Utilizzo di S3 Storage Lens per proteggere i tuoi dati

Puoi utilizzare i parametri per la protezione dei dati di Amazon S3 Storage Lens per identificare i bucket in cui non sono state applicate le best practice per la protezione dei dati. Puoi utilizzare questi parametri per definire e applicare impostazioni standard in linea con le best practice per proteggere i dati nei bucket del tuo account o della tua organizzazione. Ad esempio, puoi utilizzare i parametri di protezione dei dati per identificare i bucket che non utilizzano le chiavi AWS Key Management Service (SSE-AWS KMS KMS) per la crittografia predefinita o le richieste che utilizzano AWS Signature Version 2 (SigV2).

I seguenti casi d'uso forniscono strategie per l'utilizzo del pannello di controllo di S3 Storage Lens al fine di identificare i valori anomali e applicare le best practice per la protezione dei dati tra i bucket S3.

Identifica i bucket che non utilizzano la crittografia lato server con per la crittografia predefinita (-) AWS KMS SSE KMS

La crittografia predefinita di Amazon S3 consente di impostare il comportamento di crittografia predefinito di un bucket S3. Per ulteriori informazioni, consulta Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3.

Puoi utilizzare le metriche SSE- KMS enabled bucket count e% SSE - KMS enabled buckets per identificare i bucket che utilizzano la crittografia lato server con AWS KMS chiavi (-) per la crittografia predefinita. SSE KMS S3 Storage Lens fornisce anche parametri per byte non crittografati, oggetti non crittografati, byte crittografati e oggetti crittografati. Per un elenco completo di parametri, consulta Glossario dei parametri di Amazon S3 Storage Lens.

Puoi analizzare SSE - le metriche di KMS crittografia nel contesto delle metriche di crittografia generali per identificare i bucket che non utilizzano -. SSE KMS Se desideri utilizzare SSE - KMS per tutti i bucket del tuo account o della tua organizzazione, puoi quindi aggiornare le impostazioni di crittografia predefinite per questi bucket da utilizzare -. SSE KMS Oltre a SSE -KMS, puoi utilizzare la crittografia lato server con chiavi gestite di Amazon S3 (-S3) o chiavi SSE fornite dal cliente (-C). SSE Per ulteriori informazioni, consulta Protezione dei dati con la crittografia.

Fase 1: Identifica quali bucket vengono utilizzati, per la crittografia predefinita SSE KMS

1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

2. Nel riquadro di navigazione a sinistra, scegli Storage Lens, Dashboards (Pannelli di controllo).

3. Nell'elenco Dashboards (Pannelli di controllo), scegli il pannello di controllo che desideri visualizzare.

4. Nella sezione Tendenze e distribuzioni, scegli% SSE - KMS enabled bucket count per la metrica principale e% byte crittografati per la metrica secondaria.

   Il grafico Trend for date si aggiorna per visualizzare le tendenze relative ai byte crittografati e a quelli crittografatiSSE. KMS

5. Per visualizzare informazioni più dettagliate a livello di bucket per -: SSE KMS

   1. Scegli un punto sul grafico. Apparirà un riquadro con le scelte per visualizzare informazioni dettagliate più granulari.

   2. Scegli la dimensione Buckets (Bucket). Quindi, scegliere Apply (Applica).

6. Nel grafico Distribuzione per periodi fissi per data, scegli la metrica del SSE numero di bucket count KMSabilitata.

7. Ora puoi vedere quali bucket hanno SSE - KMS abilitato e quali no.

Fase 2: aggiornare le impostazioni predefinite di crittografia dei bucket

Ora che hai determinato quali bucket utilizzare, KMS nel contesto della percentuale di byte crittografati, puoi identificare i bucket che non utilizzano SSE -. SSE KMS Se lo desideri, puoi quindi accedere a questi bucket all'interno della console S3 e aggiornare le relative impostazioni di crittografia predefinite per utilizzare - o -S3. SSE KMS SSE Per ulteriori informazioni, consulta Configurazione della crittografia predefinita.

Identificare i bucket con il controllo delle versioni S3 abilitato

Se attivata, la funzionalità Controllo versioni S3 conserva più versioni dello stesso oggetto che possono essere utilizzate per recuperare rapidamente i dati nel caso in cui un oggetto venga eliminato o sovrascritto accidentalmente. Puoi utilizzare il parametro Versioning-enabled bucket count (Conteggio bucket con controllo versioni abilitato) per vedere quali bucket utilizzano la funzionalità S3 di controllo delle versioni. Quindi, puoi usare la console S3 per abilitare la funzionalità S3 di controllo delle versioni per altri bucket.

Fase 1: identificare i bucket con il controllo delle versioni S3 abilitato

1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

2. Nel riquadro di navigazione, scegli Storage Lens, Pannelli di controllo.

3. Nell'elenco Dashboards (Pannelli di controllo), scegli il pannello di controllo che desideri visualizzare.

4. Nella sezione Trends and distributions (Tendenze e distribuzioni), scegli Versioning-enabled bucket count (Conteggio bucket con controllo versioni abilitato) per il parametro principale e Buckets (Bucket) per il parametro secondario.

   Il grafico Trend for date (Tendenza per [data]) viene aggiornato con le tendenze per i bucket con la funzionalità S3 di controllo delle versioni abilitata. Subito sotto la riga delle tendenze, puoi vedere le sottosezioni Storage class distribution (Distribuzione classi di archiviazione) e Region distribution (Distribuzione regionale).

5. Per visualizzare informazioni dettagliate più granulari per tutti i bucket visualizzati nel grafico Trend for date (Tendenza per [data]) in modo da poter eseguire un'analisi più approfondita, procedi come segue:

   1. Scegli un punto sul grafico. Apparirà un riquadro con le scelte per visualizzare informazioni dettagliate più granulari.

