Verwenden von S3 Storage Lens zum Schutz Ihrer Daten - Amazon Simple Storage Service
Identifizieren von Buckets, die für die Standardverschlüsselung nicht SSM-KMS verwendenIdentifizieren von Buckets, für die S3 Versioning aktiviert istIdentifizieren von Anforderungen, die AWS Signature Version 2 (SigV2) verwendenZählen der Gesamtzahl der Replikationsregeln für jeden BucketIdentifizieren des Prozentsatz der Bytes mit Objektsperre

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von S3 Storage Lens zum Schutz Ihrer Daten

Sie können die Datenschutzmetriken von Amazon S3 Storage Lens verwenden, um Buckets zu identifizieren, in denen die bewährten Datenschutzmethoden nicht angewendet wurden. Sie können diese Metriken verwenden, um Maßnahmen zu ergreifen und Standardeinstellungen anzuwenden, die den bewährten Methoden zum Schutz Ihrer Daten in allen Buckets Ihres Kontos oder Ihrer Organisation entsprechen. Sie können beispielsweise Datenschutzmetriken verwenden, um Buckets, die keine AWS Key Management Service (AWS KMS)-Schlüssel (SSE-KMS) für die Standardverschlüsselung verwenden, oder Anforderungen, die AWS Signature Version 2 (SigV2) verwenden, zu identifizieren.

Die folgenden Anwendungsfälle bieten Strategien zur Verwendung Ihres S3-Storage-Lens-Dashboards, um Ausreißer zu ermitteln und bewährte Datenschutzmethoden auf Ihre S3-Buckets anzuwenden.

Identifizieren von Buckets, die keine serverseitige Verschlüsselung mit AWS KMS für die Standardverschlüsselung (SSE-KMS) verwenden

Mit der Amazon-S3-Standardverschlüsselung können Sie das Verhalten der Standardverschlüsselung für einen S3-Bucket festlegen. Weitere Informationen finden Sie unter Einstellen des Verhaltens der serverseitigen Verschlüsselung für Amazon S3-Buckets.

Sie können die Metriken SSE-KMS enabled bucket count (SSE-KMS-fähige Bucket-Anzahl) und % SSE-KMS enabled buckets (% SSE-KMS-fähige Buckets) verwenden, um Buckets zu identifizieren, die serverseitige Verschlüsselung mit AWS KMS-Schlüsseln (SSE-KMS) als Standardverschlüsselung verwenden. S3 Storage Lens bietet auch Metriken für unverschlüsselte Bytes, unverschlüsselte Objekte, verschlüsselte Bytes und verschlüsselte Objekte. Eine vollständige Liste der Metriken finden Sie unter Amazon S3-Storage-Lens-Metrikglossar.

Sie können SSE-KMS-Verschlüsselungsmetriken im Kontext allgemeiner Verschlüsselungsmetriken analysieren, um Buckets zu identifizieren, die SSE-KMS nicht verwenden. Wenn Sie SSE-KMS für alle Buckets in Ihrem Konto oder Ihrer Organisation verwenden möchten, können Sie die Standardverschlüsselungseinstellungen für diese Buckets aktualisieren, um SSE-KMS zu verwenden. Zusätzlich zu SSE-KMS können Sie auch die serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) oder vom Kunden bereitgestellten Schlüsseln (SSE-C) verwenden. Weitere Informationen finden Sie unter Datenschutz durch Verschlüsselung.

Schritt 1: Identifizieren, welche Buckets SSE-KMS für die Standardverschlüsselung verwenden

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im linken Navigationsbereich Storage Lens und dann Dashboards aus.

  3. Wählen Sie in der Liste Dashboards den Namen des Dashboards aus, das Sie anzeigen möchten.

  4. Wählen Sie im Abschnitt Trends and distributions (Trends und Verteilungen) die % SSE-KMS enabled bucket count (% der Anzahl der SSE-KMS-fähigen Buckets) als primäre Metrik und % encrypted bytes (% verschlüsselte Bytes) als sekundäre Metrik aus.

    Das Diagramm Trend for date (Trend für Datum) wird aktualisiert und zeigt Trends für SSE-KMS und verschlüsselte Bytes an.

