Konfigurieren von Amazon S3 Inventory - Amazon Simple Storage Service
Einrichten von Amazon S3 InventoryZiel-Bucket-RichtlinieErteilen der Berechtigung an Amazon S3 zur Verwendung Ihres vom Kunden verwalteten Schlüssels für die VerschlüsselungKonfigurieren des Bestands mit der S3-KonsoleVerwenden von RESTAPI, um mit S3 Inventory zu arbeiten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren von Amazon S3 Inventory

Amazon S3 Inventory stellt eine Flat-File-Liste Ihrer Objekte und Metadaten nach einem von Ihnen definierten Zeitplan bereit. Sie können S3 Inventory als geplante Alternative zum synchronen Amazon S3 List API S3-Betrieb verwenden. S3 Inventory bietet kommagetrennte Werte (CSV), Apacheoptimierte zeilenförmige (ORC) oder Apache Parquet (Parquet)Ausgabedateien, die Ihre Objekte und die entsprechenden Metadaten auflisten.

Sie können S3 Inventory so konfigurieren, dass täglich oder wöchentlich Bestandslisten für einen S3-Bucket oder für Objekte mit gemeinsamem Präfix (Objekte, deren Namen mit derselben Zeichenfolge beginnen) erstellt werden. Weitere Informationen finden Sie unter Amazon S3 Inventory.

In diesem Abschnitt wird beschrieben, wie Sie einen Bestand, einschließlich Details über die Quell- und Ziel-Buckets des Bestands, einrichten.

Übersicht

Amazon S3 Inventory hilft Ihnen, Ihren Speicher zu verwalten, indem nach einem definierten Zeitplan Listen der Objekte in einem S3-Bucket erstellt werden. Sie können mehrere Bestandslisten für einen Bucket konfigurieren. Die Inventarlisten werden in CSVORC, oder Parquet Dateien in einem Ziel-Bucket veröffentlicht.

Der einfachste Weg, ein Inventar einzurichten, ist die Verwendung der Amazon S3-Konsole, aber Sie können auch Amazon S3 RESTAPI, AWS Command Line Interface (AWS CLI) oder verwenden AWS SDKs. Die Konsole führt den ersten Schritt des folgenden Verfahrens für Sie durch: Hinzufügen einer Bucket-Richtlinie zum Ziel-Bucket.

So richten Sie Amazon S3 Inventory für einen S3-Bucket ein

  1. Fügen Sie eine Bucket-Richtlinie für den Ziel-Bucket hinzu.

    Sie müssen eine Bucket-Richtlinie für den Ziel-Bucket erstellen, die Amazon S3 die Erlaubnis erteilt, Objekte in den Bucket am definierten Speicherort zu schreiben. Eine Beispielrichtlinie finden Sie unter Gewähren von Berechtigungen für S3 Inventory und S3 Analytics.

  2. Konfigurieren Sie eine Bestandsliste, um die Objekte in einem Quell-Bucket aufzulisten und die Liste in einem Ziel-Bucket zu veröffentlichen.

    Wenn Sie eine Bestandsliste für einen Quell-Bucket konfigurieren, geben Sie den Ziel-Bucket an, in dem die Liste gespeichert werden soll, und ob Sie möchten, dass die Liste täglich oder wöchentlich generiert werden soll. Sie können auch konfigurieren, ob alle Objektversionen oder nur aktuelle Versionen aufgeführt werden sollen und welche Objektmetadaten aufgenommen werden sollen.

    Einige Objektmetadatenfelder in Konfigurationen für S3-Inventarberichte sind optional, d. h. sie sind standardmäßig verfügbar, können aber eingeschränkt werden, wenn Sie einem Benutzer die s3:PutInventoryConfiguration entsprechende Berechtigung erteilen. Mithilfe des s3:InventoryAccessibleOptionalFields Bedingungsschlüssels können Sie steuern, ob Benutzer diese optionalen Metadatenfelder in ihre Berichte aufnehmen können.

    Weitere Informationen zu den optionalen Metadatenfeldern, die in S3 Inventory verfügbar sind, finden Sie OptionalFieldsin der Amazon Simple Storage Service API Reference. Weitere Informationen zur Beschränkung des Zugriffs auf bestimmte optionale Metadatenfelder in einer Inventarkonfiguration finden Sie unterSteuern Sie die Erstellung der Konfiguration des S3-Inventarberichts.

    Sie können angeben, dass die Inventarlistendatei verschlüsselt werden soll, indem Sie serverseitige Verschlüsselung mit einem von Amazon S3 verwalteten Schlüssel (SSE-S3) oder einem AWS Key Management Service (AWS KMS) vom Kunden verwalteten Schlüssel (SSE-KMS) verwenden.

