 选择**自定义配置**。您可以暂时忽略此窗格中的其他字段。在后续步骤中,系统将提示您配置网关、协议和存储设置。
1. 对于**网关**,请从下拉列表中选择 Amazon S3 文件网关。
1. 对于**CloudWatch 日志组**,请从下拉列表中选择以下选项之一:
+ 要关闭此文件共享的日志记录,请选择**禁用日志记录**。
+ 要自动为此文件共享创建新的日志组,请选择**由 Storage Gateway 创建**。
+ 要将此文件共享的运行状况和资源通知发送到现有日志组,请从列表中选择所需的组。
有关审核日志的更多信息,请参阅[了解 S3 文件网关审核日志](https://docs.aws.amazon.com/filegateway/latest/files3/monitoring-file-gateway.html#audit-logs)。
1. (可选)在**标签 - 可选**下,选择**添加新标签**,然后输入文件共享的**键**和**值**。标签是区分大小写的键值对,有助于您对 Storage Gateway 资源进行分类。添加标签可以更轻松地筛选和搜索文件共享。您可以重复此步骤以添加至多 50 个标签。
完成后,选择**下一步**。
1. 对于 **S3 存储桶**,请执行以下任一操作来指定在何处存储和检索文件:
+ 要将文件共享直接连接到 Amazon Web Services 账户中的现有 S3 存储桶,请从下拉列表中选择存储桶名称。
+ 要将文件共享关联到 Amazon Web Services 账户拥有的现有 S3 存储桶,而不是您用于创建文件共享的账户,请从下拉列表中选择**另一个账户中的存储桶**,然后输入**跨账户存储桶名称**。
+ 要将文件共享连接到新的 S3 存储桶,请选择**创建新的 S3 存储桶**,然后选择新存储桶的 Amazon S3 端点所在的**区域**,并输入唯一的 **S3 存储桶名称**。完成后,选择**创建 S3 存储桶**。有关创建新存储桶的更多信息,请参阅《Amazon S3 用户指南》中的[如何创建 S3 存储桶?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html)。
+ 要使用接入点名称将文件共享连接到 S3 存储桶,请从下拉列表中选择 **Amazon S3 接入点名称**,然后输入**接入点名称**。如果需要创建新的接入点,可以选择**创建 S3 接入点**。有关详细说明,请参阅《Amazon S3 用户指南》中的[创建接入点](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-access-points.html)。有关接入点的更多信息,请参阅《Amazon S3 用户指南》中的[使用 Amazon S3 接入点管理数据访问](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points.html)和[将访问控制委派到接入点](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-policies.html#access-points-delegating-control)。
+ 要使用接入点别名将文件共享连接到 S3 存储桶,请从下拉列表中选择 **Amazon S3 接入点别名**,然后输入**接入点别名**。如果需要创建新的接入点,可以选择**创建 S3 接入点**。有关详细说明,请参阅《Amazon S3 用户指南》中的[创建接入点](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-access-points.html)。有关接入点别名的信息,请参阅《Amazon S3 用户指南》中的[为接入点使用存储桶样式的别名](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-alias.html)。
**注意**
每个文件共享只能连接到一个 S3 存储桶,但多个文件共享可连接到同一个存储桶。如果您将多个文件共享连接到同一个存储桶,则必须将每个文件共享配置为使用唯一的、不重叠的 **S3 存储桶前缀**,以防止 read/write 冲突。
S3 文件网关不支持存储桶名称中带有句点(`.`)的 Amazon S3 存储桶。
确保您的存储桶名称符合 Amazon S3 中的存储桶命名规则。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》**中的[存储桶命名规则](https://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html#bucketnamingrules)。
