Mengonfigurasi Inventaris Amazon S3

Inventaris Amazon S3 menyediakan daftar file datar dari objek dan metadata, sesuai jadwal yang Anda tentukan. Anda dapat menggunakan S3 Inventory sebagai alternatif terjadwal untuk operasi sinkron Amazon S3 ListAPI. S3 Inventory menyediakan nilai yang dipisahkan koma (CSV), kolom baris yang Apache dioptimalkan (ORC), atau file Apache Parquet (Parquet)keluaran yang mencantumkan objek Anda dan metadata yang sesuai.

Anda dapat mengonfigurasi Inventaris S3 untuk membuat daftar inventaris setiap hari atau setiap minggu untuk bucket S3 atau untuk objek yang memiliki prefiks yang sama (objek yang memiliki nama yang diawali dengan string yang sama). Untuk informasi selengkapnya, lihat Inventaris Amazon S3.

Bagian ini menjelaskan cara mengonfigurasi inventaris, termasuk detail tentang sumber inventaris dan bucket tujuan.

Gambaran Umum

Inventaris Amazon S3 membantu Anda mengelola penyimpanan dengan membuat daftar objek dalam bucket S3 sesuai jadwal yang telah ditentukan. Anda dapat mengonfigurasi beberapa daftar inventaris untuk satu bucket. Daftar inventaris dipublikasikan ke CSVORC,, atau Parquet file dalam ember tujuan.

Cara termudah untuk mengatur inventaris adalah dengan menggunakan konsol Amazon S3, tetapi Anda juga dapat menggunakan Amazon REST API S3 AWS Command Line Interface ,AWS CLI(), atau. AWS SDKs Konsol menjalankan langkah pertama dari prosedur berikut ini untuk Anda: menambahkan kebijakan bucket ke bucket tujuan.

Untuk menyiapkan Inventaris Amazon S3 untuk bucket S3

1. Tambahkan kebijakan bucket untuk bucket tujuan.

   Anda harus membuat kebijakan bucket di bucket tujuan yang memberikan izin ke Amazon S3 untuk menulis objek ke bucket di lokasi yang ditentukan. Untuk contoh kebijakan, lihat Berikan izin untuk Inventaris S3 dan analitik S3.

2. Konfigurasikan inventaris untuk mencantumkan objek dalam bucket sumber dan terbitkan daftar tersebut ke bucket tujuan.

   Ketika mengkonfigurasi daftar inventaris untuk bucket sumber, Anda perlu menentukan bucket tujuan untuk menyimpan daftar tersebut, dan apakah Anda ingin membuat daftar tersebut secara harian atau mingguan. Anda juga dapat mengonfigurasi apakah akan mencantumkan semua versi objek atau hanya versi saat ini dan metadata objek apa yang akan disertakan.

   Beberapa bidang metadata objek dalam konfigurasi laporan Inventaris S3 bersifat opsional, artinya tersedia secara default tetapi dapat dibatasi saat Anda memberikan izin kepada pengguna. s3:PutInventoryConfiguration Anda dapat mengontrol apakah pengguna dapat menyertakan bidang metadata opsional ini dalam laporan mereka dengan menggunakan kunci s3:InventoryAccessibleOptionalFields kondisi.

   Untuk informasi selengkapnya tentang bidang metadata opsional yang tersedia di Inventaris S3, lihat di OptionalFieldsReferensi Layanan Penyimpanan Sederhana Amazon. API Untuk informasi selengkapnya tentang membatasi akses ke bidang metadata opsional tertentu dalam konfigurasi inventaris, lihat. Kontrol pembuatan konfigurasi laporan Inventaris S3

   Anda dapat menentukan bahwa file daftar inventaris dienkripsi menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) atau () kunci terkelola pelanggan (-). AWS Key Management Service AWS KMS SSE KMS

   catatan

   The Kunci yang dikelola AWS (aws/s3) tidak didukung untuk SSE - KMS enkripsi dengan S3 Inventory.

