Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Analyse des compartiments Amazon S3

Contributeurs
PDF

La classification BlueXP peut analyser vos compartiments Amazon S3 pour identifier les données personnelles et sensibles qui résident dans le stockage objet S3. La classification BlueXP peut analyser n'importe quel compartiment du compte, qu'il ait été créé pour une solution NetApp.

REMARQUE ces informations ne concernent que les versions 1.30 et antérieures de l'héritage de classification BlueXP.

Démarrage rapide

Pour commencer rapidement, suivez ces étapes ou faites défiler jusqu'aux sections restantes pour obtenir de plus amples informations.

Une seule Configurez les exigences S3 dans votre environnement cloud

Assurez-vous que votre environnement cloud répond aux exigences de classification BlueXP, notamment en préparant un rôle IAM et en configurant la connectivité entre la classification BlueXP et S3. Voir la liste complète.

Deux Déployez l'instance de classification BlueXP

"Déployez la classification BlueXP" si aucune instance n'est déjà déployée.

Trois Activez la classification BlueXP dans votre environnement de travail S3

Sélectionnez l'environnement de travail Amazon S3, cliquez sur Activer et sélectionnez un rôle IAM qui inclut les autorisations requises.

Quatre Sélectionnez les compartiments à numériser

Sélectionnez les compartiments que vous souhaitez analyser et la classification BlueXP commencera à les analyser.

Vérification des prérequis S3

Les exigences suivantes sont spécifiques à l'analyse des compartiments S3.

Configurez un rôle IAM pour l'instance de classification BlueXP

La classification BlueXP nécessite des autorisations pour se connecter aux compartiments S3 de votre compte et les analyser. Configurez un rôle IAM qui inclut les autorisations répertoriées ci-dessous. BlueXP vous invite à sélectionner un rôle IAM lorsque vous activez la classification BlueXP dans l'environnement de travail Amazon S3.

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:PutObject"
          ],
          "Resource": "*"
      },
      {
          "Effect": "Allow",
          "Action": [
              "iam:GetPolicyVersion",
              "iam:GetPolicy",
              "iam:ListAttachedRolePolicies"
          ],
          "Resource": [
              "arn:aws:iam::*:policy/*",
              "arn:aws:iam::*:role/*"
          ]
      }
  ]
}
Connectivité de la classification BlueXP à Amazon S3

La classification BlueXP doit être connectée à Amazon S3. Pour assurer cette connexion, le meilleur moyen consiste à utiliser un terminal VPC pour le service S3. Pour obtenir des instructions, reportez-vous à la section "Documentation AWS : création d'un terminal de passerelle".

Lorsque vous créez le terminal VPC, veillez à sélectionner la région, le VPC et la table de routage correspondant à l'instance de classification BlueXP. Vous devez également modifier le groupe de sécurité pour ajouter une règle HTTPS sortante qui active le trafic vers le terminal S3. Sinon, la classification BlueXP ne peut pas se connecter au service S3.

Si vous rencontrez des problèmes, reportez-vous à la section "Centre de connaissances du support AWS : pourquoi ne puis-je pas me connecter à un compartiment S3 à l'aide d'un terminal VPC de passerelle ?"

Une alternative consiste à fournir la connexion à l'aide d'une passerelle NAT.

Remarque Vous ne pouvez pas utiliser de proxy pour accéder à S3 sur Internet.

Déploiement de l'instance de classification BlueXP

"Déployez la classification BlueXP dans BlueXP" si aucune instance n'est déjà déployée.

Vous devez déployer l'instance à l'aide d'un connecteur déployé dans AWS. BlueXP détecte automatiquement les compartiments S3 dans ce compte AWS et les affiche dans un environnement de travail Amazon S3.

Remarque : le déploiement de la classification BlueXP dans un emplacement sur site n'est actuellement pas pris en charge lors de l'analyse des compartiments S3.

Les mises à niveau vers le logiciel de classification BlueXP  sont automatisées tant que l'instance dispose d'une connectivité Internet.

Activation de la classification BlueXP sur votre environnement de travail S3

Activez la classification BlueXP sur Amazon S3 après avoir vérifié les prérequis.

