本繁體中文版使用機器翻譯，譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

Amazon S3的Cloud Data Sense入門

05/03/2022

Cloud Data Sense可掃描您的Amazon S3儲存區、以識別位於S3物件儲存區中的個人和敏感資料。Cloud Data Sense可掃描帳戶中的任何儲存庫、無論該儲存庫是為NetApp解決方案所建立。

快速入門

請依照下列步驟快速入門、或向下捲動至其餘部分以取得完整詳細資料。

確保您的雲端環境符合Cloud Data Sense的要求、包括準備IAM角色、以及設定從Data Sense到S3的連線能力。請參閱完整清單。

"部署Cloud Data Sense" 如果尚未部署執行個體、

選取Amazon S3工作環境、按一下*「啟用」*、然後選取內含必要權限的IAM角色。

選取您要掃描的儲存區、Cloud Data Sense將開始掃描。

檢閱 S3 的必要條件

下列需求僅適用於掃描 S3 儲存區。

為Cloud Data Sense執行個體設定IAM角色

Cloud Data Sense需要權限才能連線至帳戶中的S3儲存區、並加以掃描。設定包含下列權限的 IAM 角色。在Amazon S3工作環境中啟用Data Sense時、Cloud Manager會提示您選擇IAM角色。

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:PutObject"
          ],
          "Resource": "*"
      },
      {
          "Effect": "Allow",
          "Action": [
              "iam:GetPolicyVersion",
              "iam:GetPolicy",
              "iam:ListAttachedRolePolicies"
          ],
          "Resource": [
              "arn:aws:iam::*:policy/*",
              "arn:aws:iam::*:role/*"
          ]
      }
  ]
}

提供從Cloud Data Sense到Amazon S3的連線能力

Cloud Data Sense需要連線至Amazon S3。提供此連線的最佳方法是透過 VPC 端點連線至 S3 服務。如需相關指示、請參閱 "AWS 文件：建立閘道端點"。

建立VPC端點時、請務必選取對應至Cloud Data Sense執行個體的區域、VPC和路由表。您也必須修改安全性群組、以新增允許流量到 S3 端點的傳出 HTTPS 規則。否則、Data Sense無法連線至S3服務。

如果您遇到任何問題、請參閱 "AWS 支援知識中心：為什麼我無法使用閘道 VPC 端點連線至 S3 儲存區？"

另一種方法是使用 NAT 閘道來提供連線。

您無法使用 Proxy 透過網際網路連線至 S3 。

部署Cloud Data Sense執行個體

"在Cloud Manager中部署Cloud Data" 如果尚未部署執行個體、

您必須使用部署在AWS中的Connector來部署執行個體、以便Cloud Manager自動探索此AWS帳戶中的S3儲存區、並在Amazon S3工作環境中顯示它們。

*附註：*掃描S3儲存區時、目前不支援在內部部署位置部署Cloud Data Sense。

只要執行個體具備網際網路連線、就會自動升級至Data Sense軟體。

在S3工作環境中啟動Data Sense

驗證先決條件之後、請在Amazon S3上啟用Cloud Data Sense。

步驟

在 Cloud Manager 頂端、按一下 * Canvas* 。
選取 Amazon S3 工作環境。
在右側的「Data檢測」窗格中、按一下「啟用」。
出現提示時、請將IAM角色指派給具有的Cloud Data Sense執行個體必要的權限。
按一下「啟用」。

您也可以按一下「組態」頁面、針對工作環境啟用法規遵循掃描

按鈕並選擇*啟動Data檢測*。

Cloud Manager 會將 IAM 角色指派給執行個體。

啟用和停用 S3 儲存區的法規遵循掃描

Cloud Manager在Amazon S3上啟用Cloud Data Sense之後、下一步是設定您要掃描的儲存區。

當 Cloud Manager 在 AWS 帳戶中執行時、若該帳戶中有您要掃描的 S3 儲存區、則會探索這些儲存區、並在 Amazon S3 工作環境中顯示這些儲存區。

雲端資料感應也能實現掃描位於不同 AWS 帳戶中的 S3 儲存區。

步驟

選取 Amazon S3 工作環境。
在右側窗格中、按一下 * 設定鏟斗 * 。

在您的庫位上啟用純對應掃描、或是對應和分類掃描。

選取您要掃描的 S3 儲存區的快照

至：	請執行下列動作：
在儲存區上啟用僅對應掃描	按一下地圖
啟用庫位的完整掃描	按一下地圖與分類
停用儲存區上的掃描	按一下「關」

至：

請執行下列動作：

在儲存區上啟用僅對應掃描

按一下*地圖*

啟用庫位的完整掃描

按一下*地圖與分類*

停用儲存區上的掃描

按一下「關」

Cloud Data Sense會開始掃描您啟用的S3儲存區。如果有任何錯誤、它們會顯示在「 Status （狀態）」欄中、以及修正錯誤所需的動作。

從其他 AWS 帳戶掃描儲存區

您可以從該帳戶指派角色、以存取現有的Cloud Data Sense執行個體、來掃描位於不同AWS帳戶下的S3儲存區。

步驟

前往您要掃描 S3 儲存區的目標 AWS 帳戶、然後選取 * 其他 AWS 帳戶 * 來建立 IAM 角色。

請務必執行下列動作：
- 輸入Cloud Data Sense執行個體所在帳戶的ID。
- 將 * 最大 CLI/API 工作階段持續時間 * 從 1 小時變更為 12 小時、並儲存變更。
- 附加Cloud Data Sense IAM原則。請確定它擁有所需的權限。
  { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*", "s3:PutObject" ], "Resource": "*" }, ] }

前往Data Sense執行個體所在的來源AWS帳戶、然後選取附加至執行個體的IAM角色。

將 * 最大 CLI/API 工作階段持續時間 * 從 1 小時變更為 12 小時、並儲存變更。
按一下「 * 附加原則 * 」、然後按一下「 * 建立原則 * 」。

建立包含「STS:AssumeRole」動作的原則、並指定您在目標帳戶中所建立角色的ARN。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::<ADDITIONAL-ACCOUNT-ID>:role/<ADDITIONAL_ROLE_NAME>"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/*",
                "arn:aws:iam::*:role/*"
            ]
        }
    ]
}

Cloud Data Sense執行個體設定檔帳戶現在可存取額外的AWS帳戶。

移至「* Amazon S3 Configuration *」頁面、隨即顯示新的AWS帳戶。請注意、Cloud Data Sense可能需要幾分鐘的時間來同步處理新帳戶的工作環境、並顯示此資訊。
按一下「*啟動Data Sense & Select bucket *」、然後選取您要掃描的儲存區。

Cloud Data Sense會開始掃描您啟用的新S3儲存區。