Configurazione di Amazon S3 Inventory - Amazon Simple Storage Service
Configurazione di Amazon S3 InventoryPolicy del bucket di destinazioneConcessione ad Amazon S3 dell'autorizzazione per l'utilizzo della chiave gestita dal cliente per la crittografiaConfigurazione dell'inventario utilizzando la console S3Utilizzo di REST API per utilizzare Inventario S3

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di Amazon S3 Inventory

Amazon S3 Inventory fornisce un elenco di tipo file flat contenente oggetti e metadati in base a una pianificazione definita. Puoi utilizzare S3 Inventory come alternativa pianificata all'operazione API sincrona List di Amazon S3. S3 Inventory fornisce file di output con valori separati da virgole (CSV), in Apacheformato ORC (Optimized Row Columnar) o in formato Apache Parquet (Parquet) che elencano gli oggetti e i metadati corrispondenti.

Puoi configurare S3 Inventory per creare elenchi di inventario su base giornaliera o settimanale per un bucket S3 o per oggetti che condividono un prefisso (oggetti con nomi che iniziano con la stessa stringa). Per ulteriori informazioni, consulta Amazon S3 Inventory.

In questa sezione viene descritto come configurare un inventario inserendo le informazioni sui bucket di origine e destinazione dell'inventario.

Panoramica

Amazon S3 Inventory semplifica la gestione dell'archiviazione tramite la creazione di elenchi di oggetti in un bucket S3 in base a una pianificazione definita. È possibile configurare diversi elenchi di inventario per un bucket. Gli elenchi di inventario sono pubblicati su file CSV, ORC o Parquet in un bucket di destinazione.

Il modo più semplice per configurare un inventario è utilizzare la console Amazon S3, ma puoi anche utilizzare l'API REST di Amazon S3 AWS Command Line Interface ,AWS CLI() o gli SDK. AWS La console effettua la prima fase della seguente procedura: l'aggiunta di una policy di bucket al bucket di destinazione.

Per configurare un Amazon S3 Inventory per un bucket S3

  1. Aggiungere una policy di bucket per il bucket di destinazione.

    È necessario creare una policy sul bucket di destinazione che conceda le autorizzazioni ad Amazon S3 per scrivere oggetti nel bucket nella posizione definita. Per un esempio di policy, consulta Concedere autorizzazioni per S3 Inventory e S3 Analytics.

  2. Configurare un inventario per elencare gli oggetti in un bucket di origine e pubblicare l'elenco su un bucket di destinazione.

    Quando si configura un elenco di inventario per un bucket di origine, viene specificato il bucket di destinazione dove si intende archiviare l'elenco, indicando se si vuole generare l'elenco giornalmente o settimanalmente. Puoi anche configurare se elencare tutte le versioni degli oggetti o solo le versioni correnti e quali metadati degli oggetti includere.

    Alcuni campi di metadati degli oggetti nelle configurazioni dei report di S3 Inventory sono facoltativi, il che significa che sono disponibili per impostazione predefinita, ma possono essere limitati quando si concede l'autorizzazione a un utente. s3:PutInventoryConfiguration Puoi controllare se gli utenti possono includere questi campi di metadati opzionali nei loro report utilizzando la chiave di condizione. s3:InventoryAccessibleOptionalFields

    Per ulteriori informazioni sui campi di metadati opzionali disponibili in S3 Inventory, consulta OptionalFieldsAmazon Simple Storage Service API Reference. Per ulteriori informazioni sulla limitazione dell'accesso a determinati campi di metadati opzionali in una configurazione di inventario, consulta. Controlla la creazione della configurazione dei report di S3 Inventory

    Puoi specificare che il file della lista di inventario sia crittografato utilizzando la crittografia lato server con una chiave gestita Amazon S3 (SSE-S3) o AWS Key Management Service una () chiave gestita dal cliente AWS KMS(SSE-KMS).

    Nota

    Il Chiave gestita da AWS (aws/s3) non è supportato per la crittografia SSE-KMS con S3 Inventory.

    Per ulteriori informazioni su SSE-S3 e SSE-KMS, consulta Protezione dei dati con la crittografia lato server. Se si intende utilizzare la crittografia SSE-KMS, consulta la Fase 3.

  3. Per crittografare il file dell'elenco di inventario con SSE-KMS, concedi a Simple Storage Service (Amazon S3) l'autorizzazione per l'utilizzo della AWS KMS key.

