La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Mise en route de Cloud Data Sense pour Amazon S3

Contributeurs

Cloud Data Sense peut analyser vos compartiments Amazon S3 pour identifier les données personnelles et sensibles qui résident dans le stockage objet S3. Cloud Data Sense peut scanner n’importe quel compartiment du compte, indépendamment de sa création pour une solution NetApp.

Démarrage rapide

Pour commencer rapidement, suivez ces étapes ou faites défiler jusqu’aux sections restantes pour obtenir de plus amples informations.

Une seule Configurez les exigences S3 dans votre environnement cloud

Assurez-vous que votre environnement cloud répond aux exigences du Cloud Data SENSE, notamment la préparation d’un rôle IAM et la configuration de la connectivité depuis Data Sense vers S3. Voir la liste complète.

Deux Déployez l’instance Cloud Data SENSE

"Déployez des données adaptées au cloud" si aucune instance n’est déjà déployée.

Trois Activation de Data Sense dans votre environnement de travail S3

Sélectionnez l’environnement de travail Amazon S3, cliquez sur Activer et sélectionnez un rôle IAM qui inclut les autorisations requises.

Quatre Sélectionnez les compartiments à numériser

Sélectionnez les compartiments que vous souhaitez analyser et Cloud Data SENSE commence à les analyser.

Vérification des prérequis S3

Les exigences suivantes sont spécifiques à l’analyse des compartiments S3.

Configurez un rôle IAM pour l’instance Cloud Data Sense

Cloud Data SENSE a besoin d’autorisations pour se connecter aux compartiments S3 de votre compte et pour les analyser. Configurez un rôle IAM qui inclut les autorisations répertoriées ci-dessous. BlueXP vous invite à sélectionner un rôle IAM lorsque vous activez Data Sense dans l’environnement de travail Amazon S3.

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:PutObject"
          ],
          "Resource": "*"
      },
      {
          "Effect": "Allow",
          "Action": [
              "iam:GetPolicyVersion",
              "iam:GetPolicy",
              "iam:ListAttachedRolePolicies"
          ],
          "Resource": [
              "arn:aws:iam::*:policy/*",
              "arn:aws:iam::*:role/*"
          ]
      }
  ]
}
Connectivité entre le maillage Cloud Data Sense et Amazon S3

Cloud Data SENSE a besoin d’une connexion à Amazon S3. Pour assurer cette connexion, le meilleur moyen consiste à utiliser un terminal VPC pour le service S3. Pour obtenir des instructions, reportez-vous à la section "Documentation AWS : création d’un terminal de passerelle".

Lorsque vous créez le point de terminaison VPC, veillez à sélectionner la région, le VPC et la table de routage correspondant à l’instance Cloud Data Sense. Vous devez également modifier le groupe de sécurité pour ajouter une règle HTTPS sortante qui active le trafic vers le terminal S3. Dans le cas contraire, Data Sense ne peut pas se connecter au service S3.

Si vous rencontrez des problèmes, reportez-vous à la section "Centre de connaissances du support AWS : pourquoi ne puis-je pas me connecter à un compartiment S3 à l’aide d’un terminal VPC de passerelle ?"

Une alternative consiste à fournir la connexion à l’aide d’une passerelle NAT.

Note Vous ne pouvez pas utiliser de proxy pour accéder à S3 sur Internet.

Déploiement de l’instance Cloud Data Sense

"Déployez Cloud Data Sense dans BlueXP" si aucune instance n’est déjà déployée.

Vous devez déployer l’instance à l’aide d’un connecteur déployé dans AWS. BlueXP détecte automatiquement les compartiments S3 dans ce compte AWS et les affiche dans un environnement de travail Amazon S3.

Remarque : le déploiement de Cloud Data SENSE dans un emplacement sur site n’est pas pris en charge actuellement lors de l’analyse des compartiments S3.

Les mises à niveau du logiciel Data Sense sont automatisées tant que l’instance est connectée à Internet.

Activation de Data Sense dans votre environnement de travail S3

Activez Cloud Data SENSE sur Amazon S3 après avoir vérifié les prérequis.

