본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

Amazon S3에 대한 Cloud Data Sense 시작하기

Cloud Data Sense는 Amazon S3 버킷을 스캔하여 S3 오브젝트 스토리지에 상주하는 개인적이고 민감한 데이터를 식별할 수 있습니다. Cloud Data Sense는 NetApp 솔루션용으로 만든 버킷에 관계없이 고객의 모든 버킷을 스캔할 수 있습니다.

빠른 시작

다음 단계를 따라 빠르게 시작하거나 나머지 섹션을 아래로 스크롤하여 자세한 내용을 확인하십시오.

IAM 역할 준비 및 데이터 센스에서 S3까지 연결 설정을 포함하여 클라우드 환경이 클라우드 데이터 센스에 대한 요구 사항을 충족할 수 있는지 확인합니다. 전체 목록을 참조하십시오.

"클라우드 데이터 센스를 구축하십시오" 이미 배포된 인스턴스가 없는 경우

Amazon S3 작업 환경을 선택하고 * 활성화 * 를 클릭한 다음 필요한 권한이 포함된 IAM 역할을 선택합니다.

스캔하려는 버킷을 선택하면 Cloud Data Sense에서 스캔을 시작합니다.

S3 사전 요구 사항 검토

다음 요구사항은 S3 버킷 스캔에만 적용됩니다.

Cloud Data Sense 인스턴스에 대해 IAM 역할을 설정합니다

Cloud Data Sense는 계정의 S3 버킷에 연결하고 이를 스캔할 수 있는 권한이 필요합니다. 아래에 나열된 권한을 포함하는 IAM 역할을 설정합니다. Amazon S3 작업 환경에서 Data Sense를 활성화하면 Cloud Manager에서 IAM 역할을 선택하라는 메시지가 표시됩니다.

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:PutObject"
          ],
          "Resource": "*"
      },
      {
          "Effect": "Allow",
          "Action": [
              "iam:GetPolicyVersion",
              "iam:GetPolicy",
              "iam:ListAttachedRolePolicies"
          ],
          "Resource": [
              "arn:aws:iam::*:policy/*",
              "arn:aws:iam::*:role/*"
          ]
      }
  ]
}
Cloud Data Sense에서 Amazon S3로 연결할 수 있습니다

클라우드 데이터 센스에 Amazon S3에 대한 연결이 필요합니다. 이 연결을 제공하는 가장 좋은 방법은 VPC 엔드포인트를 통해 S3 서비스로 연결하는 것입니다. 자세한 내용은 을 참조하십시오 "AWS 설명서: 게이트웨이 엔드포인트 생성".

VPC 엔드포인트를 생성할 때 Cloud Data Sense 인스턴스에 해당하는 지역, VPC 및 경로 테이블을 선택해야 합니다. 또한 S3 엔드포인트에 대한 트래픽을 활성화하는 아웃바운드 HTTPS 규칙을 추가하려면 보안 그룹을 수정해야 합니다. 그렇지 않으면 데이터 센스를 S3 서비스에 연결할 수 없습니다.

또는 NAT 게이트웨이를 사용하여 연결을 제공하는 방법도 있습니다.

참고 프록시를 사용하여 인터넷을 통해 S3로 연결할 수는 없습니다.

Cloud Data Sense 인스턴스 구축

"Cloud Manager에 클라우드 데이터 센스를 구축하십시오" 이미 배포된 인스턴스가 없는 경우

Cloud Manager가 이 AWS 계정에서 S3 버킷을 자동으로 검색하여 Amazon S3 작업 환경에 표시되도록 AWS에 구축된 Connector를 사용하여 인스턴스를 구축해야 합니다.

  • 참고: * S3 버킷을 스캔할 때는 현재 사내 위치에 클라우드 데이터 센스를 구축하는 것이 지원되지 않습니다.

데이터 감지 소프트웨어로 업그레이드하는 것은 인스턴스에 인터넷 연결이 있는 한 자동으로 수행됩니다.

S3 작업 환경에서 데이터 센스를 활성화합니다

사전 요구 사항을 확인한 후 Amazon S3에서 클라우드 데이터 센스를 활성화합니다.

단계
  1. Cloud Manager 상단에서 * Canvas * 를 클릭합니다.

  2. Amazon S3 작업 환경을 선택합니다.

    Amazon S3 작업 환경 아이콘의 스크린샷

  3. 오른쪽의 데이터 감지 창에서 * 활성화 * 를 클릭합니다.

    서비스 패널에서 클라우드 데이터 감지 서비스를 활성화하는 스크린샷

  4. 메시지가 표시되면 가 있는 Cloud Data Sense 인스턴스에 IAM 역할을 할당합니다 필요한 권한.

