Escanee los buckets de Amazon S3
Sugerir cambios
PDF
La clasificación de BlueXP puede analizar tus buckets de Amazon S3 para identificar los datos personales y confidenciales que residen en el almacenamiento de objetos S3. La clasificación de BlueXP puede analizar cualquier bloque de la cuenta, independientemente de si se ha creado para una solución de NetApp.
NOTA Esta información solo es relevante para las versiones heredadas de clasificación de BlueXP 1,30 y anteriores.
Inicio rápido
Empiece rápidamente siguiendo estos pasos o desplácese hacia abajo hasta las secciones restantes para obtener todos los detalles.
Configure los requisitos de S3 en su entorno de cloudAsegúrate de que tu entorno de nube pueda cumplir los requisitos de la clasificación de BlueXP, incluida la preparación de un rol de IAM y la configuración de la conectividad desde la clasificación de BlueXP a S3. Vea la lista completa.
Implementa la instancia de clasificación de BlueXP"Implementa la clasificación de BlueXP" si aún no hay una instancia implementada.
Activa la clasificación de BlueXP en tu entorno de trabajo S3Seleccione el entorno de trabajo de Amazon S3, haga clic en Habilitar y seleccione una función IAM que incluya los permisos necesarios.
Seleccione los cucharones que desea escanearSelecciona los bloques que quieres escanear y la clasificación de BlueXP comenzará a escanearlos.
Revisión de los requisitos previos de S3
Los siguientes requisitos son específicos para el análisis de bloques de S3.
- Configura un rol de IAM para la instancia de clasificación de BlueXP
-
La clasificación de BlueXP necesita permisos para conectarse a los bloques de S3 de tu cuenta y analizarlos. Configure un rol de IAM que incluya los permisos que se indican a continuación. BlueXP te pide que selecciones un rol de IAM al habilitar la clasificación de BlueXP en el entorno de trabajo de Amazon S3.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*", "s3:PutObject" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:policy/*", "arn:aws:iam::*:role/*" ] } ] } - Proporciona conectividad desde la clasificación de BlueXP a Amazon S3
-
La clasificación de BlueXP necesita una conexión con Amazon S3. La mejor forma de proporcionar esa conexión es mediante un extremo VPC con el servicio S3. Para ver instrucciones, consulte "Documentación de AWS: Crear un extremo de puerta de enlace".
Al crear el extremo de VPC, asegúrese de seleccionar la región, la VPC y la tabla de rutas que correspondan a la instancia de clasificación de BlueXP. También debe modificar el grupo de seguridad para añadir una regla de HTTPS de salida que habilite el tráfico hacia el extremo de S3. De lo contrario, la clasificación de BlueXP no podrá conectarse al servicio S3.
Si experimenta algún problema, consulte "Centro de conocimientos de soporte de AWS: ¿Por qué no se puede conectar a un bloque de S3 mediante un extremo VPC de puerta de enlace?"
Una alternativa es proporcionar la conexión utilizando una puerta de enlace NAT.
No se puede usar un proxy para acceder a S3 a través de Internet.
Implementar la instancia de clasificación de BlueXP
"Implementa la clasificación de BlueXP en BlueXP" si aún no hay una instancia implementada.
Debe implementar la instancia con un conector puesto en marcha en AWS para que BlueXP detecte automáticamente los cubos de S3 de esta cuenta de AWS y los muestre en un entorno de trabajo de Amazon S3.
Nota: La implementación de la clasificación de BlueXP en una ubicación local no es compatible actualmente al analizar cubos S3.
Las actualizaciones al software de clasificación BlueXP se automatizan siempre que la instancia tenga conectividad a Internet.
Activar la clasificación de BlueXP en tu entorno de trabajo S3
Habilita la clasificación de BlueXP en Amazon S3 después de verificar los requisitos previos.
-
En el menú de navegación izquierdo de BlueXP, haga clic en almacenamiento > lienzo.
