Skip to main content
Cloud Manager 3.8
Hay disponible una nueva versión de este producto.
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Introducción a Cloud Compliance para Amazon S3

Colaboradores
PDF

Cloud Compliance puede analizar sus buckets de Amazon S3 para identificar los datos personales y confidenciales que se encuentran en el almacenamiento de objetos S3. Cloud Compliance puede analizar cualquier bloque de la cuenta, independientemente de si se ha creado para una solución de NetApp.

Inicio rápido

Empiece rápidamente siguiendo estos pasos o desplácese hacia abajo hasta las secciones restantes para obtener todos los detalles.

Número 1 Configure los requisitos de S3 en su entorno de cloud

Asegúrese de que su entorno cloud pueda cumplir los requisitos de Cloud Compliance, incluida la preparación de un rol IAM y la configuración de conectividad de Cloud Compliance a S3. Vea la lista completa.

Número 2 Implemente la instancia de Cloud Compliance

"Ponga en marcha Cloud Compliance en Cloud Manager" si aún no hay una instancia implementada.

Número 3 Active Compliance en su entorno de trabajo de S3

Seleccione el entorno de trabajo de Amazon S3, haga clic en Activar cumplimiento y seleccione una función de IAM que incluya los permisos necesarios.

Número 4 Seleccione los cucharones que desea escanear

Seleccione los cubos que desea analizar y Cloud Compliance empezará a analizarlos.

Revisión de los requisitos previos de S3

Los siguientes requisitos son específicos para el análisis de bloques de S3.

Configurar un rol de IAM para la instancia de Cloud Compliance

Cloud Compliance necesita permisos para conectarse a los bloques de S3 de su cuenta y para analizarlos. Configure un rol de IAM que incluya los permisos que se indican a continuación. Cloud Manager le solicita que seleccione un rol de IAM cuando se habilita Cloud Compliance en el entorno de trabajo de Amazon S3.

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:HeadBucket"
          ],
          "Resource": "*"
      },
      {
          "Effect": "Allow",
          "Action": [
              "iam:GetPolicyVersion",
              "iam:GetPolicy",
              "iam:ListAttachedRolePolicies"
          ],
          "Resource": [
              "arn:aws:iam::*:policy/*",
              "arn:aws:iam::*:role/*"
          ]
      }
  ]
}
Proporcione conectividad desde Cloud Compliance a Amazon S3

Cloud Compliance necesita una conexión con Amazon S3. La mejor forma de proporcionar esa conexión es mediante un extremo VPC con el servicio S3. Para ver instrucciones, consulte "Documentación de AWS: Crear un extremo de puerta de enlace".

Al crear el extremo VPC, asegúrese de seleccionar la región, VPC y tabla de rutas que correspondan a la instancia de Cloud Compliance. También debe modificar el grupo de seguridad para añadir una regla de HTTPS de salida que habilite el tráfico hacia el extremo de S3. De lo contrario, Cloud Compliance no se puede conectar con el servicio S3.

Si experimenta algún problema, consulte "Centro de conocimientos de soporte de AWS: ¿por qué no puedo conectarme a un bloque de S3 mediante un extremo de VPC de puerta de enlace?"

Una alternativa es proporcionar la conexión utilizando una puerta de enlace NAT.

Nota No se puede usar un proxy para acceder a S3 a través de Internet.

Implementación de la instancia de Cloud Compliance

"Ponga en marcha Cloud Compliance en Cloud Manager" si aún no hay una instancia implementada.

Debe implementar la instancia en un conector de AWS para que Cloud Manager detecte automáticamente los bloques S3 en esta cuenta de AWS y los muestre en un entorno de trabajo Amazon S3.

Activar el cumplimiento de normativas en el entorno de trabajo de S3

Habilite Cloud Compliance en Amazon S3 después de comprobar los requisitos previos.