1. (可选)对于 **S3 存储桶前缀**,输入文件共享的前缀,以应用于其在 Amazon S3 中创建的对象。前缀是在 S3 中组织数据的方式,类似于传统文件结构中的目录。有关更多信息,请参阅《Amazon S3 用户指南》中的[使用前缀组织对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html)。
**注意**
如果您将多个文件共享连接到同一个存储桶,则必须将每个文件共享配置为使用唯一的、不重叠的前缀以防止 read/write 冲突。
前缀必须以正斜杠(/)结尾。
文件共享后,前缀无法修改或删除。
1. 对于**区域**,从下拉列表中选择存储桶的 S3 终端节点所在的位置。 AWS 区域 仅当您在另一个账户中为 **S3 存储桶指定接入点或存储桶时,才会显示此字段**。
1. **对于新对象的存储类别**,请从下拉列表中选择一个存储类别。有关存储类别的更多信息,请参阅[使用文件网关的存储类别](https://docs.aws.amazon.com/filegateway/latest/files3/storage-classes.html#ia-file-gateway)。
1. 对于 **IAM 角色**,请执行以下任一操作为您的文件共享配置 IAM 角色:
+ 要自动创建具有文件共享正常运行所需权限的新 IAM 角色,请从下拉列表中选择**由 Storage Gateway 创建**。
+ 要使用现有 IAM 角色,从下拉列表中选择该角色。
+ 要创建新的 IAM 角色,请选择**创建角色**。有关更多说明,请参阅《 AWS Identity and Access Management 用户指南》中的[创建角色以向 AWS 服务委派权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
有关 IAM 角色如何控制文件共享和 S3 存储桶之间访问权限的更多信息,请参阅[授予对 Amazon S3 存储桶的访问权限](https://docs.aws.amazon.com/filegateway/latest/files3/add-file-share.html#grant-access-s3)。
1. 对于**私有链接**,只有当您需要将文件共享配置为 AWS 使用虚拟私有云 (VPC) 中的私有终端节点进行通信时,才执行以下操作。否则,请跳过此步骤。有关更多信息,请参阅[什么是 AWS PrivateLink?](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) 在 AWS PrivateLink 指南中。
1. 选择**使用 VPC 端点**。
1. 对于**通过下列方式识别 VPC 端点**,请执行下列操作之一:
+ 选择 **VPC 端点 ID**,然后从 **VPC 端点下拉列表中选择要使用的端点**。
+ 选择 **DNS 名称**,然后输入要使用的端点的 **DNS 名称**。
1. 对于**加密**,选择要用于加密文件网关在 Amazon S3 中存储的对象的加密密钥类型:
+ 要使用由 Amazon S3 托管的服务器端加密(SSE-S3),请选择 **S3 托管密钥(SSE-S3)**。
有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》**中的[使用 Amazon S3 托管密钥的服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。
+ 要使用由 AWS 密钥管理服务 (SSE-KMS) 管理的服务器端加密,请选择 KMS **管理的密钥 (SSE-K** MS)。对于**主 KMS 密钥**,请选择现有的 AWS KMS 密钥,或者选择**创建新的 KMS 密钥**以在密 AWS 钥管理服务 (AWS KMS) 控制台中创建新的 KMS 密钥。
有关的更多信息 AWS KMS,请参阅[什么是 AWS 密钥管理服务?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 在《*AWS Key Management Service 开发人员指南》*中。
+ 要使用由 AWS 密钥管理服务 (DSSE-KMS) 管理的双层服务器端加密,请选择使用密钥进行**双层服务器端加密** (DSSE-KMS)。 AWS Key Management Service 对于**主 KMS 密钥**,请选择现有的 AWS KMS 密钥,或者选择**创建新的 KMS 密钥**以在密 AWS 钥管理服务 (AWS KMS) 控制台中创建新的 KMS 密钥。
有关 DSSE-KMS 的更多信息,请参阅 A *mazon 简单存储*服务用户指南[AWS KMS 中的使用带密钥的双层服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingDSSEncryption.html)。
**注意**
使用 DSSE-KMS 和 AWS KMS 密钥需要支付额外费用。有关更多信息,请参阅[AWS KMS 定价](https://aws.amazon.com/kms/pricing/)。
