Skip to main content
Cloud Manager 3.8
Une version plus récente de ce produit est disponible.
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Mise en route de Cloud Compliance pour Amazon S3

Contributeurs

Cloud Compliance peut analyser vos compartiments Amazon S3 pour identifier les données personnelles et sensibles qui résident dans le stockage objet S3. Cloud Compliance peut analyser n'importe quel compartiment du compte, quel que soit son origine pour une solution NetApp.

Démarrage rapide

Pour commencer rapidement, suivez ces étapes ou faites défiler jusqu'aux sections restantes pour obtenir de plus amples informations.

Numéro 1 Configurez les exigences S3 dans votre environnement cloud

Assurez-vous que votre environnement cloud répond aux exigences de Cloud Compliance, y compris la préparation d'un rôle IAM et la configuration de la connectivité Cloud Compliance vers S3. Voir la liste complète.

Numéro 2 Déployez l'instance Cloud Compliance

"Déployez Cloud Compliance dans Cloud Manager" si aucune instance n'est déjà déployée.

Numéro 3 Activez la conformité sur votre environnement de travail S3

Sélectionnez l'environnement de travail Amazon S3, cliquez sur Activer la conformité et sélectionnez un rôle IAM qui inclut les autorisations requises.

Numéro 4 Sélectionnez les compartiments à numériser

Sélectionnez les compartiments que vous souhaitez analyser et Cloud Compliance commence à les analyser.

Vérification des prérequis S3

Les exigences suivantes sont spécifiques à l'analyse des compartiments S3.

Configurez un rôle IAM pour l'instance Cloud Compliance

Cloud Compliance doit disposer d'autorisations pour se connecter aux compartiments S3 de votre compte et pour les analyser. Configurez un rôle IAM qui inclut les autorisations répertoriées ci-dessous. Cloud Manager vous invite à sélectionner un rôle IAM lorsque vous activez Cloud Compliance dans l'environnement de travail Amazon S3.

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:HeadBucket"
          ],
          "Resource": "*"
      },
      {
          "Effect": "Allow",
          "Action": [
              "iam:GetPolicyVersion",
              "iam:GetPolicy",
              "iam:ListAttachedRolePolicies"
          ],
          "Resource": [
              "arn:aws:iam::*:policy/*",
              "arn:aws:iam::*:role/*"
          ]
      }
  ]
}
Connectivité entre Cloud Compliance et Amazon S3

Cloud Compliance a besoin d'une connexion à Amazon S3. Pour assurer cette connexion, le meilleur moyen consiste à utiliser un terminal VPC pour le service S3. Pour obtenir des instructions, reportez-vous à la section "Documentation AWS : création d'un terminal de passerelle".

Lorsque vous créez le point de terminaison VPC, veillez à sélectionner la région, le VPC et la table de routage correspondant à l'instance Cloud Compliance. Vous devez également modifier le groupe de sécurité pour ajouter une règle HTTPS sortante qui active le trafic vers le terminal S3. Dans le cas contraire, Cloud Compliance ne peut pas se connecter au service S3.

Si vous rencontrez des problèmes, reportez-vous à la section "Centre de connaissances du support AWS : pourquoi ne puis-je pas me connecter à un compartiment S3 à l'aide d'un terminal VPC de passerelle ?"

Une alternative consiste à fournir la connexion à l'aide d'une passerelle NAT.

Remarque Vous ne pouvez pas utiliser de proxy pour accéder à S3 sur Internet.

Déploiement de l'instance Cloud Compliance

"Déployez Cloud Compliance dans Cloud Manager" si aucune instance n'est déjà déployée.

Vous devez déployer l'instance dans un connecteur AWS, pour que Cloud Manager détecte automatiquement les compartiments S3 dans ce compte AWS et les affiche dans un environnement de travail Amazon S3.

Activation de la conformité sur votre environnement de travail S3

Activez Cloud Compliance sur Amazon S3 après avoir vérifié les prérequis.