    Puoi configurare la crittografia per il file dell'elenco di inventario utilizzando la console Amazon S3, l'API REST AWS CLI di Amazon S3 o gli SDK. AWS Indipendentemente dalla soluzione scelta, devi concedere ad Amazon S3 l'autorizzazione per l'utilizzo della chiave gestita dal cliente per crittografare il file di inventario. Per concedere ad Amazon S3 l'autorizzazione, modifica la policy della chiave gestita dal cliente che desideri utilizzare per crittografare il file di inventario. Per ulteriori informazioni, consulta Concessione ad Amazon S3 dell'autorizzazione per l'utilizzo della chiave gestita dal cliente per la crittografia.

    Il bucket di destinazione in cui è archiviato il file dell'elenco di inventario può essere di proprietà di un Account AWS  diverso rispetto all'account che possiede il bucket di origine. Se utilizzi la crittografia SSE-KMS per le operazioni tra account di Amazon S3 Inventory, ti consigliamo di utilizzare una chiave ARN KMS completamente qualificata quando configuri l'inventario S3. Per ulteriori informazioni, consulta Utilizzo della crittografia SSE-KMS per operazioni multi-account e ServerSideEncryptionByDefault nella Documentazione di riferimento delle API Amazon Simple Storage Service.

Creazione di una policy di bucket di destinazione

Se crei la configurazione dell'inventario tramite la console Amazon S3, Amazon S3 crea automaticamente una policy di bucket sul bucket di destinazione che concede ad Amazon S3 l'autorizzazione di scrittura. Tuttavia, se crei la configurazione dell'inventario tramite gli AWS CLI AWS SDK o l'API REST di Amazon S3, devi aggiungere manualmente una bucket policy sul bucket di destinazione. Per ulteriori informazioni, consulta Concedere autorizzazioni per S3 Inventory e S3 Analytics. La policy S3 Inventory destination bucket consente ad Amazon S3 di scrivere i dati per i report di inventario nel bucket.

Se si verifica un errore quando si tenta di creare la policy del bucket, vengono fornite le istruzioni su come correggerlo. Ad esempio, se scegli un bucket di destinazione in un altro Account AWS e non disponi delle autorizzazioni per leggere e scrivere nella policy del bucket, viene visualizzato un messaggio di errore.

In questo caso, il proprietario del bucket di destinazione deve aggiungere la policy del bucket al bucket di destinazione. Se la policy non viene aggiunta al bucket di destinazione, non si otterrà alcun report di inventario, in quanto Amazon S3 non dispone dell'autorizzazione di scrittura per il bucket di destinazione. Se il bucket di origine è di proprietà di un account diverso da quello dell'utente attuale, l'ID account corretto del proprietario del bucket di origine verrà sostituito nella policy.

Concessione ad Amazon S3 dell'autorizzazione per l'utilizzo della chiave gestita dal cliente per la crittografia

Per concedere ad Amazon S3 l'autorizzazione a utilizzare la tua chiave gestita dal cliente AWS Key Management Service (AWS KMS) per la crittografia lato server, devi utilizzare una policy di chiave. Per aggiornare la policy della chiave in modo da poter utilizzare la chiave gestita dal cliente, completa la procedura seguente.

Per concedere ad Amazon S3 le autorizzazioni di crittografia utilizzando la chiave gestita dal cliente

  1. Utilizzando la Account AWS chiave proprietaria della chiave gestita dal cliente, accedi a. AWS Management Console

  2. Apri la AWS KMS console all'indirizzo https://console.aws.amazon.com/kms.

  3. Per modificare la Regione AWS, usa il selettore della regione nell'angolo superiore destro della pagina.

  4. Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.

  5. In Chiavi gestite dal cliente, scegli la chiave gestita dal cliente che desideri utilizzare per crittografare i file inventario.

  6. Nella sezione Key Policy (Policy chiave), scegliere Switch to policy view (Passa alla visualizzazione della policy).

  7. Per aggiornare la policy chiave, seleziona Modifica.

  8. Nella pagina Modifica policy delle chiavi, aggiungi le seguenti righe alla policy della chiave esistente. Per source-account-id e DOC-EXAMPLE-SOURCE-BUCKET, fornisci i valori appropriati per il tuo caso d'uso.

    {
    "Sid": "Allow Amazon S3 use of the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "s3.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition":{
      "StringEquals":{
         "aws:SourceAccount":"source-account-id"
     },
      "ArnLike":{
        "aws:SourceARN": "arn:aws:s3:::DOC-EXAMPLE-SOURCE-BUCKET"
     }
   }
}

  9. Seleziona Salvataggio delle modifiche.

Per ulteriori informazioni sulla creazione di chiavi gestite dal cliente e sull'utilizzo delle policy delle chiavi, consulta i seguenti collegamenti nella Guida per Developer di AWS Key Management Service :

Configurazione dell'inventario utilizzando la console S3

Segui queste istruzioni per configurare l'inventario utilizzando la console S3.

