すべてのプロダクト
Search

このプロダクト

    Cloud Parallel File Storage:NFSv4 ACL の特徴

    ドキュメントセンター

    Cloud Parallel File Storage:NFSv4 ACL の特徴

    最終更新日:Nov 09, 2025

    この Topic では、NFSv4 アクセス制御リスト (ACL) の特徴について説明します。これには、アクセス権限のシーケンスと継承、アクセス制御エントリ (ACE) のソートとマージ、ACL の移行が含まれます。

    アクセス権限のシーケンス

    ACL 内の ACE は、出現する順序で評価されます。

    ACE は Allow 型と Deny 型をサポートしています。Deny ACE はリストのどこにでも配置できます。たとえば、ACL に group:adminis:rwxc と group:adminis:r--- の 2 つの ACE がある場合、その順序によってユーザー adminis2 が読み取り権限を持つかどうかが決まります。ACL を設定するときは、各 ACE の位置に細心の注意を払ってください。

    たとえば、dir4 ディレクトリに対するユーザー adminis2 の権限が次のように設定されている場合、ユーザーはこのディレクトリに対するすべての権限を持ちます。

    #NFSv4 ACL
#オーナー:root
#グループ:root
group:adminis2:rwxc:allow
 (X)READ/LIST (X)WRITE/CREATE (X)APPEND/MKDIR (X)SYNCHRONIZE (X)READ_ACL  (X)READ_ATTR  (X)READ_NAMED
 (-)DELETE    (X)DELETE_CHILD (-)CHOWN        (X)EXEC/SEARCH (X)WRITE_ACL (X)WRITE_ATTR (X)WRITE_NAMED

group:adminis2:r---:deny
 (X)READ/LIST (-)WRITE/CREATE (-)APPEND/MKDIR (X)SYNCHRONIZE (X)READ_ACL  (X)READ_ATTR  (X)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (-)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

special:owner@:---c:allow
 (-)READ/LIST (-)WRITE/CREATE (-)APPEND/MKDIR (X)SYNCHRONIZE (X)READ_ACL  (X)READ_ATTR  (X)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (X)CHOWN        (-)EXEC/SEARCH (X)WRITE_ACL (X)WRITE_ATTR (X)WRITE_NAMED

special:group@:----:allow
 (-)READ/LIST (-)WRITE/CREATE (-)APPEND/MKDIR (X)SYNCHRONIZE (X)READ_ACL  (X)READ_ATTR  (X)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (-)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

special:everyone@:----:allow
 (-)READ/LIST (-)WRITE/CREATE (-)APPEND/MKDIR (X)SYNCHRONIZE (X)READ_ACL  (X)READ_ATTR  (X)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (-)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

    dir4 ディレクトリに対するユーザー adminis2 の権限が次のように設定されている場合、ユーザーは読み取り権限を持ちません。

    #NFSv4 ACL
#オーナー:root
#グループ:root
group:adminis2:r---:deny
 (X)READ/LIST (-)WRITE/CREATE (-)APPEND/MKDIR (X)SYNCHRONIZE (X)READ_ACL  (X)READ_ATTR  (X)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (-)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

group:adminis2:rwxc:allow
 (X)READ/LIST (X)WRITE/CREATE (X)APPEND/MKDIR (X)SYNCHRONIZE (X)READ_ACL  (X)READ_ATTR  (X)READ_NAMED
 (-)DELETE    (X)DELETE_CHILD (-)CHOWN        (X)EXEC/SEARCH (X)WRITE_ACL (X)WRITE_ATTR (X)WRITE_NAMED

special:owner@:---c:allow
 (-)READ/LIST (-)WRITE/CREATE (-)APPEND/MKDIR (X)SYNCHRONIZE (X)READ_ACL  (X)READ_ATTR  (X)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (X)CHOWN        (-)EXEC/SEARCH (X)WRITE_ACL (X)WRITE_ATTR (X)WRITE_NAMED

special:group@:----:allow
 (-)READ/LIST (-)WRITE/CREATE (-)APPEND/MKDIR (X)SYNCHRONIZE (X)READ_ACL  (X)READ_ATTR  (X)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (-)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

special:everyone@:----:allow
 (-)READ/LIST (-)WRITE/CREATE (-)APPEND/MKDIR (X)SYNCHRONIZE (X)READ_ACL  (X)READ_ATTR  (X)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (-)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

