Skip to main content
BlueXP classification
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

開始使用 Amazon S3 的 BlueXP 分類

貢獻者

BlueXP 分類可以掃描 Amazon S3 儲存區、以識別位於 S3 物件儲存區的個人和敏感資料。BlueXP 分類可以掃描帳戶中的任何儲存庫、無論是否為 NetApp 解決方案所建立。

快速入門

請依照下列步驟快速入門、或向下捲動至其餘部分以取得完整詳細資料。

一 在雲端環境中設定 S3 需求

確保您的雲端環境符合 BlueXP 分類的要求、包括準備 IAM 角色、以及設定從 BlueXP 分類到 S3 的連線能力。 請參閱完整清單

二 部署 BlueXP 分類執行個體

"部署 BlueXP 分類" 如果尚未部署執行個體、

三 在 S3 工作環境中啟動 BlueXP 分類

選取Amazon S3工作環境、按一下*「啟用」*、然後選取內含必要權限的IAM角色。

四 選取要掃描的儲存區

選擇您要掃描的貯體、 BlueXP 分類將開始掃描它們。

檢閱 S3 的必要條件

下列需求僅適用於掃描 S3 儲存區。

為 BlueXP 分類執行個體設定 IAM 角色

BlueXP 分類需要權限、才能連線至您帳戶中的 S3 儲存區並進行掃描。設定包含下列權限的 IAM 角色。在 Amazon S3 工作環境中啟用 BlueXP 分類時、 BlueXP 會提示您選擇 IAM 角色。

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:PutObject"
          ],
          "Resource": "*"
      },
      {
          "Effect": "Allow",
          "Action": [
              "iam:GetPolicyVersion",
              "iam:GetPolicy",
              "iam:ListAttachedRolePolicies"
          ],
          "Resource": [
              "arn:aws:iam::*:policy/*",
              "arn:aws:iam::*:role/*"
          ]
      }
  ]
}
提供從 BlueXP 分類到 Amazon S3 的連線能力

BlueXP 分類需要連線至 Amazon S3 。提供此連線的最佳方法是透過 VPC 端點連線至 S3 服務。如需相關指示、請參閱 "AWS 文件:建立閘道端點"

當您建立 VPC 端點時、請務必選取對應至 BlueXP 分類執行個體的區域、 VPC 和路由表。您也必須修改安全性群組、以新增允許流量到 S3 端點的傳出 HTTPS 規則。否則、 BlueXP 分類無法連線到 S3 服務。