    Anmerkung

    Von AWS verwalteter Schlüssel (aws/s3) wird für die KMS Verschlüsselung mit S3 SSE Inventory nicht unterstützt.

    Weitere Hinweise zu SSE -S3 und SSE - finden Sie KMS unterSchützen von Daten mit serverseitiger Verschlüsselung. Wenn Sie beabsichtigen, die SSE KMS -Verschlüsselung zu verwenden, finden Sie weitere Informationen unter Schritt 3.

  3. Um die Inventarlistendatei mit SSE - zu verschlüsselnKMS, gewähren Sie Amazon S3 die Erlaubnis, den AWS KMS key zu verwenden.

    Sie können die Verschlüsselung für die Inventarlistendatei mithilfe der Amazon S3-Konsole, Amazon S3 REST API AWS CLI, oder konfigurieren AWS SDKs. Unabhängig davon, welche Möglichkeit Sie wählen: Sie müssen Amazon S3 die Berechtigung gewähren, den vom Kunden verwalteten Schlüssel zum Verschlüsseln der Bestandsdatei zu verwenden. Sie erteilen Amazon S3 die Berechtigung, indem Sie die Schlüsselrichtlinie für den kundenverwalteten Schlüssel ändern, den Sie zur Verschlüsselung der Bestandsdatei verwenden möchten. Weitere Informationen finden Sie unter Erteilen der Berechtigung an Amazon S3 zur Verwendung Ihres vom Kunden verwalteten Schlüssels für die Verschlüsselung.

    Der Ziel-Bucket, in dem die Bestandslistendatei gespeichert wird, kann zu einem anderen AWS-Konto  als zu dem Konto gehören, zu dem der Quell-Bucket gehört. Wenn Sie SSE — KMS Verschlüsselung für den kontoübergreifenden Betrieb von Amazon S3 S3-Inventory verwenden, empfehlen wir Ihnen, ARN bei der Konfiguration des S3-Inventars einen vollqualifizierten KMS Schlüssel zu verwenden. Weitere Informationen finden Sie unter Verwendung von SSE — KMS Verschlüsselung für kontoübergreifende Operationen und ServerSideEncryptionByDefaultin der Amazon Simple Storage Service API Reference.

Erstellen einer Ziel-Bucket-Richtlinie

Wenn Sie Ihre Bestandskonfiguration über die S3-Konsole erstellen, erstellt Amazon S3 automatisch eine Bucket-Richtlinie für den Ziel-Bucket, die ihm Amazon-S3-Schreibberechtigung gewährt. Wenn Sie Ihre Inventarkonfiguration jedoch über AWS CLI, oder Amazon S3 REST API erstellen AWS SDKs, müssen Sie dem Ziel-Bucket manuell eine Bucket-Richtlinie hinzufügen. Weitere Informationen finden Sie unter Gewähren von Berechtigungen für S3 Inventory und S3 Analytics. Die Richtlinie für S3-Inventar-Ziel-Buckets ermöglicht es Amazon S3, Daten für die Inventarberichte in den Bucket zu schreiben.

Wenn beim Erstellen der Bucket-Richtlinie ein Problem auftritt, erhalten Sie Anweisungen zur Fehlerbehebung. Wenn Sie beispielsweise einen Ziel-Bucket in einem anderen auswählen AWS-Konto und keine Lese- und Schreibberechtigungen für die Bucket-Richtlinie haben, wird Ihnen eine Fehlermeldung angezeigt.

In diesem Fall muss der Besitzer des Ziel-Buckets die Bucket-Richtlinie zum Ziel-Bucket hinzufügen. Wird die Richtlinie dem Ziel-Bucket nicht hinzugefügt, erhalten Sie keinen Bestandsbericht, da Amazon S3 nicht über die Berechtigung verfügt, in den Ziel-Bucket zu schreiben. Wenn der Quell-Bucket nicht dem Konto des aktuellen Benutzers gehört, muss die richtige Konto-ID des Quell-Bucket-Eigentümers in der Richtlinie ersetzt werden.

Erteilen der Berechtigung an Amazon S3 zur Verwendung Ihres vom Kunden verwalteten Schlüssels für die Verschlüsselung

Um Amazon S3 die Erlaubnis zu erteilen, Ihren AWS Key Management Service (AWS KMS) vom Kunden verwalteten Schlüssel für die serverseitige Verschlüsselung zu verwenden, müssen Sie eine Schlüsselrichtlinie verwenden. Gehen Sie wie folgt vor, um Ihre Schlüsselrichtlinie zu aktualisieren, damit Sie einen vom Kunden verwalteten Schlüssel verwenden können.

