Utiliser S3 Storage Lens pour protéger vos données

Vous pouvez utiliser les métriques sur la protection des données Amazon S3 Storage Lens pour identifier les compartiments dans lesquels les bonnes pratiques de protection des données n'ont pas été appliquées. Vous pouvez utiliser ces métriques pour agir et appliquer des paramètres standard conformes aux bonnes pratiques pour protéger vos données dans les compartiments de votre compte ou de votre organisation. Par exemple, vous pouvez utiliser des métriques sur la protection des données pour identifier les compartiments qui n'utilisent pas de clés AWS Key Management Service (AWS KMS) (SSE-KMS) pour le chiffrement par défaut ou les demandes qui utilisent AWS Signature Version 2 (SigV2).

Les cas d'utilisation suivants fournissent des stratégies d'utilisation de votre tableau de bord S3 Storage Lens pour identifier les anomalies et appliquer les bonnes pratiques de protection des données sur vos compartiments S3.

Identification des compartiments qui n'utilisent pas le chiffrement côté serveur avec AWS KMS pour le chiffrement par défaut (SSE-KMS)

Avec le chiffrement par défaut d'Amazon S3, vous pouvez définir le comportement de chiffrement par défaut pour un compartiment S3. Pour de plus amples informations, veuillez consulter Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3.

Vous pouvez utiliser les métriques SSE-KMS enabled bucket count (Nombre de compartiments avec SSE-KMS activé) et % SSE-KMS enabled buckets (% de compartiments avec SSE-KMS activé) pour identifier les compartiments qui utilisent le chiffrement côté serveur à l'aide de clés AWS KMS (SSE-KMS) pour le chiffrement par défaut. S3 Storage Lens fournit également des métriques pour les octets non chiffrés, les objets non chiffrés, les octets chiffrés et les objets chiffrés. Pour obtenir une liste complète des métriques, consultez Glossaire des métriques Amazon S3 Storage Lens.

Vous pouvez analyser les métriques de chiffrement SSE-KMS dans le contexte des métriques de chiffrement générales afin d'identifier les compartiments qui n'utilisent pas SSE-KMS. Pour utiliser SSE-KMS pour tous les compartiments de votre compte ou de votre organisation, vous pouvez ensuite mettre à jour les paramètres de chiffrement par défaut de ces compartiments afin d'utiliser SSE-KMS. Outre SSE-KMS, vous pouvez utiliser le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) ou des clés fournies par le client (SSE-C). Pour de plus amples informations, veuillez consulter Protection des données à l'aide du chiffrement.

Étape 1 : identifier les compartiments qui utilisent SSE-KMS pour le chiffrement par défaut

1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

2. Dans le panneau de navigation de gauche, choisissez Storage Lens, Dashboards (Tableaux de bord).

3. Dans la liste Dashboards (Tableaux de bord), choisissez le nom du tableau de bord que vous souhaitez afficher.

4. Dans la section Trends and distributions (Tendances et distributions), choisissez % SSE-KMS enabled buckets (% de compartiments avec SSE-KMS activé) comme métrique principale et % encrypted bytes (% d'octets chiffrés) comme métrique secondaire.

   Le graphique Trend for date (Tendance pour date) est mis à jour pour afficher les tendances relatives à SSE-KMS et aux octets chiffrés.

5. Pour afficher des informations plus détaillées au niveau du compartiment pour SSE-KMS :

   1. Choisissez un point sur le graphique. Une case apparaît avec des choix pour afficher des informations plus détaillées.

   2. Choisissez la dimension Buckets (Compartiments). Choisissez ensuite Apply(Applisuer).

6. Dans le graphique Distribution by buckets for date (Distribution par compartiments pour date), choisissez la métrique SSE-KMS enabled bucket count (Nombre de compartiments avec SSE-KMS activé).

7. Vous pouvez désormais voir pour quels compartiments SSE-KMS est activé et pour quels compartiments il ne l'est pas.

Étape 2 : mettre à jour les paramètres de chiffrement par défaut des compartiments

Maintenant que vous avez déterminé quels compartiments utilisent SSE-KMS dans le contexte de votre métrique % encrypted bytes (% d'octets chiffrés), vous pouvez identifier les compartiments qui n'utilisent pas SSE-KMS. Vous pouvez ensuite éventuellement accéder à ces compartiments dans la console S3 et mettre à jour leurs paramètres de chiffrement par défaut pour utiliser SSE-KMS ou SSE-S3. Pour de plus amples informations, veuillez consulter Configuration du chiffrement par défaut.

