Configuración del inventario de Amazon S3 - Amazon Simple Storage Service

Configuración del inventario de Amazon S3

Amazon S3 Inventory proporciona una lista de archivos sin formato de los objetos y metadatos. Esta es una alternativa prevista para la operación de la API List síncrona de Amazon S3. Amazon S3 Inventory proporciona archivos de salida con valores separados por comas (CSV) u ORC (Apache optimized row columnar) o Apache Parquet (Parquet) que muestran los objetos y metadatos correspondientes diaria o semanalmente para un bucket de S3 o para objetos que comparten un prefijo (objetos con nombres que comienzan con la misma cadena). Para obtener más información, consulte Inventario de Amazon S3.

En esta sección se describe cómo configurar un inventario, incluida información detallada acerca de los buckets de origen y destino del inventario.

Información general

Amazon S3 Inventory le ayuda a administrar su almacenamiento creando listas de los objetos que hay en un bucket de S3 en un periodo definido. Puede configurar varias listas de inventario para un bucket. Las listas del inventario se publican en archivos CSV, ORC o Parquet en un bucket de destino.

La forma más sencilla de configurar un inventario es a través de la AWS Management Console, pero también puede utilizar la API REST, la AWS CLI o los SDK de AWS. La consola realiza el primer paso del siguiente procedimiento automáticamente: añadir un política de bucket al bucket de destino.

Para configurar Amazon S3 Inventory para un bucket de S3

  1. Agregue una política de bucket para el bucket de destino.

    Debe crear una política de bucket en el bucket de destino para conceder permisos para que Amazon S3 escriba objetos en el bucket, en la ubicación definida. Para ver una política de ejemplo, consulte Concesión de permisos para Amazon S3 Inventory y análisis de Amazon S3.

  2. Configure un inventario para enumerar los objetos de un bucket de origen y publicar la lista en un bucket de destino.

    Al configurar una lista de inventario para un bucket de origen, debe especificar el bucket de destino en el que quiera que se almacene la lista, y si desea generar la lista cada día o cada semana. También puede configurar qué metadatos de objetos ha de incluir, y si enumerar todas las versiones de objetos o solo las versiones actuales.

    Puede especificar que el archivo de lista de inventario se cifre mediante una clave administrada de Amazon S3 (SSE-S3) o una AWS Key Management Service (AWS KMS) clave administrada por el cliente. Para obtener más información sobre SSE-S3 y SSE-KMS, consulte Proteger los datos con el cifrado del lado del servidor. Si va a utilizar el cifrado SSE-KMS, consulte el paso 3.

  3. Para cifrar el archivo de lista de inventario con SSE-KMS, conceda permiso a Simple Storage Service (Amazon S3) para utilizar AWS KMS key.

    Puede configurar el cifrado del archivo de lista de inventario mediante la AWS Management Console, la API REST, la AWS CLI o los SDK de AWS. Cualquiera sea el método que elija, debe conceder permiso a Amazon S3 para utilizar la clave administrada por el cliente con el fin de cifrar el archivo de inventario. Para conceder permiso a Amazon S3, se modifica la política de claves para la clave administrada por el cliente que desea utilizar para cifrar el archivo de inventario. Para obtener más información, consulte la siguiente sección, Concesión de permiso a Amazon S3 con el fin de utilizar su clave de AWS KMS key para el cifrado.

  4. Para configurar el inventario, consulte Configuración del inventario mediante la consola de S3.

    Si utiliza el cifrado para operaciones entre cuentas de la configuración de inventario de Amazon S3 en el bucket de destino, debe utilizar ARN de clave KMS totalmente cualificados. Para obtener más información, consulte Uso del cifrado con operaciones entre cuentas y ServerSideEncryptionByDefault.

Creación de una política de bucket de destino

Si crea la configuración de inventario a través de la consola de S3, Amazon S3 crea automáticamente una política de bucket en el bucket de destino que concede permisos de escritura en Amazon S3. Si crea la configuración de inventario a través de la AWS CLI, los SDK o la API REST, debe agregar manualmente una política de bucket en el bucket de destino. Para obtener más información, consulte Concesión de permisos para Amazon S3 Inventory y análisis de Amazon S3 . La política de bucket de destino de Amazon S3 Inventory permite a Amazon S3 escribir en el bucket los datos para los informes de inventario.

