Configuración de Inventario de Amazon S3 - Amazon Simple Storage Service
Configuración de Amazon S3 InventoryPolítica del bucket de destinoConcesión de permiso a Amazon S3 con el fin de utilizar su clave administrada por el cliente para el cifradoConfiguración del inventario mediante la consola de S3Uso de la API de REST para trabajar con el inventario de S3

Configuración de Inventario de Amazon S3

Inventario de Amazon S3 proporciona una lista de archivos sin formato de los objetos y metadatos en una programación definida por usted. Puede usar Inventario de S3 como una programación alternativa de la operación de la API List síncrona de Amazon S3. S3 Inventory proporciona archivos de salida de valores separados por comas (CSV), Apache optimized row columnar (ORC) o Apache Parquet (Parquet) que enumeran sus objetos y sus metadatos correspondientes.

Puede configurar Inventario de S3 para crear listas de inventario diaria o semanalmente para un bucket de S3 o para objetos que comparten un prefijo (objetos con nombres que comienzan con la misma cadena). Para obtener más información, consulte Inventario de Amazon S3.

En esta sección se describe cómo configurar un inventario, incluida información detallada acerca de los buckets de origen y destino del inventario.

Información general

Amazon S3 Inventory le ayuda a administrar su almacenamiento creando listas de los objetos que hay en un bucket de S3 en un periodo definido. Puede configurar varias listas de inventario para un bucket. Las listas del inventario se publican en archivos CSV, ORC o Parquet en un bucket de destino.

La forma más sencilla de configurar un inventario es a través de la consola de Amazon S3, pero también puede utilizar la API de REST de Amazon S3, la AWS Command Line Interface (AWS CLI) o los SDK de AWS. La consola realiza el primer paso del siguiente procedimiento automáticamente: añadir un política de bucket al bucket de destino.

Para configurar Amazon S3 Inventory para un bucket de S3

  1. Agregue una política de bucket para el bucket de destino.

    Debe crear una política de buckets en el bucket de destino que conceda permisos para que Amazon S3 escriba objetos en el bucket en la ubicación definida. Para ver una política de ejemplo, consulte Concesión de permisos para el inventario de S3 y el análisis de S3.

  2. Configure un inventario para enumerar los objetos de un bucket de origen y publicar la lista en un bucket de destino.

    Al configurar una lista de inventario para un bucket de origen, debe especificar el bucket de destino en el que quiera que se almacene la lista, y si desea generar la lista cada día o cada semana. También puede configurar si desea enumerar todas las versiones de los objetos o solo las actuales y qué metadatos de los objetos incluir.

    Algunos campos de metadatos de objetos en las configuraciones de los informes de Inventario de S3 son opcionales, lo que significa que están disponibles de manera predeterminada pero pueden restringirse cuando se concede el permiso s3:PutInventoryConfiguration a un usuario. Puede controlar si los usuarios pueden incluir estos campos de metadatos opcionales en sus informes mediante la clave de condición s3:InventoryAccessibleOptionalFields.

    Para obtener más información acerca de los campos de metadatos opcionales disponibles en Inventario de S3, consulte OptionalFields en la Referencia de la API de Amazon Simple Storage Service. Para obtener más información sobre cómo restringir el acceso a determinados campos de metadatos opcionales en una configuración de inventario, consulte Control de la creación de la configuración del informe de inventario de S3.

    Puede especificar que el archivo de lista de inventario se cifre mediante el cifrado del servidor con una clave administrada de Amazon S3 (SSE-S3) o con una clave administrada por el cliente de AWS Key Management Service (AWS KMS).

    nota

    La Clave administrada de AWS (aws/s3) no es compatible para el cifrado SSE-KMS con Inventario de S3.

    Para obtener más información sobre SSE-S3 y SSE-KMS, consulte Protección de los datos con el cifrado del servidor. Si va a utilizar el cifrado SSE-KMS, consulte el paso 3.

  3. Para cifrar el archivo de lista de inventario con SSE-KMS, conceda permiso a Simple Storage Service (Amazon S3) para utilizar AWS KMS key.

