Skip to main content
Cloud Manager 3.8
Uma versão mais recente deste produto está disponível.
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Introdução ao Cloud Compliance para Amazon S3

Colaboradores netapp-bcammett
PDFs

O Cloud Compliance pode verificar seus buckets do Amazon S3 para identificar os dados pessoais e confidenciais que residem no storage de objetos do S3. O Cloud Compliance pode verificar qualquer bucket da conta, independentemente de ter sido criado para uma solução da NetApp.

Início rápido

Comece rapidamente seguindo estas etapas ou role para baixo até as seções restantes para obter detalhes completos.

Número 1 Configure os requisitos do S3 em seu ambiente de nuvem

Garanta que seu ambiente de nuvem atenda aos requisitos de conformidade com a nuvem, incluindo a preparação de uma função do IAM e a configuração da conectividade do Cloud Compliance para o S3. Veja a lista completa.

Número 2 Implante a instância do Cloud Compliance

"Implante o Cloud Compliance no Cloud Manager" se ainda não houver uma instância implantada.

Número 3 Ative a conformidade no seu ambiente de trabalho S3

Selecione o ambiente de trabalho do Amazon S3, clique em Ativar conformidade e selecione uma função do IAM que inclua as permissões necessárias.

Número 4 Selecione os intervalos para digitalizar

Selecione os buckets que você gostaria de verificar e o Cloud Compliance começará a digitalizá-los.

Rever os pré-requisitos do S3

Os requisitos a seguir são específicos para a digitalização de buckets S3.

Configure uma função do IAM para a instância do Cloud Compliance

O Cloud Compliance precisa de permissões para se conetar aos buckets do S3 na sua conta e verificá-los. Configure uma função do IAM que inclua as permissões listadas abaixo. O Cloud Manager solicita que você selecione uma função do IAM ao ativar o Cloud Compliance no ambiente de trabalho do Amazon S3.

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:HeadBucket"
          ],
          "Resource": "*"
      },
      {
          "Effect": "Allow",
          "Action": [
              "iam:GetPolicyVersion",
              "iam:GetPolicy",
              "iam:ListAttachedRolePolicies"
          ],
          "Resource": [
              "arn:aws:iam::*:policy/*",
              "arn:aws:iam::*:role/*"
          ]
      }
  ]
}
Fornecer conectividade do Cloud Compliance para o Amazon S3

O Cloud Compliance precisa de uma conexão com o Amazon S3. A melhor maneira de fornecer essa conexão é por meio de um VPC Endpoint ao serviço S3. Para obter instruções, "Documentação da AWS: Criando um endpoint do Gateway" consulte .

Quando você criar o VPC Endpoint, certifique-se de selecionar a região, VPC e tabela de rotas que corresponde à instância do Cloud Compliance. Você também deve modificar o grupo de segurança para adicionar uma regra HTTPS de saída que permita o tráfego para o endpoint S3. Caso contrário, o Cloud Compliance não pode se conetar ao serviço S3.

Se tiver algum problema, consulte "AWS Support Knowledge Center: Por que não consigo me conetar a um bucket do S3 usando um endpoint VPC de gateway?"

Uma alternativa é fornecer a conexão usando um NAT Gateway.

Observação Você não pode usar um proxy para chegar ao S3 pela internet.

Implantando a instância de Cloud Compliance

"Implante o Cloud Compliance no Cloud Manager" se ainda não houver uma instância implantada.

Você precisa implantar a instância em um AWS Connector para que o Cloud Manager descubra automaticamente os buckets do S3 nessa conta da AWS e os exiba em um ambiente de trabalho do Amazon S3.

Ativar a conformidade no seu ambiente de trabalho S3

Ative o Cloud Compliance no Amazon S3 depois de verificar os pré-requisitos.

Passos

  1. Na parte superior do Cloud Manager, clique em ambientes de trabalho.

  2. Selecione o ambiente de trabalho do Amazon S3.

    Uma captura de tela de um ícone de ambiente de trabalho do Amazon S3

  3. No painel à direita, clique em Ativar conformidade.

    Uma captura de tela da ativação do serviço Cloud Compliance no painel Serviços

  4. Quando solicitado, atribua uma função do IAM à instância do Cloud Compliance que tem as permissões necessáriaso .

    Uma captura de tela de inserção da função do AWS IAM para conformidade com a nuvem

  5. Clique em Ativar conformidade.

Dica Você também pode habilitar verificações de conformidade para um ambiente de trabalho na página Configuração de digitalização clicando no botão e selecionando Ativar conformidade.
Resultado

O Cloud Manager atribui a função IAM à instância.

Ativar e desativar verificações de conformidade em buckets do S3

Depois que o Cloud Manager ativar o Cloud Compliance no Amazon S3, a próxima etapa é configurar os buckets que você deseja analisar.

Quando o Cloud Manager está em execução na conta da AWS que tem os buckets do S3 que você deseja verificar, ele descobre esses buckets e os exibe em um ambiente de trabalho do Amazon S3.

O Cloud Compliance também Examine os buckets do S3 que estão em diferentes contas da AWSpode .

Passos

  1. Selecione o ambiente de trabalho do Amazon S3.

  2. No painel à direita, clique em Configurar baldes.

    Uma captura de tela clicando em Configurar baldes para escolher os buckets S3 que você deseja digitalizar

  3. Ative a conformidade nos buckets que você deseja analisar.

    Uma captura de tela de seleção dos buckets S3 que você deseja digitalizar

Resultado

O Cloud Compliance começa a verificar os buckets do S3 ativados. Se houver algum erro, eles aparecerão na coluna Status, juntamente com a ação necessária para corrigir o erro.

Digitalização de buckets a partir de contas adicionais da AWS

Você pode verificar buckets do S3 em uma conta diferente da AWS atribuindo uma função dessa conta para acessar a instância existente do Cloud Compliance.

Passos

  1. Vá para a conta AWS de destino onde você deseja analisar buckets do S3 e criar uma função do IAM selecionando outra conta da AWS.

    Certifique-se de fazer o seguinte:

    • Insira o ID da conta onde reside a instância do Cloud Compliance.

    • Altere a duração máxima da sessão CLI/API* de 1 hora para 12 horas e salve essa alteração.

    • Anexe a política do Cloud Compliance IAM. Certifique-se de que tem as permissões necessárias.

      {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:HeadBucket"
          ],
          "Resource": "*"
      },
  ]
}

  2. Vá para a conta da AWS de origem onde reside a instância do Cloud Compliance e selecione a função do IAM anexada à instância.

    1. Altere a duração máxima da sessão CLI/API* de 1 hora para 12 horas e salve essa alteração.

    2. Clique em Anexar políticas e, em seguida, clique em criar política.

    3. Crie uma política que inclua a ação "sts:AssumeRole" e o ARN da função que você criou na conta de destino.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::<ADDITIONAL-ACCOUNT-ID>:role/<ADDITIONAL_ROLE_NAME>"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/*",
                "arn:aws:iam::*:role/*"
            ]
        }
    ]
}

      A conta de perfil de instância do Cloud Compliance agora tem acesso à conta AWS adicional.

  3. Vá para a página Configuração de digitalização do Amazon S3 e a nova conta da AWS será exibida. Observe que pode levar alguns minutos para que o Cloud Compliance sincronize o ambiente de trabalho da nova conta e mostre essas informações.

  4. Clique em Activate Compliance & Select Buckets (Ativar conformidade e Selecionar baldes*) e selecione os baldes que pretende digitalizar.

Resultado

O Cloud Compliance começa a verificar os novos buckets do S3 ativados.