Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Erste Schritte mit Cloud Data Sense für Amazon S3

Beitragende

Cloud Data Sense kann Ihre Amazon S3 Buckets scannen, um die persönlichen und sensiblen Daten zu identifizieren, die sich im S3 Objekt-Storage befinden. Cloud Data Sense kann jeden Bucket im Konto scannen, unabhängig davon, ob er für eine NetApp Lösung erstellt wurde.

Schnellstart

Führen Sie diese Schritte schnell durch, oder scrollen Sie nach unten zu den verbleibenden Abschnitten, um ausführliche Informationen zu erhalten.

Eins S3-Anforderungen in Ihrer Cloud-Umgebung einrichten

Stellen Sie sicher, dass Ihre Cloud-Umgebung die Anforderungen für Cloud Data Sense erfüllen kann, einschließlich der Vorbereitung einer IAM-Rolle und der Einrichtung der Konnektivität von Data Sense bis S3. Eine vollständige Liste finden Sie hier.

Zwei Implementieren Sie die Cloud Data Sense Instanz

"Sinnvolle Implementierung Von Cloud-Daten" Falls noch keine Instanz implementiert wurde.

Drittens Aktivieren Sie Data Sense in Ihrer S3-Arbeitsumgebung

Wählen Sie die Amazon S3-Arbeitsumgebung aus, klicken Sie auf Aktivieren und wählen Sie eine IAM-Rolle aus, die die erforderlichen Berechtigungen enthält.

Vier Wählen Sie die zu scannenden Buckets aus

Wählen Sie die Buckets aus, die Sie scannen möchten, und Cloud Data Sense beginnt mit dem Scannen.

Überprüfen der S3-Voraussetzungen

Die folgenden Anforderungen gelten insbesondere für das Scannen von S3-Buckets.

Einrichten einer IAM-Rolle für die Cloud Data Sense Instanz

Cloud Data Sense benötigt Berechtigungen, um sich mit den S3 Buckets Ihres Kontos zu verbinden und zu scannen. Richten Sie eine IAM-Rolle ein, die die unten aufgeführten Berechtigungen enthält. BlueXP fordert Sie auf, eine IAM-Rolle auszuwählen, wenn Sie „Data Sense“ in der Amazon S3-Arbeitsumgebung aktivieren.

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:PutObject"
          ],
          "Resource": "*"
      },
      {
          "Effect": "Allow",
          "Action": [
              "iam:GetPolicyVersion",
              "iam:GetPolicy",
              "iam:ListAttachedRolePolicies"
          ],
          "Resource": [
              "arn:aws:iam::*:policy/*",
              "arn:aws:iam::*:role/*"
          ]
      }
  ]
}
Konnektivität von Cloud Data Sense zu Amazon S3

Cloud Data Sense benötigt eine Verbindung zu Amazon S3. Die beste Möglichkeit, eine solche Verbindung bereitzustellen, ist über einen VPC Endpunkt zum S3-Service. Anweisungen hierzu finden Sie unter "AWS Dokumentation: Erstellen eines Gateway-Endpunkts".

Wenn Sie den VPC-Endpunkt erstellen, müssen Sie die Region, die VPC und die Routing-Tabelle auswählen, die der Cloud Data Sense Instanz entspricht. Sie müssen auch die Sicherheitsgruppe ändern, um eine ausgehende HTTPS-Regel hinzuzufügen, die Datenverkehr zum S3-Endpunkt ermöglicht. Andernfalls kann Data Sense keine Verbindung zum S3-Service herstellen.

Informationen zu Problemen finden Sie unter "AWS Support Knowledge Center: Warum kann ich keine Verbindung zu einem S3-Bucket über einen Gateway-VPC-Endpunkt herstellen?"

Eine Alternative besteht darin, die Verbindung über ein NAT Gateway bereitzustellen.

Anmerkung Sie können keinen Proxy verwenden, um über das Internet nach S3 zu gelangen.

Bereitstellen der Cloud Data Sense Instanz

"Implementieren Sie Cloud Data Sense in BlueXP" Falls noch keine Instanz implementiert wurde.

Sie müssen die Instanz mithilfe eines in AWS bereitgestellten Connectors implementieren, damit BlueXP die S3-Buckets in diesem AWS-Konto automatisch erkennt und diese in einer Amazon S3-Arbeitsumgebung anzeigt.

Hinweis: beim Scannen von S3 Buckets wird derzeit nicht die Bereitstellung von Cloud Data Sense an einem lokalen Speicherort unterstützt.

Upgrades auf die Software Data Sense werden automatisiert, solange die Instanz über eine Internetverbindung verfügt.

Aktivieren von Data Sense in Ihrer S3-Arbeitsumgebung

Aktivieren Sie Cloud Data Sense auf Amazon S3, nachdem Sie die Voraussetzungen überprüft haben.

Schritte

  1. Klicken Sie im Navigationsmenü von BlueXP links auf Speicherung > Leinwand.

  2. Wählen Sie die Amazon S3-Arbeitsumgebung aus.

    Ein Screenshot eines Amazon S3 Arbeitsumgebungssymbols

  3. Klicken Sie im Bereich Services rechts neben Classification auf enable.

    Ein Screenshot der Aktivierung des Cloud Data Sense Service über das Fenster „Services“

  4. Wenn Sie dazu aufgefordert werden, weisen Sie der Cloud Data Sense Instanz eine IAM-Rolle zu Die erforderlichen Berechtigungen.

