Skip to main content
Cloud Manager 3.8
Eine neuere Version dieses Produkts ist erhältlich.
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Erste Schritte mit Cloud Compliance für Amazon S3

Beitragende

Cloud Compliance kann Ihre Amazon S3 Buckets scannen, um die persönlichen und sensiblen Daten zu identifizieren, die sich im S3 Objekt-Storage befinden. Cloud Compliance kann jeden Bucket auf dem Konto scannen, unabhängig davon, ob er für eine NetApp Lösung erstellt wurde.

Schnellstart

Führen Sie diese Schritte schnell durch, oder scrollen Sie nach unten zu den verbleibenden Abschnitten, um ausführliche Informationen zu erhalten.

Nummer 1 S3-Anforderungen in Ihrer Cloud-Umgebung einrichten

Stellen Sie sicher, dass Ihre Cloud-Umgebung die Anforderungen für Cloud Compliance erfüllen kann, einschließlich der Vorbereitung einer IAM-Rolle und der Einrichtung der Konnektivität von Cloud Compliance bis S3. Eine vollständige Liste finden Sie hier.

Nummer 2 Implementieren der Cloud Compliance-Instanz

"Cloud Compliance in Cloud Manager implementieren" Falls noch keine Instanz implementiert wurde.

Nummer 3 Aktivieren Sie Compliance in Ihrer S3-Arbeitsumgebung

Wählen Sie die Amazon S3-Arbeitsumgebung aus, klicken Sie auf Compliance aktivieren und wählen Sie eine IAM-Rolle aus, die die erforderlichen Berechtigungen enthält.

Nummer 4 Wählen Sie die zu scannenden Buckets aus

Wählen Sie die Buckets aus, die Sie scannen möchten, und Cloud Compliance beginnt mit dem Scannen.

Überprüfen der S3-Voraussetzungen

Die folgenden Anforderungen gelten insbesondere für das Scannen von S3-Buckets.

Einrichten einer IAM-Rolle für die Cloud Compliance-Instanz

Cloud Compliance benötigt Berechtigungen, um sich mit den S3-Buckets Ihres Kontos zu verbinden und zu scannen. Richten Sie eine IAM-Rolle ein, die die unten aufgeführten Berechtigungen enthält. Cloud Manager fordert Sie auf, eine IAM-Rolle auszuwählen, wenn Sie Cloud Compliance in der Amazon S3-Arbeitsumgebung aktivieren.

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:HeadBucket"
          ],
          "Resource": "*"
      },
      {
          "Effect": "Allow",
          "Action": [
              "iam:GetPolicyVersion",
              "iam:GetPolicy",
              "iam:ListAttachedRolePolicies"
          ],
          "Resource": [
              "arn:aws:iam::*:policy/*",
              "arn:aws:iam::*:role/*"
          ]
      }
  ]
}
Bereitstellung der Konnektivität von Cloud Compliance zu Amazon S3

Cloud Compliance benötigt eine Verbindung zu Amazon S3. Die beste Möglichkeit, eine solche Verbindung bereitzustellen, ist über einen VPC Endpunkt zum S3-Service. Anweisungen hierzu finden Sie unter "AWS Dokumentation: Erstellen eines Gateway-Endpunkts".

Wenn Sie den VPC-Endpunkt erstellen, sollten Sie die Region, die VPC und die Routing-Tabelle auswählen, die der Cloud Compliance-Instanz entspricht. Sie müssen auch die Sicherheitsgruppe ändern, um eine ausgehende HTTPS-Regel hinzuzufügen, die Datenverkehr zum S3-Endpunkt ermöglicht. Andernfalls kann Cloud Compliance keine Verbindung zum S3-Service herstellen.

Informationen zu Problemen finden Sie unter "AWS Support Knowledge Center: Warum kann ich mich nicht über einen Gateway VPC Endpunkt mit einem S3-Bucket verbinden?"

Eine Alternative besteht darin, die Verbindung über ein NAT Gateway bereitzustellen.

Hinweis Sie können keinen Proxy verwenden, um über das Internet nach S3 zu gelangen.

Bereitstellen der Instanz für Cloud-Compliance

"Cloud Compliance in Cloud Manager implementieren" Falls noch keine Instanz implementiert wurde.

Sie müssen die Instanz in einem AWS Connector implementieren, damit Cloud Manager die S3-Buckets in diesem AWS-Konto automatisch erkennt und in einer Amazon S3-Arbeitsumgebung angezeigt wird.

Aktivierung von Compliance in Ihrer S3-Arbeitsumgebung

Aktivieren Sie Cloud-Compliance auf Amazon S3, nachdem Sie die Voraussetzungen überprüft haben.