另一種方法是使用 NAT 閘道來提供連線。

註 您無法使用 Proxy 透過網際網路連線至 S3 。

部署 BlueXP 分類執行個體

"在 BlueXP 中部署 BlueXP 分類" 如果尚未部署執行個體、

您需要使用部署在AWS中的Connector來部署執行個體、以便BlueXP自動探索此AWS帳戶中的S3儲存區、並在Amazon S3工作環境中顯示它們。

  • 附註: * 掃描 S3 儲存區時、目前不支援在內部部署位置部署 BlueXP 分類。

只要執行個體具備網際網路連線能力、即可自動升級至 BlueXP 分類軟體。

在 S3 工作環境中啟動 BlueXP 分類

驗證必要條件之後、請在 Amazon S3 上啟用 BlueXP 分類。

步驟
  1. 在BluXP左側導覽功能表中、按一下*儲存設備> Canvas*。

  2. 選取 Amazon S3 工作環境。

    Amazon S3 工作環境圖示的快照

  3. 在右側的「服務」窗格中、按一下「分類」旁的「啟用」。

    從「服務」面板啟用 BlueXP 分類服務的螢幕擷取畫面

  4. 出現提示時、請將 IAM 角色指派給具有的 BlueXP 分類執行個體 必要的權限

    輸入 AWS IAM 角色進行 BlueXP 分類的螢幕快照

  5. 按一下「啟用」。

提示 您也可以按一下「組態」頁面、針對工作環境啟用法規遵循掃描 三點 按鈕並選擇 * 啟動 BlueXP 分類 * 。
結果

BlueXP會將IAM角色指派給執行個體。

啟用和停用 S3 儲存區的法規遵循掃描

BlueXP 在 Amazon S3 上啟用 BlueXP 分類之後、下一步是設定您要掃描的儲存區。

當在AWS帳戶中執行的BlueXP具有您要掃描的S3儲存區時、它會探索這些儲存區、並在Amazon S3工作環境中顯示它們。

步驟
  1. 選取 Amazon S3 工作環境。

  2. 在右側的「服務」窗格中、按一下「*設定桶」。

    按一下「 Configure boose 」(設定儲存庫)以選擇您要掃描的 S3 儲存區的快照

  3. 在您的庫位上啟用純對應掃描、或是對應和分類掃描。

    選取您要掃描的 S3 儲存區的快照

    至: 請執行下列動作:

    在儲存區上啟用僅對應掃描

    按一下*地圖*

    啟用庫位的完整掃描

    按一下*地圖與分類*

    停用儲存區上的掃描

    按一下「

結果

BlueXP 分類會開始掃描您啟用的 S3 儲存區。如果有任何錯誤、它們會顯示在「 Status (狀態)」欄中、以及修正錯誤所需的動作。

從其他 AWS 帳戶掃描儲存區

您可以從該帳戶指派角色來存取現有的 BlueXP 分類執行個體、來掃描位於不同 AWS 帳戶下的 S3 儲存區。

步驟
  1. 前往您要掃描 S3 儲存區的目標 AWS 帳戶、然後選取 * 其他 AWS 帳戶 * 來建立 IAM 角色。

    用來建立IAM角色的AWS頁面快照。

    請務必執行下列動作:

    • 輸入 BlueXP 分類執行個體所在帳戶的 ID 。

    • 將 * 最大 CLI/API 工作階段持續時間 * 從 1 小時變更為 12 小時、並儲存變更。

    • 附加 BlueXP 分類 IAM 原則。請確定它擁有所需的權限。

      {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "s3:Get*",
                    "s3:List*",
                    "s3:PutObject"
                ],
                "Resource": "*"
            },
        ]
      }
  2. 移至 BlueXP 分類執行個體所在的來源 AWS 帳戶、然後選取附加至執行個體的 IAM 角色。

    1. 將 * 最大 CLI/API 工作階段持續時間 * 從 1 小時變更為 12 小時、並儲存變更。

    2. 按一下「 * 附加原則 * 」、然後按一下「 * 建立原則 * 」。

    3. 建立包含「STS:AssumeRole」動作的原則、並指定您在目標帳戶中所建立角色的ARN。

      {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": "sts:AssumeRole",
                  "Resource": "arn:aws:iam::<ADDITIONAL-ACCOUNT-ID>:role/<ADDITIONAL_ROLE_NAME>"
              },
              {
                  "Effect": "Allow",
                  "Action": [
                      "iam:GetPolicyVersion",
                      "iam:GetPolicy",
                      "iam:ListAttachedRolePolicies"
                  ],
                  "Resource": [
                      "arn:aws:iam::*:policy/*",
                      "arn:aws:iam::*:role/*"
                  ]
              }
          ]
      }

      BlueXP 分類執行個體設定檔帳戶現在可以存取額外的 AWS 帳戶。

  3. 移至「* Amazon S3 Configuration *」頁面、隨即顯示新的AWS帳戶。請注意、 BlueXP 分類可能需要幾分鐘的時間、才能同步新帳戶的工作環境並顯示此資訊。

    顯示如何啟動 BlueXP 分類的螢幕擷取畫面。

  4. 按一下 * 啟動 BlueXP 分類與選取庫位 * 、然後選取您要掃描的庫位。

結果

BlueXP 分類會開始掃描您啟用的新 S3 儲存區。