    Puede configurar el cifrado del archivo de la lista de inventario utilizando la consola de Amazon S3, la API de REST de Amazon S3, la AWS CLI o los SDK de AWS. Cualquiera sea el método que elija, debe conceder permiso a Amazon S3 para utilizar la clave administrada por el cliente con el fin de cifrar el archivo de inventario. Para conceder permiso a Amazon S3, se modifica la política de claves para la clave administrada por el cliente que desea utilizar para cifrar el archivo de inventario. Para obtener más información, consulte Concesión de permiso a Amazon S3 con el fin de utilizar su clave administrada por el cliente para el cifrado.

    El bucket de destino que almacena el archivo de la lista de inventario puede ser propiedad de otra Cuenta de AWS que la cuenta que posee el bucket de origen. Si utiliza el cifrado SSE-KMS para las operaciones entre cuentas de Inventario de Amazon S3, le recomendamos que utilice un ARN de clave de KMS totalmente cualificado cuando configure el inventario de S3. Para obtener más información, consulte Uso del cifrado SSE-KMS para operaciones entre cuentas y ServerSideEncryptionByDefault en la Referencia de la API de Amazon Simple Storage Service.

Creación de una política de bucket de destino

Si crea la configuración de inventario a través de la consola de Amazon S3, Amazon S3 crea automáticamente una política de bucket en el bucket de destino que concede permisos de escritura de Amazon S3 al bucket. Sin embargo, si crea la configuración de inventario a través de la AWS CLI, los SDK de AWS o la API de REST de Amazon S3, debe añadir manualmente una política de buckets en el bucket de destino. Para obtener más información, consulte Concesión de permisos para el inventario de S3 y el análisis de S3. La política de buckets de destino de Inventario de S3 permite a Amazon S3 escribir en el bucket los datos para los informes de inventario.

Si se produce un error al intentar crear la política de bucket, recibirá instrucciones para solucionarlo. Por ejemplo, si elige un bucket de destino en otra Cuenta de AWS y no tiene permisos para leer ni escribir en la política del bucket, aparecerá un mensaje de error.

En este caso, el propietario del bucket de destino debe añadir la política del bucket en el bucket de destino. Si la política no se añade al bucket de destino, no obtendrá un informe de inventario, ya que Amazon S3 no tiene permiso para escribir en el bucket de destino. Si el bucket de origen es propiedad de una cuenta diferente de la del usuario actual, el ID de cuenta correcto del propietario del bucket de origen debe sustituirse en la política.

Concesión de permiso a Amazon S3 con el fin de utilizar su clave administrada por el cliente para el cifrado

Para conceder permiso a Amazon S3 para utilizar su clave administrada por el cliente AWS Key Management Service (AWS KMS) para el cifrado del servidor, debe utilizar una política de claves. Para actualizar su política de claves de modo que pueda utilizar una clave administrada por el cliente, siga el procedimiento que se indica a continuación.

Concesión de permisos de Amazon S3 para cifrar mediante la clave administrada por el cliente

  1. Inicie sesión en la Cuenta de AWS con la AWS Management Console propietaria de la clave administrada por el cliente.

  2. Abra la consola de AWS KMS en https://console.aws.amazon.com/kms.

  3. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  4. En el panel de navegación izquierdo, elija Customer managed keys (Claves administrada por el cliente).

  5. En Claves administradas por el cliente, seleccione la clave administrada por el cliente que desee usar para cifrar los archivos de inventario.

  6. En la sección Key policy (Política de claves), elija Switch to policy view (Cambiar a la vista de política).

  7. Para actualizar la política de claves, elija Editar.

  8. En la página Editar política de claves, añada la siguiente política de claves a la política de claves existente. Para source-account-id y example-s3-source-bucket, proporcione los valores adecuados para su caso de uso.

    {
    "Sid": "Allow Amazon S3 use of the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "s3.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition":{
      "StringEquals":{
         "aws:SourceAccount":"source-account-id"
     },
      "ArnLike":{
        "aws:SourceARN": "arn:aws:s3:::example-s3-source-bucket"
     }
   }
}

  9. Elija Guardar cambios.

Para obtener más información acerca de la creación de claves de administradas por el cliente y del uso de políticas de claves, consulte los siguientes enlaces en la AWS Key Management Service Guía de desarrolladores:

Configuración del inventario mediante la consola de S3

Siga estas instrucciones para configurar el inventario mediante la consola de S3.

nota

Amazon S3 puede tardar hasta 48 horas en entregar el primer informe del inventario.

  1. Inicie sesión AWS Management Console Management Console y abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  2. En el panel de navegación izquierdo, elija Instancias. En la lista Buckets, elija el nombre del bucket para el que desea configurar el Inventario de Amazon S3.