Identification des compartiments pour lesquels la gestion des versions S3 est activée

Lorsque cette option est activée, la fonction de gestion des versions S3 conserve plusieurs versions du même objet qui peuvent être utilisées pour récupérer rapidement des données si un objet est supprimé ou écrasé accidentellement. Vous pouvez utiliser la métrique Versioning-enabled bucket count (Nombre de compartiments activés pour la gestion des versions) pour voir quels compartiments utilisent la gestion des versions S3. Ensuite, vous pouvez agir dans la console S3 pour activer la gestion des versions S3 pour d'autres compartiments.

Étape 1 : identifier les compartiments pour lesquels la gestion des versions S3 est activée

1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

2. Dans le volet de navigation, sélectionnez Storage Lens, puis Dashboards (Tableaux de bord).

3. Dans la liste Dashboards (Tableaux de bord), choisissez le nom du tableau de bord que vous souhaitez afficher.

4. Dans la section Trends and distributions (Tendances et distributions), choisissez Versioning-enabled bucket count (Nombre de compartiments activés pour la gestion des versions) comme métrique principale et Buckets (Compartiments) comme métrique secondaire.

   Le graphique Trend for date (Tendance pour date) est mis à jour pour afficher les tendances des compartiments pour lesquels la gestion des versions S3 est activée. Juste en dessous de la courbe des tendances, vous pouvez voir les sous-sections Storage class distribution (Distribution des classes de stockage) et Region distribution (Distribution par région).

5. Pour obtenir des informations plus détaillées sur l'un des compartiments que vous voyez dans le graphique Trend for date (Tendance pour date) afin de pouvoir effectuer une analyse approfondie, procédez comme suit :

   1. Choisissez un point sur le graphique. Une case apparaît avec des choix pour afficher des informations plus détaillées.

   2. Choisissez une dimension à appliquer à vos données pour une analyse plus approfondie : Account (Compte), Région AWS, Storage class (Classe de stockage) ou Bucket (Compartiment). Choisissez ensuite Apply(Applisuer).

6. Dans la section Bubble analysis by buckets for date (Analyse à bulles par compartiments pour date), choisissez les métriques Versioning-enabled bucket count (Nombre de compartiments activés pour la gestion des versions), Buckets (Compartiments) et Active buckets (Compartiments actifs).

   La section Bubble analysis by buckets for date (Analyse à bulles par compartiments pour date) est mise à jour pour afficher les données relatives aux métriques que vous avez sélectionnées. Vous pouvez utiliser ces données pour voir pour quels compartiments la gestion des versions S3 est activée dans le contexte de votre nombre total de compartiments. Dans la section Bubble analysis by buckets for date (Analyse à bulles par compartiments pour date), vous pouvez tracer vos compartiments sur plusieurs dimensions à l'aide de trois métriques quelconques pour représenter les valeurs X-axis (Axe des X), Y-axis (Axe des Y) et Size (Taille) de la bulle.

Étape 2 : activer la gestion des versions S3

Après avoir identifié les compartiments pour lesquels la gestion des versions S3 est activée, vous pouvez identifier les compartiments pour lesquels la gestion des versions S3 n'a jamais été activée ou a été suspendue. Ensuite, vous pouvez éventuellement activer la gestion des versions pour ces compartiments dans la console S3. Pour de plus amples informations, veuillez consulter Activation de la gestion des versions sur les compartiments.

Identification des demandes qui utilisent AWS Signature Version 2 (SigV2)

Vous pouvez utiliser la métrique All unsupported signature requests (Toutes les demandes de signature non prises en charge) pour identifier les demandes qui utilisent AWS Signature Version 2 (SigV2). Ces données peuvent vous aider à identifier les applications spécifiques qui utilisent SigV2. Vous pouvez ensuite migrer ces applications vers AWS Signature Version 4 (SigV4).

SigV4 est la méthode de signature recommandée pour toutes les nouvelles applications S3. SigV4 offre une sécurité améliorée et est pris en charge dans toutes les Régions AWS. Pour plus d'informations, consultez Amazon S3 update - SigV2 deprecation period extended & modified (Mise à jour Amazon S3 – Période d'obsolescence SigV2 étendue et modifiée).

Prérequis

Pour voir la métrique All unsupported signature requests (Toutes les demandes de signature non prises en charge) dans votre tableau de bord S3 Storage Lens, vous devez activer Advanced metrics and recommendations (Métriques et recommandations avancées) de S3 Storage Lens, puis sélectionner Advanced data protection metrics (Métriques avancées sur la protection des données). Pour de plus amples informations, veuillez consulter Créer et mettre à jour les tableaux de bord Amazon S3 Storage Lens.

Étape 1 : examiner les tendances de signature SIGv2 par Compte AWS, région et compartiment

1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

2. Dans le panneau de navigation de gauche, choisissez Storage Lens, Dashboards (Tableaux de bord).

3. Dans la liste Dashboards (Tableaux de bord), choisissez le nom du tableau de bord que vous souhaitez afficher.

4. Pour identifier des compartiments, des comptes et des régions spécifiques dont les demandes utilisent SigV2 :

   1. Sous Top N overview for date (Aperçu des N éléments principaux pour date), dans Top N (N éléments principaux), entrez le nombre de compartiments pour lesquels vous souhaitez voir des données.

