日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Amazon S3 向けのクラウドデータセンスの導入

Cloud Data Sense は、 Amazon S3 バケットをスキャンして、 S3 オブジェクトストレージに格納されている個人データや機密データを特定することができます。Cloud Data Sense は、 NetApp 解決策用に作成されたバケットかどうかに関係なく、アカウント内の任意のバケットをスキャンできます。

クイックスタート

これらの手順を実行すると、すぐに作業を開始できます。また、残りのセクションまでスクロールして詳細を確認することもできます。

IAM ロールの準備やデータセンスから S3 への接続の設定など、クラウド環境がクラウドデータセンスの要件を満たしていることを確認します。 すべてのリストを参照してください

"クラウドデータの導入センス" インスタンスが展開されていない場合。

Amazon S3 作業環境を選択し、 * Enable * をクリックして、必要な権限を含む IAM ロールを選択します。

スキャンするバケットを選択すると、 Cloud Data Sense によってスキャンが開始されます。

S3 の前提条件の確認

S3 バケットのスキャンに固有の要件を次に示します。

Cloud Data Sense インスタンス用の IAM ロールを設定する

Cloud Data Sense では、アカウント内の S3 バケットに接続してスキャンするための権限が必要です。以下の権限を含む IAM ロールを設定します。Amazon S3 作業環境でデータの意味を有効にすると、 Cloud Manager から IAM ロールを選択するよう求められます。

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:PutObject"
          ],
          "Resource": "*"
      },
      {
          "Effect": "Allow",
          "Action": [
              "iam:GetPolicyVersion",
              "iam:GetPolicy",
              "iam:ListAttachedRolePolicies"
          ],
          "Resource": [
              "arn:aws:iam::*:policy/*",
              "arn:aws:iam::*:role/*"
          ]
      }
  ]
}
Cloud Data Sense から Amazon S3 への接続を提供する

Cloud Data Sense は Amazon S3 への接続を必要としている。この接続を確立する最善の方法は、 VPC エンドポイントを介して S3 サービスに接続することです。手順については、を参照してください "AWS のドキュメント:「 Creating a Gateway Endpoint"

VPC エンドポイントを作成するときは、 Cloud Data Sense インスタンスに対応するリージョン、 VPC 、およびルーティングテーブルを選択してください。S3 エンドポイントへのトラフィックを有効にする発信 HTTPS ルールを追加するには、セキュリティグループも変更する必要があります。そうしないと、データセンスで S3 サービスに接続できません。

問題が発生した場合は、を参照してください "AWS のサポートナレッジセンター:ゲートウェイ VPC エンドポイントを使用して S3 バケットに接続できないのはなぜですか。"

別の方法として、 NAT ゲートウェイを使用して接続を提供する方法があります。

注記 インターネット経由で S3 にアクセスするためにプロキシを使用することはできません。

Cloud Data Sense インスタンスの導入

"Cloud Manager に Cloud Data Sense を導入" インスタンスが展開されていない場合。

AWS に導入されているコネクタを使用してインスタンスを導入する必要があります。これにより、 Cloud Manager はこの AWS アカウント内の S3 バケットを自動的に検出し、 Amazon S3 作業環境に表示します。

  • 注: * クラウドデータセンスをオンプレミスの場所に導入することは、現在 S3 バケットのスキャンではサポートされていません。

Data Sense ソフトウェアへのアップグレードは、インスタンスがインターネットに接続されている限り自動化されます。

S3 作業環境でのデータセンスのアクティブ化

前提条件を確認したら、 Amazon S3 で Cloud Data Sense を有効にします。

手順

  1. Cloud Manager の上部にある * Canvas * をクリックします。

  2. Amazon S3 作業環境を選択します。

    Amazon S3 作業環境アイコンのスクリーンショット

  3. 右側の [ データセンス ] ペインで、 [Enable] をクリックします。

    サービスパネルからクラウドデータセンスサービスを有効にするスクリーンショット

  4. プロンプトが表示されたら、を持つ Cloud Data Sense インスタンスに IAM ロールを割り当てます 必要な権限

    クラウドデータセンス用の AWS IAM ロールを入力するスクリーンショット

  5. [Enable] をクリックします。

ヒント また、作業環境のコンプライアンススキャンを有効にすることもできます Configuration ページでをクリックします ボタンを押して、 [ データセンスを活動化( Activate Data Sense ) ] を選択

