すべてのプロダクト
Search

このプロダクト

    File Storage NAS:権限グループの管理

    ドキュメントセンター

    File Storage NAS:権限グループの管理

    最終更新日:Oct 09, 2024

    Apsara File Storage NAS (NAS) では、各権限グループはホワイトリストを表します。 データアクセスのセキュリティを確保するために、カスタム権限グループを作成し、特定のIPアドレスまたはCIDRブロックに異なるアクセス権限を付与するルールを追加できます。

    背景情報

    NASを有効化すると、"CLASSIC default permission group (all allowed)" という名前の権限グループ、または "VPC default permission group (all allowed)" という名前の権限グループが作成されます。 デフォルトの権限グループでは、すべてのIPアドレスからクラシックネットワークまたは仮想プライベートクラウド (VPC) のファイルシステムへの読み取りおよび書き込みアクセスが許可されます。 Linuxシステムユーザーには制限が指定されていません。 デフォルトの権限グループを削除または変更することはできません。

    重要

    デフォルトのアクセス許可グループがビジネス要件を満たしていない場合は、カスタムアクセス許可グループを作成し、特定のIPアドレスまたはCIDRブロックに異なるアクセス許可を付与するルールを追加できます。

    制限事項

    • 各Alibaba Cloudアカウントを使用して、1つのリージョンに最大20の権限グループを作成できます。

    • 各権限グループに最大300のルールを追加できます。

    • VPCに対してのみ権限グループを作成できます。

    手順

    説明

    データのセキュリティを確保するために、必要なIPアドレスまたはCIDRブロックにのみルールを追加することを推奨します。

    1. NASコンソールにログインします。

    2. 権限グループを作成します。

      1. 左側のナビゲーションウィンドウで、ファイルシステム > 権限グループを選択します。

      2. 上部のナビゲーションバーで、リージョンを選択します。

      3. [権限グループ] ページで、汎用 NAS または 速度 NAS タブをクリックします。 次に、作成許可グループ をクリックします。

      4. 権限グループの作成ダイアログボックスで、必要なパラメーターを設定します。

        新建权限组

        次の表で、関連パラメーターについて説明します。

        パラメーター

        説明

        名前

        権限グループの名前。 制限事項

        • 先頭は英字とする必要があります。

        • 名前には、英数字、アンダースコア (_) 、およびハイフン (-) を使用できます。

        • 名前には漢字を使用できません。

        • 既存の権限グループと同じ名前にすることはできません。

        ネットワークタイプ

        VPCのみがサポートされています。

        説明

        2022年11月21日以降、汎用NASファイルシステム用のクラシックネットワーク権限グループは作成できません。 2022年11月21日より前に作成されたクラシックネットワーク権限グループは引き続き使用できます。

    3. 権限グループにルールを追加します。

      1. 作成した権限グループを見つけ、[操作] 列の 管理ルール をクリックします。 表示されるページで、ルールの作成 をクリックします。 [ルールの作成] ダイアログボックスで、次の表に示すパラメーターを設定します。

        パラメーター

        説明

        権限付与タイプ

        承認するIPアドレスまたはCIDRブロックのタイプ。 有効な値: IPv4アクセスアドレスおよびIPv6アクセスアドレス

        IPv6をサポートするリージョンの表示

        エクストリームNASファイルシステム: 中国 (フフホト) 、中国 (成都) 、中国 (張家口) 、中国 (深セン) 、中国 (上海) 、中国 (杭州) 、中国 (北京) 、中国 (青島) 。

        汎用NASファイルシステム: 米国 (バージニア州) 、ドイツ (フランクフルト) 、フィリピン (マニラ) 。

        許可されたアドレス

        ルールが適用される権限付与オブジェクト。

        読み取り / 書き込み権限

        許可オブジェクトからファイルシステムへの読み取り専用アクセスまたは読み取りおよび書き込みアクセスを許可するかどうかを指定します。 有効な値: 読み取り専用および読み書き

        ユーザー権限

        Linuxユーザーからファイルシステムへのアクセスを制限するかどうかを指定します。 このパラメーターは、Server Message Block (SMB) ファイルシステムでは無効です。

        • すべてのユーザーはない匿名 (no_squash): ルートユーザーからファイルシステムへのアクセスを許可します。

        • ルートユーザー anonymity (root_squash): rootユーザーをnobodyユーザーにマッピングします。

        • すべてのユーザー匿名 (all_squash): すべてのユーザーを誰もいないユーザーにマップします。

        noneユーザーはLinuxで最も少ない権限を持ち、ファイルシステムのパブリックコンテンツにのみアクセスできます。 これにより、ファイルシステムのセキュリティが確保されます。

        優先度

        ルールの優先度。 複数のルールが権限付与オブジェクトに適用される場合、優先度が最も高いルールが有効になります。 設定可能な値は 1~100 です。 値1は、最も高い優先度を示す。

        説明

        複数のルールに重複するCIDRブロック、異なる権限、および同じ優先順位がある場合、最初に追加したルールが有効になります。 ルールで重複するCIDRブロックを指定しないでください。

      2. OKをクリックします。

    次のステップ

    [権限グループ] ページでは、次の表に示す操作を実行できます。

    API 操作

    説明

    権限グループのリストと各権限グループの詳細を表示する

    リージョンに作成された権限グループと各権限グループの詳細を表示します。 詳細には、ネットワークタイプ、ルールの数、および関連するファイルシステムの数が含まれます。

    権限グループの変更

    権限グループを見つけ、[操作] 列の 編集 をクリックして、権限グループの説明を変更します。

    権限グループの削除

    権限グループを検索し、[操作] 列の 削除 をクリックして権限グループを削除します。

    ルールのリストを表示する

    権限グループを見つけ、[操作] 列の 管理ルール をクリックして、権限グループ内のルールのリストを表示します。

    ルールを変更する

    権限グループを見つけて、[操作] 列の 管理ルール をクリックします。 表示されるページでルールを見つけ、[操作] 列の 編集 をクリックします。 [ルールの編集] ダイアログボックスで、許可されたアドレス、読み取り /書き込み権限、ユーザー権限、および優先度のパラメーターを変更します。

    ルールを削除する

    権限グループを見つけて、[操作] 列の 管理ルール をクリックします。 表示されるページでルールを見つけ、[操作] 列の 削除 をクリックしてルールを削除します。

    関連ドキュメント

    転送中の暗号化機能を使用して、Elastic Compute Service (ECS) インスタンスとNASファイルシステム間で送信されるデータを、傍受や改ざんから保護できます。 詳細については、「NFSファイルシステムの転送中の暗号化」または「SMBファイルシステムの転送中の暗号化」をご参照ください。