Um Amazon S3 Berechtigungen zur Verschlüsselung mithilfe Ihres vom Kunden verwalteten Schlüssels zu gewähren

  1. Melden Sie AWS-Konto sich mit dem Schlüssel, der dem Kunden gehört, bei der AWS Management Console an.

  2. Öffnen Sie die AWS KMS Konsole unter https://console.aws.amazon.com/kms.

  3. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  4. Klicken Sie im linken Navigationsbereich auf Customer managed keys (Vom Kunden verwaltete Schlüssel).

  5. Wählen Sie unter Kundenverwaltete Schlüssel den vom Kunden verwalteten Schlüssel aus, den Sie zum Verschlüsseln der Bestandsdateien verwenden möchten.

  6. Wählen Sie im Abschnitt Key policy (Schlüsselrichtlinie) die Option Switch to policy view (Zur Richtlinienansicht wechseln) aus.

  7. Um die Schlüsselrichtlinie zu aktualisieren, wählen Sie Edit (Bearbeiten).

  8. Fügen Sie auf der Seite Schlüsselrichtlinie bearbeiten die folgenden Zeilen zu der vorhandenen Schlüsselrichtlinie hinzu. Geben Sie für source-account-id und amzn-s3-demo-source-bucket die entsprechenden Werte für Ihren Anwendungsfall an.

    {
    "Sid": "Allow Amazon S3 use of the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "s3.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition":{
      "StringEquals":{
         "aws:SourceAccount":"source-account-id"
     },
      "ArnLike":{
        "aws:SourceARN": "arn:aws:s3:::amzn-s3-demo-source-bucket"
     }
   }
}

  9. Wählen Sie Änderungen speichern aus.

Weitere Informationen zum Erstellen von kundenverwalteten Schlüsseln in und zum Verwenden von Schlüsselrichtlinien finden Sie unter den folgenden Links im AWS Key Management Service Benutzerhandbuch:

Konfigurieren des Bestands mit der S3-Konsole

Verwenden Sie diese Anweisungen, um den Bestand mit der S3-Konsole zu konfigurieren.

Anmerkung

Es könnte bis zu 48 Stunden dauern, bis Amazon S3 den ersten Inventarbericht bereitstellt.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im linken Navigationsbereich Buckets aus. Wählen Sie in der Liste Bucket den Namen des Buckets aus, für den Sie Amazon S3 Inventory konfigurieren wollen.

  3. Wählen Sie den Tab Management.

  4. Wählen Sie unter Inventory configurations (Bestands-Konfigurationen) die Option Create inventory configuration (Bestands-Konfiguration erstellen).

  5. Geben Sie unter Name der Bestandskonfiguration einen Namen ein.

  6. Gehen Sie für Umfang für den Bestand wie folgt vor:

    • Geben Sie ein optionales Präfix ein.

    • Wählen Sie aus, welche Objektversionen eingeschlossen werden sollen: Nur aktuelle Versionen oder Alle Versionen einschließen.

  7. Wählen Sie unter Berichtsdetails den Speicherort des AWS-Konto aus, in dem Sie die Berichte speichern möchten: Dieses Konto oder ein anderes Konto.

  8. Wählen Sie unter Destination (Ziel) den Ziel-Bucket aus, in dem die Bestandsberichte gespeichert werden sollen.

    Der Ziel-Bucket muss sich im selben Bucket befinden AWS-Region wie der Bucket, für den Sie das Inventar einrichten. Der Ziel-Bucket kann sich in einem anderem AWS-Konto befinden. Beim Festlegen des Ziel-Buckets können Sie auch ein optionales Präfix angeben, um Ihre Bestandsberichte zu gruppieren.

    Unter dem Bucket-Feld Destination (Ziel) sehen Sie die Anweisung Ziel-Bucket-Berechtigung, die der Ziel-Bucket-Richtlinie hinzugefügt wird, damit Amazon S3 Daten in diesen Bucket platzieren kann. Weitere Informationen finden Sie unter Erstellen einer Ziel-Bucket-Richtlinie.

  9. Wählen Sie unter Häufigkeit aus, wie oft der Bericht erstellt wird: Täglich oder Wöchentlich.

  10. Wählen Sie als Ausgabeformat eines der folgenden Formate für den Bericht aus:

    • CSV— Wenn Sie diesen Inventarbericht mit S3 Batch Operations verwenden möchten oder wenn Sie diesen Bericht in einem anderen Tool wie Microsoft Excel analysieren möchten, wählen Sie CSV.