Cloud Manager によって、インスタンスに IAM ロールが割り当てられます。

S3 バケットでの準拠スキャンの有効化と無効化

Cloud Manager が Amazon S3 で Cloud Data Sense を有効にしたら、次の手順でスキャンするバケットを設定します。

スキャンする S3 バケットを含む AWS アカウントで Cloud Manager を実行している場合は、そのバケットが検出され、 Amazon S3 作業環境に表示されます。

クラウドデータセンスも可能です 別々の AWS アカウントにある S3 バケットをスキャンします

手順

  1. Amazon S3 作業環境を選択します。

  2. 右側のペインで、 * バケットの設定 * をクリックします。

    S3 を選択するためにバケットの設定をクリックするスクリーンショット スキャンするバケット

  3. バケットでマッピング専用スキャン、またはマッピングスキャンと分類スキャンを有効にします。

    目的の S3 バケットを選択するスクリーンショット スキャン

    終了: 手順:

    バケットでマッピングのみのスキャンを有効にする

    [* マップ * ] をクリックします

    バケットでフルスキャンを有効にします

    [ マップと分類 *] をクリックします

    バケットに対するスキャンを無効にする

    [ * Off * ] をクリックします

Cloud Data Sense は、有効にした S3 バケットのスキャンを開始します。エラーが発生した場合は、エラーを修正するために必要なアクションとともに、 [ ステータス ] 列に表示されます。

追加の AWS アカウントからバケットをスキャンする

別の AWS アカウントを使用している S3 バケットをスキャンするには、そのアカウントから既存の Cloud Data Sense インスタンスにアクセスするロールを割り当てます。

手順

  1. S3 バケットをスキャンするターゲット AWS アカウントに移動し、 * 別の AWS アカウント * を選択して IAM ロールを作成します。

    必ず次の手順を実行してください。

    • Cloud Data Sense インスタンスが存在するアカウントの ID を入力します。

    • 最大 CLI / API セッション期間 * を 1 時間から 12 時間に変更し、変更を保存してください。

    • クラウドデータセンス IAM ポリシーを関連付けます。必要な権限があることを確認します。

      {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:PutObject"
          ],
          "Resource": "*"
      },
  ]
}

  2. データセンスインスタンスが存在するソース AWS アカウントに移動し、インスタンスに関連付けられている IAM ロールを選択します。

    1. 最大 CLI / API セッション期間 * を 1 時間から 12 時間に変更し、変更を保存してください。

    2. [* ポリシーの適用 *] をクリックし、 [ ポリシーの作成 *] をクリックします。

    3. 「 STS : AssumeRole 」アクションを含むポリシーを作成し、ターゲットアカウントで作成したロールの ARN を指定します。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::<ADDITIONAL-ACCOUNT-ID>:role/<ADDITIONAL_ROLE_NAME>"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/*",
                "arn:aws:iam::*:role/*"
            ]
        }
    ]
}

      Cloud Data Sense インスタンスプロファイルアカウントが追加の AWS アカウントにアクセスできるようになりました。

  3. Amazon S3 Configuration * ページに移動し、新しい AWS アカウントが表示されます。Cloud Data Sense が新しいアカウントの作業環境を同期し、この情報を表示するまでに数分かかる場合があります。

    データセンスをアクティブ化する方法を示すスクリーンショット。

  4. [Activate Data Sense & Select Buckets] をクリックして、スキャンするバケットを選択します。

Cloud Data Sense は、有効にした新しい S3 バケットのスキャンを開始します。