  5. So zeigen Sie detailliertere Einblicke auf Bucket-Ebene für SSE-KMS an:

    1. Wählen Sie einen Punkt im Diagramm aus. Es erscheint ein Feld mit Auswahlmöglichkeiten für detailliertere Einblicke.

    2. Wählen Sie die Dimension Buckets aus. Wählen Sie dann Apply (Anwenden).

  6. Wählen Sie im Diagramm Distribution by buckets for date (Verteilung nach Buckets für Datum) die Metrik SSE-KMS enabled bucket count (SSE-KMS-fähige Bucket-Anzahl) aus.

  7. Sie können jetzt sehen, für welche Buckets SSE-KMS aktiviert ist und für welche nicht.

Schritt 2: Aktualisieren der Standardverschlüsselungseinstellungen für den Bucket

Nachdem Sie nun im Kontext Ihrer Metrik % encrypted bytes (% verschlüsselte Bytes) ermittelt haben, welche Buckets SSE-KMS verwenden, können Sie Buckets identifizieren, die SSE-KMS nicht verwenden. Sie können dann optional in der S3-Konsole zu diesen Buckets navigieren und deren Standardverschlüsselungseinstellungen aktualisieren, um SSE-KMS oder SSE-S3 zu verwenden. Weitere Informationen finden Sie unter Konfigurieren der Standardverschlüsselung.

Identifizieren von Buckets, für die S3 Versioning aktiviert ist

Wenn die S3-Versioningfunktion aktiviert ist, behält sie mehrere Versionen desselben Objekts bei, die zur schnellen Wiederherstellung von Daten verwendet werden können, wenn ein Objekt versehentlich gelöscht oder überschrieben wird. Sie können die Metrik Versioning-enabled bucket count (Bucket-Anzahl mit aktiviertem Versioning) verwenden, um zu sehen, welche Buckets S3 Versioning verwenden. Anschließend können Sie in der S3-Konsole Maßnahmen ergreifen, um S3 Versioning für andere Buckets zu aktivieren.

Schritt 1: Identifizieren von Buckets, für die S3 Versioning aktiviert ist

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Gehen Sie im Navigationsbereich auf Storage Lens und dann auf Dashboards.

  3. Wählen Sie in der Liste Dashboards den Namen des Dashboards aus, das Sie anzeigen möchten.

  4. Wählen Sie im Abschnitt Trends and distributions (Trends und Verteilungen) die Metrik Versioning-enabled bucket count (Bucket-Anzahl mit aktiviertem Versioning) als primäre Metrik und Buckets als sekundäre Metrik aus.

    Das Diagramm Trend for date (Trend für Datum) wird aktualisiert, um Trends für Buckets mit aktiviertem S3 Versioning anzuzeigen. Direkt unter der Trendlinie sehen Sie die Unterabschnitte Storage class distribution (Speicherklassenverteilung) und Region distribution (Regionale Verteilung).

  5. Gehen Sie wie folgt vor, um detailliertere Einblicke für einen der Buckets im Diagramm Trend for date (Trend für Datum) zu sehen und eine eingehendere Analyse durchführen zu können:

    1. Wählen Sie einen Punkt im Diagramm aus. Es erscheint ein Feld mit Auswahlmöglichkeiten für detailliertere Einblicke.

    2. Wählen Sie eine Dimension aus, die Sie für eine eingehendere Analyse auf Ihre Daten anwenden möchten: Account (Konto), AWS-Region, Storage class (Speicherklasse) oder Bucket. Wählen Sie dann Apply (Anwenden).

  6. Wählen Sie im Bubble analysis by buckets for date (Blasenanalyse nach Buckets für Datum) die Metriken Versioning-enabled bucket count (Bucket-Anzahl mit aktiviertem Versioning), Buckets und Active Buckets (Aktive Buckets) aus.

    Der Abschnitt Bubble analysis by buckets for date (Blasenanalyse nach Buckets für Datum) wird aktualisiert und zeigt nun Daten für die ausgewählten Metriken an. Sie können diese Daten verwenden, um zu sehen, für welche Buckets S3 Versioning im Kontext Ihrer gesamten Bucket-Anzahl aktiviert ist. Im Abschnitt Bubble analysis by buckets for date (Blasenanalyse nach Buckets für Datum) können Sie Ihre Buckets in mehreren Dimensionen darstellen, indem Sie drei beliebige Metriken verwenden, um die X-axis (x-Achse), Y-axis (y-Achse) und die Size (Größe) der Blase darzustellen.