Étapes

  1. En haut de Cloud Manager, cliquez sur environnements de travail.

  2. Sélectionnez l'environnement de travail Amazon S3.

    Copie d'écran d'une icône d'environnement de travail Amazon S3

  3. Dans le volet de droite, cliquez sur Activer la conformité.

    Capture d'écran de l'activation du service Cloud Compliance à partir du panneau Services

  4. Lorsque vous y êtes invité, attribuez un rôle IAM à l'instance Cloud Compliance qui possède les autorisations requises.

    Capture d'écran de l'entrée du rôle IAM AWS pour Cloud Compliance

  5. Cliquez sur Activer la conformité.

Astuce Vous pouvez également activer les analyses de conformité pour un environnement de travail à partir de la page Configuration de la numérisation en cliquant sur le bouton Et en sélectionnant Activer la conformité.
Résultat

Cloud Manager attribue le rôle IAM à l'instance.

Activation et désactivation des analyses de conformité dans les compartiments S3

Une fois que Cloud Manager active Cloud Compliance sur Amazon S3, l'étape suivante consiste à configurer les compartiments à analyser.

Lorsque Cloud Manager s'exécute sur le compte AWS possédant les compartiments S3 que vous souhaitez analyser, il détecte ces compartiments et les affiche dans un environnement de travail Amazon S3.

Cloud Compliance l'est également Analysez les compartiments S3 qui se trouvent dans différents comptes AWS.

Étapes

  1. Sélectionnez l'environnement de travail Amazon S3.

  2. Dans le volet de droite, cliquez sur configurer les rubriques.

    Une capture d'écran en cliquant sur configurer les compartiments pour choisir les compartiments S3 à analyser

  3. Activez la conformité sur les compartiments à numériser.

    Capture d'écran de la sélection des compartiments S3 à numériser

Résultat

Cloud Compliance commence l'analyse des compartiments S3 activés. En cas d'erreur, elles apparaîtront dans la colonne État, ainsi que l'action requise pour corriger l'erreur.

Analyse des compartiments à partir de comptes AWS supplémentaires

Pour analyser les compartiments S3 qui se trouvent dans un autre compte AWS, vous pouvez attribuer un rôle à partir de ce compte pour accéder à l'instance Cloud Compliance existante.

Étapes

  1. Accédez au compte AWS cible où vous voulez analyser les compartiments S3 et créer un rôle IAM en sélectionnant un autre compte AWS.

    Assurez-vous de faire ce qui suit :

    • Entrez l'ID du compte sur lequel réside l'instance Cloud Compliance.

    • Modifiez la durée * maximale de la session CLI/API* de 1 heure à 12 heures et enregistrez cette modification.

    • Joignez la politique IAM de conformité aux solutions cloud. Assurez-vous qu'il dispose des autorisations requises.

      {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:HeadBucket"
          ],
          "Resource": "*"
      },
  ]
}

  2. Accédez au compte AWS source où réside l'instance Cloud Compliance et sélectionnez le rôle IAM associé à l'instance.

    1. Modifiez la durée * maximale de la session CLI/API* de 1 heure à 12 heures et enregistrez cette modification.

    2. Cliquez sur attacher des stratégies, puis sur Créer une stratégie.

    3. Créez une stratégie qui inclut l'action « sts:AssumeRole » et l'ARN du rôle que vous avez créé dans le compte cible.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::<ADDITIONAL-ACCOUNT-ID>:role/<ADDITIONAL_ROLE_NAME>"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/*",
                "arn:aws:iam::*:role/*"
            ]
        }
    ]
}

      Le compte de profil d'instance Cloud Compliance a désormais accès au compte AWS supplémentaire.

  3. Accédez à la page Amazon S3 Scan Configuration et le nouveau compte AWS s'affiche. Notez que Cloud Compliance peut mettre quelques minutes à synchroniser l'environnement de travail du nouveau compte et afficher ces informations.

  4. Cliquez sur Activer la conformité et sélectionnez les rubriques et sélectionnez les rubriques que vous souhaitez numériser.

Résultat

Cloud Compliance commence l'analyse des nouveaux compartiments S3 activés.