Configurazione di Amazon S3 Inventory - Amazon Simple Storage Service

Configurazione di Amazon S3 Inventory

Amazon S3 Inventory fornisce un elenco di file flat degli oggetti e dei metadati che costituisce un'alternativa pianificata all'operazione dell'API sincrona List di Amazon S3. Amazon S3 Inventory genera valori separati da virgola (CSV) o file di output Apache optimized row columnar (ORC) o Apache Parquet (Parquet) che elencano giornalmente o settimanalmente gli oggetti e i metadati corrispondenti per un bucket S3 o per oggetti che condividono un prefisso (oggetti con nomi che iniziano con la stessa stringa). Per ulteriori informazioni, consulta Inventario Amazon S3.

In questa sezione viene descritto come configurare un inventario inserendo le informazioni sui bucket di origine e destinazione dell'inventario.

Panoramica

Amazon S3 Inventory semplifica la gestione dell'archiviazione tramite la creazione di elenchi di oggetti in un bucket S3 in base a una pianificazione definita. È possibile configurare diversi elenchi di inventario per un bucket. Gli elenchi di inventario sono pubblicati su file CSV, ORC o Parquet in un bucket di destinazione.

Il modo più semplice per impostare un inventario è quello di utilizzare la AWS Management Console; tuttavia è possibile utilizzare l'API REST, la AWS CLI o gli SDK AWS. La console effettua la prima fase della seguente procedura: l'aggiunta di una policy di bucket al bucket di destinazione.

Per configurare un Amazon S3 Inventory per un bucket S3

  1. Aggiungere una policy di bucket per il bucket di destinazione.

    È necessario creare una policy del bucket nel bucket di destinazione per concedere le autorizzazioni ad Amazon S3 per la scrittura di oggetti nel bucket nella posizione definita. Per un esempio di policy, consulta Concessione delle autorizzazioni per l'Inventario Amazon S3 e le analisi dei dati di Amazon S3.

  2. Configurare un inventario per elencare gli oggetti in un bucket di origine e pubblicare l'elenco su un bucket di destinazione.

    Quando si configura un elenco di inventario per un bucket di origine, viene specificato il bucket di destinazione dove si intende archiviare l'elenco, indicando se si vuole generare l'elenco giornalmente o settimanalmente. È inoltre possibile configurare quali metadata dell'oggetto devono essere inclusi e se elencare tutte le versioni dell'oggetto o solo le versioni correnti.

    Puoi specificare che il file elenco inventario deve essere crittografato utilizzando una chiave gestita da Amazon S3 (SSE-S3) o una chiave AWS Key Management Service (AWS KMS) gestita dal cliente. Per ulteriori informazioni su SSE-S3 e SSE-KMS, consulta Protezione dei dati con la crittografia lato server. Se si intende utilizzare la crittografia SSE-KMS, consulta la Fase 3.

  3. Per crittografare il file dell'elenco di inventario con SSE-KMS, concedi a Simple Storage Service (Amazon S3) l'autorizzazione per l'utilizzo della AWS KMS key.

    È possibile configurare la crittografia per il file dell'elenco di inventario utilizzando la AWS Management Console, l'API REST, la AWS CLI o gli SDK AWS. Indipendentemente dalla soluzione scelta, devi concedere ad Amazon S3 l'autorizzazione per l'utilizzo della chiave gestita dal cliente per crittografare il file di inventario. Per concedere ad Amazon S3 l'autorizzazione, modifica la policy della chiave gestita dal cliente che desideri utilizzare per crittografare il file di inventario. Per ulteriori informazioni, consulta la sezione successiva Concessione ad Amazon S3 dell'autorizzazione per l'utilizzo della AWS KMS key per la crittografia.

  4. Per configurare l'inventario, consulta Configurazione dell'inventario utilizzando la console S3.

    Se utilizzi la crittografia per le operazioni su più account della configurazione dell'inventario di Amazon S3 nel bucket di destinazione, è necessario utilizzare l'ARN della chiave KMS completamente qualificata. Per ulteriori informazioni, consultaUtilizzo della crittografia per operazioni tra più account e ServerSideEncryptionByDefault.