    ACE のソートとマージ

    ユーザーに新しい ACE を追加しても、新しい ACE は既存の ACE とマージされません。

    たとえば、グループ players に属するユーザー 1001 は、次のアクセス権限を持っています。グループ players へのアクセスを許可する ACE を追加しても、新しい ACE は既存のものとマージされません。

    • 以前の ACE 権限

      #NFSv4 ACL
#オーナー:root
#グループ:root
special:everyone@:----:allow:FileInherit:DirInherit
 (-)READ/LIST (-)WRITE/CREATE (-)APPEND/MKDIR (-)SYNCHRONIZE (-)READ_ACL  (-)READ_ATTR  (-)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (-)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

special:group@:----:allow:FileInherit:DirInherit
 (-)READ/LIST (-)WRITE/CREATE (-)APPEND/MKDIR (-)SYNCHRONIZE (-)READ_ACL  (-)READ_ATTR  (-)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (-)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

special:owner@:----:allow:FileInherit:DirInherit
 (-)READ/LIST (-)WRITE/CREATE (-)APPEND/MKDIR (-)SYNCHRONIZE (-)READ_ACL  (-)READ_ATTR  (-)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (-)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

group:adminis:rwxc:allow:FileInherit:DirInherit
 (X)READ/LIST (X)WRITE/CREATE (X)APPEND/MKDIR (X)SYNCHRONIZE (X)READ_ACL  (X)READ_ATTR  (X)READ_NAMED
 (-)DELETE    (X)DELETE_CHILD (-)CHOWN        (X)EXEC/SEARCH (X)WRITE_ACL (X)WRITE_ATTR (X)WRITE_NAMED

group:players:r-x-:allow:FileInherit:DirInherit
 (X)READ/LIST (-)WRITE/CREATE (-)APPEND/MKDIR (X)SYNCHRONIZE (X)READ_ACL  (X)READ_ATTR  (X)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (X)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

    • 新しい ACE 権限

      #NFSv4 ACL
#オーナー:root
#グループ:root
group:players:rwx-:allow:Inherited
 (X)READ/LIST (X)WRITE/CREATE (X)APPEND/MKDIR (X)SYNCHRONIZE (X)READ_ACL  (X)READ_ATTR  (X)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (X)EXEC/SEARCH (X)WRITE_ACL (X)WRITE_ATTR (X)WRITE_NAMED

special:everyone@:----:allow:FileInherit:DirInherit
 (-)READ/LIST (-)WRITE/CREATE (-)APPEND/MKDIR (-)SYNCHRONIZE (-)READ_ACL  (-)READ_ATTR  (-)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (-)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

special:group@:----:allow:FileInherit:DirInherit
 (-)READ/LIST (-)WRITE/CREATE (-)APPEND/MKDIR (-)SYNCHRONIZE (-)READ_ACL  (-)READ_ATTR  (-)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (-)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

special:owner@:----:allow:FileInherit:DirInherit
 (-)READ/LIST (-)WRITE/CREATE (-)APPEND/MKDIR (-)SYNCHRONIZE (-)READ_ACL  (-)READ_ATTR  (-)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (-)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

group:adminis:rwxc:allow:FileInherit:DirInherit
 (X)READ/LIST (X)WRITE/CREATE (X)APPEND/MKDIR (X)SYNCHRONIZE (X)READ_ACL  (X)READ_ATTR  (X)READ_NAMED
 (-)DELETE    (X)DELETE_CHILD (-)CHOWN        (X)EXEC/SEARCH (X)WRITE_ACL (X)WRITE_ATTR (X)WRITE_NAMED

group:players:r-x-:allow:FileInherit:DirInherit
 (X)READ/LIST (-)WRITE/CREATE (-)APPEND/MKDIR (X)SYNCHRONIZE (X)READ_ACL  (X)READ_ATTR  (X)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (X)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

