Azure NetApp Files の NFSv4.1 ボリュームにアクセス制御リストを構成する

Azure NetApp Files では、NFSv4.1 ボリューム上のアクセス制御リスト (ACL) がサポートされています。 ACL は、NFSv4.1 を介して詳細なファイル セキュリティを提供します。

ACL には、個々のユーザーやグループのアクセス許可 (読み取り、書き込みなど) を指定するアクセス制御エンティティ (ACE) が含まれています。 Active Directory ドメインに参加している Linux VM を使っている場合は、ユーザー ロールを割り当てるときにユーザーのメール アドレスを指定します。 それ以外の場合は、ユーザー ID を指定してアクセス許可を設定します。

Azure NetApp Files の ACL の詳細については、「NFSv4.x ACL について」を参照してください。

必要条件

• ACL は NFS4.1 ボリュームでのみ構成できます。 ボリュームを NFSv3 から NFSv4.1 に変換できます。

• 次の 2 つのパッケージをインストールする必要があります。

  1. nfs-utils: NFS ボリュームをマウントします
  2. nfs-acl-tools: NFSv4 ACL を表示および変更します。 どちらもない場合、それらをインストールします。
     • Red Hat Enterprise Linux または SuSE Linux のインスタンスの場合:

     sudo yum install -y nfs-utils
     sudo yum install -y nfs4-acl-tools
     

     • Ubuntu または Debian のインスタンスの場合:

     sudo apt-get install nfs-common
     sudo apt-get install nfs4-acl-tools
     

ACL の構成

1. Active Directory に参加している Linux VM の ACL を構成する場合は、「Linux VM を Microsoft Entra ドメインに参加させる」の手順を実行します。

2. ボリュームをマウントします。

3. ディレクトリまたはファイル上の既存の ACL を表示するには、コマンド nfs4_getfacl <path> を使います。

   既定の NFSv4.1 ACL は、POSIX アクセス許可の 770 という表現に類似しています。

   • A::OWNER@:rwaDxtTnNcCy - 所有者には完全な (RWX) アクセス権があります
   • A:g:GROUP@:rwaDxtTnNcy - グループには完全な (RWX) アクセス権があります
   • A::EVERYONE@:tcy - 他のユーザーはアクセスできません

4. ユーザーの ACE を変更するには、次の nfs4_setfacl コマンドを使います: nfs4_setfacl -a|x A|D::<user|group>:<permissions_alias> <file>

   • -a を使ってアクセス許可を追加します。 アクセス許可を削除するには、-x を使います。
   • A はアクセスを作成し、D はアクセスを拒否します。
   • Active Directory に参加済みにおける設定では、ユーザーのメール アドレスを入力します。 それ以外の場合は、数値のユーザー ID を入力します。
   • アクセス許可のエイリアスには、読み取り、書き込み、追加、実行などが含まれます。次の Active Directory に参加済みにおける例では、ユーザー regan@contoso.com に /nfsldap/engineering への読み取り、書き込み、実行アクセス権が与えられます。

   nfs4_setfacl -a A::regan@contoso.com:RWX /nfsldap/engineering
   

次のステップ

• NFS クライアントを構成する
• NFSv4.x ACL について理解します。