  3. Seleccione la pestaña Management.

  4. En Inventory configurations (Configuraciones de inventario), seleccione Create inventory configuration (Crear configuración de inventario).

  5. En Nombre de configuración de inventario, escriba un nombre.

  6. En Ámbito del inventario, haga lo siguiente:

    • Escriba un prefijo opcional.

    • Elija las versiones de objeto que desea incluir: Solo versiones actuales o Incluir todas las versiones.

  7. En Report details (Detalles del informe), elija la ubicación de la Cuenta de AWS en la que desea guardar los informes: This account (Esta cuenta) o A different account (Una cuenta diferente).

  8. Seleccione el bucket de destino en el que desea guardar los informes de inventario en Destino.

    El bucket de destino debe estar en la misma Región de AWS que el bucket para el que configura el inventario. El bucket de destino puede estar en una Cuenta de AWS diferente. Al especificar el bucket de destino, también puede incluir un prefijo opcional para agrupar sus informes de inventario.

    En el campo de bucket Destino verá la instrucción Permiso del bucket de destino que se añade a la política del bucket de destino para permitir que Amazon S3 coloque datos en ese bucket. Para obtener más información, consulte Creación de una política de bucket de destino.

  9. En Frecuencia, elija la frecuencia con la que se generará el informe: Diario o Semanal.

  10. En Formato de salida, elija uno de los siguientes formatos para el informe:

    • CSV: si tiene previsto utilizar este informe de inventario con Operaciones por lotes de S3 o si desea analizar este informe en otra herramienta, como Microsoft Excel, elija CSV.

    • Apache ORC

    • Apache Parquet

  11. En Status (Estado), seleccione Enable (Activar) o Disable (Desactivar).

  12. Para configurar el cifrado del servidor, siga los siguientes pasos en Cifrado del informe de inventario:

    1. En Cifrado del servidor, elija No especifique una clave de cifrado o Especificar una clave de cifrado para cifrar datos.

      • Para mantener la configuración del bucket para el cifrado predeterminado del servidor de los objetos al almacenarlos en Amazon S3, elija No especifique una clave de cifrado. Siempre y cuando el bucket de destino tenga habilitadas las claves de bucket de S3, la operación de copia aplicará una clave de bucket de S3 al bucket de destino.

        nota

        Si la política de buckets para el destino especificado exige que los objetos estén cifrados antes de almacenarlos en Amazon S3, debe elegir Especificar una clave de cifrado. De lo contrario, se producirá un error al copiar los objetos en el destino.

      • Para cifrar objetos antes de almacenarlos en Amazon S3, elija Especificar una clave de cifrado.

    2. Si elige Especificar una clave de cifrado, en Tipo de cifrado, debe elegir entre Clave administrada por Amazon S3 (SSE-S3) o Clave de AWS Key Management Service (SSE-KMS).

      SSE-S3 utiliza uno de los cifrados de bloques más seguros, Advanced Encryption Standard de 256 bits (AES-256), para cifrar cada objeto. SSE-KMS le proporciona más control sobre su clave. Para obtener más información sobre SSE-S3, consulte Uso del cifrado del servidor con claves administradas por Amazon S3 (SSE-S3). Para obtener más información sobre SSE-KMS, consulte Uso del cifrado del servidor con claves de AWS KMS (SSE-KMS).

      nota

      Para cifrar el archivo de lista de inventario con SSE-KMS, debe conceder permiso a Amazon S3 para utilizar la clave administrada por el cliente. Para ver instrucciones, consulte Conceder permiso a Amazon S3 para cifrar mediante sus claves de KMS.

    3. Si elige la Clave de AWS Key Management Service (SSE-KMS), en AWS KMS key, puede especificar su clave AWS KMS mediante una de las siguientes opciones.

      nota

      Si el bucket de destino que almacena el archivo de la lista de inventario pertenece a otra Cuenta de AWS, asegúrese de que utiliza un ARN de clave de KMS totalmente cualificado para especificar su clave de KMS.

      • Para elegir entre una lista de claves de KMS disponibles, seleccione Elija entre sus claves de AWS KMS y elija una clave de KMS de cifrado simétrico en la lista de claves disponibles. Asegúrese de que la clave de KMS esté en la misma región que su bucket.

        nota

        En esta lista aparecen tanto la Clave administrada de AWS (aws/s3) como las claves administradas por el cliente. Sin embargo, la Clave administrada de AWS (aws/s3) no es compatible para el cifrado SSE-KMS con Inventario de S3.