Schritt 2: Aktivieren von S3 Versioning

Nachdem Sie Buckets identifiziert haben, für die S3 Versioning aktiviert ist, können Sie Buckets identifizieren, für die S3 Versioning noch nie aktiviert war oder deren Versionsverwaltung ausgesetzt ist. Anschließend können Sie die Versionsverwaltung für diese Buckets in der S3-Konsole optional aktivieren. Weitere Informationen finden Sie unter Aktivieren des Versioning für Buckets.

Identifizieren von Anforderungen, die AWS Signature Version 2 (SigV2) verwenden

Sie können die Metrik All unsupported signature requests (Alle nicht unterstützten Signaturanforderungen) verwenden, um Anfragen zu identifizieren, die AWS Signature Version 2 (SigV2) verwenden. Diese Daten können Ihnen helfen, bestimmte Anwendungen zu identifizieren, die SigV2 verwenden. Sie können diese Anwendungen dann zu AWS Signature Version 4 (SigV4) migrieren.

SigV4 ist die empfohlene Signaturmethode für alle neuen S3-Anwendungen. SigV4 bietet eine verbesserte Sicherheit und wird in allen AWS-Regionen unterstützt. Weitere Informationen finden Sie unter Amazon S3 Update – SigV2 Deprecation Period Extended and Modified.

Voraussetzung

Zum Anzeigen von All unsupported signature requests (Alle nicht unterstützten Signaturanforderungen) in Ihrem S3-Storage-Lens-Dashboard müssen Sie die Option Advanced metrics and recommendations (Erweiterte Metriken und Empfehlungen) von S3 Storage Lens aktivieren und dann Advanced data protection metrics (Erweiterte Datensicherheitsmetriken) auswählen. Weitere Informationen finden Sie unter Erstellen und Aktualisieren von Amazon S3-Storage-Lens-Dashboards.

Schritt 1: Untersuchen der SigV2-Signaturtrends nach AWS-Konto, Region und Bucket

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im linken Navigationsbereich Storage Lens und dann Dashboards aus.

  3. Wählen Sie in der Liste Dashboards den Namen des Dashboards aus, das Sie anzeigen möchten.

  4. So identifizieren Sie bestimmte Buckets, Konten und Regionen mit Anforderungen, die SigV2 verwenden:

    1. Geben Sie unter Top N overview for date (Top-N-Übersicht für Datum) im Feld Top N die Anzahl der Buckets ein, deren Daten Sie sehen möchten.

    2. Wählen Sie für Metric (Metrik) die Option All unsupported signature requests (Alle nicht unterstützten Signaturanforderungen) in der Kategorie Data protection (Datenschutz) aus.

      Die Ansicht Top N overview for date (Top-N-Übersicht für Datum) wird mit den Daten für SigV2-Anforderungen nach Konto, AWS-Region und Bucket aktualisiert. Der Abschnitt Top N overview for date (Top-N-Übersicht für Datum) zeigt auch die prozentuale Veränderung gegenüber dem Vortag oder der Vorwoche sowie eine Sparkline zur Veranschaulichung des Trends an. Dieser Trend ist ein 14-Tage-Trend für kostenlose Metriken und ein 30-Tage-Trend für erweiterte Metriken und Empfehlungen.

      Anmerkung

      Mit den erweiterten Metriken und Empfehlungen von S3 Storage Lens stehen Metriken 15 Monate für Abfragen zur Verfügung. Weitere Informationen finden Sie unter Metrikauswahl.

Schritt 2: Identifizieren von Buckets, auf die Anwendungen über SigV2-Anforderungen zugreifen

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im linken Navigationsbereich Storage Lens und dann Dashboards aus.

  3. Wählen Sie in der Liste Dashboards den Namen des Dashboards aus, das Sie anzeigen möchten.

  4. Wählen Sie in Ihrem Storage-Lens-Dashboard die Registerkarte Bucket aus.

  5. Scrollen Sie nach unten zum Abschnitt Buckets. Wählen Sie unter Metrics categories (Metrikkategorien) die Option Data protection (Datenschutz) aus. Löschen Sie dann Summary (Zusammenfassung).

    Die Liste Buckets wird aktualisiert und enthält alle verfügbaren Metriken für Data protection (Datenschutz) für die angezeigten Buckets.