要指定别名未列出的 AWS KMS 密 AWS KMS 钥或使用来自其他 AWS 账户的密钥,必须使用 AWS Command Line Interface。不支持非对称 KMS 密钥。有关更多信息,请参阅 *AWS Storage Gateway API 参考*中的[创建SMBFile共享](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_CreateSMBFileShare.html)。
**重要**
确保您的文件共享使用的加密类型,与其数据存储到的 Amazon S3 存储桶使用的加密类型相同。
1. 对于**猜测 MIME 类型**,请选择**猜测介质 MIME 类型**,以允许 Storage Gateway 根据上传对象的文件扩展名,来猜测上传对象的多用途 Internet 邮件扩展(MIME)类型。
1. 对于**文件共享名称**,输入文件共享的名称。
**注意**
有效的 SMB 文件共享名称不能包含以下字符:`[`、`]`、`#`、`;`、`<`、`>`、`:`、`"`、`\`、`/`、`|`、`?`、`*`、`+`,也不能包含 ASCII 控制字符 `1-31`。
1. 对于**上传事件**,如果您希望**网关在成功将文件上传到** Amazon S3 时记录 CloudWatch 日志事件,请选择在网关成功上传文件时记录事件。通知延迟控制最近的客户端写入操作与生成 `ObjectUploaded` 日志通知之间的延迟。由于客户端可以在短时间内对文件进行多次小规模写入,因此,建议将此参数设置为尽可能长的时间,以避免快速、连续地为同一文件生成多个通知。有关更多信息,请参阅[获取文件上传通知](https://docs.aws.amazon.com/filegateway/latest/files3/monitoring-file-gateway.html#get-file-upload-notification)。
**注意**
此设置不会影响对象上传到 S3 的时序,仅影响通知的时序。
此设置并非用于指定通知发送的确切时间。在某些情况下,网关可能需要超过指定的延迟时间来生成并发送通知。
完成后,选择**下一步**。
1. 对于**文件共享协议**,请选择 **SMB**。
1. 对于**用户身份验证**,从下拉列表中选择要使用的身份验证方法:
+ 要使用你的公司 Microsoft Active Directory 或 AWS Managed Microsoft AD 验证用户对你的 SMB 文件共享的访问权限,请选择 A **ctive Direc** 您的网关必须加入域才能使用此方法。有关更多信息,请参阅[使用 Active Directory 对用户进行身份验证](https://docs.aws.amazon.com/filegateway/latest/files3/enable-ad-settings.html)。
**注意**
要 AWS Managed Microsoft AD 与 Amazon EC2 网关一起使用,您必须在与相同的 VPC 中创建 Amazon EC2 实例 AWS Managed Microsoft AD,将`_workspaceMembers`安全组添加到 Amazon EC2 实例,然后使用中的管理员证书加入 AD 域 AWS Managed Microsoft AD。
有关的更多信息 AWS Managed Microsoft AD,请参阅《[https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)。
有关 Amazon EC2 的更多信息,请参阅 [https://docs.aws.amazon.com/ec2/](https://docs.aws.amazon.com/ec2/)。
如果**加入状态**表明您的网关已加入 Active Directory 域,请继续下一步。否则,请执行以下操作:
1. 选择**配置**。
1. 在**域**中,输入您希望网关加入的 Active Directory 域的名称。
1. 输入网关用于加入域的**用户名**和**密码**。
1. (可选)对于**组织单元(OU)**,输入您的 Active Directory 用于新计算机对象的指定 OU。
1. (可选)对于**域控制器(DC)**,输入网关将通过其连接到 Active Directory 的 DC 的名称。您可以将此字段留空以允许 DNS 自动选择 DC。
1. 选择**加入 Active Directory**。
**注意**
加入域后,将在默认容器(不是组织单元)中创建一个 Active Directory 账户,使用网关的网关 ID 作为账户名(例如 SGW-1234ADE)。此账户的名称无法自定义。
如果您的 Active Directory 环境要求您预先设置账户以简化域加入流程,则需要提前创建此账户。
