

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menggunakan Windows ACL untuk membatasi akses berbagi file SMB
<a name="smb-acl"></a>

Gateway file Amazon S3 mendukung dua metode berbeda untuk mengontrol akses ke file dan direktori yang disimpan melalui berbagi file SMB: izin POSIX, atau Windows ACL.

Bagian ini menjelaskan cara menggunakan daftar kontrol akses Microsoft Windows (ACL) pada berbagi file SMB yang menggunakan Microsoft Active Directory (AD) untuk otentikasi. Dengan menggunakan Windows ACL, Anda dapat mengatur izin halus pada file dan folder di berbagi file SMB Anda.

Berikut ini adalah beberapa karakteristik penting dari Windows ACL pada berbagi file SMB:
+ Windows ACL dipilih secara default untuk berbagi file SMB saat gateway file Anda digabungkan ke domain Active Directory.
+ Saat ACL diaktifkan, informasi ACL disimpan di metadata objek Amazon S3.
+ Gateway mempertahankan hingga 10 ACL per file atau folder.
+ Saat Anda menggunakan berbagi file SMB dengan ACL yang diaktifkan untuk mengakses objek S3 yang dibuat di luar gateway Anda, objek mewarisi informasi ACL dari folder induk.

**catatan**  
Akar ACL default untuk berbagi file SMB memberikan akses penuh ke semua orang, tetapi Anda dapat mengubah izin ACL root. Anda dapat menggunakan ACL root untuk mengontrol akses ke berbagi file. Anda dapat mengatur siapa yang dapat memasang berbagi file (memetakan drive) dan izin apa yang didapat pengguna ke file dan folder secara rekursif dalam berbagi file. Namun, kami menyarankan agar Anda menetapkan izin ini di folder tingkat atas di bucket S3 sehingga ACL Anda tetap ada.

Anda dapat mengaktifkan Windows ACL saat membuat berbagi file SMB baru dengan menggunakan operasi [CreateSMBFileShare](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_CreateSMBFileShare.html)API. Atau Anda dapat mengaktifkan Windows ACL pada berbagi file SMB yang ada dengan menggunakan operasi [UpdateSMBFileShare](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_UpdateSMBFileShare.html)API.

## Mengaktifkan Windows ACL pada Berbagi File SMB Baru
<a name="enable-acl-new-fileshare"></a>

Ambil langkah-langkah berikut untuk mengaktifkan Windows ACL pada berbagi file SMB baru.

**Untuk mengaktifkan Windows ACL saat membuat berbagi file SMB baru**

1. Buat gateway file jika Anda belum memilikinya. Untuk informasi selengkapnya, lihat [Membuat gateway Anda](create-file-gateway.md). 

1. Jika gateway tidak bergabung ke domain, tambahkan ke domain. Untuk informasi selengkapnya, lihat [Menggunakan Active Directory untuk mengautentikasi pengguna](https://docs.aws.amazon.com/filegateway/latest/files3/enable-ad-settings.html). 

1. Buat berbagi file SMB. Untuk informasi selengkapnya, silakan lihat 

1. Aktifkan Windows ACL pada file share dari konsol Storage Gateway.

   Untuk menggunakan Storage Gateway Console, lakukan hal berikut:

   1. Pilih berbagi file dan pilih **Edit berbagi file**.

   1. Untuk **File/directory akses yang dikendalikan oleh** opsi, pilih **Daftar Kontrol Akses Windows**.

1. (Opsional) Tambahkan pengguna admin ke [AdminUsersList](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_CreateSMBFileShare.html#StorageGateway-CreateSMBFileShare-request-AdminUserList), jika Anda ingin pengguna admin memiliki hak istimewa untuk memperbarui ACL pada semua file dan folder dalam berbagi file.
**catatan**  
Jika Anda telah mengonfigurasi daftar **Pengguna dan Grup yang Diizinkan dan Ditolak** di setelan berbagi file SMB, ACL tidak akan memberikan akses apa pun yang menggantikan daftar tersebut.  
Daftar **Pengguna dan Grup yang Diizinkan dan Ditolak** dievaluasi sebelum ACL, dan mengontrol pengguna mana yang dapat memasang atau mengakses berbagi file. Jika ada pengguna atau grup yang ditempatkan pada daftar **Diizinkan**, daftar dianggap aktif, dan hanya pengguna tersebut yang dapat memasang berbagi file.  
Setelah pengguna memasang file share, ACL kemudian memberikan perlindungan yang lebih terperinci yang mengontrol file atau folder tertentu yang dapat diakses pengguna.