    • Apache ORC

    • Apache Parquet

  11. Wählen Sie unter Status die Option Enable (Aktivieren) oder Disable (Deaktivieren) aus.

  12. Führen Sie unter Verschlüsselung des Bestandsberichts die folgenden Schritte aus, um die serverseitige Verschlüsselung zu konfigurieren:

    1. Wählen Sie unter Serverseitige Verschlüsselung entweder Keinen Verschlüsselungsschlüssel angeben oder Einen Verschlüsselungsschlüssel zum Verschlüsseln von Daten angeben aus.

      • Um die Bucket-Einstellungen für die serverseitige Standardverschlüsselung von Objekten beizubehalten, wenn sie in Amazon S3 gespeichert werden, wählen Sie Keinen Verschlüsselungsschlüssel angeben aus. Solange S3-Bucket-Schlüssel für den Ziel-Bucket aktiviert sind, wendet der Kopiervorgang S3-Bucket-Schlüssel auf den Ziel-Bucket an.

        Anmerkung

        Wenn die Bucket-Richtlinie für das angegebene Ziel vorschreibt, dass Objekte verschlüsselt werden müssen, bevor sie in Amazon S3 gespeichert werden, müssen Sie „Verschlüsselungsschlüssel angeben“ wählen. Andernfalls schlägt das Kopieren von Objekten in das Ziel fehl.

      • Um Objekte zu verschlüsseln, bevor sie in Amazon S3 gespeichert werden, wählen Sie Verschlüsselungsschlüssel angeben aus.

    2. Wenn Sie unter Verschlüsselungstyp die Option Verschlüsselungsschlüssel angeben ausgewählt haben, müssen Sie entweder den von Amazon S3 verwalteten Schlüssel (SSE-S3) oder den AWS Key Management Service Schlüssel (SSE-KMS) auswählen.

      SSE-S3 verwendet eine der stärksten Blockchiffren — den 256-Bit-Advanced Encryption Standard (-256), um jedes Objekt zu verschlüsseln. AES SSE- bietet Ihnen mehr Kontrolle KMS über Ihren Schlüssel. Weitere Hinweise zu SSE -S3 finden Sie unterServerseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln verwenden (SSE-S3). Weitere Hinweise zu SSE - finden Sie KMS unterServerseitige Verschlüsselung mit AWS KMS Schlüsseln verwenden (SSE-) KMS.

      Anmerkung

      Um die Inventarlistendatei mit SSE - zu verschlüsselnKMS, müssen Sie Amazon S3 die Erlaubnis erteilen, den vom Kunden verwalteten Schlüssel zu verwenden. Eine Anleitung finden Sie unter Amazon S3 Permission to Encrypt Using Your KMS Keys gewähren.

    3. Wenn Sie unter AWS Key Management Service Schlüssel (SSE-KMS) ausgewählt haben AWS KMS key, können Sie Ihren AWS KMS Schlüssel über eine der folgenden Optionen angeben.

      Anmerkung

      Wenn der Ziel-Bucket, in dem die Inventarlistendatei gespeichert ist, einem anderen gehört AWS-Konto, stellen Sie sicher, dass Sie einen vollqualifizierten KMS Schlüssel verwendenARN, um Ihren KMS Schlüssel anzugeben.

      • Um aus einer Liste verfügbarer KMS Schlüssel auszuwählen, wählen Sie Aus Ihren AWS KMS Schlüsseln auswählen und wählen Sie einen symmetrischen KMS Verschlüsselungsschlüssel aus der Liste der verfügbaren Schlüssel aus. Stellen Sie sicher, dass sich der KMS Schlüssel in derselben Region wie Ihr Bucket befindet.

        Anmerkung

        Sowohl der Von AWS verwalteter Schlüssel (aws/s3) als auch Ihr vom Kunden verwalteter Schlüssel werden in der Liste angezeigt. Von AWS verwalteter Schlüssel (aws/s3) wird jedoch nicht für die KMS Verschlüsselung SSE mit S3 Inventory unterstützt.

      • Um den KMS Schlüssel einzugebenARN, wählen Sie AWS KMS Schlüssel ARN eingeben und geben Sie Ihren KMS Schlüssel ARN in das angezeigte Feld ein.

      • Um einen neuen, vom Kunden verwalteten Schlüssel in der AWS KMS Konsole zu erstellen, wählen Sie KMS Schlüssel erstellen.