Nota

La consegna del primo report di inventario Amazon S3 può richiedere fino a 48 ore.

  1. Accedi AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

  2. Nel pannello di navigazione a sinistra, scegli Buckets (Bucket). Nell'elenco Bucket seleziona il nome del bucket per cui desideri configurare Inventario Amazon S3.

  3. Scegliere la scheda Management (Gestione),

  4. In Configurazioni inventario seleziona Crea configurazione inventario.

  5. Specifica un nome in Nome della configurazione dell'inventario.

  6. Per Ambito dell'inventario, esegui le operazioni descritte di seguito.

    • Immetti un prefisso facoltativo.

    • Scegli quali versioni dell'oggetto includere, Solo versioni correnti o Includi tutte le versioni.

  7. In Dettagli report scegli la posizione dell'account Account AWS in cui desideri salvare i report: Questo account o Un account diverso.

  8. In Destinazione, scegli il bucket di destinazione in cui desideri salvare i report di inventario.

    Il bucket di destinazione deve trovarsi nello Regione AWS stesso bucket per il quale stai configurando l'inventario. Il bucket di destinazione può trovarsi in un diverso Account AWS. Quando specifichi il bucket di destinazione, puoi anche includere un prefisso opzionale per raggruppare insiemi i report di inventario.

    Nel campo Bucket di destinazione viene visualizzata l'istruzione Autorizzazione del bucket di destinazione che viene aggiunta alla policy del bucket di destinazione per consentire ad Amazon S3 di inserire i dati in tale bucket. Per ulteriori informazioni, consulta Creazione di una policy di bucket di destinazione.

  9. In Frequenza, seleziona la frequenza con cui verrà generato il report: Giornaliero o Settimanale.

  10. Per Formato di output, scegli uno dei seguenti formati per il report:

    • CSV: se prevedi di utilizzare questo report di inventario con Operazioni in batch S3 o se desideri analizzare questo report in un altro strumento, come Microsoft Excel, scegli CSV.

    • Apache ORC

    • Apache Parquet

  11. In Stato seleziona Abilita o Disabilita.

  12. Per configurare la crittografia lato server, in Crittografia dei report di inventario, segui la procedura riportata sotto:

    1. In Crittografia lato server, scegli Non specificare una chiave di crittografia o Specificare una chiave di crittografia per crittografare i dati.

      • Per conservare le impostazioni relative ai bucket per la crittografia predefinita degli oggetti lato server durante l'archiviazione in Amazon S3, scegli Non specificare una chiave di crittografia. Finché nella destinazione del bucket sono abilitate le chiavi bucket S3, l'operazione di copia applica la chiave bucket S3 al bucket di destinazione.

        Nota

        Se la policy del bucket per la destinazione specificata richiede la crittografia degli oggetti prima di archiviarli in Amazon S3, devi scegliere Specificare una chiave di crittografia. In caso contrario, la copia degli oggetti nella destinazione avrà esito negativo.

      • Per crittografare gli oggetti prima di archiviarli in Amazon S3, scegli Specifica una chiave di crittografia.

    2. Se hai scelto Specificare una chiave di crittografia, in Tipo di crittografia, devi scegliere una chiave gestita Amazon S3 (SSE-S3) o AWS Key Management Service una chiave (SSE-KMS).

      Per crittografare gli oggetti, SSE-S3 utilizza una delle cifrature di blocco più complesse, lo standard di crittografia avanzata a 256 bit (AES-256). SSE-KMS garantisce un maggiore controllo sulla chiave. Per ulteriori informazioni su SSE-S3, consulta Uso della crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3). Per ulteriori informazioni su SSE-KMS, consulta Utilizzo della crittografia lato server con chiavi (SSE-KMS) AWS KMS.

      Nota

      Per crittografare il file elenco inventario con SSE-KMS, devi impostare Amazon S3 in modo che possa utilizzare la chiave gestita dal cliente. Per le istruzioni, consulta la sezione Concedere ad Amazon S3 l'autorizzazione delle chiavi KMS per la crittografia.

    3. Se hai scelto AWS Key Management Service la chiave (SSE-KMS), sotto AWS KMS key, puoi specificare la tua chiave tramite una delle seguenti opzioni. AWS KMS

      Nota

      Se il bucket di destinazione che memorizza il file dell'elenco di inventario è di proprietà di un altro Account AWS, assicurati di utilizzare una chiave KMS ARN completa per specificare la tua chiave KMS.

      • Per scegliere da un elenco di chiavi KMS disponibili, scegli tra le tue AWS KMS chiavi e scegli una chiave KMS con crittografia simmetrica dall'elenco delle chiavi disponibili. Assicurati che la chiave KMS si trovi nella stessa regione del tuo bucket.