    Screenshot zur Eingabe der AWS IAM-Rolle für Cloud Data Sense

  5. Klicken Sie Auf Aktivieren.

Hinweis Sie können auch Compliance-Scans für eine Arbeitsumgebung über die Konfigurationsseite aktivieren, indem Sie auf die klicken Und wählen Sie Datensense aktivieren.
Ergebnis

BlueXP weist der Instanz die IAM-Rolle zu.

Aktivieren und Deaktivieren von Compliance-Scans auf S3-Buckets

Nachdem BlueXP Cloud Data Sense in Amazon S3 aktiviert hat, müssen im nächsten Schritt die Buckets konfiguriert werden, die gescannt werden sollen.

Wenn BlueXP im AWS Konto ausgeführt wird, das über die S3-Buckets verfügt, die Sie scannen möchten, erkennt es diese Buckets und zeigt sie in einer Amazon S3-Arbeitsumgebung an.

Cloud Data Sense kann es auch Scannen von S3-Buckets, die in unterschiedlichen AWS Konten vorhanden sind.

Schritte

  1. Wählen Sie die Amazon S3-Arbeitsumgebung aus.

  2. Klicken Sie im Bereich Dienste auf der rechten Seite auf Buckets konfigurieren.

    Ein Screenshot mit dem Klicken auf Buckets konfigurieren, um die S3-Buckets auszuwählen, die Sie scannen möchten

  3. Aktivieren Sie Scans, die nur mappen oder Scans zuordnen und klassifizieren, auf Ihren Buckets.

    Ein Screenshot zur Auswahl der S3-Buckets, die gescannt werden sollen

    An: Tun Sie dies:

    Ermöglichen Sie Mapping-Only-Scans auf einem Bucket

    Klicken Sie Auf Karte

    Aktivieren vollständiger Scans auf einem Bucket

    Klicken Sie Auf Karte & Klassieren

    Deaktivieren des Scans auf einem Bucket

    Klicken Sie Auf Aus
Ergebnis

Cloud Data Sense beginnt mit dem Scannen der aktivierten S3 Buckets. Wenn Fehler auftreten, werden sie neben der erforderlichen Aktion zur Behebung des Fehlers in der Spalte Status angezeigt.

Scannen von Buckets für weitere AWS Konten

Sie können S3-Buckets scannen, die sich unter einem anderen AWS-Konto befinden, indem Sie über dieses Konto eine Rolle zuweisen, um auf die vorhandene Cloud Data Sense Instanz zuzugreifen.

Schritte

  1. Gehen Sie zum AWS Ziel-Konto, in dem Sie S3 Buckets scannen und eine IAM-Rolle erstellen möchten, indem Sie ein weiteres AWS-Konto auswählen.

    Ein Screenshot der AWS Seite, in dem eine IAM-Rolle erstellt wird

    Gehen Sie wie folgt vor:

    • Geben Sie die ID des Kontos ein, auf dem sich die Cloud Data Sense Instanz befindet.

    • Ändern Sie die maximale CLI/API-Sitzungsdauer* von 1 Stunde auf 12 Stunden und speichern Sie diese Änderung.

    • Hängen Sie die Cloud Data Sense IAM-Richtlinie an. Stellen Sie sicher, dass es über die erforderlichen Berechtigungen verfügt.

      {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:PutObject"
          ],
          "Resource": "*"
      },
  ]
}

  2. Gehen Sie zum AWS-Quellkonto, in dem sich die Datensense-Instanz befindet, und wählen Sie die IAM-Rolle aus, die mit der Instanz verbunden ist.

    1. Ändern Sie die maximale CLI/API-Sitzungsdauer* von 1 Stunde auf 12 Stunden und speichern Sie diese Änderung.

    2. Klicken Sie auf Richtlinien anhängen und dann auf Richtlinien erstellen.

    3. Erstellen Sie eine Richtlinie, die die Aktion „STS:AssumeRole“ enthält, und geben Sie den ARN der Rolle an, die Sie im Zielkonto erstellt haben.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::<ADDITIONAL-ACCOUNT-ID>:role/<ADDITIONAL_ROLE_NAME>"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/*",
                "arn:aws:iam::*:role/*"
            ]
        }
    ]
}

      Das Cloud Data Sense Instanzprofil hat nun Zugriff auf das zusätzliche AWS Konto.

  3. Gehen Sie auf die Seite Amazon S3 Configuration und das neue AWS-Konto wird angezeigt. Beachten Sie, dass es einige Minuten dauern kann, bis Cloud Data Sense die Arbeitsumgebung des neuen Kontos synchronisiert und diese Informationen anzeigt.

    Ein Screenshot, in dem die Aktivierung von Data Sense angezeigt wird.

  4. Klicken Sie auf Daten aktivieren Sense & Buckets auswählen und wählen Sie die Eimer aus, die Sie scannen möchten.

Ergebnis

Cloud Data Sense beginnt mit dem Scannen der neuen aktivierten S3 Buckets.