    新しい権限が有効になることを確認します。

    • コマンドの実行

      sudo su player -c 'echo 456 >> file'
      sudo su player -c 'cat file'

    • 出力例

      123
456

    アクセス権限の継承

    dir5 ディレクトリの場合、オーナーには書き込み権限が付与され、グループには読み取り権限が付与され、他のユーザーはアクセスを拒否されます。

    • ユーザー player に継承可能な読み取りおよび書き込み権限を付与します。

      1. ユーザー player の読み取りおよび書き込み権限を設定し、ルールを acl2.txt などのテキストファイルに保存します。

        #NFSv4 ACL
#オーナー:root
#グループ:root
user:player:rwx-:allow:DirInherit
 (X)READ/LIST (X)WRITE/CREATE (-)APPEND/MKDIR (-)SYNCHRONIZE (-)READ_ACL  (-)READ_ATTR  (-)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (X)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

user:player:rwx-:allow:FileInherit
 (X)READ/LIST (X)WRITE/CREATE (-)APPEND/MKDIR (-)SYNCHRONIZE (-)READ_ACL  (-)READ_ATTR  (-)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (X)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

      2. acl2.txt のルールを dir5 ディレクトリに適用します。

        mmputacl -i ~/acl2.txt dir5

    • dir5 ディレクトリに作成されたファイルまたはサブディレクトリは、自動的に ACE を継承します。

      1. dir5 ディレクトリに移動します。

        cd  dir5

      2. ファイル file を作成します。

        touch file

      3. ファイル file が dir5 ディレクトリから ACE 権限を自動的に継承することを確認します。

        • コマンドの実行

          mmgetacl file

        • 出力例

          #NFSv4 ACL
#オーナー:root
#グループ:root
user:player:rwx-:allow:Inherited
 (X)READ/LIST (X)WRITE/CREATE (-)APPEND/MKDIR (-)SYNCHRONIZE (-)READ_ACL  (-)READ_ATTR  (-)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (X)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

      4. subdir ディレクトリを作成します。

        mkdir subdir

      5. subdir サブディレクトリが dir5 ディレクトリから ACE 権限を自動的に継承することを確認します。

        • コマンドの実行

          mmgetacl subdir

        • 出力例

          #NFSv4 ACL
#オーナー:root
#グループ:root
user:player:rwx-:allow:DirInherit:Inherited
 (X)READ/LIST (X)WRITE/CREATE (-)APPEND/MKDIR (-)SYNCHRONIZE (-)READ_ACL  (-)READ_ATTR  (-)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (X)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

user:player:rwx-:allow:FileInherit:InheritOnly:Inherited
 (X)READ/LIST (X)WRITE/CREATE (-)APPEND/MKDIR (-)SYNCHRONIZE (-)READ_ACL  (-)READ_ATTR  (-)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (X)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

    • subdir サブディレクトリに作成したファイルまたはサブディレクトリも、自動的に ACE を継承します。

      1. subdir/subdir2 ディレクトリを作成します。

        mkdir subdir/subdir2

      2. subdir/subdir2 ディレクトリが subdir サブディレクトリから ACE を自動的に継承することを確認します。

        • コマンドの実行

          mmgetacl subdir/subdir2

        • 出力例

          #NFSv4 ACL
#オーナー:root
#グループ:root
user:player:rwx-:allow:DirInherit:Inherited
 (X)READ/LIST (X)WRITE/CREATE (-)APPEND/MKDIR (-)SYNCHRONIZE (-)READ_ACL  (-)READ_ATTR  (-)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (X)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

user:player:rwx-:allow:FileInherit:InheritOnly:Inherited
 (X)READ/LIST (X)WRITE/CREATE (-)APPEND/MKDIR (-)SYNCHRONIZE (-)READ_ACL  (-)READ_ATTR  (-)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (X)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

