掃描 Amazon S3 儲存區
建議變更
PDF
BlueXP 分類可以掃描 Amazon S3 儲存區、以識別位於 S3 物件儲存區的個人和敏感資料。BlueXP 分類可以掃描帳戶中的任何儲存庫、無論是否為 NetApp 解決方案所建立。
-
注意 * 此資訊僅適用於 BlueXP 分類舊版 1.30 及更早版本。
快速入門
請依照下列步驟快速入門、或向下捲動至其餘部分以取得完整詳細資料。
在您的雲端環境中設定 S3 需求確保您的雲端環境符合 BlueXP 分類的要求、包括準備 IAM 角色、以及設定從 BlueXP 分類到 S3 的連線能力。請參閱完整清單。
部署 BlueXP 分類執行個體"部署 BlueXP 分類"如果尚未部署執行個體,
在 S3 工作環境中啟動 BlueXP 分類選取Amazon S3工作環境、按一下*「啟用」*、然後選取內含必要權限的IAM角色。
選取要掃描的貯體選擇您要掃描的貯體、 BlueXP 分類將開始掃描它們。
檢閱 S3 的必要條件
下列需求僅適用於掃描 S3 儲存區。
- 為 BlueXP 分類執行個體設定 IAM 角色
-
BlueXP 分類需要權限、才能連線至您帳戶中的 S3 儲存區並進行掃描。設定包含下列權限的 IAM 角色。在 Amazon S3 工作環境中啟用 BlueXP 分類時、 BlueXP 會提示您選擇 IAM 角色。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*", "s3:PutObject" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:policy/*", "arn:aws:iam::*:role/*" ] } ] } - 提供從 BlueXP 分類到 Amazon S3 的連線能力
-
BlueXP 分類需要連線至 Amazon S3 。提供此連線的最佳方法是透過 VPC 端點連線至 S3 服務。有關說明,請參閱 "AWS 文件:建立閘道端點"。
當您建立 VPC 端點時、請務必選取對應至 BlueXP 分類執行個體的區域、 VPC 和路由表。您也必須修改安全性群組、以新增允許流量到 S3 端點的傳出 HTTPS 規則。否則、 BlueXP 分類無法連線到 S3 服務。
如果您遇到任何問題,請參閱 "AWS支援知識中心:為什麼我無法使用閘道VPC端點連線至S3儲存區?"
另一種方法是使用 NAT 閘道來提供連線。
您無法使用 Proxy 透過網際網路連線至 S3 。
部署 BlueXP 分類執行個體
"在 BlueXP 中部署 BlueXP 分類"如果尚未部署執行個體,
您需要使用部署在AWS中的Connector來部署執行個體、以便BlueXP自動探索此AWS帳戶中的S3儲存區、並在Amazon S3工作環境中顯示它們。
-
附註: * 掃描 S3 儲存區時、目前不支援在內部部署位置部署 BlueXP 分類。
只要執行個體具有網際網路連線、就會自動升級至 BlueXP 分類軟體。
在 S3 工作環境中啟動 BlueXP 分類
驗證必要條件之後、請在 Amazon S3 上啟用 BlueXP 分類。
-
在BluXP左側導覽功能表中、按一下*儲存設備> Canvas*。
-
選取 Amazon S3 工作環境。
-
在右側的「服務」窗格中、按一下「分類」旁的「啟用」。
-
出現提示時,請將 IAM 角色指派給具有必要的權限的BlueXP 分類執行個體。
-
按一下「啟用」。
|
您也可以從「組態」頁面中,按一下按鈕並選取 * 啟動 BlueXP 分類 * ,以啟用工作環境的規範掃描 。
|
BlueXP會將IAM角色指派給執行個體。
啟用和停用 S3 儲存區的法規遵循掃描
BlueXP 在 Amazon S3 上啟用 BlueXP 分類之後、下一步是設定您要掃描的儲存區。
當在AWS帳戶中執行的BlueXP具有您要掃描的S3儲存區時、它會探索這些儲存區、並在Amazon S3工作環境中顯示它們。
BlueXP 分類也可以掃描位於不同 AWS 帳戶中的 S3 儲存區。
-
選取 Amazon S3 工作環境。
-
在右側的「服務」窗格中、按一下「*設定桶」。
-
在您的庫位上啟用純對應掃描、或是對應和分類掃描。
至: 請執行下列動作: 在儲存區上啟用僅對應掃描
按一下*地圖*
啟用庫位的完整掃描
按一下*地圖與分類*
停用儲存區上的掃描
按一下「關」
BlueXP 分類會開始掃描您啟用的 S3 儲存區。如果有任何錯誤、它們會顯示在「 Status (狀態)」欄中、以及修正錯誤所需的動作。
從其他 AWS 帳戶掃描儲存區
您可以從該帳戶指派角色來存取現有的 BlueXP 分類執行個體、來掃描位於不同 AWS 帳戶下的 S3 儲存區。
-
前往您要掃描 S3 儲存區的目標 AWS 帳戶、然後選取 * 其他 AWS 帳戶 * 來建立 IAM 角色。
請務必執行下列動作:
-
輸入 BlueXP 分類執行個體所在帳戶的 ID 。
-
將 * 最大 CLI/API 工作階段持續時間 * 從 1 小時變更為 12 小時、並儲存變更。
-
附加 BlueXP 分類 IAM 原則。請確定它擁有所需的權限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*", "s3:PutObject" ], "Resource": "*" }, ] }
-
-
移至 BlueXP 分類執行個體所在的來源 AWS 帳戶、然後選取附加至執行個體的 IAM 角色。
-
將 * 最大 CLI/API 工作階段持續時間 * 從 1 小時變更為 12 小時、並儲存變更。
-
按一下「 * 附加原則 * 」、然後按一下「 * 建立原則 * 」。
-
建立包含「STS:AssumeRole」動作的原則、並指定您在目標帳戶中所建立角色的ARN。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::<ADDITIONAL-ACCOUNT-ID>:role/<ADDITIONAL_ROLE_NAME>" }, { "Effect": "Allow", "Action": [ "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedRolePolicies" ], "Resource": [ "arn:aws:iam::*:policy/*", "arn:aws:iam::*:role/*" ] } ] }BlueXP 分類執行個體設定檔帳戶現在可以存取額外的 AWS 帳戶。
-
-
移至「* Amazon S3 Configuration *」頁面、隨即顯示新的AWS帳戶。請注意、 BlueXP 分類可能需要幾分鐘的時間、才能同步新帳戶的工作環境並顯示此資訊。
-
按一下 * 啟動 BlueXP 分類與選取庫位 * 、然後選取您要掃描的庫位。
BlueXP 分類會開始掃描您啟用的新 S3 儲存區。