Si se produce un error al intentar crear la política de bucket, recibirá instrucciones para solucionarlo. Por ejemplo, si elige un bucket de destino en otra Cuenta de AWS y no tiene permisos para leer ni escribir en la política del bucket, aparecerá un mensaje de error.

En este caso, el propietario del bucket de destino debe añadir la política del bucket indicada en el bucket de destino. Si la política no se añade al bucket de destino, no obtendrá un informe de inventario, ya que Amazon S3 no tiene permiso para escribir en el bucket de destino. Si el bucket de origen es propiedad de una cuenta diferente de la del usuario actual, el ID de cuenta correcto del bucket de origen debe sustituirse en la política.

Concesión de permiso a Amazon S3 con el fin de utilizar su clave de AWS KMS key para el cifrado

Para conceder permiso a Amazon S3 con el fin de cifrar mediante una clave administrada por el cliente AWS Key Management Service (AWS KMS), debe utilizar una política de claves. Para actualizar su política de claves de modo que pueda utilizar una clave administrada por el cliente, siga los pasos que se indican a continuación.

Para conceder permiso para cifrar mediante su clave de KMS;

  1. Con la cuenta de AWS que es propietaria de la clave administrada por el cliente, inicie sesión en la AWS Management Console.

  2. Abra la consola de AWS KMS en https://console.aws.amazon.com/kms.

  3. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  4. En el panel de navegación izquierdo, elija Customer managed keys (Claves administrada por el cliente).

  5. En Customer managed keys (Claves administradas por el cliente), seleccione la clave administrada por el cliente que desee usar para cifrar el archivo de inventario.

  6. En Key policy (Política de claves), seleccione Switch to policy view (Cambiar a la vista de política).

  7. Para actualizar la política de claves, elija Editar.

  8. En Editar política de claves, agregue la siguiente política de claves a la política de claves existente.

    { "Sid": "Allow Amazon S3 use of the KMS key", "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": [ "kms:GenerateDataKey" ], "Resource": "*", "Condition":{ "StringEquals":{ "aws:SourceAccount":"source-account-id" }, "ArnLike":{ "aws:SourceARN": "arn:aws:s3:::source-bucket-name" } } }
  9. Elija Save changes.

Para obtener más información acerca de la creación de claves de administradas por el cliente y del uso de políticas de claves, consulte los siguientes enlaces en la AWS Key Management Service Guía de desarrolladores:

Configuración del inventario mediante la consola de S3

Siga estas instrucciones para configurar el inventario mediante la consola de S3.

nota

Se pueden tardar hasta 48 horas en entregar el primer informe.

  1. Inicie sesión en la AWS Management Console y abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  2. En la lista Buckets, elija el nombre del bucket para el que desea configurar Amazon S3 Inventory.

  3. Elija Management (Administración).

  4. En Inventory configurations (Configuraciones de inventario), seleccione Create inventory configuration (Crear configuración de inventario).

  5. En Inventory configuration name (Nombre de configuración de inventario), escriba un nombre.

  6. Defina el Inventory scope (Ámbito de inventario):

    • Escriba un prefijo opcional.

    • Elija las versiones de objeto: Current versions only (Solo versiones actuales) o Include all versions (Incluir todas las versiones).

  7. En Report details (Detalles del informe), elija la ubicación de la Cuenta de AWS en la que desea guardar los informes: This account (Esta cuenta) o A different account (Una cuenta diferente).

  8. Seleccione el bucket de destino en el que desea guardar los informes en Destination (Destino).

    El bucket de destino debe estar en la misma Región de AWS que el bucket para el que configura el inventario. El bucket de destino puede estar en una Cuenta de AWS diferente. En el campo para bucket Destination (Destino) verá el Destination bucket permission (Permiso de bucket de destino) que se agrega a la política de bucket de destino para permitir que Amazon S3 coloque datos en ese bucket. Para obtener más información, consulte Creación de una política de bucket de destino.