      3. subdir/file2 ファイルを作成します。

        touch subdir/file2

      4. subdir/file2 ファイルが subdir サブディレクトリから ACE を自動的に継承することを確認します。

        • コマンドの実行

          mmgetacl subdir/file2

        • 出力例

          #NFSv4 ACL
#オーナー:root
#グループ:root
user:player:rwx-:allow:Inherited
 (X)READ/LIST (X)WRITE/CREATE (-)APPEND/MKDIR (-)SYNCHRONIZE (-)READ_ACL  (-)READ_ATTR  (-)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (X)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

    InheritOnly フラグは、ACE が現在のディレクトリの権限チェックには使用されず、子オブジェクトに継承されることを示します。

    説明

    • 別々の ACE で DirInheritFileInherit を設定してください。そうしないと、エラー [FileInherit と DirInherit を組み合わせるとマスクがあいまいになります] が返されます。

    • inherit only を使用する場合、ACE 自体は権限チェックに使用されません。親ディレクトリに読み取り (r) と実行 (x) の権限を設定する必要があります。そうしないと、ユーザー player はサブディレクトリにアクセスできません。

    出力

    拡張属性を使用して NFSv4 ACL をエクスポートすることはできません。

    移行

    cp などのツールを使用して NFSv4 ACL を移行できます。

    Alibaba Cloud Cloud Parallel File Storage (CPFS) では、cp、tar、rsync ツールを使用して NFSv4 ACL を移行できます。詳細については、「ファイルをコピーするときに拡張属性を介して NFS v4 ACL を保持する方法」をご参照ください。

    次の例では、cp --preserve=xattr file2 file5 コマンドは、file2 を file5 にコピーするときに ACL をコピーします。

    説明

    rsync ツールのバージョンが 3.1.2 より前の場合、NFSv4 ACL の移行に失敗することがあります。

    1. file2 の ACL を file5 に移行します。

      cp --preserve=xattr newsub/file2 newsub/file5

    2. file2 の ACL を表示します。

      • コマンドの実行

        mmgetacl newsub/file2

      • 出力例

        #NFSv4 ACL
#オーナー:player
#グループ:players
user:player:rwx-:allow:Inherited
 (X)READ/LIST (X)WRITE/CREATE (X)APPEND/MKDIR (-)SYNCHRONIZE (-)READ_ACL  (-)READ_ATTR  (-)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (X)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

    3. file5 の ACL を表示します。

      • コマンドの実行

        mmgetacl newsub/file5

      • 出力例

        #NFSv4 ACL
#オーナー:root
#グループ:root
user:player:rwx-:allow:Inherited
 (X)READ/LIST (X)WRITE/CREATE (X)APPEND/MKDIR (-)SYNCHRONIZE (-)READ_ACL  (-)READ_ATTR  (-)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (X)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

    NFSv4 ACL と umask の間の相互作用

    NFSv4 ACL とモードは相互に関連しています。ACL を変更するとモードが変更される可能性があり、その逆も同様です。

    たとえば、ファイル file の現在のモードは 0666 です。

    • ファイル file のモード権限

      -rw-rw-rw- 1 root root 0 Jun  1 14:45 file

    • ファイル file の ACE 権限

      #NFSv4 ACL
#オーナー:root
#グループ:root
special:owner@:rw-c:allow
 (X)READ/LIST (X)WRITE/CREATE (X)APPEND/MKDIR (X)SYNCHRONIZE (X)READ_ACL  (X)READ_ATTR  (X)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (X)CHOWN        (-)EXEC/SEARCH (X)WRITE_ACL (X)WRITE_ATTR (X)WRITE_NAMED