  13. Wählen Sie für Zusätzliche Metadatenfelder eine oder mehrere der folgenden Optionen für das Hinzufügen zum Bestandsbericht aus:

    • Größe – Die Objektgröße in Byte, ohne die Größe von unvollständigen mehrteiligen Uploads, Objektmetadaten und Löschmarkierungen.

    • Last modified date (Letztes Änderungsdatum) – Datum der Erstellung oder der letzten Änderung des Objekts, je nachdem, welches neuer ist.

    • Multipart upload (Mehrteiliger Upload) – Gibt an, dass das Objekt als mehrteiliger Upload hochgeladen wurde. Weitere Informationen finden Sie unter Hochladen und Kopieren von Objekten mit mehrteiligen Uploads.

    • Replication status (Replikationsstatus) – Der Replikationsstatus des Objekts. Weitere Informationen finden Sie unter Abrufen von Replikationsstatusinformationen.

    • Encryption status (Verschlüsselungsstatus) – Der serverseitige Verschlüsselungstyp, der für die Verschlüsselung des Objekts verwendet wird. Weitere Informationen finden Sie unter Schützen von Daten mit serverseitiger Verschlüsselung.

    • Bucket-Key-Status — Gibt an, ob ein von generierter Schlüssel auf Bucket-Ebene für das Objekt AWS KMS gilt. Weitere Informationen finden Sie unter Senkung der Kosten von SSE — KMS mit Amazon S3 Bucket Keys.

    • Objektzugriffskontrollliste — Eine Zugriffskontrollliste (ACL) für jedes Objekt, die definiert, welchen AWS-Konten oder welchen Gruppen Zugriff auf dieses Objekt gewährt wird und welche Art von Zugriff gewährt wird. Weitere Hinweise zu diesem Feld finden Sie unter Arbeiten mit dem Feld „Objekt-ACL“. Mehr über ACLs erfahren Sie unter Übersicht über die Zugriffskontrollliste (ACL).

    • Object owner (Besitzer des Objekts) – Der Besitzer des Objekts.

    • Storage class (Speicherklasse) – Die für die Speicherung des Objekts verwendete Speicherklasse.

    • Intelligent-Tiering: Access tier (Zugriffsebene) – Zugriffsebene (häufig oder selten) des Objekts, wenn es im S3-Intelligent-Tiering-Speicher gespeichert wurde. Weitere Informationen finden Sie unter Speicherklasse zur automatischen Optimierung von Daten mit sich ändernden oder unbekannten Zugriffsmustern.

    • ETag— Das Entity-Tag (ETag) ist ein Hash des Objekts. Das ETag spiegelt nur Änderungen am Inhalt eines Objekts wider, nicht an seinen Metadaten. Dies ETag kann eine MD5 Zusammenfassung der Objektdaten sein oder auch nicht. Dies hängt davon ab, wie das Objekt erstellt und verschlüsselt wurde. Weitere Informationen finden Sie Objectin der Amazon Simple Storage Service API Reference.

    • Prüfsummen-Algorithmus – Gibt den Algorithmus an, mit dem die Prüfsumme für das Objekt erstellt wurde.

    • All Object lock configurations (Alle Objektsperre-Konfigurationen) – Der Objektsperrenstatus des Objekts, einschließlich der folgenden Einstellungen:

      • Object Lock: Retention mode (Aufbewahrungsmodus der Objektsperre) – Die auf das Objekt angewendete Schutzebene, entweder Governance oder Compliance.

      • Object Lock: Retain until date (Beibehaltungsfrist für Objektsperre) – Das Datum, bis zu dem das gesperrte Objekt nicht gelöscht werden kann.

      • Object Lock: Legal hold status (Status der gesetzlichen Sperrfrist des Objekts) – Der Status der gesetzlichen Sperrfrist des gesperrten Objekts.

      Weitere Informationen zur S3-Objektsperre finden Sie unter So funktioniert die S3-Objektsperre.

    Weitere Informationen zum Inhalt eines Bestandsberichts finden Sie unter Amazon-S3-Inventory-Liste.

    Weitere Informationen zur Beschränkung des Zugriffs auf bestimmte optionale Metadatenfelder in einer Inventarkonfiguration finden Sie unterSteuern Sie die Erstellung der Konfiguration des S3-Inventarberichts.

  14. Wählen Sie Erstellen.

Verwenden von RESTAPI, um mit S3 Inventory zu arbeiten

Die folgenden REST Operationen können Sie verwenden, um mit Amazon S3 Inventory zu arbeiten.