Amazon S3 云合规性入门
Cloud Compliance 可以扫描 Amazon S3 存储分段,以确定 S3 对象存储中的个人和敏感数据。Cloud Compliance 可以扫描帐户中的任何存储分段,而不管它是否是为 NetApp 解决方案创建的。
快速入门
按照以下步骤快速入门,或者向下滚动到其余部分以了解完整详细信息。
在云环境中设置 S3 要求
确保您的云环境能够满足云合规性的要求,包括准备 IAM 角色以及设置从 Cloud Compliance 到 S3 的连接。 请参见完整列表。
部署 Cloud Compliance 实例
"在 Cloud Manager 中部署 Cloud Compliance" 如果尚未部署实例。
在 S3 工作环境中激活合规性
选择 Amazon S3 工作环境,单击 * 启用合规性 * ,然后选择一个包含所需权限的 IAM 角色。
选择要扫描的分段
选择要扫描的存储分段, Cloud Compliance 将开始扫描这些存储分段。
查看 S3 前提条件
以下要求特定于扫描 S3 存储分段。
- 为 Cloud Compliance 实例设置 IAM 角色
-
Cloud Compliance 需要有权连接到您帐户中的 S3 存储分段并对其进行扫描。设置一个包含以下权限的 IAM 角色。在 Amazon S3 工作环境中启用 Cloud Compliance 后, Cloud Manager 会提示您选择 IAM 角色。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*", "s3:HeadBucket" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:policy/*", "arn:aws:iam::*:role/*" ] } ] }
- 提供从 Cloud Compliance 到 Amazon S3 的连接
-
Cloud Compliance 需要连接到 Amazon S3 。提供此连接的最佳方式是通过 VPC 端点连接到 S3 服务。有关说明,请参见 "AWS 文档:创建网关端点"。
创建 VPC 端点时,请务必选择与 Cloud Compliance 实例对应的区域, VPC 和路由表。您还必须修改安全组才能添加出站 HTTPS 规则、该规则允许通信到 S3 端点。否则, Cloud Compliance 将无法连接到 S3 服务。
如果遇到任何问题,请参见 "AWS 支持知识中心:为什么我无法使用网关 VPC 端点连接到 S3 存储分段?"
另一种方法是使用 NAT 网关提供连接。
您无法使用代理通过 Internet 访问 S3 。
部署 Cloud Compliance 实例
"在 Cloud Manager 中部署 Cloud Compliance" 如果尚未部署实例。
您需要在 AWS Connector 中部署实例,以便 Cloud Manager 自动发现此 AWS 帐户中的 S3 存储分段并将其显示在 Amazon S3 工作环境中。
在 S3 工作环境中激活合规性
验证前提条件后,在 Amazon S3 上启用 Cloud Compliance 。
-
在 Cloud Manager 顶部,单击 * 工作环境 * 。
-
选择 Amazon S3 工作环境。
-
在右侧窗格中,单击 * 启用合规性 * 。
-
出现提示时,将 IAM 角色分配给已有的 Cloud Compliance 实例 所需权限。
-
单击 * 启用合规性 * 。
此外,您还可以通过单击在扫描配置页面中为工作环境启用合规性扫描 按钮并选择 * 激活合规性 * 。 |
Cloud Manager 将 IAM 角色分配给实例。
在 S3 存储分段上启用和禁用合规性扫描
在 Cloud Manager 在 Amazon S3 上启用 Cloud Compliance 后,下一步是配置要扫描的分段。
如果 Cloud Manager 运行在包含要扫描的 S3 存储分段的 AWS 帐户中,则它会发现这些存储分段并将其显示在 Amazon S3 工作环境中。
云合规性也可以 扫描位于不同 AWS 帐户中的 S3 存储分段。
-
选择 Amazon S3 工作环境。
-
在右侧窗格中,单击 * 配置分段 * 。
-
在要扫描的存储分段上启用合规性。
Cloud Compliance 将开始扫描您启用的 S3 存储分段。如果存在任何错误,它们将显示在状态列中,并显示修复此错误所需的操作。
从其他 AWS 帐户扫描存储分段
您可以通过从其他 AWS 帐户中分配角色来扫描此帐户下的 S3 存储分段,以访问现有 Cloud Compliance 实例。
-
转到要扫描 S3 存储分段的目标 AWS 帐户,然后选择 * 其他 AWS 帐户 * 来创建 IAM 角色。
请务必执行以下操作:
-
输入 Cloud Compliance 实例所在帐户的 ID 。
-
将 * 最大 CLI/API 会话持续时间 * 从 1 小时更改为 12 小时,然后保存此更改。
-
附加 Cloud Compliance IAM 策略。确保它具有所需的权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*", "s3:HeadBucket" ], "Resource": "*" }, ] }
-
-
转到 Cloud Compliance 实例所在的源 AWS 帐户,然后选择附加到该实例的 IAM 角色。
-
将 * 最大 CLI/API 会话持续时间 * 从 1 小时更改为 12 小时,然后保存此更改。
-
单击 * 附加策略 * ,然后单击 * 创建策略 * 。
-
创建一个策略,其中包含 "STS : AssumeRole" 操作以及您在目标帐户中创建的角色的 ARN 。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::<ADDITIONAL-ACCOUNT-ID>:role/<ADDITIONAL_ROLE_NAME>" }, { "Effect": "Allow", "Action": [ "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:policy/*", "arn:aws:iam::*:role/*" ] } ] }
现在, Cloud Compliance 实例配置文件帐户可以访问其他 AWS 帐户。
-
-
转到 * Amazon S3 扫描配置 * 页面,此时将显示新的 AWS 帐户。请注意, Cloud Compliance 可能需要几分钟时间来同步新客户的工作环境并显示此信息。
-
单击 * 激活合规性并选择分段 * ,然后选择要扫描的分段。
Cloud Compliance 将开始扫描您启用的新 S3 存储分段。