  6. Wenn Sie die Liste Buckets so filtern möchten, dass nur bestimmte Datenschutzmetriken angezeigt werden, wählen Sie das Präferenzensymbol ( A screenshot that shows the preferences icon in the S3 Storage Lens dashboard. ) aus.

  7. Deaktivieren Sie die Schalter für alle Datenschutzmetriken, bis nur noch die folgenden Metriken ausgewählt sind:

    • All unsupported signature requests (Alle nicht unterstützten Signaturanforderungen)

    • % all unsupported signature requests (% aller nicht unterstützten Signaturanforderungen)

  8. (Optional) Wählen Sie unter Page size (Seitengröße) die Anzahl der Buckets aus, die in der Liste angezeigt werden sollen.

  9. Wählen Sie Bestätigen aus.

    Die Liste Buckets wird aktualisiert, um Metriken auf Bucket-Ebene für SigV2-Anforderungen anzuzeigen. Sie können diese Daten verwenden, um bestimmte Buckets zu identifizieren, die SigV2-Anforderungen haben. Anschließend können Sie diese Informationen verwenden, um Ihre Anwendungen zu SigV4 zu migrieren. Weitere Informationen finden Sie unter Authenticating Requests (Authentifizierung von Anforderungn) (AWS Signature Version 4) in der API-Referenz für Amazon Simple Storage Service.

Zählen der Gesamtzahl der Replikationsregeln für jeden Bucket

S3 Replication ermöglicht das automatische, asynchrone Kopieren von Objekten in Amazon-S3-Buckets. Buckets, die für die Objektreplikation konfiguriert sind, können sich im Besitz desselben AWS-Konto oder unterschiedlicher Konten befinden. Weitere Informationen finden Sie unter Überblick über das Replizieren von Objekten.

Sie können die Metriken zur Anzahl der Replikationsregeln von S3 Storage Lens verwenden, um detaillierte Informationen pro Bucket zu Ihren Buckets zu erhalten, die für die Replikation konfiguriert sind. Zu diesen Informationen gehören Replikationsregeln innerhalb von Buckets und Regionen sowie Bucket- und regionsübergreifende Replikationsregeln.

Voraussetzung

Zum Anzeigen von Metriken zur Anzahl der Replikationsregeln in Ihrem S3-Storage-Lens-Dashboard müssen Sie die Option Advanced metrics and recommendations (Erweiterte Metriken und Empfehlungen) von S3 Storage Lens aktivieren und dann Advanced data protection metrics (Erweiterte Datensicherheitsmetriken) auswählen. Weitere Informationen finden Sie unter Erstellen und Aktualisieren von Amazon S3-Storage-Lens-Dashboards.

Schritt 1: Zählen der Gesamtzahl der Replikationsregeln für jeden Bucket

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im linken Navigationsbereich Storage Lens und dann Dashboards aus.

  3. Wählen Sie in der Liste Dashboards den Namen des Dashboards aus, das Sie anzeigen möchten.

  4. Wählen Sie in Ihrem Storage-Lens-Dashboard die Registerkarte Bucket aus.

  5. Scrollen Sie nach unten zum Abschnitt Buckets. Wählen Sie unter Metrics categories (Metrikkategorien) die Option Data protection (Datenschutz) aus. Löschen Sie dann Summary (Zusammenfassung).

  6. Wenn Sie die Liste Buckets so filtern möchten, dass nur Metriken zur Anzahl der Replikationsregeln angezeigt werden, wählen Sie das Präferenzensymbol ( A screenshot that shows the preferences icon in the S3 Storage Lens dashboard. ) aus.

  7. Deaktivieren Sie die Schalter für alle Datenschutzmetriken, bis nur noch die Metriken zur Anzahl der Replikationsregeln ausgewählt sind:

    • Same-Region Replication rule count (Anzahl der Replikationsregeln für dieselbe Region)

    • Cross-Region Replication rule count (Anzahl der regionsübergreifenden Replikationsregeln)

    • Same-account replication rule count (Anzahl der Replikationsregeln für dasselbe Konto)

    • Cross-account replication rule count (Kontenübergreifende Replikationsregelanzahl)

    • Total replication rule count (Gesamte Replikationsregelnanzahl)

  8. (Optional) Wählen Sie unter Page size (Seitengröße) die Anzahl der Buckets aus, die in der Liste angezeigt werden sollen.