        Nota

        Nell'elenco vengono visualizzate sia la chiave Chiave gestita da AWS (aws/s3) che quella gestita dai clienti. Tuttavia, Chiave gestita da AWS (aws/s3) non è supportato per la crittografia SSE-KMS con S3 Inventory.

      • Per inserire l'ARN della chiave KMS, scegli Inserisci la AWS KMS chiave ARN e inserisci l'ARN della chiave KMS nel campo visualizzato.

      • Per creare una nuova chiave gestita dal cliente nella AWS KMS console, scegli Crea una chiave KMS.

  13. Per Campi di metadati aggiuntivi, seleziona una o più delle seguenti opzioni per aggiungere il report di inventario:

    • Dimensione: la dimensione dell'oggetto in byte, esclusa la dimensione dei caricamenti incompleti in più parti, dei metadati degli oggetti e dei contrassegni di eliminazione.

    • Data dell'ultima modifica: la più recente tra la data di creazione dell'oggetto o la data dell'ultima modifica.

    • Caricamento in più parti: specifica che l'oggetto è stato caricato in più parti. Per ulteriori informazioni, consulta Caricamento e copia di oggetti utilizzando il caricamento in più parti.

    • Stato di replica: lo stato di replica dell'oggetto. Per ulteriori informazioni, consulta Ottenimento delle informazioni sullo stato della replica.

    • Stato crittografia: il tipo di crittografia lato server utilizzata per crittografare l'oggetto. Per ulteriori informazioni, consulta Protezione dei dati con la crittografia lato server.

    • Stato della chiave del bucket: indica se una chiave a livello di bucket generata da AWS KMS si applica all'oggetto. Per ulteriori informazioni, consulta Riduzione del costo di SSE-KMS con le chiavi bucket Amazon S3.

    • Elenco di controllo dell'accesso agli oggetti: una lista di controllo degli accessi (ACL) per ogni oggetto che definisce a quali Account AWS o gruppi è concesso l'accesso a questo oggetto e il tipo di accesso concesso. Per ulteriori informazioni su questo campo, consulta Utilizzo del campo ACL oggetto. Per ulteriori informazioni sulle ACL, consulta Panoramica delle liste di controllo accessi (ACL).

    • Proprietario dell'oggetto: il proprietario dell'oggetto.

    • Classe di archiviazione: la classe di archiviazione utilizzata per archiviare l'oggetto.

    • Intelligent-Tiering: livello di accesso: indica il livello di accesso (frequente o raro) dell'oggetto se è stato archiviato nella classe di archiviazione S3 Intelligent-Tiering. Per ulteriori informazioni, consulta Classe di storage per ottimizzare automaticamente i dati con modelli di accesso variabili o sconosciuti.

    • ETag: il tag di entità (ETag) è un hash dell'oggetto. L'ETag riflette solo i cambiamenti ai contenuti di un oggetto, non ai suoi metadati. L'ETag potrebbe o meno essere un digest MD5 dei dati dell'oggetto. a seconda di come l'oggetto è stato creato e crittografato. Per ulteriori informazioni, consulta Object in Amazon Simple Storage Service API Reference (Guida di riferimento per l'API di Amazon Simple Storage Service).

    • Algoritmo di checksum: indica l'algoritmo usato per creare il checksum dell'oggetto.

    • Tutte le configurazioni di blocco degli oggetti: lo stato di blocco dell'oggetto, incluse le seguenti impostazioni:

      • Blocco degli oggetti: modalità di conservazione: il livello di protezione applicato all'oggetto, Governance o Conformità.

      • Blocco degli oggetti: mantenere fino alla data: data fino alla quale l'oggetto bloccato non può essere eliminato.

      • Blocco degli oggetti: status della conservazione di carattere legale: lo stato di conservazione ai fini legali dell'oggetto bloccato.

      Per ulteriori informazioni sul blocco degli oggetti S3, consulta Come funziona il blocco oggetti S3.

    Per ulteriori informazioni sul contenuto di un report di inventario, consulta Elenco di Amazon S3 Inventory.

    Per ulteriori informazioni sulla limitazione dell'accesso a determinati campi di metadati opzionali in una configurazione di inventario, vedere. Controlla la creazione della configurazione dei report di S3 Inventory

  14. Scegli Crea.

Quando viene pubblicato un elenco di inventario, puoi interrogare il file di elenco inventario con Amazon S3 Select. Per ulteriori informazioni su come individuare l'elenco di inventario e interrogare il file dell'elenco di inventario con Amazon S3 Select, consulta Individuazione dell'elenco inventario.

Utilizzo di REST API per utilizzare Inventario S3

Di seguito sono elencate le operazioni REST che puoi utilizzare per lavorare con Amazon S3 Inventory.