   Untuk informasi lebih lanjut tentang SSE -S3 dan SSE -KMS, lihat. Melindungi data dengan enkripsi di sisi klien Jika Anda berencana untuk menggunakan SSE - KMS enkripsi, lihat Langkah 3.

   • Untuk informasi tentang cara menggunakan konsol untuk mengonfigurasi daftar inventaris, lihat Mengonfigurasi inventaris dengan menggunakan konsol S3.

   • Untuk menggunakan Amazon S3 API untuk mengonfigurasi daftar inventaris, gunakan PutBucketInventoryConfigurationRESTAPIoperasi atau yang setara dari atau. AWS CLI AWS SDKs

3. Untuk mengenkripsi file daftar inventaris dengan SSE -KMS, berikan izin Amazon S3 untuk menggunakan file. AWS KMS key

   Anda dapat mengonfigurasi enkripsi untuk file daftar inventaris dengan menggunakan konsol Amazon S3, Amazon REST API S3 AWS CLI, atau. AWS SDKs Apa pun cara yang dipilih, Anda harus memberikan izin kepada Amazon S3 untuk menggunakan CMK agar dapat mengenkripsi file inventaris. Berikan izin kepada Amazon S3 dengan memodifikasi kebijakan kunci untuk CMK yang ingin Anda gunakan untuk mengenkripsi file inventaris. Untuk informasi selengkapnya, lihat Memberikan izin kepada Amazon S3 untuk menggunakan CMK untuk enkripsi.

   Bucket tujuan yang menyimpan file daftar inventaris dapat dimiliki oleh Akun AWS yang berbeda dari akun yang memiliki bucket sumber. Jika Anda menggunakan SSE - KMS enkripsi untuk operasi lintas akun Inventaris Amazon S3, kami sarankan Anda menggunakan ARN kunci yang sepenuhnya KMS memenuhi syarat saat mengonfigurasi inventaris S3. Untuk informasi selengkapnya, lihat Menggunakan SSE - KMS enkripsi untuk operasi lintas akun dan ServerSideEncryptionByDefaultdi APIReferensi Layanan Penyimpanan Sederhana Amazon.

Membuat kebijakan bucket tujuan

Jika membuat konfigurasi inventaris melalui konsol Amazon S3, Amazon S3 secara otomatis membuat kebijakan bucket pada bucket tujuan yang memberikan izin tulis ke bucket tersebut kepada Amazon S3. Namun, jika Anda membuat konfigurasi inventaris melalui AWS CLI, AWS SDKs, atau Amazon S3 RESTAPI, Anda harus menambahkan kebijakan bucket secara manual di bucket tujuan. Untuk informasi selengkapnya, lihat Berikan izin untuk Inventaris S3 dan analitik S3. Kebijakan bucket tujuan Inventaris S3 memungkinkan Amazon S3 menulis data untuk laporan inventaris ke bucket.

Jika terjadi kesalahan saat mencoba membuat kebijakan bucket, Anda akan diberi petunjuk tentang cara memperbaikinya. Misalnya, jika Anda memilih bucket tujuan di bucket lain Akun AWS dan tidak memiliki izin untuk membaca dan menulis ke kebijakan bucket, Anda akan melihat pesan galat.

Dalam hal ini, pemilik bucket tujuan harus menambahkan kebijakan bucket ke bucket tujuan. Jika kebijakan tidak ditambahkan ke bucket tujuan, Anda tidak akan mendapatkan laporan inventaris karena Amazon S3 tidak memiliki izin untuk menulis ke bucket tujuan. Jika bucket sumber dimiliki oleh akun yang berbeda dengan akun pengguna saat ini, ID akun yang benar dari pemilik bucket sumber harus diganti dalam kebijakan.

Memberikan izin kepada Amazon S3 untuk menggunakan CMK untuk enkripsi

Untuk memberikan izin Amazon S3 untuk menggunakan AWS Key Management Service (AWS KMS) kunci terkelola pelanggan untuk enkripsi sisi server, Anda harus menggunakan kebijakan kunci. Untuk memperbarui kebijakan kunci agar Anda dapat menggunakan CMK, gunakan prosedur berikut ini.

