Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

BlueXPでAmazon S3の分類を開始します

共同作成者
PDF

BlueXPの分類では、Amazon S3バケットをスキャンして、S3オブジェクトストレージに格納された個人データと機密データを特定できます。BlueXPの分類では、NetApp解決策 用に作成されたバケットかどうかに関係なく、アカウント内の任意のバケットをスキャンできます。

クイックスタート

これらの手順を実行すると、すぐに作業を開始できます。また、残りのセクションまでスクロールして詳細を確認することもできます。

1つ クラウド環境で S3 の要件を設定します

お使いのクラウド環境がBlueXPの分類要件を満たしていることを確認します。これには、IAMロールの準備やBlueXPの分類からS3への接続の設定などが含まれます。 すべてのリストを参照してください

2 つ BlueXP分類インスタンスを導入します

"BlueXP分類を導入します" インスタンスが展開されていない場合。

3つ S3作業環境でBlueXP分類をアクティブ化します

Amazon S3 作業環境を選択し、 * Enable * をクリックして、必要な権限を含む IAM ロールを選択します。

4. スキャンするバケットを選択します

スキャンするバケットを選択すると、BlueXPの分類によってスキャンが開始されます。

S3 の前提条件の確認

S3 バケットのスキャンに固有の要件を次に示します。

BlueXP分類インスタンス用のIAMロールを設定します

BlueXPの分類には、アカウント内のS3バケットに接続してスキャンするための権限が必要です。以下の権限を含む IAM ロールを設定します。Amazon S3作業環境でBlueXPの分類を有効にすると、IAMロールを選択するように求められます。

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:PutObject"
          ],
          "Resource": "*"
      },
      {
          "Effect": "Allow",
          "Action": [
              "iam:GetPolicyVersion",
              "iam:GetPolicy",
              "iam:ListAttachedRolePolicies"
          ],
          "Resource": [
              "arn:aws:iam::*:policy/*",
              "arn:aws:iam::*:role/*"
          ]
      }
  ]
}
BlueXP分類からAmazon S3への接続を提供します

BlueXPの分類にはAmazon S3への接続が必要です。この接続を確立する最善の方法は、 VPC エンドポイントを介して S3 サービスに接続することです。手順については、を参照してください "AWS のドキュメント:「 Creating a Gateway Endpoint"

VPCエンドポイントを作成するときは、BlueXP分類インスタンスに対応するリージョン、VPC、およびルーティングテーブルを選択してください。S3 エンドポイントへのトラフィックを有効にする発信 HTTPS ルールを追加するには、セキュリティグループも変更する必要があります。そうしないと、BlueXPの分類からS3サービスに接続できません。

問題が発生した場合は、を参照してください "AWSのサポートナレッジセンター:ゲートウェイVPCエンドポイントを使用してS3バケットに接続できないのはなぜですか。"

別の方法として、 NAT ゲートウェイを使用して接続を提供する方法があります。

メモ インターネット経由で S3 にアクセスするためにプロキシを使用することはできません。

BlueXP分類インスタンスの導入

"BlueXPでBlueXP分類を導入します" インスタンスが展開されていない場合。

AWSに導入されているコネクタを使用してインスタンスを導入する必要があります。これにより、BlueXPはこのAWSアカウント内のS3バケットを自動的に検出し、Amazon S3作業環境に表示します。

注: S3バケットのスキャン時にオンプレミス環境へのBlueXP分類の導入は現在サポートされていません。

インスタンスがインターネットに接続されていれば、BlueXP分類ソフトウェアへのアップグレードは自動で実行されます。

S3作業環境でBlueXP分類をアクティブ化します

前提条件を確認したら、Amazon S3でBlueXPの分類を有効にします。

手順

  1. BlueXPの左ナビゲーションメニューから、*Storage > Canvas *をクリックします。

  2. Amazon S3 作業環境を選択します。

    Amazon S3 作業環境アイコンのスクリーンショット

  3. 右側の[サービス]ペインで、[分類]の横にある*[有効化]*をクリックします。

    "[サービスパネルでBlueXP分類サービスを有効にするスクリーンショット"]