Étapes

  1. Dans le menu de navigation de gauche de BlueXP, cliquez sur stockage > Canvas.

  2. Sélectionnez l'environnement de travail Amazon S3.

    Copie d'écran d'une icône d'environnement de travail Amazon S3

  3. Dans le volet Services à droite, cliquez sur Activer en regard de Classification.

    Capture d'écran de l'activation du service de classification BlueXP depuis le panneau Services

  4. Lorsque vous y êtes invité, attribuez un rôle IAM à l'instance de classification BlueXP qui dispose de les autorisations requises.

    Capture d'écran d'entrée du rôle IAM AWS pour la classification BlueXP

  5. Cliquez sur Activer.

Astuce Vous pouvez également activer les analyses de conformité pour un environnement de travail à partir de la page Configuration en cliquant sur trois points Et en sélectionnant Activer la classification BlueXP.
Résultat

BlueXP affecte le rôle IAM à l'instance.

Activation et désactivation des analyses de conformité dans les compartiments S3

Une fois que BlueXP a activé la classification BlueXP sur Amazon S3, l'étape suivante consiste à configurer les compartiments à analyser.

Lorsque BlueXP est exécuté dans le compte AWS doté des compartiments S3 que vous souhaitez analyser, il détecte ces compartiments et les affiche dans un environnement de travail Amazon S3.

La classification BlueXP peut également être utilisée Analysez les compartiments S3 qui se trouvent dans différents comptes AWS.

Étapes

  1. Sélectionnez l'environnement de travail Amazon S3.

  2. Dans le volet Services à droite, cliquez sur configurer les compartiments.

    Une capture d'écran en cliquant sur configurer les compartiments pour choisir les compartiments S3 à analyser

  3. Activez les analyses de mappage uniquement ou les analyses de mappage et de classification sur vos compartiments.

    Capture d'écran de la sélection des compartiments S3 à numériser

    À : Procédez comme suit :

    Activez les acquisitions avec mappage uniquement sur un compartiment

    Cliquez sur carte

    Activer les acquisitions complètes sur un compartiment

    Cliquez sur carte et classement

    Désactiver l'acquisition sur un godet

    Cliquez sur Off
Résultat

La classification BlueXP commence à analyser les compartiments S3 que vous avez activés. En cas d'erreur, elles apparaîtront dans la colonne État, ainsi que l'action requise pour corriger l'erreur.

Analyse des compartiments à partir de comptes AWS supplémentaires

Vous pouvez analyser les compartiments S3 situés sous un autre compte AWS en attribuant un rôle à partir de ce compte pour accéder à l'instance de classification BlueXP existante.

Étapes

  1. Accédez au compte AWS cible où vous voulez analyser les compartiments S3 et créer un rôle IAM en sélectionnant un autre compte AWS.

    Capture d'écran de la page AWS pour créer un rôle IAM.

    Assurez-vous de faire ce qui suit :

    • Entrez l'ID du compte où réside l'instance de classification BlueXP.

    • Modifiez la durée * maximale de la session CLI/API* de 1 heure à 12 heures et enregistrez cette modification.

    • Reliez la règle IAM de classification BlueXP. Assurez-vous qu'il dispose des autorisations requises.

      {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:PutObject"
          ],
          "Resource": "*"
      },
  ]
}

  2. Accédez au compte AWS source sur lequel réside l'instance de classification BlueXP et sélectionnez le rôle IAM qui est associé à l'instance.

    1. Modifiez la durée * maximale de la session CLI/API* de 1 heure à 12 heures et enregistrez cette modification.

    2. Cliquez sur attacher des stratégies, puis sur Créer une stratégie.

    3. Créez une stratégie qui inclut l'action « sts:AssumeRole » et spécifiez l'ARN du rôle que vous avez créé dans le compte cible.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::<ADDITIONAL-ACCOUNT-ID>:role/<ADDITIONAL_ROLE_NAME>"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/*",
                "arn:aws:iam::*:role/*"
            ]
        }
    ]
}

      Le compte de profil d'instance de classification BlueXP a désormais accès au compte AWS supplémentaire.

  3. Accédez à la page Amazon S3 Configuration et le nouveau compte AWS s'affiche. Notez que la classification BlueXP peut prendre quelques minutes pour synchroniser l'environnement de travail du nouveau compte et afficher ces informations.

    Copie d'écran montrant comment activer la classification BlueXP.

  4. Cliquez sur Activer la classification BlueXP et sélectionner les compartiments et sélectionnez les compartiments à analyser.

Résultat

La classification BlueXP commence à analyser les nouveaux compartiments S3 que vous avez activés.