Untuk memberikan izin Amazon S3 untuk mengenkripsi dengan menggunakan kunci terkelola pelanggan Anda

1. Menggunakan Akun AWS yang memiliki kunci yang dikelola pelanggan, masuk ke. AWS Management Console

2. Buka AWS KMS konsol di https://console.aws.amazon.com/kms.

3. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

4. Di panel navigasi kiri, pilih CMK.

5. Di bawah CMK, pilih kunci yang dikelola pelanggan yang ingin Anda gunakan untuk mengenkripsi file inventaris.

6. Di bagian Kebijakan Kunci, pilih Beralih ke tampilan kebijakan.

7. Untuk memperbarui kebijakan kunci, pilih Edit.

8. Pada halaman Edit kebijakan kunci, tambahkan baris berikut ke kebijakan kunci yang ada. Untuk source-account-id dan amzn-s3-demo-source-bucket, berikan nilai yang sesuai untuk kasus penggunaan Anda.

   {
       "Sid": "Allow Amazon S3 use of the customer managed key",
       "Effect": "Allow",
       "Principal": {
           "Service": "s3.amazonaws.com"
       },
       "Action": [
           "kms:GenerateDataKey"
       ],
       "Resource": "*",
       "Condition":{
         "StringEquals":{
            "aws:SourceAccount":"source-account-id"
        },
         "ArnLike":{
           "aws:SourceARN": "arn:aws:s3:::amzn-s3-demo-source-bucket"
        }
      }
   }

9. Pilih Simpan perubahan.

Untuk informasi selengkapnya tentang membuat CMK dan menggunakan kebijakan kunci, lihat tautan berikut di Panduan Developer AWS Key Management Service :

• Mengelola kunci

• Kebijakan utama di AWS KMS

Mengonfigurasi inventaris dengan menggunakan konsol S3

Gunakan petunjuk ini untuk mengonfigurasi inventaris dengan menggunakan konsol S3.

catatan

Amazon S3 akan membutuhkan waktu hingga 48 jam untuk mengirimkan laporan inventaris pertama.

1. Masuk ke AWS Management Console dan buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/

2. Di panel navigasi kiri, pilih Bucket. Di daftar Bucket, pilih nama bucket yang ingin Anda konfigurasikan untuk Inventaris Amazon S3.

3. Pilih tab Manajemen.

4. Di bawah Konfigurasi inventaris, pilih Buat konfigurasi inventaris.

5. Untuk Nama konfigurasi inventaris, masukkan nama.

6. Untuk Cakupan inventaris, lakukan hal berikut:

   • Masukkan prefiks opsional.

   • Pilih versi objek yang akan disertakan, baik Versi saat ini saja atau Sertakan semua versi.

7. Di bawah Detail laporan, pilih lokasi Akun AWS tempat Anda ingin menyimpan laporan: Akun ini atau Akun lain.

8. Di bawah Tujuan, pilih bucket tujuan tempat Anda ingin menyimpan laporan inventaris.

   Bucket tujuan harus Wilayah AWS sama dengan ember tempat Anda menyiapkan inventaris. Bucket tujuan dapat berada di Akun AWS yang berbeda. Saat menentukan bucket tujuan, Anda juga dapat menyertakan prefiks opsional untuk mengelompokkan laporan inventaris Anda.

   Di bawah bidang bucket Tujuan, terdapat pernyataan Izin bucket tujuan yang ditambahkan ke kebijakan bucket tujuan agar Amazon S3 dapat menempatkan data di bucket tersebut. Untuk informasi selengkapnya, lihat Membuat kebijakan bucket tujuan.