  9. Wählen Sie Bestätigen aus.

Schritt 2: Hinzufügen von Replikationsregeln

Nachdem Sie die Anzahl der Replikationsregeln pro Bucket festgelegt haben, können Sie optional weitere Replikationsregeln erstellen. Weitere Informationen finden Sie unter Beispiele für die Konfiguration der Live-Replikation.

Identifizieren des Prozentsatz der Bytes mit Objektsperre

Mit der S3-Objektsperre können Sie Objekte anhand des Modells write-once-read-many (WORM) speichern. Mit der Objektsperre können Sie verhindern, dass Objekte für einen bestimmten Zeitraum oder auf unbestimmte Zeit gelöscht oder überschrieben werden. Sie können die Objektsperre nur aktivieren, wenn Sie einen Bucket erstellen und S3 Versioning aktivieren. Sie können jedoch den Aufbewahrungszeitraum für einzelne Objektversionen bearbeiten oder gesetzliche Aufbewahrungsfristen für Buckets anwenden, für die die Objektsperre aktiviert ist. Weitere Informationen finden Sie unter Verwenden der S3-Objektsperre.

Sie können Metriken für die Objektsperre in S3 Storage Lens verwenden, um die Metrik % Object Lock bytes (% Bytes mit Objektsperre) für Ihr Konto oder Ihre Organisation anzuzeigen. Sie können diese Informationen verwenden, um Buckets in Ihrem Konto oder Ihrer Organisation zu identifizieren, die Ihre bewährten Datenschutzmethoden nicht einhalten.

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im linken Navigationsbereich Storage Lens und dann Dashboards aus.

  3. Wählen Sie in der Liste Dashboards den Namen des Dashboards aus, das Sie anzeigen möchten.

  4. Wählen Sie im Abschnitt Snapshot unter Metrics categories (Metrikkategorien) die Option Data protection (Datenschutz) aus.

    Der Abschnitt Snapshot wird aktualisiert und zeigt nun Datenschutzmetriken an, einschließlich der Metrik % Object Lock bytes (% Bytes mit Objektsperre). Sie können den Gesamtprozentsatz der Bytes mit Objektsperre für Ihr Konto oder Ihre Organisation sehen.

  5. Wenn Sie die Metrik % Object Lock bytes (% Bytes mit Objektsperre) pro Bucket sehen möchten, scrollen Sie nach unten zum Abschnitt Top N overview (Top-N-Übersicht).

    Wenn Sie Daten mit Objektsperre auf Objektebene abrufen möchten, können Sie auch die Metriken Object Lock object count (Objektsperren-Objektanzahl) und % Object Lock objects (% Objekte mit Objektsperre) verwenden.

  6. Wählen Sie für Metric (Metrik) die Option % Object Lock Bytes (% Bytes mit Objektsperre) aus der Kategorie Data protection (Datenschutz) aus.

    Standardmäßig werden im Abschnitt Top N overview for date (Top-N-Übersicht für Datum) Metriken für die drei wichtigsten Buckets angezeigt. Im Feld Top N können Sie die Anzahl der Buckets erhöhen. Der Abschnitt Top N overview for date (Top-N-Übersicht für Datum) zeigt auch die prozentuale Veränderung gegenüber dem Vortag oder der Vorwoche sowie eine Sparkline zur Veranschaulichung des Trends an. Dieser Trend ist ein 14-Tage-Trend für kostenlose Metriken und ein 30-Tage-Trend für erweiterte Metriken und Empfehlungen.

    Anmerkung

    Mit den erweiterten Metriken und Empfehlungen von S3 Storage Lens stehen Metriken 15 Monate für Abfragen zur Verfügung. Weitere Informationen finden Sie unter Metrikauswahl.

  7. Überprüfen Sie die folgenden Daten für % Object Lock bytes (% Objekte mit Objektsperre):

    • Top number accounts (Top N-Konten) – Sehen Sie sich an, welche Konten den höchsten und den niedrigsten Wert für % Object Lock bytes (% Bytes mit Objektsperre) haben.

    • Top number Regions (Top N-Regionen) – Zeigt eine Aufschlüsselung der % Object Lock bytes (% Bytes mit Objektsperre) nach Region an.

    • Top number buckets (Top N-Buckets) – Sehen Sie sich an, welche Buckets den höchsten und den niedrigsten Wert für % Object Lock bytes (% Bytes mit Objektsperre) haben.