-
Seleccione el entorno de trabajo de Amazon S3.
-
En el panel Servicios de la derecha, haga clic en Activar junto a Clasificación.
-
Cuando se le solicite, asigne un rol de IAM a la instancia de clasificación de BlueXP que tenga los permisos necesarios.
-
Haga clic en Activar.
|
También puede habilitar análisis de cumplimiento de un entorno de trabajo desde la página Configuración haciendo clic en  Y seleccionando Activar clasificación de BlueXP.
|
BlueXP asigna la función IAM a la instancia.
Habilitar y deshabilitar los análisis de cumplimiento de normativas en bloques S3
Después de que BlueXP habilita la clasificación de BlueXP en Amazon S3, el paso siguiente es configurar los bloques que quieres analizar.
Cuando BlueXP se ejecuta en la cuenta de AWS que tiene los bloques de S3 que desea analizar, detecta esos bloques y los muestra en un entorno de trabajo de Amazon S3.
La clasificación de BlueXP también puede Escanee bloques de S3 que se encuentran en diferentes cuentas de AWS.
-
Seleccione el entorno de trabajo de Amazon S3.
-
En el panel Servicios de la derecha, haga clic en Configurar cucharones.
-
Active escaneos de sólo asignación o escaneos de asignación y clasificación en los bloques.
Para: Haga lo siguiente: Habilite los análisis de sólo asignación en un bloque
Haga clic en Mapa
Activar exploraciones completas en un bloque
Haga clic en Mapa y clasificación
Desactivar el análisis en un bloque
Haga clic en Desactivado
La clasificación de BlueXP comienza a analizar los bloques de S3 que has habilitado. Si hay algún error, aparecerán en la columna Estado, junto con la acción necesaria para corregir el error.
Escaneando bloques de cuentas de AWS adicionales
Puede analizar bloques de S3 que están con una cuenta de AWS diferente asignando un rol de esa cuenta para acceder a la instancia de clasificación existente de BlueXP.
-
Vaya a la cuenta AWS de destino donde desee explorar bloques S3 y crear un rol IAM seleccionando otra cuenta de AWS.
No olvide hacer lo siguiente:
-
Introduzca el ID de la cuenta en la que reside la instancia de clasificación de BlueXP.
-
Cambie la duración máxima de la sesión de CLI/API de 1 hora a 12 horas y guarde dicho cambio.
-
Adjunta la política de IAM de clasificación de BlueXP. Asegúrese de que tiene los permisos necesarios.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*", "s3:PutObject" ], "Resource": "*" }, ] }
-
-
Ve a la cuenta de AWS de origen donde reside la instancia de clasificación de BlueXP y selecciona el rol IAM adjunto a la instancia.
-
Cambie la duración máxima de la sesión de CLI/API de 1 hora a 12 horas y guarde dicho cambio.
-
Haga clic en Adjuntar directivas y, a continuación, en Crear directiva.
-
Cree una directiva que incluya la acción "sts:AssumeRole" y especifique el ARN del rol que creó en la cuenta de destino.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::<ADDITIONAL-ACCOUNT-ID>:role/<ADDITIONAL_ROLE_NAME>" }, { "Effect": "Allow", "Action": [ "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:policy/*", "arn:aws:iam::*:role/*" ] } ] }La cuenta de perfil de instancia de clasificación de BlueXP ahora tiene acceso a la cuenta de AWS adicional.
-
-
Vaya a la página Configuración de Amazon S3 y aparecerá la nueva cuenta de AWS. Ten en cuenta que la clasificación de BlueXP puede tardar unos minutos en sincronizar el entorno de trabajo de la nueva cuenta y mostrar esta información.
-
Haz clic en Activar la clasificación de BlueXP y Select Buckets y selecciona los bloques que deseas escanear.
La clasificación de BlueXP comienza a analizar los nuevos bloques de S3 que ha habilitado.