    Cloud Data Sense에 대한 AWS IAM 역할 입력 스크린샷

  5. 사용 * 을 클릭합니다.

팁 를 클릭하여 구성 페이지에서 작업 환경에 대한 규정 준수 검사를 활성화할 수도 있습니다 버튼을 클릭하고 * 데이터 감지 활성화 * 를 선택합니다.

Cloud Manager는 IAM 역할을 인스턴스에 할당합니다.

S3 버킷에서 규정 준수 스캔 활성화 및 비활성화

Cloud Manager를 사용하여 Amazon S3에서 Cloud Data Sense를 사용하도록 설정한 후 다음 단계는 스캔할 버킷을 구성하는 것입니다.

Cloud Manager가 검사할 S3 버킷이 있는 AWS 계정에서 실행 중인 경우 해당 버킷을 검색하고 Amazon S3 작업 환경에 표시합니다.

클라우드 데이터 센스도 가능합니다 서로 다른 AWS 계정에 있는 S3 버킷을 스캔합니다.

단계
  1. Amazon S3 작업 환경을 선택합니다.

  2. 오른쪽 창에서 * 버킷 구성 * 을 클릭합니다.

    스캔할 S3 버킷을 선택하기 위해 버킷 구성을 클릭하는 스크린샷

  3. 버킷에서 매핑 전용 스캔 또는 매핑 및 분류 스캔을 활성화합니다.

    스캔할 S3 버킷을 선택하는 스크린샷

    대상: 방법은 다음과 같습니다.

    버킷에서 매핑 전용 스캔을 활성화합니다

    Map * 을 클릭합니다

    버킷에서 전체 스캔을 활성화합니다

    지도 및 분류 * 를 클릭합니다

    버킷에서 스캔을 비활성화합니다

    Off * 를 클릭합니다

Cloud Data Sense는 활성화한 S3 버킷을 검색하기 시작합니다. 오류가 있는 경우 오류를 해결하는 데 필요한 작업과 함께 상태 열에 표시됩니다.

추가 AWS 계정에서 버킷 스캔

기존 Cloud Data Sense 인스턴스에 액세스하기 위해 해당 계정에서 역할을 할당하여 다른 AWS 계정에 있는 S3 버킷을 스캔할 수 있습니다.

단계
  1. S3 버킷을 스캔하려는 대상 AWS 계정으로 이동하여 * 다른 AWS 계정 * 을 선택하여 IAM 역할을 생성합니다.

    다음을 수행하십시오.

    • Cloud Data Sense 인스턴스가 있는 계정의 ID를 입력합니다.

    • 최대 CLI/API 세션 지속 시간 * 을 1시간에서 12시간으로 변경하고 변경 사항을 저장합니다.

    • Cloud Data Sense IAM 정책을 연결합니다. 필요한 권한이 있는지 확인합니다.

      {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "s3:Get*",
                    "s3:List*",
                    "s3:PutObject"
                ],
                "Resource": "*"
            },
        ]
      }
  2. Data Sense 인스턴스가 있는 소스 AWS 계정으로 이동하여 인스턴스에 연결된 IAM 역할을 선택합니다.

    1. 최대 CLI/API 세션 지속 시간 * 을 1시간에서 12시간으로 변경하고 변경 사항을 저장합니다.

    2. Attach policies * 를 클릭한 다음 * Create policy * 를 클릭합니다.

    3. "STS:AssumeRole" 작업을 포함하는 정책을 생성하고 타겟 계정에서 생성한 역할의 ARN을 지정합니다.

      {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": "sts:AssumeRole",
                  "Resource": "arn:aws:iam::<ADDITIONAL-ACCOUNT-ID>:role/<ADDITIONAL_ROLE_NAME>"
              },
              {
                  "Effect": "Allow",
                  "Action": [
                      "iam:GetPolicyVersion",
                      "iam:GetPolicy",
                      "iam:ListAttachedRolePolicies"
                  ],
                  "Resource": [
                      "arn:aws:iam::*:policy/*",
                      "arn:aws:iam::*:role/*"
                  ]
              }
          ]
      }

      이제 Cloud Data Sense 인스턴스 프로필 계정이 추가 AWS 계정에 액세스할 수 있습니다.

  3. Amazon S3 Configuration * 페이지로 이동하면 새 AWS 계정이 표시됩니다. 클라우드 데이터 센스에서 새 계정의 작업 환경을 동기화하고 이 정보를 표시하는 데 몇 분 정도 걸릴 수 있습니다.

    데이터 센스를 활성화하는 방법을 보여 주는 스크린샷

  4. Activate Data Sense & Select Bucket * 을 클릭하고 스캔할 버킷을 선택합니다.

Cloud Data Sense는 사용자가 활성화한 새로운 S3 버킷을 스캔하기 시작합니다.