   2. Pour Metric (Métrique), choisissez All unsupported signature requests (Toutes les demandes de signature non prises en charge) dans la catégorie Data protection (Protection des données).

      La métrique Top N overview for date (Aperçu des N éléments principaux pour date) est mise à jour pour afficher les données des demandes SigV2 par compte, Région AWS et compartiment. La section Top N overview for date (Aperçu des N éléments principaux pour date) indique également la variation en pourcentage par rapport à la journée ou à la semaine précédente et une ligne étincelante pour visualiser la tendance. Cette tendance est une tendance sur 14 jours pour les métriques gratuites et une tendance sur 30 jours pour les métriques et recommandations avancées.

      Note

      Grâce aux métriques et recommandations avancées S3 Storage Lens, les métriques sont disponibles pour les requêtes pendant 15 mois. Pour de plus amples informations, veuillez consulter Sélection des métriques.

Étape 2 : identifier les compartiments auxquels les applications accèdent via des demandes SigV2

1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

2. Dans le panneau de navigation de gauche, choisissez Storage Lens, Dashboards (Tableaux de bord).

3. Dans la liste Dashboards (Tableaux de bord), choisissez le nom du tableau de bord que vous souhaitez afficher.

4. Dans votre tableau de bord Storage Lens, choisissez l'onglet Bucket (Compartiment).

5. Faites défiler jusqu'à la section Buckets (Compartiments). Sous Metrics categories (Catégories de métriques), choisissez Data protection (Protection des données). Effacez ensuite Summary (Résumé).

   La liste Buckets (Compartiments) est mise à jour pour afficher toutes les métriques Data protection (Protection des données) disponibles pour les compartiments affichés.

6. Pour filtrer la liste Buckets (Compartiments) afin d'afficher uniquement des métriques spécifiques sur la protection des données, choisissez l'icône des préférences ( ).

7. Désactivez les boutons bascules pour toutes les métriques sur la protection des données jusqu'à ce que seules les métriques suivantes restent sélectionnées :

   • All unsupported signature requests (Toutes les demandes de signature non prises en charge)

   • % all unsupported signature requests (% de toutes les demandes de signature non prises en charge)

8. (Facultatif) Sous Page size (Taille de page), choisissez le nombre de compartiments à afficher dans la liste.

9. Choisissez Confirm (Confirmer).

   La liste Buckets (Compartiments) est mise à jour pour afficher les métriques au niveau des compartiments pour les demandes SigV2. Vous pouvez utiliser ces données pour identifier des compartiments spécifiques qui font l'objet de demandes SigV2. Vous pouvez ensuite utiliser ces informations pour migrer vos applications vers SigV4. Pour de plus amples informations, veuillez consulter Demandes d'authentification (AWS Signature Version 4) dans la Référence API Amazon Simple Storage Service.

Décompte du nombre total de règles de réplication pour chaque compartiment

La réplication S3 permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3. Les compartiments configurés pour la réplication d'objet peuvent appartenir au même Compte AWS ou à des comptes distincts. Pour de plus amples informations, veuillez consulter Vue d'ensemble de la réplication d'objets.

Vous pouvez utiliser les métriques de décompte des règles de réplication S3 Storage Lens pour obtenir des informations détaillées par compartiment sur les compartiments configurés pour la réplication. Ces informations incluent les règles de réplication au sein des compartiments et des régions et entre eux.

Prérequis

Pour voir les métriques de décompte des règles de réplication dans votre tableau de bord S3 Storage Lens, vous devez activer Advanced metrics and recommendations (Métriques et recommandations avancées) de S3 Storage Lens, puis sélectionner Advanced data protection metrics (Métriques avancées sur la protection des données). Pour de plus amples informations, veuillez consulter Créer et mettre à jour les tableaux de bord Amazon S3 Storage Lens.

Étape 1 : Compter le nombre total de règles de réplication pour chaque compartiment

1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

2. Dans le panneau de navigation de gauche, choisissez Storage Lens, Dashboards (Tableaux de bord).

3. Dans la liste Dashboards (Tableaux de bord), choisissez le nom du tableau de bord que vous souhaitez afficher.

4. Dans votre tableau de bord Storage Lens, choisissez l'onglet Bucket (Compartiment).

5. Faites défiler jusqu'à la section Buckets (Compartiments). Sous Metrics categories (Catégories de métriques), choisissez Data protection (Protection des données). Effacez ensuite Summary (Résumé).

6. Pour filtrer la liste Buckets (Compartiments) afin d'afficher uniquement les métriques de décompte des règles de réplication, choisissez l'icône des préférences ( ).

