Skip to main content
Data Infrastructure Insights
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren von AWS S3 als Speicherdatensammler

Beitragende netapp-alavoie
PDFs

Data Infrastructure Insights verwendet AWS S3 als Speicherdatensammler, um Bestands- und Leistungsdaten von AWS S3-Instanzen zu erfassen.

Anforderungen

Um Daten von AWS S3 als Speichergerät zu erfassen, benötigen Sie die folgenden Informationen:

  • Sie müssen über eines der folgenden Elemente verfügen:

    • Die IAM-Rolle für Ihr AWS-Cloud-Konto, wenn Sie die IAM-Rollenauthentifizierung verwenden. Die IAM-Rolle gilt nur, wenn Ihre Erfassungseinheit auf einer AWS-Instanz installiert ist.

    • Die IAM-Zugriffsschlüssel-ID und der geheime Zugriffsschlüssel für Ihr AWS-Cloud-Konto, wenn Sie die IAM-Zugriffsschlüssel-Authentifizierung verwenden.

  • Sie müssen über die Berechtigung „Organisation auflisten“ verfügen

  • Port 443 HTTPS

  • AWS S3-Instanzen können als virtuelle Maschine oder (weniger natürlich) als Host gemeldet werden. EBS-Volumes können sowohl als von der VM verwendete VirtualDisk als auch als DataStore gemeldet werden, der die Kapazität für die VirtualDisk bereitstellt.

Zugriffsschlüssel bestehen aus einer Zugriffsschlüssel-ID (z. B. AKIAIOSFODNN7EXAMPLE) und einem geheimen Zugriffsschlüssel (z. B. wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). Sie verwenden Zugriffsschlüssel, um programmgesteuerte Anfragen zu signieren, die Sie an AWS stellen, wenn Sie die AWS SDKs, REST oder Query-API-Operationen verwenden. Diese Schlüssel werden Ihnen mit Ihrem Vertrag von Amazon zur Verfügung gestellt.

Konfiguration

Geben Sie die Daten in die Felder des Datensammlers gemäß der folgenden Tabelle ein:

Feld Beschreibung

AWS-Region

AWS-Region auswählen

IAM-Rolle

Nur zur Verwendung, wenn es auf einer AU in AWS erworben wurde. Weitere Informationen finden Sie weiter untenIAM-Rolle .

AWS IAM-Zugriffsschlüssel-ID

Geben Sie die AWS IAM-Zugriffsschlüssel-ID ein. Erforderlich, wenn Sie keine IAM-Rolle verwenden.

Geheimer AWS IAM-Zugriffsschlüssel

Geben Sie den geheimen AWS IAM-Zugriffsschlüssel ein. Erforderlich, wenn Sie keine IAM-Rolle verwenden.

Mir ist bekannt, dass AWS mir API-Anfragen in Rechnung stellt.

Aktivieren Sie dies, um zu bestätigen, dass Sie verstanden haben, dass AWS Ihnen die API-Anfragen in Rechnung stellt, die durch Data Infrastructure Insights -Polling gestellt werden.

Erweiterte Konfiguration

Feld Beschreibung

Cross-Account-Rolle

Rolle für den Zugriff auf Ressourcen in verschiedenen AWS-Konten.

Inventarabfrageintervall (min)

Der Standardwert ist 60

Wählen Sie „Ausschließen“ oder „Einschließen“, um VMs nach Tags zu filtern

Geben Sie an, ob VMs beim Sammeln von Daten anhand von Tags ein- oder ausgeschlossen werden sollen. Wenn „Einschließen“ ausgewählt ist, darf das Feld „Tag-Schlüssel“ nicht leer sein.

Leistungsabfrageintervall (Sek.)

Der Standardwert ist 1800

IAM-Zugriffsschlüssel

Zugriffsschlüssel sind langfristige Anmeldeinformationen für einen IAM-Benutzer oder den Stammbenutzer des AWS-Kontos. Zugriffsschlüssel werden verwendet, um programmgesteuerte Anfragen an die AWS CLI oder AWS API zu signieren (direkt oder mithilfe des AWS SDK).

Zugriffsschlüssel bestehen aus zwei Teilen: einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel. Wenn Sie die Authentifizierung mit IAM-Zugriffsschlüssel verwenden (im Gegensatz zur Authentifizierung mit IAM-Rolle), müssen Sie zur Authentifizierung von Anfragen sowohl die Zugriffsschlüssel-ID als auch den geheimen Zugriffsschlüssel zusammen verwenden. Weitere Informationen finden Sie in der Amazon-Dokumentation unter"Zugriffsschlüssel" .