  4. プロンプトが表示されたら、を含むBlueXP分類インスタンスにIAMロールを割り当てます 必要な権限

    BlueXP分類用のAWS IAMロールを入力するスクリーンショット

  5. [Enable] をクリックします。

ヒント また、作業環境のコンプライアンススキャンを有効にすることもできます Configuration ページでをクリックします 3つの点 ボタンをクリックし、*[BlueXP分類のアクティブ化]*を選択します。
結果

BlueXPは、インスタンスにIAMロールを割り当てます。

S3 バケットでの準拠スキャンの有効化と無効化

Amazon S3でBlueXPの分類を有効にしたら、次にスキャンするバケットを設定します。

スキャンするS3バケットを含むAWSアカウントでBlueXPを実行している場合、そのバケットが検出され、Amazon S3作業環境で表示されます。

BlueXPに分類することもできます 別々の AWS アカウントにある S3 バケットをスキャンします

手順

  1. Amazon S3 作業環境を選択します。

  2. 右側の[Services]ペインで、*[Configure Buckets]*をクリックします。

    S3 を選択するためにバケットの設定をクリックするスクリーンショット スキャンするバケット

  3. バケットでマッピング専用スキャン、またはマッピングスキャンと分類スキャンを有効にします。

    目的の S3 バケットを選択するスクリーンショット スキャン

    終了: 手順:

    バケットでマッピングのみのスキャンを有効にする

    [* マップ * ] をクリックします

    バケットでフルスキャンを有効にします

    [ マップと分類 *] をクリックします

    バケットに対するスキャンを無効にする

    [ * Off * ] をクリックします
結果

BlueXPの分類で、有効にしたS3バケットのスキャンが開始されます。エラーが発生した場合は、エラーを修正するために必要なアクションとともに、 [ ステータス ] 列に表示されます。

追加の AWS アカウントからバケットをスキャンする

別のAWSアカウントにあるS3バケットをスキャンするには、そのアカウントからロールを割り当てて既存のBlueXP分類インスタンスにアクセスします。

手順

  1. S3 バケットをスキャンするターゲット AWS アカウントに移動し、 * 別の AWS アカウント * を選択して IAM ロールを作成します。

    IAMロールを作成するためのAWSページのスクリーンショット。

    必ず次の手順を実行してください。

    • BlueXP分類インスタンスが配置されているアカウントのIDを入力します。

    • 最大 CLI / API セッション期間 * を 1 時間から 12 時間に変更し、変更を保存してください。

    • BlueXP分類IAMポリシーを適用します。必要な権限があることを確認します。

      {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:PutObject"
          ],
          "Resource": "*"
      },
  ]
}

  2. BlueXP分類インスタンスが配置されているソースAWSアカウントに移動し、インスタンスに関連付けられているIAMロールを選択します。

    1. 最大 CLI / API セッション期間 * を 1 時間から 12 時間に変更し、変更を保存してください。

    2. [* ポリシーの適用 *] をクリックし、 [ ポリシーの作成 *] をクリックします。

    3. 「 STS : AssumeRole 」アクションを含むポリシーを作成し、ターゲットアカウントで作成したロールの ARN を指定します。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::<ADDITIONAL-ACCOUNT-ID>:role/<ADDITIONAL_ROLE_NAME>"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/*",
                "arn:aws:iam::*:role/*"
            ]
        }
    ]
}

      BlueXP分類インスタンスのプロファイルアカウントから、追加のAWSアカウントにアクセスできるようになりました。

  3. Amazon S3 Configuration * ページに移動し、新しい AWS アカウントが表示されます。BlueXPの分類によって新しいアカウントの作業環境が同期され、この情報が表示されるまでに数分かかることがあります。

    BlueXP分類をアクティブ化する方法を示すスクリーンショット。

  4. [Activate BlueXP classification & Select Buckets]*をクリックし、スキャンするバケットを選択します。

結果

BlueXPの分類で、有効にした新しいS3バケットのスキャンが開始されます。