      • Para introducir el ARN de la clave de KMS, elija Introducir el ARN de la clave de AWS KMS e introduzca el ARN de la clave de KMS en el campo que aparece.

      • Para crear una nueva clave administrada por el cliente en la consola de AWS KMS, elija Crear una clave de KMS.

  13. En Campos de metadatos adicionales, seleccione uno o más de los siguientes campos opcionales para añadirlos al informe de inventario:

    • Tamaño: el tamaño del objeto en bytes, sin incluir el tamaño de las cargas multipartes incompletas, los metadatos del objeto ni los marcadores de eliminación.

    • Fecha de la última modificación: la fecha de creación del objeto o la última fecha de modificación, la última existente.

    • Multipart upload (Carga multiparte): especifica que el objeto se ha cargado como una carga multiparte. Para obtener más información, consulte Carga y copia de objetos con la carga multiparte.

    • Replication status (Estado de replicación): el estado de replicación del objeto. Para obtener más información, consulte Obtención de información del estado de replicación.

    • Estado de cifrado: el cifrado del lado servidor usado para cifrar el objeto. Para obtener más información, consulte Protección de los datos con el cifrado del servidor.

    • Estado de clave de bucket: indica si una clave de bucket generada por AWS KMS se aplica al objeto. Para obtener más información, consulte Reducción del costo de SSE-KMS con las claves de bucket de Amazon S3.

    • Lista de control de acceso a objetos: una lista de control de acceso (ACL) para cada objeto que define a qué Cuentas de AWS o grupos se les concede acceso a este objeto y el tipo de acceso que se concede. Para obtener más información sobre este campo, consulte Uso del campo de objeto de ACL. Para obtener más información acerca de las ACL, consulte Información general de las Listas de control de acceso (ACL).

    • Propietario del objeto: el propietario del objeto.

    • Clase de almacenamiento: la clase de almacenamiento utilizada para almacenar el objeto.

    • Agrupación por niveles inteligente: capas de acceso: indica la capa de acceso (frecuente o infrecuente) del objeto si estaba almacenado en la clase de almacenamiento S3 Intelligent-Tiering. Para obtener más información, consulte Clase de almacenamiento para optimizar automáticamente los datos con patrones de acceso cambiantes o desconocidos.

    • ETag: la etiqueta de entidad (ETag) es un hash del objeto. La ETag solo refleja los cambios en el contenido de un objeto, no en sus metadatos. La ETag puede ser o no un resumen MD5 de los datos del objeto. Esto dependerá del método de creación del objeto y del tipo de cifrado. Para obtener más información, consulte Object en la Referencia de la API de Amazon Simple Storage Service.

    • Algoritmo de suma de comprobación: indica el algoritmo utilizado para crear la suma de comprobación para el objeto.

    • Todas las configuraciones de bloqueo de objetos: estado de bloqueo del objeto, incluidos los siguientes ajustes:

      • Bloqueo de objetos: modo de retención: grado de protección que se aplica al objeto, Gobernanza o Conformidad.

      • Bloqueo de objetos: fecha límite de retención: la fecha hasta la que no se puede eliminar un objeto bloqueado.

      • Bloqueo de objetos: estado de retención legal: estado de retención legal del objeto bloqueado.

      Para obtener más información acerca de Bloqueo de objetos de S3, consulte Cómo funciona Bloqueo de objetos de S3.

    Para obtener más información acerca del contenido de un informe de inventario, consulte Lista de Amazon S3 Inventory.

    Para obtener más información sobre cómo restringir el acceso a determinados campos de metadatos opcionales en una configuración de inventario, consulte Control de la creación de la configuración del informe de inventario de S3.

  14. Seleccione Crear.

Cuando se publica una lista de inventario, puede consultar el archivo de la lista de inventario con Amazon S3 Select. Para obtener más información sobre cómo localizar su lista de inventario y consultar el archivo de la lista de inventario con Amazon S3 Select, consulte Localizar la descripción del inventario.

Uso de la API de REST para trabajar con el inventario de S3

A continuación, se indican las operaciones REST que puede utilizar para trabajar con Inventario de Amazon S3.