Azure NetApp Files의 NAS 파일 권한

  • 5분

파일 시스템의 특정 파일 및 폴더에 대한 액세스를 제어할 수 있습니다. 파일 및 폴더 권한은 공유 권한보다 더 세부적입니다.

참고

파일 및 폴더 권한은 공유 권한보다 우선할 수 있습니다.

권한 상속

폴더에 상속 플래그를 할당할 수 있는데, 이는 부모 폴더 권한이 자식 개체에 전파된다는 것을 의미합니다. 필요에 따라 특정 파일 또는 폴더에서 상속을 사용하지 않도록 설정할 수도 있습니다.

  • Windows SMB 공유에서 상속은 고급 권한 보기에서 제어됩니다.

    '상속 사용'이 강조 표시된 SMB 권한의 스크린샷

  • NFSv3의 경우 권한 상속은 ACL을 통해 작동하지 않지만 대신 umask 및 setgid 플래그를 사용하여 모방할 수 있습니다.

  • NFSv4.1을 사용하면 ACL의 상속 플래그를 사용하여 권한 상속을 처리할 수 있습니다.

Azure NetApp Files의 SMB 파일 권한

Azure NetApp Files의 SMB 볼륨은 NTFS 보안 스타일을 활용하여 액세스 제어를 위해 NTFS ACL(액세스 제어 목록)을 활용할 수 있습니다. NTFS ACL은 ACE(액세스 제어 항목)를 통해 파일과 폴더에 대한 세부적인 권한과 소유권을 제공합니다. 디렉터리 권한을 설정하여 권한 상속을 사용하거나 사용하지 않도록 설정할 수도 있습니다.

Azure NetApp Files에서 액세스 제어가 작동하는 방법을 보여 주는 다이어그램

NFS 권한

NFS 파일 액세스 권한은 NAS 볼륨이 탑재된 후 사용자와 그룹이 수행할 수 있는 작업을 제한합니다.

NFS 모드 비트

모드 비트는 Azure NetApp Files의 NFS 파일 권한의 주요 기능입니다. NFS의 모드 비트 권한은 액세스 제어의 표준 숫자 표현을 사용하여 파일과 폴더에 대한 기본 권한을 제공합니다. 모드 비트를 NFSv3 또는 NFSv4.1과 함께 사용할 수 있지만 모드 비트는 NFSv3 보안을 위한 표준 옵션입니다.

다음 표는 숫자 값이 액세스 제어와 어떻게 대응하는지 보여 줍니다.

숫자 함수
1 실행(x)
2 쓰기(w)
3 쓰기/실행(wx)
4 읽기(r)
5 읽기/실행(rx)
6 읽기/쓰기(rw)
7 읽기/쓰기/실행(rwx)

숫자 값은 소유자, 그룹 및 기타 모든 사람 등 액세스 제어의 여러 세그먼트에 적용되므로 기본 NFSv3에는 세부적인 사용자 액세스 제어가 없습니다.

다음 이미지는 NFSv3 개체와 함께 사용하기 위해 모드 비트 액세스 제어를 구성하는 방법의 예를 보여 줍니다.

모드 비트 숫자를 설명하는 다이어그램

Azure NetApp Files에서 NFS를 사용하는 보조/추가 그룹

NFS에는 단일 NFS 요청에서 적용할 수 있는 보조 GID(보조 그룹)의 최대 수에 대한 특정 제한 사항이 있습니다.

  • AUTH_SYS/AUTH_UNIX의 최댓값은 16입니다.
  • AUTH_GSS(Kerberos)의 경우 최댓값은 32입니다.

Azure NetApp Files는 보조 그룹의 최대 수를 1,024개로 늘릴 수 있는 기능을 제공합니다. 그룹 제한 사항을 확장하는 옵션은 다른 NFS 서버의 -manage-gids 옵션과 같은 방식으로 작동합니다. 명령: -g 또는 --manage-gids. 액세스 요청이 이루어지면 패킷의 RPC 부분에서 16개의 GID만 전달됩니다.

보조 GID 목록을 보여 주는 스크린샷

16을 초과하는 모든 GID는 프로토콜에 의해 삭제됩니다. Azure NetApp Files의 확장 GID는 LDAP와 같은 외부 이름 서비스와만 함께 사용할 수 있습니다.

Azure NetApp Files의 NFSv4.x 액세스 제어 목록

NFSv4.x 프로토콜은 ACL(액세스 제어 목록) 형태로 액세스 제어를 제공할 수 있으며, 이는 Windows NTFS 권한을 사용하여 SMB에서 사용되는 ACL과 유사합니다.

NFSv4.x ACL은 개별 ACE(액세스 제어 항목)로 구성되며, 각 ACE는 서버에 대한 액세스 제어 지시문을 제공합니다.

액세스 제어 목록의 다이어그램.

각 NFSv4.x ACL은 type:flags:principal:permissions 형식으로 만들어집니다. A:g:group1@contoso.com:rwatTnNcCy는 유효한 ACL의 예입니다.

  • 형: 정의되는 ACL의 형식입니다. 유효한 선택 항목에는 액세스(A), 거부(D), 감사(U), 경보(L)가 있습니다. Azure NetApp Files는 액세스, 거부 및 감사 ACL 형식을 지원하지만 감사 ACL은 설정할 수 있지만 현재 감사 로그를 생성하지 않습니다.
  • 플래그: ACL에 대한 추가적인 맥락을 제공합니다. ACE 플래그에는 그룹, 상속, 관리의 세 가지 종류가 있습니다. 플래그에 대한 자세한 내용은 NFSv4.x ACE 플래그를 참조하세요.
  • 주체: ACL이 할당되는 사용자 또는 그룹을 정의합니다. NFSv4.x ACL의 주체는 name@ID-DOMAIN-STRING.COM 형식을 사용합니다. 주체에 대한 자세한 내용은 NFSv4.x 사용자 및 그룹 주체를 참조하세요.
  • 권한: 주체에 대한 액세스 수준이 정의되는 위치입니다. 각 권한은 하나의 문자로 지정됩니다(예를 들어, 읽기는 "r", 쓰기는 "w" 등). 모든 권한에는 사용 가능한 모든 허가서가 포함됩니다. 자세한 내용은 NFSv4.x 권한을 참조하세요.

NFSv4.x ACL의 예

# nfs4_getfacl acl-dir
# file: acl-dir/
A:di:user1@CONTOSO.COM:rwaDxtTnNcCy
A:fdi:user2@CONTOSO.COM:rwaDxtTnNcCy
A:fi:user3@CONTOSO.COM:rwaDxtTnNcCy
A::OWNER@:rwaDxtTnNcCy
A:g:GROUP@:rxtncy
A::EVERYONE@:rxtncy

NFSv4.x ACE 플래그, NFSv4.x 권한 및 NFSv4.x ACL 작동 방식에 대한 자세한 내용은 Azure NetApp Files 액세스 제어 목록을 참조하세요.