本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

Amazon S3的Cloud Data Sense入門

Cloud Data Sense可掃描您的Amazon S3儲存區、以識別位於S3物件儲存區中的個人和敏感資料。Cloud Data Sense可掃描帳戶中的任何儲存庫、無論該儲存庫是為NetApp解決方案所建立。

快速入門

請依照下列步驟快速入門、或向下捲動至其餘部分以取得完整詳細資料。

確保您的雲端環境符合Cloud Data Sense的要求、包括準備IAM角色、以及設定從Data Sense到S3的連線能力。 請參閱完整清單

"部署Cloud Data Sense" 如果尚未部署執行個體、

選取Amazon S3工作環境、按一下*「啟用」*、然後選取內含必要權限的IAM角色。

選取您要掃描的儲存區、Cloud Data Sense將開始掃描。

檢閱 S3 的必要條件

下列需求僅適用於掃描 S3 儲存區。

為Cloud Data Sense執行個體設定IAM角色

Cloud Data Sense需要權限才能連線至帳戶中的S3儲存區、並加以掃描。設定包含下列權限的 IAM 角色。在Amazon S3工作環境中啟用Data Sense時、Cloud Manager會提示您選擇IAM角色。

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "s3:Get*",
              "s3:List*",
              "s3:PutObject"
          ],
          "Resource": "*"
      },
      {
          "Effect": "Allow",
          "Action": [
              "iam:GetPolicyVersion",
              "iam:GetPolicy",
              "iam:ListAttachedRolePolicies"
          ],
          "Resource": [
              "arn:aws:iam::*:policy/*",
              "arn:aws:iam::*:role/*"
          ]
      }
  ]
}
提供從Cloud Data Sense到Amazon S3的連線能力

Cloud Data Sense需要連線至Amazon S3。提供此連線的最佳方法是透過 VPC 端點連線至 S3 服務。如需相關指示、請參閱 "AWS 文件:建立閘道端點"

建立VPC端點時、請務必選取對應至Cloud Data Sense執行個體的區域、VPC和路由表。您也必須修改安全性群組、以新增允許流量到 S3 端點的傳出 HTTPS 規則。否則、Data Sense無法連線至S3服務。

另一種方法是使用 NAT 閘道來提供連線。

附註 您無法使用 Proxy 透過網際網路連線至 S3 。

部署Cloud Data Sense執行個體

"在Cloud Manager中部署Cloud Data" 如果尚未部署執行個體、

您必須使用部署在AWS中的Connector來部署執行個體、以便Cloud Manager自動探索此AWS帳戶中的S3儲存區、並在Amazon S3工作環境中顯示它們。

*附註:*掃描S3儲存區時、目前不支援在內部部署位置部署Cloud Data Sense。

只要執行個體具備網際網路連線、就會自動升級至Data Sense軟體。

在S3工作環境中啟動Data Sense

驗證先決條件之後、請在Amazon S3上啟用Cloud Data Sense。

步驟
  1. 在 Cloud Manager 頂端、按一下 * Canvas* 。

  2. 選取 Amazon S3 工作環境。

    Amazon S3 工作環境圖示的快照

  3. 在右側的「Data檢測」窗格中、按一下「啟用」。

    從「服務」面板啟用Cloud Data Sense服務的快照

  4. 出現提示時、請將IAM角色指派給具有的Cloud Data Sense執行個體 必要的權限

    輸入AWS IAM角色for Cloud Data Sense的快照

  5. 按一下「啟用」。

提示 您也可以按一下「組態」頁面、針對工作環境啟用法規遵循掃描 按鈕並選擇*啟動Data檢測*。

Cloud Manager 會將 IAM 角色指派給執行個體。

啟用和停用 S3 儲存區的法規遵循掃描

Cloud Manager在Amazon S3上啟用Cloud Data Sense之後、下一步是設定您要掃描的儲存區。

當 Cloud Manager 在 AWS 帳戶中執行時、若該帳戶中有您要掃描的 S3 儲存區、則會探索這些儲存區、並在 Amazon S3 工作環境中顯示這些儲存區。

雲端資料感應也能實現 掃描位於不同 AWS 帳戶中的 S3 儲存區

步驟
  1. 選取 Amazon S3 工作環境。

  2. 在右側窗格中、按一下 * 設定鏟斗 * 。

    按一下「 Configure boose 」(設定儲存庫)以選擇您要掃描的 S3 儲存區的快照

  3. 在您的庫位上啟用純對應掃描、或是對應和分類掃描。

    選取您要掃描的 S3 儲存區的快照

    至: 請執行下列動作:

    在儲存區上啟用僅對應掃描

    按一下*地圖*

    啟用庫位的完整掃描

    按一下*地圖與分類*

    停用儲存區上的掃描

    按一下「

Cloud Data Sense會開始掃描您啟用的S3儲存區。如果有任何錯誤、它們會顯示在「 Status (狀態)」欄中、以及修正錯誤所需的動作。

從其他 AWS 帳戶掃描儲存區

您可以從該帳戶指派角色、以存取現有的Cloud Data Sense執行個體、來掃描位於不同AWS帳戶下的S3儲存區。

步驟
  1. 前往您要掃描 S3 儲存區的目標 AWS 帳戶、然後選取 * 其他 AWS 帳戶 * 來建立 IAM 角色。

    請務必執行下列動作:

    • 輸入Cloud Data Sense執行個體所在帳戶的ID。

    • 將 * 最大 CLI/API 工作階段持續時間 * 從 1 小時變更為 12 小時、並儲存變更。

    • 附加Cloud Data Sense IAM原則。請確定它擁有所需的權限。

      {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "s3:Get*",
                    "s3:List*",
                    "s3:PutObject"
                ],
                "Resource": "*"
            },
        ]
      }
  2. 前往Data Sense執行個體所在的來源AWS帳戶、然後選取附加至執行個體的IAM角色。

    1. 將 * 最大 CLI/API 工作階段持續時間 * 從 1 小時變更為 12 小時、並儲存變更。

    2. 按一下「 * 附加原則 * 」、然後按一下「 * 建立原則 * 」。

    3. 建立包含「STS:AssumeRole」動作的原則、並指定您在目標帳戶中所建立角色的ARN。

      {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": "sts:AssumeRole",
                  "Resource": "arn:aws:iam::<ADDITIONAL-ACCOUNT-ID>:role/<ADDITIONAL_ROLE_NAME>"
              },
              {
                  "Effect": "Allow",
                  "Action": [
                      "iam:GetPolicyVersion",
                      "iam:GetPolicy",
                      "iam:ListAttachedRolePolicies"
                  ],
                  "Resource": [
                      "arn:aws:iam::*:policy/*",
                      "arn:aws:iam::*:role/*"
                  ]
              }
          ]
      }

      Cloud Data Sense執行個體設定檔帳戶現在可存取額外的AWS帳戶。

  3. 移至「* Amazon S3 Configuration *」頁面、隨即顯示新的AWS帳戶。請注意、Cloud Data Sense可能需要幾分鐘的時間來同步處理新帳戶的工作環境、並顯示此資訊。

    顯示如何啟動Data Sense的快照。

  4. 按一下「*啟動Data Sense & Select bucket *」、然後選取您要掃描的儲存區。

Cloud Data Sense會開始掃描您啟用的新S3儲存區。