9. Di bawah Frekuensi, pilih seberapa sering laporan akan dibuat: Harian atau Mingguan.

10. Untuk Format output, pilih salah satu format berikut untuk laporan:

    • CSVJika Anda berencana untuk menggunakan laporan inventaris ini dengan Operasi Batch S3 atau jika Anda ingin menganalisis laporan ini di alat lain, seperti Microsoft Excel, pilih CSV.

    • Apache ORC

    • Apache Parquet

11. Di bawah Status, pilih Aktifkan atau Nonaktifkan.

12. Untuk mengonfigurasi enkripsi di sisi server, Enkripsi laporan inventaris, ikuti langkah-langkah berikut:

    1. Di bawah Enkripsi sisi server, pilih Jangan tentukan kunci enkripsi atau Tentukan kunci enkripsi untuk mengenkripsi data.

       • Agar pengaturan bucket tetap menggunakan enkripsi di sisi server default untuk objek saat menyimpannya di Amazon S3, pilih Jangan tentukan kunci enkripsi. Selama tujuan bucket telah mengaktifkan Kunci Bucket S3, operasi penyalinan akan menerapkan Kunci Bucket S3 di bucket tujuan.

         catatan

         Jika kebijakan bucket untuk tujuan yang ditentukan mengharuskan objek dienkripsi sebelum menyimpannya di Amazon S3, Anda harus memilih Tentukan kunci enkripsi. Jika tidak, penyalinan objek ke tujuan akan gagal.

       • Untuk mengenkripsi objek sebelum menyimpannya di Amazon S3, pilih Tentukan kunci enkripsi.

    2. Jika Anda memilih Tentukan kunci enkripsi, di bawah Jenis enkripsi, Anda harus memilih kunci terkelola Amazon S3 (SSE-S3) atau AWS Key Management Service kunci (-). SSE KMS

       SSE-S3 menggunakan salah satu cifer blok terkuat—256-bit Advanced Encryption Standard (AES-256) untuk mengenkripsi setiap objek. SSE- KMS memberi Anda kontrol lebih besar atas kunci Anda. Untuk informasi lebih lanjut tentang SSE -S3, lihat. Menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (-S3) SSE Untuk informasi lebih lanjut tentang SSE -KMS, lihatMenggunakan enkripsi sisi server dengan AWS KMS kunci (-) SSE KMS.

       catatan

       Untuk mengenkripsi file daftar inventaris dengan SSE -KMS, Anda harus memberikan izin Amazon S3 untuk menggunakan kunci yang dikelola pelanggan. Untuk petunjuk, lihat Memberikan Izin Amazon S3 untuk Mengenkripsi Menggunakan Kunci Anda. KMS

    3. Jika Anda memilih AWS Key Management Service key (SSE-KMS), di bawah AWS KMS key, Anda dapat menentukan AWS KMS kunci Anda melalui salah satu opsi berikut.

       catatan

       Jika bucket tujuan yang menyimpan file daftar inventaris dimiliki oleh yang berbeda Akun AWS, pastikan Anda menggunakan KMS kunci yang memenuhi syarat ARN untuk menentukan KMS kunci Anda.

       • Untuk memilih dari daftar KMS kunci yang tersedia, pilih Pilih dari AWS KMS kunci Anda, dan pilih kunci enkripsi simetris dari daftar KMS kunci yang tersedia. Pastikan KMS kuncinya ada di Wilayah yang sama dengan ember Anda.

         catatan

         Kunci Kunci yang dikelola AWS (aws/s3) dan kunci terkelola pelanggan Anda muncul dalam daftar. Namun, Kunci yang dikelola AWS (aws/s3) tidak didukung untuk SSE - KMS enkripsi dengan S3 Inventory.

       • Untuk memasukkan KMS kunciARN, pilih AWS KMS tombol Enter ARN, dan masukkan KMS kunci Anda ARN di bidang yang muncul.

       • Untuk membuat kunci terkelola pelanggan baru di AWS KMS konsol, pilih Buat KMS kunci.