如果您的 Active Directory 环境为新的计算机对象指定了 OU,则在加入域时必须指定该 OU。
+ 要向提供您配置的来宾密码的任何人员授予受密码保护的访问权限,请选择**来宾访问**。您的文件网关无需加入 Microsoft Active Directory 域即可使用此方法。选择**配置**以指定您的**来宾密码**,然后选择**保存**。
1. 对于**用户访问**,请执行以下任一操作以指定哪些 SMB 客户端可以访问您的文件共享:
+ 要向所有通过 Active Directory 成功进行身份验证的用户授予访问权限,请选择**所有通过 AD 身份验证的用户**。
+ 要允许或拒绝特定用户或组的访问,请选择**通过 AD 身份验证的特定用户或组**,然后执行以下操作:
+ 对于**允许的用户和组**,选择**添加允许的用户**或**添加允许的组**,然后输入要允许文件共享访问的 Active Directory 用户或组。重复此过程以允许所需数量的用户和组
+ 对于**拒绝的用户和组**,选择**添加拒绝的用户**或**添加拒绝的组**,然后输入要拒绝文件共享访问的 Active Directory 用户或组。重复此过程以根据需要拒绝所需数量的用户和组。
**注意**
仅当用户身份验证设置为 **Active Directory** 时,**用户和组文件共享访问**部分才会出现。
指定用户或组时,不要包括域。域名是由网关所加入的特定 Active Directory 域的成员身份隐含决定的。
1. (可选)对于**管理员用户**,输入 Active Directory 用户和组的逗号分隔列表。管理员用户有权更新文件共享中所有文件和文件夹的访问控制列表 (ACLs)。组的前缀必须为 `@` 字符,例如 `@group1`。
1. 对于**访问类型**,选择以下项之一:
+ 要允许客户端读取和写入文件共享上的文件,请选择**读/写**。
+ 要允许客户端读取文件但不能写入文件共享,请选择**只读**。
**注意**
对于在 Microsoft Windows 客户端上挂载的文件共享,如果您选择**只读**,则可能会看到有关某个意外错误阻止您创建文件夹的消息。您可以忽略此消息。
1. 对于**文件和目录访问控制方式**,选择以下选项之一:
+ 要为 SMB 文件共享中的文件和文件夹设置精细控制权限,请选择 **Windows 访问控制列表**。有关更多信息,请参阅[使用 Microsoft Windows ACLs 控制对 SMB 文件共享的访问权限](https://docs.aws.amazon.com/filegateway/latest/files3/smb-acl.html)。
+ 要使用 POSIX 权限控制对通过 SMB 文件共享存储的文件和目录的访问,请选择 **POSIX 权限**。
1. 对于**基于访问的枚举**,请执行以下任一操作:
+ 要使共享上的文件和文件夹仅对具有读取权限的用户可见,请选择**隐藏用户没有权限的文件和目录**。
+ 要在目录枚举期间让所有用户都能看到共享上的文件和文件夹,请不要选中该复选框。
**注意**
基于访问权限的枚举是一个根据共享的访问控制列表 () 筛选 SMB 文件共享上文件和文件夹枚举的系统。ACLs
1. 对于文件访问权限,请选择以下选项之一:
+ 要使用操作锁定来优化文件共享的文件缓冲策略,请选择**操作锁定**。在大多数情况下,激活操作锁定可改善性能,尤其是在 Windows 上下文菜单方面。
+ 要让网关(而不是 SMB 客户端)来控制文件名区分大小写,请选择**强制区分大小写**。
+ 要停用这两个设置,请选择**都不是**。
**注意**
为避免文件访问冲突,这些设置是互斥的,不能同时激活。
1. (可选)对于**从 S3 自动刷新缓存**,请选择**设置缓存刷新间隔**,然后使用存活时间(TTL)设置以**分钟**或**天**为单位刷新文件共享缓存的时间。TTL 指的是自上次刷新以来的时间长度。在 TTL 间隔过后,访问目录会使文件网关从 Amazon S3 存储桶刷新该目录的内容。
**注意**
在经常创建或删除大量 Amazon S3 对象的情况下,将此值设置为短于 30 分钟会对网关性能产生负面影响。
1. 对于**文件所有权和权限**,如果您希望拥有 **S3 存储桶的 AWS 账户完全控制您的文件共享写入存储桶的所有对象,请选择 “授予 S3 存储桶所有者对网关创建的文件的完全所有权,包括读取、写入、编辑和删除权限**”。
完成后,选择**下一步**。
1. 查看文件共享配置。选择**编辑**以修改您想要更改的任何部分的设置。完成后,选择**创建**。
创建 SMB 文件共享后,您可以在 AWS Storage Gateway 控制台文件共享的**详细信息**选项卡上查看其配置设置。有关挂载文件共享的说明,请参阅[在客户端上挂载 SMB 文件共享](https://docs.aws.amazon.com/filegateway/latest/files3/using-smb-fileshare.html)。