  9. En Frequency (Frecuencia), elija la frecuencia con la que se generará el informe: Daily (Diario) o Weekly (Semanal).

  10. Elija el Output format (Formato de salida) del informe:

    • CSV

    • Apache ORC

    • Apache Parquet

  11. En Status (Estado), seleccione Enable (Activar) o Disable (Desactivar).

  12. Para utilizar el cifrado del lado del servidor, en Server-side encryption (Cifrado del lado del servidor), siga estos pasos:

    1. Elija Enable (Habilitar).

    2. En Encryption key type (Tipo de clave de cifrado), elija Amazon S3 key (SSE-S3) (Clave de Amazon S3 [SSE-S3]) o AWS Key Management Service key (SSE-KMS) (Clave de KMS [SSE-KMS]).

      El cifrado de lado servidor de Amazon S3 utiliza el estándar de cifrado avanzado de 256 bits (AES-256). Para obtener más información, consulte Protección de los datos con el cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 (SSE-S3). Para obtener más información sobre SSE-KMS, consulte Protección de los datos con el cifrado del lado del servidor con CMK AWS Key Management Service (SSE-KMS).

    3. Para utilizar una AWS KMS key, elija una de las siguientes opciones:

      • Elija entre sus AWS KMS keys y elija su clave de KMS.

      • Enter AWS KMS key ARN (Introducir ARN de KMS) e introduzca el ARN de la clave de AWS KMS.

      nota

      Con el fin de cifrar el archivo de lista de inventario con SSE-KMS, debe conceder permiso a Amazon S3 para utilizar AWS KMS key. Por lo tanto, solo puede utilizar una clave administrada del cliente y no la clave administrada de AWS (aws/s3). Para obtener instrucciones, consulte Concesión de permiso a Amazon S3 con el fin de utilizar su clave de AWS KMS key para el cifrado.

  13. En Additional fields (Campos adicionales), seleccione uno o más de los siguientes campos opcionales para agregar al informe de inventario:

    • Size (Tamaño): el tamaño del objeto en bytes.

    • Last modified date (Fecha de la última modificación): la fecha de creación del objeto o la última fecha de modificación, la última existente.

    • Storage class (Clase de almacenamiento): la clase de almacenamiento utilizado para almacenar el objeto.

    • ETag: la etiqueta de entidad es un hash del objeto. El elemento ETag solo refleja los cambios en su contenido, no en los metadatos. La ETag puede ser o no un resumen MD5 de los datos del objeto. Esto dependerá del método de creación del objeto y del tipo de cifrado.

    • Multipart upload (Carga multiparte): especifica que el objeto se ha cargado como una carga multiparte. Para obtener más información, consulte Carga y copia de objetos con la carga multiparte.

    • Replication status (Estado de replicación): el estado de replicación del objeto. Para obtener más información, consulte Uso de la consola de S3.

    • Encryption status (Estado de cifrado): el cifrado del lado servidor usado para cifrar el objeto. Para obtener más información, consulte Proteger los datos con el cifrado del lado del servidor.

    • S3 Object lock configurations (Configuraciones de bloqueo de objetos de S3): estado de bloqueo del objeto, incluidos los siguientes ajustes:

      • Retention dome (Modo de retención): grado de protección que se aplica al objeto, Governance (Gobierno) o Compliance (Cumplimiento).

      • Retain until date (Fecha hasta la que se retiene): fecha hasta la cual no se puede eliminar un objeto bloqueado.

      • Legal hold status (Estado de retención legal): estado de retención legal del objeto bloqueado.

      Para obtener más información acerca de Bloqueo de objetos de S3, consulte Cómo funciona S3 Object Lock.

    • Capa de acceso de capas avanzadas: indica la capa de acceso (frecuente o infrecuente) del objeto si estaba almacenado en capas avanzadas. Para obtener más información, consulte Clase de almacenamiento para optimizar automáticamente los datos con patrones de acceso cambiantes o desconocidos.

    • Estado de clave de bucket de S3: indica si una clave de bucket generada porAWS KMS se aplica al objeto. Para obtener más información, consulte Reducción del costo de SSE-KMS con las claves de bucket de Amazon S3 .

    • Algoritmo de suma de comprobación: indica el algoritmo utilizado para crear la suma de comprobación del objeto.

    Para obtener más información acerca del contenido de un informe de inventario, consulte Lista de Amazon S3 Inventory.

  14. Seleccione Create (Crear OpsItem).