13. Untuk Bidang metadata tambahan, pilih satu atau beberapa hal berikut untuk ditambahkan ke laporan inventaris:

    • Ukuran–Ukuran objek dalam byte, tidak termasuk ukuran unggahan multibagian yang tidak lengkap, metadata objek, dan penanda hapus.

    • Tanggal terakhir diubah–Tanggal pembuatan objek atau tanggal modifikasi terakhir, mana pun yang terbaru.

    • Unggahan multibagian–Menentukan bahwa objek diunggah sebagai unggahan multibagian. Untuk informasi selengkapnya, lihat Mengunggah dan menyalin objek menggunakan unggahan multibagian.

    • Status replikasi–Status replikasi objek. Untuk informasi selengkapnya, lihat Mendapatkan informasi status replikasi.

    • Status enkripsi–Jenis enkripsi di sisi server yang digunakan untuk mengenkripsi objek. Untuk informasi selengkapnya, lihat Melindungi data dengan enkripsi di sisi klien.

    • Status Kunci Bucket - Menunjukkan apakah kunci tingkat ember yang dihasilkan oleh AWS KMS berlaku untuk objek. Untuk informasi selengkapnya, lihat Mengurangi biaya SSE - KMS dengan Amazon S3 Bucket Keys.

    • Daftar kontrol akses objek — Daftar kontrol akses (ACL) untuk setiap objek yang mendefinisikan Akun AWS atau grup mana yang diberikan akses ke objek ini dan jenis akses yang diberikan. Untuk informasi selengkapnya tentang bidang ini, lihat Menggunakan bidang ACL Objek . Untuk informasi selengkapnya tentang ACLs, lihat Ikhtisar daftar kontrol akses (ACL).

    • Pemilik objek–Pemilik objek.

    • Kelas penyimpanan–Kelas penyimpanan yang digunakan untuk menyimpan objek.

    • Intelligent-Tiering: Tingkat Akses–Menunjukkan tingkat akses (sering atau jarang) dari objek jika disimpan di kelas penyimpanan Intelligent-Tiering S3. Untuk informasi selengkapnya, lihat Kelas penyimpanan untuk mengoptimalkan data secara otomatis dengan pola akses yang berubah atau tidak diketahui.

    • ETagTag entitas (ETag) adalah hash dari objek. ETagMerefleksikan perubahan hanya pada isi objek, bukan metadatanya. ETagMungkin atau mungkin bukan MD5 intisari data objek. Ketentuannya tergantung pada bagaimana objek dibuat dan bagaimana objek dienkripsi. Untuk informasi selengkapnya, lihat Objectdi APIReferensi Layanan Penyimpanan Sederhana Amazon.

    • Algoritme checksum–Menunjukkan algoritme yang digunakan untuk membuat checksum objek.

    • Semua konfigurasi Kunci Objek–Status Kunci Objek, termasuk pengaturan berikut:

      • Kunci Objek: Mode retensi–Tingkat perlindungan yang diterapkan pada objek, baik Tata Kelola atau Kepatuhan.

      • Kunci Objek: Pertahankan hingga tanggal–Tanggal hingga objek yang terkunci tidak dapat dihapus.

      • Kunci Objek: Status penyimpanan yang sah–Status penyimpanan yang sah objek yang terkunci.

      Untuk informasi selngkapnya tentang Kunci Objek S3, lihat Cara kerja Kunci Objek S3.

    Untuk informasi selengkapnya tentang konten laporan inventaris, lihat Daftar Inventaris Amazon S3.

    Untuk informasi selengkapnya tentang membatasi akses ke bidang metadata opsional tertentu dalam konfigurasi inventaris, lihat. Kontrol pembuatan konfigurasi laporan Inventaris S3

14. Pilih Buat.

Menggunakan REST API untuk bekerja dengan S3 Inventory

Berikut ini adalah REST operasi yang dapat Anda gunakan untuk bekerja dengan Inventaris Amazon S3.

• DeleteBucketInventoryConfiguration

• GetBucketInventoryConfiguration

• ListBucketInventoryConfigurations

• PutBucketInventoryConfiguration