7. Désactivez les boutons bascules pour toutes les métriques sur la protection des données jusqu'à ce que seules les métriques de décompte des règles de réplication restent sélectionnées :

   • Same-Region Replication rule count (Nombre de règles de réplication pour la même région)

   • Cross-Region Replication rule count (Nombre de règles de réplication entre régions)

   • Same-account replication rule count (Nombre de règles de réplication pour le même compte)

   • Cross-account replication rule count (Nombre de règles de réplication entre comptes)

   • Total replication rule count (Nombre total de règles de réplication)

8. (Facultatif) Sous Page size (Taille de page), choisissez le nombre de compartiments à afficher dans la liste.

9. Choisissez Confirm (Confirmer).

Étape 2 : ajouter des règles de réplication

Une fois que vous avez déterminé le nombre de règles de réplication par compartiment, vous pouvez éventuellement créer des règles de réplication supplémentaires. Pour de plus amples informations, veuillez consulter Exemples de configuration de la réplication en direct.

Identification du pourcentage d'octets de verrouillage d'objets

Avec le verrouillage des objets S3, vous pouvez stocker des objets selon un modèle Write Once Read Many (WORM). Vous pouvez utiliser le verrouillage des objets pour empêcher que des objets soient supprimés ou remplacés pendant une durée déterminée ou indéfinie. Vous pouvez activer le verrouillage des objets uniquement lorsque vous créez un compartiment et activez également la gestion des versions S3. Toutefois, vous pouvez modifier la période de conservation pour des versions d'objet individuelles ou appliquer des restrictions légales aux compartiments pour lesquels le verrouillage des objets est activé. Pour de plus amples informations, veuillez consulter Utilisation du verrouillage des objets S3.

Vous pouvez utiliser les métriques de verrouillage d'objets dans S3 Storage Lens pour voir la métrique % Object Lock bytes (% d'octets de verrouillage d'objets) pour votre compte ou votre organisation. Vous pouvez utiliser ces informations pour identifier les compartiments de votre compte ou de votre organisation qui ne respectent pas vos bonnes pratiques de protection des données.

1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

2. Dans le panneau de navigation de gauche, choisissez Storage Lens, Dashboards (Tableaux de bord).

3. Dans la liste Dashboards (Tableaux de bord), choisissez le nom du tableau de bord que vous souhaitez afficher.

4. Dans la section Snapshot (Instantané), sous Metrics categories (Catégories de métriques), choisissez Data protection (Protection des données).

   La section Snapshot (Instantané) est mise à jour pour afficher les métriques sur la protection des données, notamment la métrique % Object Lock bytes (% d'octets de verrouillage d'objets). Vous pouvez voir le pourcentage global d'octets de verrouillage d'objets pour votre compte ou votre organisation.

5. Pour voir la métrique % Object Lock bytes (% d'octets de verrouillage d'objets) par compartiment, faites défiler la page vers le bas jusqu'à la section Top N overview (Aperçu des N éléments principaux).

   Pour obtenir des données au niveau des objets pour le verrouillage d'objets, vous pouvez également utiliser les métriques Object Lock object count (Nombre d'objets de verrouillage d'objets) et % Object Lock objects (% d'objets avec verrouillage d'objets).

6. Pour Metric (Métrique), choisissez % Object Lock bytes (% d'octets de verrouillage d'objets) dans la catégorie Data protection (Protection des données).

   Par défaut, la section Top N overview for date (Aperçu des N éléments principaux pour date) affiche les métriques des 3 principaux compartiments. Dans le champ Top N (N éléments principaux), vous pouvez augmenter le nombre de compartiments. La section Top N overview for date (Aperçu des N éléments principaux pour date) indique également la variation en pourcentage par rapport à la journée ou à la semaine précédente et une ligne étincelante pour visualiser la tendance. Cette tendance est une tendance sur 14 jours pour les métriques gratuites et une tendance sur 30 jours pour les métriques et recommandations avancées.

   Note

   Grâce aux métriques et recommandations avancées S3 Storage Lens, les métriques sont disponibles pour les requêtes pendant 15 mois. Pour de plus amples informations, veuillez consulter Sélection des métriques.

7. Passez en revue les données suivantes pour % Object Lock bytes (% d'octets de verrouillage d'objets) :

   • Top number accounts (nombre comptes principaux) ‐ Découvrez quels comptes ont la métrique % Object Lock bytes (% d'octets de verrouillage d'objets) la plus élevée et la plus faible.

   • Top number Regions (nombre régions principales) ‐ Affichez une répartition de la métrique % Object Lock bytes (% d'octets de verrouillage d'objets) par région.

   • Top number buckets (nombre compartiments principaux) ‐ Découvrez quels compartiments ont la métrique % Object Lock bytes (% d'octets de verrouillage d'objets) la plus élevée et la plus faible.