IAM-Rolle

Wenn Sie die Authentifizierung mit IAM-Rolle verwenden (im Gegensatz zur Authentifizierung mit IAM-Zugriffsschlüssel), müssen Sie sicherstellen, dass die von Ihnen erstellte oder angegebene Rolle über die entsprechenden Berechtigungen für den Zugriff auf Ihre Ressourcen verfügt.

Wenn Sie beispielsweise eine IAM-Rolle mit dem Namen InstanceS3ReadOnly erstellen, müssen Sie die Richtlinie so einrichten, dass S3 für alle S3-Ressourcen für diese IAM-Rolle die schreibgeschützte Listenzugriffsberechtigung erteilt wird. Zusätzlich müssen Sie STS (Security Token Service)-Zugriff gewähren, damit diese Rolle kontoübergreifend Rollen übernehmen darf.

Nachdem Sie eine IAM-Rolle erstellt haben, können Sie sie anhängen, wenn Sie eine neue S3-Instanz oder eine vorhandene S3-Instanz erstellen.

Nachdem Sie die IAM-Rolle InstanceS3ReadOnly an eine S3-Instanz angehängt haben, können Sie die temporären Anmeldeinformationen über die Instanzmetadaten anhand des IAM-Rollennamens abrufen und sie verwenden, um mit jeder auf dieser S3-Instanz ausgeführten Anwendung auf AWS-Ressourcen zuzugreifen.

Weitere Informationen finden Sie in der Amazon-Dokumentation unter"IAM-Rollen" .

Hinweis: Die IAM-Rolle kann nur verwendet werden, wenn die Acquisition Unit in einer AWS-Instanz ausgeführt wird.

Zuordnen von Amazon-Tags zu Data Infrastructure Insights -Anmerkungen

Der AWS S3 als Speicherdatensammler enthält eine Option, mit der Sie Data Infrastructure Insights -Anmerkungen mit auf S3 konfigurierten Tags füllen können. Die Anmerkungen müssen genau wie die AWS-Tags benannt sein. Data Infrastructure Insights füllt immer gleichnamige Textanmerkungen aus und unternimmt den bestmöglichen Versuch, Anmerkungen anderer Typen (Zahl, Boolescher Wert usw.) auszufüllen. Wenn Ihre Anmerkung einen anderen Typ hat und der Datensammler sie nicht ausfüllen kann, kann es erforderlich sein, die Anmerkung zu entfernen und als Texttyp neu zu erstellen.

Beachten Sie, dass bei AWS die Groß- und Kleinschreibung beachtet wird, während bei Data Infrastructure Insights die Groß- und Kleinschreibung nicht beachtet wird. Wenn Sie also in Data Infrastructure Insights eine Annotation mit dem Namen „OWNER“ und in S3 Tags mit den Namen „OWNER“, „Owner“ und „owner“ erstellen, werden alle S3-Varianten von „owner“ der Annotation „OWNER“ von Cloud Insight zugeordnet.

Sammeln von AWS-Unterkonten

Data Infrastructure Insights unterstützt die Erfassung untergeordneter Konten für AWS innerhalb eines einzelnen AWS-Datensammlers. Die Konfiguration für diese Sammlung wird in der AWS-Umgebung durchgeführt:

  • Sie müssen jedes untergeordnete Konto so konfigurieren, dass es über eine AWS-Rolle verfügt, die der Hauptkonto-ID den Zugriff auf S3-Details des untergeordneten Kontos ermöglicht.

  • Für jedes untergeordnete Konto muss der Rollenname als dieselbe Zeichenfolge konfiguriert sein.

  • Geben Sie diese Rollennamenzeichenfolge in den Abschnitt Erweiterte Konfiguration des Data Infrastructure Insights AWS Data Collector im Feld Kontoübergreifende Rolle ein.

  • Das Konto, unter dem der Collector installiert ist, muss über die Berechtigung „Delegierter Zugriffsadministrator“ verfügen. Siehe die"AWS-Dokumentation" für weitere Informationen.

Best Practice: Es wird dringend empfohlen, dem S3-Hauptkonto die von AWS vordefinierte Richtlinie AmazonS3ReadOnlyAccess zuzuweisen. Außerdem sollte dem in der Datenquelle konfigurierten Benutzer mindestens die vordefinierte Richtlinie AWSOrganizationsReadOnlyAccess zugewiesen sein, um AWS abfragen zu können.

Im Folgenden finden Sie Informationen zum Konfigurieren Ihrer Umgebung, damit Data Infrastructure Insights Daten von untergeordneten AWS-Konten erfassen kann:

"Tutorial: Zugriff über AWS-Konten hinweg mithilfe von IAM-Rollen delegieren"

"AWS-Setup: Bereitstellen des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto, das Ihnen gehört"

"Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer"

Fehlerbehebung

Weitere Informationen zu diesem Datensammler finden Sie im"Support" Seite oder in der"Datensammler-Supportmatrix" .