Introduzione alla conformità cloud per Amazon S3
Cloud Compliance può eseguire la scansione dei bucket Amazon S3 per identificare i dati personali e sensibili che risiedono nello storage a oggetti S3. Cloud Compliance può eseguire la scansione di qualsiasi bucket dell'account, indipendentemente dal fatto che sia stato creato per una soluzione NetApp.
Avvio rapido
Inizia subito seguendo questi passaggi o scorri verso il basso fino alle sezioni rimanenti per ottenere dettagli completi.
Imposta i requisiti S3 nel tuo ambiente cloud
Assicurati che il tuo ambiente cloud sia in grado di soddisfare i requisiti per la conformità al cloud, tra cui la preparazione di un ruolo IAM e la configurazione della connettività da Cloud Compliance a S3. Consulta l'elenco completo.
Implementare l'istanza Cloud Compliance
"Implementazione della conformità al cloud in Cloud Manager" se non è già stata implementata un'istanza.
Attivare la conformità sull'ambiente di lavoro S3
Selezionare l'ambiente di lavoro Amazon S3, fare clic su Enable Compliance (attiva conformità) e selezionare un ruolo IAM che includa le autorizzazioni richieste.
Selezionare i bucket da sottoporre a scansione
Seleziona i bucket che desideri sottoporre a scansione e Cloud Compliance inizierà a eseguirne la scansione.
Verifica dei prerequisiti di S3
I seguenti requisiti sono specifici per la scansione dei bucket S3.
- Impostare un ruolo IAM per l'istanza Cloud Compliance
-
Cloud Compliance ha bisogno di autorizzazioni per connettersi ai bucket S3 del tuo account e per eseguirne la scansione. Impostare un ruolo IAM che includa le autorizzazioni elencate di seguito. Cloud Manager ti chiede di selezionare un ruolo IAM quando abiliti Cloud Compliance sull'ambiente di lavoro Amazon S3.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*", "s3:HeadBucket" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:policy/*", "arn:aws:iam::*:role/*" ] } ] }
- Connettività da Cloud Compliance ad Amazon S3
-
Cloud Compliance richiede una connessione ad Amazon S3. Il modo migliore per fornire tale connessione è tramite un endpoint VPC al servizio S3. Per istruzioni, vedere "Documentazione AWS: Creazione di un endpoint gateway".
Quando si crea l'endpoint VPC, assicurarsi di selezionare la regione, il VPC e la tabella di routing che corrispondono all'istanza di Cloud Compliance. È inoltre necessario modificare il gruppo di protezione per aggiungere una regola HTTPS in uscita che abilita il traffico all'endpoint S3. In caso contrario, Cloud Compliance non può connettersi al servizio S3.
In caso di problemi, vedere "AWS Support Knowledge Center: Perché non è possibile connettersi a un bucket S3 utilizzando un endpoint VPC gateway?"
In alternativa, è possibile stabilire la connessione utilizzando un gateway NAT.
Non puoi utilizzare un proxy per accedere a S3 tramite Internet.
Implementazione dell'istanza Cloud Compliance
"Implementazione della conformità al cloud in Cloud Manager" se non è già stata implementata un'istanza.
È necessario implementare l'istanza in un connettore AWS in modo che Cloud Manager scopra automaticamente i bucket S3 in questo account AWS e li visualizzi in un ambiente di lavoro Amazon S3.
Attivazione della conformità nell'ambiente di lavoro S3
Attiva Cloud Compliance su Amazon S3 dopo aver verificato i prerequisiti.
-
Nella parte superiore di Cloud Manager, fare clic su Working Environments (ambienti di lavoro).
-
Selezionare l'ambiente di lavoro Amazon S3.
-
Nel riquadro a destra, fare clic su Enable Compliance (attiva conformità).
-
Quando richiesto, assegnare un ruolo IAM all'istanza di Cloud Compliance che ha le autorizzazioni richieste.
-
Fare clic su Enable Compliance (attiva conformità)
È inoltre possibile attivare le scansioni di conformità per un ambiente di lavoro dalla pagina Scan Configuration (Configurazione scansione) facendo clic su E selezionando Activate Compliance. |
Cloud Manager assegna il ruolo IAM all'istanza.
Attivazione e disattivazione delle scansioni di compliance sui bucket S3
Dopo che Cloud Manager ha attivato Cloud Compliance su Amazon S3, il passaggio successivo consiste nel configurare i bucket che si desidera sottoporre a scansione.
Quando Cloud Manager viene eseguito nell'account AWS che dispone dei bucket S3 che si desidera sottoporre a scansione, rileva tali bucket e li visualizza in un ambiente di lavoro Amazon S3.
Anche la conformità al cloud può farlo Eseguire la scansione dei bucket S3 che si trovano in diversi account AWS.
-
Selezionare l'ambiente di lavoro Amazon S3.
-
Nel riquadro a destra, fare clic su Configure Bucket (Configura bucket).
-
Consentire la conformità sui bucket che si desidera sottoporre a scansione.
Cloud Compliance inizia la scansione dei bucket S3 abilitati. In caso di errori, questi vengono visualizzati nella colonna Status (Stato), insieme all'azione richiesta per risolvere l'errore.
Scansione dei bucket da account AWS aggiuntivi
È possibile eseguire la scansione dei bucket S3 che si trovano sotto un account AWS diverso assegnando un ruolo da tale account per accedere all'istanza esistente di Cloud Compliance.
-
Accedere all'account AWS di destinazione in cui si desidera eseguire la scansione dei bucket S3 e creare un ruolo IAM selezionando un altro account AWS.
Assicurarsi di effettuare le seguenti operazioni:
-
Inserire l'ID dell'account in cui risiede l'istanza di Cloud Compliance.
-
Modificare la durata massima della sessione CLI/API da 1 ora a 12 ore e salvare la modifica.
-
Allega la policy IAM sulla conformità al cloud. Assicurarsi che disponga delle autorizzazioni necessarie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*", "s3:HeadBucket" ], "Resource": "*" }, ] }
-
-
Accedere all'account AWS di origine in cui risiede l'istanza Cloud Compliance e selezionare il ruolo IAM associato all'istanza.
-
Modificare la durata massima della sessione CLI/API da 1 ora a 12 ore e salvare la modifica.
-
Fare clic su Allega policy, quindi su Crea policy.
-
Creare una policy che includa l'azione "sts:AssumeRole" e l'ARN del ruolo creato nell'account di destinazione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::<ADDITIONAL-ACCOUNT-ID>:role/<ADDITIONAL_ROLE_NAME>" }, { "Effect": "Allow", "Action": [ "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:policy/*", "arn:aws:iam::*:role/*" ] } ] }
L'account del profilo dell'istanza Cloud Compliance ora ha accesso all'account AWS aggiuntivo.
-
-
Accedere alla pagina Amazon S3 Scan Configuration (Configurazione scansione Amazon S3) per visualizzare il nuovo account AWS. Nota: La sincronizzazione dell'ambiente di lavoro del nuovo account e la visualizzazione di queste informazioni possono richiedere alcuni minuti per la conformità cloud.
-
Fare clic su Activate Compliance & Select Bucket (attiva Compliance e seleziona bucket) e selezionare i bucket da sottoporre a scansione.
Cloud Compliance inizia la scansione dei nuovi bucket S3 che hai attivato.