special:group@:rw--:allow
 (X)READ/LIST (X)WRITE/CREATE (X)APPEND/MKDIR (X)SYNCHRONIZE (X)READ_ACL  (X)READ_ATTR  (X)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (-)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

special:everyone@:rw--:allow
 (X)READ/LIST (X)WRITE/CREATE (X)APPEND/MKDIR (X)SYNCHRONIZE (X)READ_ACL  (X)READ_ATTR  (X)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (-)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

    • モードを設定してオーナーに実行権限を追加します。対応する ACE も実行権限で更新されます。

      1. モードを設定してオーナーに実行権限を追加します。

        chmod u+x file

      2. ファイル file のモード権限を表示します。

        • コマンドの実行

          ls -l file

        • 出力例

          -rwxrw-rw- 1 root root 0 Jun  1 14:45 file

      3. オーナーの ACE に実行権限が追加されたことを確認します。

        • コマンドの実行

          mmgetacl file

        • 出力例

          #NFSv4 ACL
#オーナー:root
#グループ:root
special:owner@:rwxc:allow
 (X)READ/LIST (X)WRITE/CREATE (X)APPEND/MKDIR (X)SYNCHRONIZE (X)READ_ACL  (X)READ_ATTR  (X)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (X)CHOWN        (X)EXEC/SEARCH (X)WRITE_ACL (X)WRITE_ATTR (X)WRITE_NAMED

special:group@:rw--:allow
 (X)READ/LIST (X)WRITE/CREATE (X)APPEND/MKDIR (X)SYNCHRONIZE (X)READ_ACL  (X)READ_ATTR  (X)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (-)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

special:everyone@:rw--:allow
 (X)READ/LIST (X)WRITE/CREATE (X)APPEND/MKDIR (X)SYNCHRONIZE (X)READ_ACL  (X)READ_ATTR  (X)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (-)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

    • ACE を設定してグループに実行権限を追加します。対応するモードも実行権限で更新されます。

      1. ファイル file の ACL 属性を編集して、グループに実行権限を追加します。

        mmeditacl file

      2. 情報が返された後、yes と入力して権限の変更を適用します。

      3. グループがファイル file に対して持つ ACE 権限を表示します。

        • コマンドの実行

          mmgetacl file

        • 出力例

          #NFSv4 ACL
#オーナー:root
#グループ:root
special:owner@:rwxc:allow
 (X)READ/LIST (X)WRITE/CREATE (X)APPEND/MKDIR (X)SYNCHRONIZE (X)READ_ACL  (X)READ_ATTR  (X)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (X)CHOWN        (X)EXEC/SEARCH (X)WRITE_ACL (X)WRITE_ATTR (X)WRITE_NAMED

special:group@:rwx-:allow
 (X)READ/LIST (X)WRITE/CREATE (X)APPEND/MKDIR (X)SYNCHRONIZE (X)READ_ACL  (X)READ_ATTR  (X)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (X)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

special:everyone@:rw--:allow
 (X)READ/LIST (X)WRITE/CREATE (X)APPEND/MKDIR (X)SYNCHRONIZE (X)READ_ACL  (X)READ_ATTR  (X)READ_NAMED
 (-)DELETE    (-)DELETE_CHILD (-)CHOWN        (-)EXEC/SEARCH (-)WRITE_ACL (-)WRITE_ATTR (-)WRITE_NAMED

      4. モードのグループに実行権限が追加されたことを確認します。

        • コマンドの実行

          ls -l file

        • 出力例

          -rwxrwxrw- 1 root root 0 Jun  1 14:45 file

    NFSv4 ACL と POSIX ACL の間の相互作用

    NFSv4 ACL と POSIX ACL の間の相互作用はサポートされていません。