Creazione di una policy di bucket di destinazione

Se crei la configurazione dell'inventario tramite la console S3, Amazon S3 crea automaticamente una policy di bucket sul bucket di destinazione che concede ad Amazon S3 l'autorizzazione di scrittura. Se crei la configurazione dell'inventario tramite la AWS CLI, gli SDK o l'API REST, è necessario aggiungere manualmente un policy di bucket sul bucket di destinazione. Per ulteriori informazioni, consulta Concessione delle autorizzazioni per l'Inventario Amazon S3 e le analisi dei dati di Amazon S3. La policy di bucket di destinazione di Amazon S3 Inventory consente ad Amazon S3 di scrivere dati per i report di inventario nel bucket.

Se si verifica un errore quando si tenta di creare la policy del bucket, vengono fornite le istruzioni su come correggerlo. Se ad esempio si sceglie un bucket di destinazione in un altro Account AWS e non si dispone delle autorizzazioni di lettura e scrittura per la policy del bucket, verrà visualizzato un messaggio di errore.

In questo caso, il proprietario del bucket di destinazione deve aggiungere la policy del bucket al bucket di destinazione. Se la policy non viene aggiunta al bucket di destinazione, non si otterrà alcun report di inventario, in quanto Amazon S3 non dispone dell'autorizzazione di scrittura per il bucket di destinazione. Se il bucket di origine è di proprietà di un account diverso da quello dell'utente attuale, l'ID account corretto del bucket di origine verrà sostituito nella policy.

Concessione ad Amazon S3 dell'autorizzazione per l'utilizzo della AWS KMS key per la crittografia

Per concedere ad Amazon S3 l'autorizzazione a eseguire la crittografia mediante una chiave AWS Key Management Service (AWS KMS) gestita dal cliente, devi utilizzare una policy di chiave. Per aggiornare la policy di chiave in modo da poter utilizzare una chiave gestita dal cliente, completa la procedura di seguito.

Per concedere le autorizzazioni per eseguire la crittografia utilizzando la chiave KMS
  1. Utilizzando l'account AWS che possiede la chiave gestita dal cliente, accedi alla AWS Management Console.

  2. Aprire la console AWS KMS all'indirizzo https://console.aws.amazon.com/kms.

  3. Per modificare la Regione AWS, utilizza il Selettore di regione nell'angolo in alto a destra della pagina.

  4. Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.

  5. In Customer managed keys (Chiavi gestite dal cliente), scegli la chiave gestita dal cliente che desideri utilizzare per crittografare il file di inventario.

  6. In Policy chiave, seleziona Passa alla visualizzazione della policy.

  7. Per aggiornare la policy chiave, seleziona Modifica.

  8. In Modifica policy della chiave, aggiungi la policy chiave seguente alla policy chiave esistente.

    { "Sid": "Allow Amazon S3 use of the KMS key", "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": [ "kms:GenerateDataKey" ], "Resource": "*", "Condition":{ "StringEquals":{ "aws:SourceAccount":"source-account-id" }, "ArnLike":{ "aws:SourceARN": "arn:aws:s3:::source-bucket-name" } } }
  9. Seleziona Salva modifiche.

Per ulteriori informazioni sulla creazione di chiavi gestite dal cliente e sull'utilizzo delle policy delle chiavi, consulta i seguenti collegamenti nella Guida per Developer di AWS Key Management Service:

Configurazione dell'inventario utilizzando la console S3

Segui queste istruzioni per configurare l'inventario utilizzando la console S3.

Nota

La consegna del primo report può richiedere fino a 48 ore.

  1. Accedi alla AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

  2. Nell'elenco Bucket seleziona il nome del bucket per cui desideri configurare Amazon S3 Inventory.

  3. Seleziona Gestione.

  4. In Configurazioni inventario seleziona Crea configurazione inventario.

  5. Specifica un nome in Nome configurazione inventario.

  6. Imposta Ambito Inventario:

    • Immetti un prefisso facoltativo.

    • Scegli le versioni dell'oggetto: Solo versioni correnti o Includi tutte le versioni.

  7. In Dettagli report scegli la posizione dell'account Account AWS in cui desideri salvare i report: Questo account o Un account diverso.

  8. In Destinazione seleziona il bucket di destinazione in cui desideri salvare i report.

    Il bucket di destinazione deve trovarsi nella stessa Regione AWS del bucket per cui si sta configurando l'inventario. Il bucket di destinazione può trovarsi in un diverso Account AWS. Nel campo Bucket di destinazione viene visualizzata l’Autorizzazione per il bucket destinazione che viene aggiunta alla policy del bucket di destinazione per consentire ad Amazon S3 di inserire i dati in quel bucket. Per ulteriori informazioni, consulta Creazione di una policy di bucket di destinazione.

