릴리스 정보
Amazon S3에 대한 BlueXP 분류 시작
변경 제안
PDF
BlueXP 분류는 Amazon S3 버킷을 스캔하여 S3 오브젝트 스토리지에 상주하는 개인적이고 민감한 데이터를 식별할 수 있습니다. BlueXP 분류는 NetApp 솔루션용으로 생성되었는지에 관계없이 고객의 모든 버킷을 스캔할 수 있습니다.
빠른 시작
다음 단계를 따라 빠르게 시작하거나 나머지 섹션을 아래로 스크롤하여 자세한 내용을 확인하십시오.
클라우드 환경에서 S3 요구사항을 설정합니다IAM 역할 준비 및 BlueXP 분류에서 S3로의 연결 설정 등 클라우드 환경이 BlueXP 분류 요구 사항을 충족할 수 있는지 확인합니다. 전체 목록을 참조하십시오.
BlueXP 분류 인스턴스를 배포합니다"BlueXP 분류를 배포합니다" 이미 배포된 인스턴스가 없는 경우
S3 작업 환경에서 BlueXP 분류를 활성화합니다Amazon S3 작업 환경을 선택하고 * 활성화 * 를 클릭한 다음 필요한 권한이 포함된 IAM 역할을 선택합니다.
스캔할 버킷을 선택합니다스캔하려는 버킷을 선택하면 BlueXP 분류가 스캔을 시작합니다.
S3 사전 요구 사항 검토
다음 요구사항은 S3 버킷 스캔에만 적용됩니다.
- BlueXP 분류 인스턴스에 대해 IAM 역할을 설정합니다
-
BlueXP 분류에는 계정의 S3 버킷에 연결하고 이를 스캔할 수 있는 권한이 필요합니다. 아래에 나열된 권한을 포함하는 IAM 역할을 설정합니다. BlueXP는 Amazon S3 작업 환경에서 BlueXP 분류를 활성화할 때 IAM 역할을 선택하라는 메시지를 표시합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*", "s3:PutObject" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:policy/*", "arn:aws:iam::*:role/*" ] } ] } - BlueXP 분류에서 Amazon S3로 연결을 제공합니다
-
BlueXP 분류는 Amazon S3에 연결해야 합니다. 이 연결을 제공하는 가장 좋은 방법은 VPC 엔드포인트를 통해 S3 서비스로 연결하는 것입니다. 자세한 내용은 을 참조하십시오 "AWS 설명서: 게이트웨이 엔드포인트 생성".
VPC 엔드포인트를 생성할 때 BlueXP 분류 인스턴스에 해당하는 지역, VPC 및 경로 테이블을 선택해야 합니다. 또한 S3 엔드포인트에 대한 트래픽을 활성화하는 아웃바운드 HTTPS 규칙을 추가하려면 보안 그룹을 수정해야 합니다. 그렇지 않으면 BlueXP 분류가 S3 서비스에 연결할 수 없습니다.
문제가 발생하면 을 참조하십시오 "AWS 지원 지식 센터: 게이트웨이 VPC 엔드포인트를 사용하여 S3 버킷에 연결할 수 없는 이유는 무엇입니까?"
또는 NAT 게이트웨이를 사용하여 연결을 제공하는 방법도 있습니다.
프록시를 사용하여 인터넷을 통해 S3로 연결할 수는 없습니다.
BlueXP 분류 인스턴스 배포
"BlueXP에서 BlueXP 분류를 배포합니다" 이미 배포된 인스턴스가 없는 경우
BlueXP가 이 AWS 계정에서 S3 버킷을 자동으로 검색하여 Amazon S3 작업 환경에 표시되도록 AWS에 구축된 Connector를 사용하여 인스턴스를 구축해야 합니다.
-
참고: * 현재 S3 버킷을 스캔할 때는 구내 위치에 BlueXP 분류 배포를 지원하지 않습니다.
인스턴스가 인터넷에 연결되어 있는 경우 BlueXP 분류 소프트웨어로의 업그레이드가 자동화됩니다.
S3 작업 환경에서 BlueXP 분류 활성화
사전 요구 사항을 확인한 후 Amazon S3에서 BlueXP 분류를 활성화합니다.
-
BlueXP 왼쪽 탐색 메뉴에서 * 저장소 > Canvas * 를 클릭합니다.