Schritte

  1. Klicken Sie oben im Cloud Manager auf Arbeitsumgebungen.

  2. Wählen Sie die Amazon S3-Arbeitsumgebung aus.

    Ein Screenshot eines Amazon S3 Arbeitsumgebungssymbols

  3. Klicken Sie im rechten Fensterbereich auf Compliance aktivieren.

    Ein Screenshot der Aktivierung des Cloud Compliance Service über das Fenster „Services“

  4. Weisen Sie bei der entsprechenden Aufforderung der Cloud Compliance-Instanz eine IAM-Rolle zu Die erforderlichen Berechtigungen.

    Screenshot zur Eingabe der AWS IAM-Rolle für Cloud Compliance

  5. Klicken Sie Auf Compliance Aktivieren.

Tipp Sie können Compliance-Scans für eine Arbeitsumgebung auch über die Seite Scankonfiguration aktivieren, indem Sie auf die klicken Und wählen Sie Compliance aktivieren.
Ergebnis

Cloud Manager weist der Instanz die IAM-Rolle zu.

Aktivieren und Deaktivieren von Compliance-Scans auf S3-Buckets

Nachdem Cloud Manager Cloud Compliance in Amazon S3 aktiviert hat, müssen die Buckets konfiguriert werden, die überprüft werden sollen.

Wenn Cloud Manager im AWS Konto ausgeführt wird, das über die S3-Buckets verfügt, die Sie scannen möchten, erkennt es diese Buckets und zeigt sie in einer Amazon S3-Arbeitsumgebung an.

Auch Cloud Compliance kann Scannen von S3-Buckets, die in unterschiedlichen AWS Konten vorhanden sind.

Schritte

  1. Wählen Sie die Amazon S3-Arbeitsumgebung aus.

  2. Klicken Sie im rechten Fensterbereich auf Eimer konfigurieren.

    Ein Screenshot mit dem Klicken auf Buckets konfigurieren, um die S3-Buckets auszuwählen, die Sie scannen möchten

  3. Aktivieren Sie Compliance in den Buckets, die Sie scannen möchten.

    Ein Screenshot zur Auswahl der S3-Buckets, die gescannt werden sollen

Ergebnis

Cloud Compliance beginnt mit dem Scannen der aktivierten S3-Buckets. Wenn Fehler auftreten, werden sie neben der erforderlichen Aktion zur Behebung des Fehlers in der Spalte Status angezeigt.

Scannen von Buckets für weitere AWS Konten

Sie können S3-Buckets scannen, die sich unter einem anderen AWS-Konto befinden, indem Sie von diesem Konto eine Rolle zuweisen, um auf die vorhandene Cloud-Compliance-Instanz zuzugreifen.

Schritte

  1. Gehen Sie zum AWS Ziel-Konto, in dem Sie S3 Buckets scannen und eine IAM-Rolle erstellen möchten, indem Sie ein weiteres AWS-Konto auswählen.

    Gehen Sie wie folgt vor:

    • Geben Sie die ID des Kontos ein, auf dem sich die Cloud-Compliance-Instanz befindet.

    • Ändern Sie die maximale CLI/API-Sitzungsdauer* von 1 Stunde auf 12 Stunden und speichern Sie diese Änderung.

    • Hängen Sie die Cloud Compliance IAM-Richtlinie an. Stellen Sie sicher, dass es über die erforderlichen Berechtigungen verfügt.

      {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:HeadBucket"
          ],
          "Resource": "*"
      },
  ]
}

  2. Wechseln Sie zum AWS Quellkonto, in dem sich die Cloud Compliance Instanz befindet, und wählen Sie die IAM-Rolle aus, die mit der Instanz verbunden ist.

    1. Ändern Sie die maximale CLI/API-Sitzungsdauer* von 1 Stunde auf 12 Stunden und speichern Sie diese Änderung.

    2. Klicken Sie auf Richtlinien anhängen und dann auf Richtlinien erstellen.

    3. Erstellen Sie eine Richtlinie, die die Aktion „STS:AssumeRole“ und den ARN der Rolle umfasst, die Sie im Zielkonto erstellt haben.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::<ADDITIONAL-ACCOUNT-ID>:role/<ADDITIONAL_ROLE_NAME>"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/*",
                "arn:aws:iam::*:role/*"
            ]
        }
    ]
}

      Das Instanzprofil für Cloud Compliance hat nun Zugriff auf das zusätzliche AWS Konto.

  3. Gehen Sie auf die Seite Amazon S3 Scan Configuration und das neue AWS-Konto wird angezeigt. Beachten Sie, dass es einige Minuten dauern kann, bis Cloud Compliance die Arbeitsumgebung des neuen Kontos synchronisiert und diese Informationen anzeigt.

  4. Klicken Sie auf Compliance aktivieren & Buckets auswählen und wählen Sie die Eimer aus, die Sie scannen möchten.

Ergebnis

Cloud Compliance beginnt mit dem Scannen der neuen aktivierten S3-Buckets.