Skip to main content
BlueXP classification
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

Amazon S3 BlueXP分类入门

贡献者
PDF

BlueXP分类可以扫描Amazon S3存储分段、以确定驻留在S3对象存储中的个人数据和敏感数据。BlueXP分类可以扫描帐户中的任何存储分段、而不管该存储分段是否是为NetApp解决方案 创建的。

快速入门

按照以下步骤快速入门,或者向下滚动到其余部分以了解完整详细信息。

一个 在云环境中设置 S3 要求

确保您的云环境可以满足BlueXP分类的要求、包括准备IAM角色以及设置从BlueXP分类到S3的连接。 请参见完整列表

两个 部署BlueXP分类实例

"部署BlueXP分类" 如果尚未部署实例。

三个 在S3工作环境中激活BlueXP分类

选择 Amazon S3 工作环境,单击 * 启用 * ,然后选择包含所需权限的 IAM 角色。

四个 选择要扫描的分段

选择要扫描的存储分段、BlueXP分类将开始扫描它们。

查看 S3 前提条件

以下要求特定于扫描 S3 存储分段。

为BlueXP分类实例设置IAM角色

BlueXP分类需要有权限连接到您帐户中的S3存储分段并对其进行扫描。设置一个包含以下权限的 IAM 角色。在Amazon S3工作环境中启用BlueXP分类时、BlueXP会提示您选择IAM角色。

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:PutObject"
          ],
          "Resource": "*"
      },
      {
          "Effect": "Allow",
          "Action": [
              "iam:GetPolicyVersion",
              "iam:GetPolicy",
              "iam:ListAttachedRolePolicies"
          ],
          "Resource": [
              "arn:aws:iam::*:policy/*",
              "arn:aws:iam::*:role/*"
          ]
      }
  ]
}
提供从BlueXP分类到Amazon S3的连接

BlueXP分类需要连接到Amazon S3。提供此连接的最佳方式是通过 VPC 端点连接到 S3 服务。有关说明,请参见 "AWS 文档:创建网关端点"

创建VPC端点时、请务必选择与BlueXP分类实例对应的区域、VPC和路由表。您还必须修改安全组才能添加出站 HTTPS 规则、该规则允许通信到 S3 端点。否则、BlueXP分类无法连接到S3服务。

如果遇到任何问题,请参见 "AWS支持知识中心:为什么我无法使用网关VPC端点连接到S3存储分段?"

另一种方法是使用 NAT 网关提供连接。

备注 您无法使用代理通过 Internet 访问 S3 。

部署BlueXP分类实例

"在BlueXP中部署BlueXP分类" 如果尚未部署实例。

您需要使用部署在AWS中的Connector部署此实例、以便BlueXP自动发现此AWS帐户中的S3存储分段并将其显示在Amazon S3工作环境中。

*注意:*扫描S3存储分段时、当前不支持在内部位置部署BlueXP分类。

只要该实例具有Internet连接、BlueXP分类软件的升级就会自动进行。

在S3工作环境中激活BlueXP分类

验证前提条件后、在Amazon S3上启用BlueXP分类。

步骤

  1. 从BlueXP左侧导航菜单中、单击*存储>画布*。

  2. 选择 Amazon S3 工作环境。

    Amazon S3 工作环境图标的屏幕截图

  3. 在右侧的服务窗格中、单击*分类*旁边的*启用*。

    从"服务"面板启用BlueXP分类服务的屏幕截图

  4. 出现提示时、将IAM角色分配给具有的BlueXP分类实例 所需权限

    为BlueXP分类输入AWS IAM角色的屏幕截图

  5. 单击 * 启用 * 。

提示 您也可以通过单击在配置页面中为工作环境启用合规性扫描 三点 按钮并选择*激活BlueXP分类*。
结果

BlueXP将IAM角色分配给实例。

在 S3 存储分段上启用和禁用合规性扫描

在BlueXP在Amazon S3上启用BlueXP分类后、下一步是配置要扫描的分段。

当BlueXP在包含要扫描的S3存储分段的AWS帐户中运行时、它会发现这些存储分段并将其显示在Amazon S3工作环境中。

BlueXP分类也可以 扫描位于不同 AWS 帐户中的 S3 存储分段

步骤

  1. 选择 Amazon S3 工作环境。

  2. 在右侧的服务窗格中、单击*配置分段*。

    单击配置存储分段以选择要扫描的 S3 存储分段的屏幕截图

  3. 在存储分段上启用仅映射扫描或映射和分类扫描。

    选择要扫描的 S3 存储分段的屏幕截图

    收件人: 执行以下操作:

    在存储分段上启用仅映射扫描

    单击 * 映射 *

    对存储分段启用完全扫描

    单击 * 映射和分类 *

    禁用对存储分段的扫描

    单击 * 关闭 *
结果

BlueXP分类开始扫描您启用的S3分段。如果存在任何错误,它们将显示在状态列中,并显示修复此错误所需的操作。

从其他 AWS 帐户扫描存储分段

您可以通过从其他AWS帐户分配角色来扫描该帐户下的S3分段、以访问现有BlueXP分类实例。

步骤

  1. 转到要扫描 S3 存储分段的目标 AWS 帐户,然后选择 * 其他 AWS 帐户 * 来创建 IAM 角色。

    用于创建IAM角色的AWS页面的屏幕截图。

    请务必执行以下操作:

    • 输入BlueXP分类实例所在帐户的ID。

    • 将 * 最大 CLI/API 会话持续时间 * 从 1 小时更改为 12 小时,然后保存此更改。

    • 附加BlueXP分类IAM策略。确保它具有所需的权限。

      {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:PutObject"
          ],
          "Resource": "*"
      },
  ]
}

  2. 转到BlueXP分类实例所在的源AWS帐户、然后选择附加到该实例的IAM角色。

    1. 将 * 最大 CLI/API 会话持续时间 * 从 1 小时更改为 12 小时,然后保存此更改。

    2. 单击 * 附加策略 * ,然后单击 * 创建策略 * 。

    3. 创建一个包含 "STS : AssumeRole" 操作的策略,并指定您在目标帐户中创建的角色的 ARN 。

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::<ADDITIONAL-ACCOUNT-ID>:role/<ADDITIONAL_ROLE_NAME>"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/*",
                "arn:aws:iam::*:role/*"
            ]
        }
    ]
}

      BlueXP分类实例配置文件帐户现在可以访问其他AWS帐户。

  3. 转到 * Amazon S3 Configuration* 页面,此时将显示新的 AWS 帐户。请注意、BlueXP分类可能需要几分钟时间来同步新帐户的工作环境并显示此信息。

    显示如何激活BlueXP分类的屏幕截图。

  4. 单击*激活BlueXP分类并选择存储分段*,然后选择要扫描的存储分段。

结果

BlueXP分类开始扫描您启用的新S3分段。