-
Amazon S3 작업 환경을 선택합니다.
-
오른쪽의 서비스 창에서 * 분류 * 옆에 있는 * 활성화 * 를 클릭합니다.
-
메시지가 표시되면 의 BlueXP 분류 인스턴스에 IAM 역할을 할당합니다 필요한 권한.
-
사용 * 을 클릭합니다.
|
를 클릭하여 구성 페이지에서 작업 환경에 대한 규정 준수 검사를 활성화할 수도 있습니다  단추를 클릭하고 * BlueXP 분류 활성화 * 를 선택합니다.
|
BlueXP는 인스턴스에 IAM 역할을 할당합니다.
S3 버킷에서 규정 준수 스캔 활성화 및 비활성화
BlueXP에서 Amazon S3에서 BlueXP 분류를 사용하도록 설정한 후 다음 단계는 스캔할 버킷을 구성하는 것입니다.
검사할 S3 버킷이 있는 AWS 계정에서 BlueXP가 실행되고 있으면 해당 버킷을 검색하여 Amazon S3 작업 환경에 표시합니다.
BlueXP 분류도 가능합니다 서로 다른 AWS 계정에 있는 S3 버킷을 스캔합니다.
-
Amazon S3 작업 환경을 선택합니다.
-
오른쪽의 서비스 창에서 * 버킷 구성 * 을 클릭합니다.
-
버킷에서 매핑 전용 스캔 또는 매핑 및 분류 스캔을 활성화합니다.
대상: 방법은 다음과 같습니다. 버킷에서 매핑 전용 스캔을 활성화합니다
Map * 을 클릭합니다
버킷에서 전체 스캔을 활성화합니다
지도 및 분류 * 를 클릭합니다
버킷에서 스캔을 비활성화합니다
Off * 를 클릭합니다
BlueXP 분류는 활성화한 S3 버킷을 스캔하기 시작합니다. 오류가 있는 경우 오류를 해결하는 데 필요한 작업과 함께 상태 열에 표시됩니다.
추가 AWS 계정에서 버킷 스캔
기존 BlueXP 분류 인스턴스에 액세스하기 위해 해당 계정에서 역할을 할당하여 다른 AWS 계정에 있는 S3 버킷을 스캔할 수 있습니다.
-
S3 버킷을 스캔하려는 대상 AWS 계정으로 이동하여 * 다른 AWS 계정 * 을 선택하여 IAM 역할을 생성합니다.
다음을 수행하십시오.
-
BlueXP 분류 인스턴스가 있는 계정의 ID를 입력합니다.
-
최대 CLI/API 세션 지속 시간 * 을 1시간에서 12시간으로 변경하고 변경 사항을 저장합니다.
-
BlueXP 분류 IAM 정책을 부착합니다. 필요한 권한이 있는지 확인합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*", "s3:PutObject" ], "Resource": "*" }, ] }
-
-
BlueXP 분류 인스턴스가 있는 소스 AWS 계정으로 이동하여 인스턴스에 연결된 IAM 역할을 선택합니다.
-
최대 CLI/API 세션 지속 시간 * 을 1시간에서 12시간으로 변경하고 변경 사항을 저장합니다.
-
Attach policies * 를 클릭한 다음 * Create policy * 를 클릭합니다.
-
"STS:AssumeRole" 작업을 포함하는 정책을 생성하고 타겟 계정에서 생성한 역할의 ARN을 지정합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::<ADDITIONAL-ACCOUNT-ID>:role/<ADDITIONAL_ROLE_NAME>" }, { "Effect": "Allow", "Action": [ "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:policy/*", "arn:aws:iam::*:role/*" ] } ] }이제 BlueXP 분류 인스턴스 프로파일 계정이 추가 AWS 계정에 액세스할 수 있습니다.
-
-
Amazon S3 Configuration * 페이지로 이동하면 새 AWS 계정이 표시됩니다. BlueXP 분류는 새 계정의 작업 환경을 동기화하고 이 정보를 표시하는 데 몇 분 정도 걸릴 수 있습니다.
-
BlueXP 분류 활성화 및 버킷 선택 * 을 클릭하고 스캔할 버킷을 선택합니다.
BlueXP 분류는 사용자가 활성화한 새 S3 버킷을 스캔하기 시작합니다.