1. Perbarui ACL untuk folder induk di bawah folder root. Untuk melakukan ini, gunakan Windows File Explorer untuk mengkonfigurasi ACL pada folder di berbagi file SMB.
**catatan**  
Jika Anda mengonfigurasi ACL di root alih-alih folder induk di bawah root, izin ACL tidak akan tetap ada di Amazon S3.

   Sebaiknya atur ACL di folder tingkat atas di bawah root berbagi file Anda, alih-alih mengatur ACL langsung di root berbagi file. Pendekatan ini mempertahankan informasi sebagai metadata objek di Amazon S3.

1. Nyalakan warisan yang sesuai.
**catatan**  
Anda dapat mengaktifkan warisan untuk berbagi file yang dibuat setelah 8 Mei 2019. 

Jika Anda mengaktifkan pewarisan dan memperbarui izin secara rekursif, Storage Gateway memperbarui semua objek di bucket S3. Bergantung pada jumlah objek dalam ember, pembaruan dapat memakan waktu beberapa saat untuk diselesaikan. 

## Mengaktifkan Windows ACL pada Berbagi File SMB yang Ada
<a name="enable-acl-existing-fileshare"></a>

Ambil langkah-langkah berikut untuk mengaktifkan Windows ACL pada berbagi file SMB yang ada yang memiliki izin POSIX.

**Untuk mengaktifkan Windows ACL pada berbagi file SMB yang ada menggunakan Storage Gateway Console**

1. Pilih berbagi file dan pilih **Edit berbagi file**.

1. Untuk **File/directory akses yang dikendalikan oleh** opsi, pilih **Daftar Kontrol Akses Windows**.

1. Nyalakan warisan yang sesuai.
**catatan**  
Kami tidak menyarankan pengaturan ACL di tingkat root, karena jika Anda melakukan ini dan menghapus gateway Anda, Anda perlu mengatur ulang ACL lagi.

Jika Anda mengaktifkan pewarisan dan memperbarui izin secara rekursif, Storage Gateway memperbarui semua objek di bucket S3. Bergantung pada jumlah objek dalam ember, pembaruan dapat memakan waktu beberapa saat untuk diselesaikan. 

## Keterbatasan Saat Menggunakan Windows ACL
<a name="acl-limits"></a>

Ingatlah batasan berikut saat menggunakan Windows ACL untuk mengontrol akses ke berbagi file SMB:
+ Windows ACL hanya didukung pada berbagi file yang menggunakan Active Directory untuk otentikasi ketika Anda menggunakan klien Windows SMB untuk mengakses berbagi file.
+ Gateway file mendukung maksimal 10 entri ACL untuk setiap file dan direktori.
+ Gateway file tidak mendukung `Audit` dan `Alarm` entri, yang merupakan entri daftar kontrol akses sistem (SACL). Dukungan `Allow` dan entri gateway file, yang merupakan `Deny` entri daftar kontrol akses diskresioner (DACL). 
+ Gateway file tidak mendukung izin Entri Kontrol Akses Lanjutan (ACE).
+ Pengaturan ACL root dari berbagi file SMB hanya ada di gateway, dan pengaturan tetap ada di seluruh pembaruan gateway dan restart.
**catatan**  
Jika Anda mengonfigurasi ACL di root alih-alih folder induk di bawah root, izin ACL tidak akan tetap ada di Amazon S3.

  Dengan kondisi ini, pastikan untuk melakukan hal berikut:
  + Jika Anda mengonfigurasi beberapa gateway untuk mengakses bucket Amazon S3 yang sama, konfigurasikan ACL root di setiap gateway agar izin tetap konsisten.
  + Jika Anda menghapus file share dan membuatnya kembali di bucket Amazon S3 yang sama, pastikan Anda menggunakan set ACL root yang sama.