Pasos

  1. En la parte superior de Cloud Manager, haga clic en entornos de trabajo.

  2. Seleccione el entorno de trabajo de Amazon S3.

    Una captura de pantalla de un icono de entorno de trabajo de Amazon S3

  3. En el panel de la derecha, haga clic en Activar cumplimiento.

    Una captura de pantalla de cómo habilitar el servicio Cloud Compliance desde la Panel de servicios

  4. Cuando se le solicite, asigne una función IAM a la instancia de Cloud Compliance que tiene los permisos necesarios.

    Una captura de pantalla de introducción del rol de IAM de AWS para el cloud Cumplimiento de normativas

  5. Haga clic en Activar cumplimiento.

Consejo También puede habilitar análisis de cumplimiento para un entorno de trabajo En la página Scan Configuration (Configuración de exploración), haga clic en Y seleccione Activar cumplimiento.
Resultado

Cloud Manager asigna el rol IAM a la instancia.

Habilitar y deshabilitar los análisis de cumplimiento de normativas en bloques S3

Después de que Cloud Manager habilita Cloud Compliance en Amazon S3, el paso siguiente es configurar los bloques que desea analizar.

Cuando Cloud Manager se ejecuta en la cuenta de AWS que tiene los bloques de S3 que desea analizar, detecta esos bloques y los muestra en un entorno de trabajo de Amazon S3.

Cloud Compliance también puede Escanee bloques de S3 que se encuentran en diferentes cuentas de AWS.

Pasos

  1. Seleccione el entorno de trabajo de Amazon S3.

  2. En el panel de la derecha, haga clic en Configurar cucharones.

    Una captura de pantalla de cómo hacer clic en Configure Buckets para elegir S3 cubos que desea escanear

  3. Habilite el cumplimiento de normativas en los cucharones que desee analizar.

    Una captura de pantalla de la selección de los bloques de S3 que desea exploración

Resultado

Cloud Compliance comienza a analizar los bloques de S3 que ha habilitado. Si hay algún error, aparecerán en la columna Estado, junto con la acción necesaria para corregir el error.

Escaneando bloques de cuentas de AWS adicionales

Puede analizar bloques de S3 que se encuentran en una cuenta de AWS diferente asignando un rol de esa cuenta para poder acceder a la instancia existente de Cloud Compliance.

Pasos

  1. Vaya a la cuenta AWS de destino donde desee explorar bloques S3 y crear un rol IAM seleccionando otra cuenta de AWS.

    No olvide hacer lo siguiente:

    • Introduzca el ID de la cuenta en la que reside la instancia de Cloud Compliance.

    • Cambie la duración máxima de la sesión de CLI/API de 1 hora a 12 horas y guarde dicho cambio.

    • Asociar la política de IAM de cumplimiento de normativas de cloud. Asegúrese de que tiene los permisos necesarios.

      {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:HeadBucket"
          ],
          "Resource": "*"
      },
  ]
}

  2. Vaya a la cuenta de AWS de origen donde reside la instancia de Cloud Compliance y seleccione la función IAM que se adjunta a la instancia.

    1. Cambie la duración máxima de la sesión de CLI/API de 1 hora a 12 horas y guarde dicho cambio.

    2. Haga clic en Adjuntar directivas y, a continuación, en Crear directiva.

    3. Cree una directiva que incluya la acción "sts:AssumeRole" y el ARN del rol que creó en la cuenta de destino.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::<ADDITIONAL-ACCOUNT-ID>:role/<ADDITIONAL_ROLE_NAME>"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/*",
                "arn:aws:iam::*:role/*"
            ]
        }
    ]
}

      La cuenta del perfil de instancia de Cloud Compliance ahora tiene acceso a la cuenta de AWS adicional.

  3. Vaya a la página Configuración de análisis de Amazon S3 y aparecerá la nueva cuenta de AWS. Tenga en cuenta que Cloud Compliance puede tardar unos minutos en sincronizar el entorno de trabajo de la nueva cuenta y mostrar esta información.

  4. Haga clic en Activar cumplimiento y Seleccionar cucharones y seleccione los cucharones que desea escanear.

Resultado

Cloud Compliance comienza a analizar los nuevos bloques de S3 que ha habilitado.