  9. In Frequenza seleziona la frequenza con cui verrà generato il report: Giornaliero o Settimanale.

  10. Scegliere un'opzione per Output format (Formato di output) per il report:

    • CSV

    • Apache ORC

    • Apache Parquet

  11. In Stato seleziona Abilita o Disabilita.

  12. Per utilizzare la crittografia lato server, in Crittografia lato server completa la seguente procedura:

    1. Scegli Enable (Abilita).

    2. In Tipo di chiave di crittografia, scegli Chiave Amazon S3 (SSE-S3) o Chiave AWS Key Management Service (SSE-KMS).

      La crittografia lato server Amazon S3 utilizza lo standard di crittografia avanzata a 256 bit (AES-256). Per ulteriori informazioni, consulta Utilizzo della crittografia lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3). Per ulteriori informazioni su SSE-KMS, consulta Utilizzo della crittografia lato server con AWS Key Management Service (SSE-KMS).

    3. Per utilizzare una AWS KMS key, scegli una delle seguenti opzioni:

      • Choose from your AWS KMS keys (Scegli tra le chiavi KMS), quindi scegli la KMS key (Chiave KMS).

      • Enter AWS KMS key ARN (Inserisci ARN KMS) e inserisci l'ARN della chiave AWS KMS.

      Nota

      Per crittografare il file di inventario con SSE-KMS, devi concedere a Amazon S3 l'autorizzazione per l'uso della AWS KMS key. Pertanto, puoi utilizzare solo una chiave gestita dal cliente e non la chiave gestita da AWS (aws/s3). Per istruzioni, consultare Concessione ad Amazon S3 dell'autorizzazione per l'utilizzo della AWS KMS key per la crittografia.

  13. Per Campi aggiuntivi, seleziona una o più delle seguenti opzioni per aggiungere il report di inventario:

    • Dimensioni: le dimensioni dell'oggetto in byte.

    • Data dell'ultima modifica: la più recente tra la data di creazione dell'oggetto o la data dell'ultima modifica.

    • Classe di storage: la classe di storage utilizzata per archiviare l'oggetto.

    • ETag: il tag dell'entità è un hash dell'oggetto. L'ETag riflette solo i cambiamenti ai contenuti di un oggetto e non i relativi metadati. Questo ETag può o meno essere un digest MD5 dei dati oggetto, a seconda di come l'oggetto è stato creato e crittografato.

    • Caricamento in più parti: specifica che l'oggetto è stato caricato in più parti. Per ulteriori informazioni, consulta Caricamento e copia di oggetti utilizzando il caricamento in più parti.

    • Stato di replica: lo stato di replica dell'oggetto. Per ulteriori informazioni, consulta Utilizzo della console S3.

    • Stato crittografia: la crittografia lato server utilizzata per l'oggetto. Per ulteriori informazioni, consulta Protezione dei dati con la crittografia lato server.

    • Configurazioni del blocco oggetti S3: lo stato di blocco dell'oggetto, incluse le seguenti impostazioni:

      • Modalità di conservazione: il livello di protezione applicato all'oggetto, Governance o Conformità.

      • Data di fine conservazione: la data fino alla quale l'oggetto bloccato non può essere eliminato.

      • Status della conservazione di carattere legale: lo stato di conservazione ai fini legali dell'oggetto bloccato.

      Per ulteriori informazioni sul blocco degli oggetti S3, consulta Come funziona il blocco oggetti S3.

    • Livello di accesso Intelligent Tiering: indica il livello di accesso (frequente o raro), dell'oggetto se è stato archiviato in Intelligent-Tiering. Per ulteriori informazioni, consulta Classe di storage per ottimizzare automaticamente i dati con modelli di accesso variabili o sconosciuti.

    • Stato delle chiavi bucket S3: indica se una chiave a livello di bucket generata da AWS KMS si applica all'oggetto. Per ulteriori informazioni, consulta Riduzione del costo di SSE-KMS con le chiavi bucket Amazon S3.

    • Algoritmo di checksum: indica l'algoritmo usato per creare il checksum dell'oggetto.

    Per ulteriori informazioni sul contenuto di un report di inventario, consulta Elenco di Amazon S3 Inventory.

  14. Seleziona Crea.