扫描Amazon S3存储分段
建议更改
PDF
BlueXP分类可以扫描Amazon S3存储分段、以确定驻留在S3对象存储中的个人数据和敏感数据。BlueXP分类可以扫描帐户中的任何存储分段、而不管该存储分段是否是为NetApp解决方案 创建的。
*注*此信息仅与BlueXP分类的旧版版本1.3及更早版本相关。
快速入门
按照以下步骤快速入门,或者向下滚动到其余部分以了解完整详细信息。
在云环境中设置 S3 要求确保您的云环境可以满足BlueXP分类的要求、包括准备IAM角色以及设置从BlueXP分类到S3的连接。 请参见完整列表。
部署BlueXP分类实例"部署BlueXP分类" 如果尚未部署实例。
在S3工作环境中激活BlueXP分类选择 Amazon S3 工作环境,单击 * 启用 * ,然后选择包含所需权限的 IAM 角色。
选择要扫描的分段选择要扫描的存储分段、BlueXP分类将开始扫描它们。
查看 S3 前提条件
以下要求特定于扫描 S3 存储分段。
- 为BlueXP分类实例设置IAM角色
-
BlueXP分类需要有权限连接到您帐户中的S3存储分段并对其进行扫描。设置一个包含以下权限的 IAM 角色。在Amazon S3工作环境中启用BlueXP分类时、BlueXP会提示您选择IAM角色。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*", "s3:PutObject" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:policy/*", "arn:aws:iam::*:role/*" ] } ] } - 提供从BlueXP分类到Amazon S3的连接
-
BlueXP分类需要连接到Amazon S3。提供此连接的最佳方式是通过 VPC 端点连接到 S3 服务。有关说明,请参见 "AWS 文档:创建网关端点"。
创建VPC端点时、请务必选择与BlueXP分类实例对应的区域、VPC和路由表。您还必须修改安全组才能添加出站 HTTPS 规则、该规则允许通信到 S3 端点。否则、BlueXP分类无法连接到S3服务。
如果遇到任何问题,请参见 "AWS支持知识中心:为什么我无法使用网关VPC端点连接到S3存储分段?"
另一种方法是使用 NAT 网关提供连接。
您无法使用代理通过 Internet 访问 S3 。
部署BlueXP分类实例
"在BlueXP中部署BlueXP分类" 如果尚未部署实例。
您需要使用部署在AWS中的Connector部署此实例、以便BlueXP自动发现此AWS帐户中的S3存储分段并将其显示在Amazon S3工作环境中。
*注意:*扫描S3存储分段时、当前不支持在内部位置部署BlueXP分类。
只要实例具有Internet连接、BlueXP 分类软件的升级就会自动进行。
在S3工作环境中激活BlueXP分类
验证前提条件后、在Amazon S3上启用BlueXP分类。
-
从BlueXP左侧导航菜单中、单击*存储>画布*。
-
选择 Amazon S3 工作环境。
-
在右侧的服务窗格中、单击*分类*旁边的*启用*。
-
出现提示时、将IAM角色分配给具有的BlueXP分类实例 所需权限。
-
单击 * 启用 * 。
|
您也可以通过单击在配置页面中为工作环境启用合规性扫描  按钮并选择*激活BlueXP分类*。
|
BlueXP将IAM角色分配给实例。
在 S3 存储分段上启用和禁用合规性扫描
在BlueXP在Amazon S3上启用BlueXP分类后、下一步是配置要扫描的分段。
当BlueXP在包含要扫描的S3存储分段的AWS帐户中运行时、它会发现这些存储分段并将其显示在Amazon S3工作环境中。
BlueXP分类也可以 扫描位于不同 AWS 帐户中的 S3 存储分段。
-
选择 Amazon S3 工作环境。
-
在右侧的服务窗格中、单击*配置分段*。
-
在存储分段上启用仅映射扫描或映射和分类扫描。
收件人: 执行以下操作: 在存储分段上启用仅映射扫描
单击 * 映射 *
对存储分段启用完全扫描
单击 * 映射和分类 *
禁用对存储分段的扫描
单击 * 关闭 *
BlueXP分类开始扫描您启用的S3分段。如果存在任何错误,它们将显示在状态列中,并显示修复此错误所需的操作。
从其他 AWS 帐户扫描存储分段
您可以通过从其他AWS帐户分配角色来扫描该帐户下的S3分段、以访问现有BlueXP分类实例。
-
转到要扫描 S3 存储分段的目标 AWS 帐户,然后选择 * 其他 AWS 帐户 * 来创建 IAM 角色。
请务必执行以下操作:
-
输入BlueXP分类实例所在帐户的ID。
-
将 * 最大 CLI/API 会话持续时间 * 从 1 小时更改为 12 小时,然后保存此更改。
-
附加BlueXP分类IAM策略。确保它具有所需的权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*", "s3:PutObject" ], "Resource": "*" }, ] }
-
-
转到BlueXP分类实例所在的源AWS帐户、然后选择附加到该实例的IAM角色。
-
将 * 最大 CLI/API 会话持续时间 * 从 1 小时更改为 12 小时,然后保存此更改。
-
单击 * 附加策略 * ,然后单击 * 创建策略 * 。
-
创建一个包含 "STS : AssumeRole" 操作的策略,并指定您在目标帐户中创建的角色的 ARN 。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::<ADDITIONAL-ACCOUNT-ID>:role/<ADDITIONAL_ROLE_NAME>" }, { "Effect": "Allow", "Action": [ "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:policy/*", "arn:aws:iam::*:role/*" ] } ] }BlueXP分类实例配置文件帐户现在可以访问其他AWS帐户。
-
-
转到 * Amazon S3 Configuration* 页面,此时将显示新的 AWS 帐户。请注意、BlueXP分类可能需要几分钟时间来同步新帐户的工作环境并显示此信息。
-
单击*激活BlueXP分类并选择存储分段*,然后选择要扫描的存储分段。
BlueXP分类开始扫描您启用的新S3分段。