NAS では、権限グループを使用してユーザーアクセスを制御できます。
はじめに
NAS では、権限グループはホワイトリストとして機能し、ファイルシステムへのアクセスを制限できます。 指定した IP アドレスまたは CIDR ブロックにファイルシステムへのアクセスを許可し、権限グループにルールを追加することで、異なる IP アドレスまたは CIDR ブロックに異なるレベルのアクセス許可を割り当てることができます。
NAS を有効化すると、デフォルトの VPC 許可グループが自動的に生成されます。 これにより、VPC 内のすべての IP アドレスが完全な権限でマウントポイントにアクセスできるようになります。 完全な権限には、root ユーザーに対する制限のない読み取り/書き込み権限が含まれています。
注
- 従来のネットワークマウントポイントでは、デフォルトの権限グループは提供されていません。 さらに、権限グループルールで許可されている IP アドレスは、CIDR ブロックではなく単一の IP アドレスである必要があります。
- アクセス許可グループのルールを慎重に追加し、必要な IP アドレスのみを許可することを推奨します。
権限グループの作成
権限グループを作成するには、次の手順に従います。
- NAS コンソール にログインします。
- 左側のナビゲーションウィンドウで、[権限グループ]をクリックし、[権限グループの作成]をクリックします。
- [権限グループの作成] ページで、名前を入力して [OK] をクリックします。
注 Alibaba Cloud アカウントには最大 10 の権限グループが許可されます。
権限グループのルール管理
以下のとおり、権限グループルールを追加、編集、または削除できます。
- NAS コンソール にログインします。
- 左側のナビゲーションウィンドウで、[ アクセス許可グループ]をクリックし、[管理] をクリックします。
- [権限グループのルール] ページでは、[ルールの追加]、ルールの [変更]、ルールの[削除] を行うことができます。
権限グループルールは、次の属性で構成されています。
属性 | 値 | 説明 |
---|---|---|
許可されたアドレス | 単一の IP アドレスまたは CDIR ブロック (従来のネットワークは単一の IP アドレスのみをサポートします) | ルールの許可されたオブジェクト |
読み取りおよび書き込み権限 | 読み取り専用または読み取り/書き込み | 許可されたオブジェクトにファイルシステムへの読み取り専用または読み取り/書き込みアクセスを許可します。 |
ユーザー権限 | root ユーザーを制限しない (no_squash)、root ユーザーを制限する (root_squash)、すべてのユーザーを制限する (all_squash) | (list) ファイルシステム内の許可されたオブジェクトのLinux システムユーザーの権限を制限するかどうかを決定します。 ファイルまたはディレクトリのアクセス権を決定するとき root ユーザーを制限すると、root ユーザーは誰もいないものとして扱われます。 すべてのユーザーを制限すると、root ユーザーを含むすべてのユーザーは誰もいないものとして扱われます。 |
優先度 | 1〜100、1 が最高の優先順位 | 同じ許可オブジェクトが複数のルールに一致すると、優先順位が最も高いルールが残りのルールを上書きします。 |