Étapes

  1. Dans le menu de navigation de gauche de BlueXP, cliquez sur stockage > Canvas.

  2. Sélectionnez l’environnement de travail Amazon S3.

    Copie d’écran d’une icône d’environnement de travail Amazon S3

  3. Dans le volet Services à droite, cliquez sur Activer en regard de Classification.

    Capture d’écran du service Cloud Data Sense dans le panneau Services

  4. Attribuez un rôle IAM à l’instance Cloud Data SENSE qui dispose de les autorisations requises.

    Capture d’écran de l’entrée du rôle IAM AWS pour le sens des données cloud

  5. Cliquez sur Activer.

Astuce Vous pouvez également activer les analyses de conformité pour un environnement de travail à partir de la page Configuration en cliquant sur Et en sélectionnant Activer détection de données.
Résultat

BlueXP affecte le rôle IAM à l’instance.

Activation et désactivation des analyses de conformité dans les compartiments S3

Une fois que BlueXP a activé Cloud Data Sense sur Amazon S3, l’étape suivante consiste à configurer les compartiments que vous souhaitez numériser.

Lorsque BlueXP est exécuté dans le compte AWS doté des compartiments S3 que vous souhaitez analyser, il détecte ces compartiments et les affiche dans un environnement de travail Amazon S3.

Cloud Data Sense peut également être Analysez les compartiments S3 qui se trouvent dans différents comptes AWS.

Étapes

  1. Sélectionnez l’environnement de travail Amazon S3.

  2. Dans le volet Services à droite, cliquez sur configurer les compartiments.

    Une capture d’écran en cliquant sur configurer les compartiments pour choisir les compartiments S3 à analyser

  3. Activez les analyses de mappage uniquement ou les analyses de mappage et de classification sur vos compartiments.

    Capture d’écran de la sélection des compartiments S3 à numériser

    À : Procédez comme suit :

    Activez les acquisitions avec mappage uniquement sur un compartiment

    Cliquez sur carte

    Activer les acquisitions complètes sur un compartiment

    Cliquez sur carte et classement

    Désactiver l’acquisition sur un godet

    Cliquez sur Off
Résultat

Cloud Data Sense commence l’analyse des compartiments S3 que vous avez activés. En cas d’erreur, elles apparaîtront dans la colonne État, ainsi que l’action requise pour corriger l’erreur.

Analyse des compartiments à partir de comptes AWS supplémentaires

Pour scanner les compartiments S3 qui se trouvent dans un autre compte AWS, vous devez attribuer un rôle à partir de ce compte pour accéder à l’instance Cloud Data Sense existante.

Étapes

  1. Accédez au compte AWS cible où vous voulez analyser les compartiments S3 et créer un rôle IAM en sélectionnant un autre compte AWS.

    Capture d’écran de la page AWS pour créer un rôle IAM.

    Assurez-vous de faire ce qui suit :

    • Entrez l’ID du compte sur lequel réside l’instance Cloud Data SENSE.

    • Modifiez la durée * maximale de la session CLI/API* de 1 heure à 12 heures et enregistrez cette modification.

    • Joignez la politique IAM de détection des données cloud. Assurez-vous qu’il dispose des autorisations requises.

      {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:PutObject"
          ],
          "Resource": "*"
      },
  ]
}

  2. Accédez au compte AWS source sur lequel réside l’instance Data Sense et sélectionnez le rôle IAM associé à l’instance.

    1. Modifiez la durée * maximale de la session CLI/API* de 1 heure à 12 heures et enregistrez cette modification.

    2. Cliquez sur attacher des stratégies, puis sur Créer une stratégie.

    3. Créez une stratégie qui inclut l’action « sts:AssumeRole » et spécifiez l’ARN du rôle que vous avez créé dans le compte cible.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::<ADDITIONAL-ACCOUNT-ID>:role/<ADDITIONAL_ROLE_NAME>"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/*",
                "arn:aws:iam::*:role/*"
            ]
        }
    ]
}

      Le compte d’instance Cloud Data SENSE a désormais accès au compte AWS supplémentaire.

  3. Accédez à la page Amazon S3 Configuration et le nouveau compte AWS s’affiche. Notez que la synchronisation de l’environnement de travail du nouveau compte prend quelques minutes avec Cloud Data SENSE.

    Capture d’écran indiquant comment activer la détection de données.

  4. Cliquez sur Activer la détection des données et sélectionnez les rubriques et sélectionnez les rubriques que vous souhaitez numériser.

Résultat

Cloud Data Sense commence l’analyse des nouveaux compartiments S3 que vous avez activés.