   2. Scegli una dimensione da applicare ai tuoi dati per un'analisi più approfondita: Account, Regione AWS, Storage class (Classe di archiviazione) o Bucket. Quindi, scegliere Apply (Applica).

6. Nella sezione Bubble analysis by buckets for date (Analisi a bolle per bucket per [data]), scegli i parametri Versioning-enabled bucket count (Conteggio bucket con controllo versioni abilitato), Buckets (Bucket) e Active buckets (Bucket attivi).

   La sezione Bubble analysis by buckets for date (Analisi a bolle per bucket per [data]) viene aggiornata per visualizzare i dati relativi ai parametri selezionati. Puoi utilizzare questi dati per vedere quali bucket hanno la funzionalità S3 di controllo delle versioni abilitata nel contesto del numero totale di bucket. Nella sezione Bubble analysis by buckets for date (Analisi a bolle per bucket per [data]), è possibile tracciare i bucket su più dimensioni utilizzando tre parametri per rappresentare l'asse X, l'asse Y e la dimensione della bolla.

Fase 2: abilitare il controllo delle versioni S3

Dopo aver identificato i bucket in cui è abilitata la funzionalità S3 del controllo delle versioni, puoi identificare i bucket in cui il controllo delle versioni S3 non è mai stato abilitato o il cui controllo delle versioni è sospeso. Facoltativamente, puoi quindi abilitare il controllo delle versioni per questi bucket nella console S3. Per ulteriori informazioni, consulta Abilitazione della funzione Controllo delle versioni sui bucket.

Identificare le richieste che usano AWS Signature Version 2 (SigV2)

Puoi utilizzare la metrica Tutte le richieste di firma non supportate per identificare le richieste che utilizzano AWS Signature Version 2 (SigV2). Questi dati possono aiutarti a identificare applicazioni specifiche che utilizzano SigV2. È quindi possibile migrare queste applicazioni alla versione 4 di AWS Signature (SigV4).

SigV4 è il metodo di firma consigliato per tutte le nuove applicazioni S3. SIGv4 offre una maggiore sicurezza ed è supportato in tutti. Regioni AWS Per ulteriori informazioni, consulta la sezione relativa all'agggiornamento di Amazon S3 e all'estensione e alla modifica del periodo di obsolescenza di SigV2.

Prerequisito

Per visualizzare tutte le richieste di firma non supportate nel pannello di controllo di S3 Storage Lens, devi abilitare l'opzione S3 Storage Lens Advanced metrics and recommendations (Parametri e suggerimenti avanzati) e quindi selezionare Advanced data protection metrics (Parametri avanzati protezione dati). Per ulteriori informazioni, consulta Utilizzo della console S3.

Fase 1: Esamina le tendenze di firma di SigV2 per regione e Account AWS bucket

1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

2. Nel riquadro di navigazione a sinistra, scegli Storage Lens, Dashboards (Pannelli di controllo).

3. Nell'elenco Dashboards (Pannelli di controllo), scegli il pannello di controllo che desideri visualizzare.

4. Per identificare bucket, account e regioni specifici con richieste che utilizzano SigV2:

   1. Nella sezione Top N overview for date (Panoramica primi N per [data]), in Top N (Primi N), inserisci il numero di bucket per i quali desideri visualizzare i dati.

   2. In Metric (Parametro), scegli All unsupported signature requests (Tutte le richieste di firma non supportate) nella categoria Data protection (Protezione dati).

      La panoramica Top N per gli aggiornamenti delle date per visualizzare i dati per le richieste SigV2 per account e bucket Regione AWS. La sezione Top N overview for date (Panoramica primi N per [data]) mostra anche la variazione percentuale rispetto al giorno o alla settimana precedente e un grafico sparkline per visualizzare la tendenza. Questa tendenza è valida per 14 giorni per i parametri gratuiti e per 30 giorni per i parametri e i suggerimenti avanzati.

      Nota

      Con i parametri avanzati e i suggerimenti di S3 Storage Lens, i parametri sono disponibili per le query per 15 mesi. Per ulteriori informazioni, consulta Selezione dei parametri.

Fase 2: identificare i bucket a cui le applicazioni accedono tramite richieste SigV2

1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

2. Nel riquadro di navigazione a sinistra, scegli Storage Lens, Dashboards (Pannelli di controllo).

3. Nell'elenco Dashboards (Pannelli di controllo), scegli il pannello di controllo che desideri visualizzare.

4. Nel pannello di controllo di Storage Lens, scegli la scheda Bucket.

5. Scorri fino alla sezione Buckets (Bucket). In Metrics categories (Categorie parametri), scegli Data protection (Protezione dati). Quindi deseleziona Summary (Riepilogo).

   L'elenco Buckets (Bucket) viene aggiornato per visualizzare tutti i parametri di protezione dei dati disponibili per i bucket visualizzati.

6. Per filtrare l'elenco Buckets (Bucket) in modo da visualizzare solo i parametri specifici di protezione dei dati, scegli l'icona delle preferenze ( ).

7. Deseleziona tutti i parametri di protezione dei dati finché non rimangono selezionati solo i seguenti parametri:

   • All unsupported signature requests (Tutte le richieste di firma non supportate)

   • % all unsupported signature requests (% tutte le richieste di firma non supportate)

8. (Facoltativo) In Page size (Dimensioni pagina), scegli il numero di bucket da visualizzare nell'elenco.

9. Scegli Confirm (Conferma).

   L'elenco Buckets (Bucket) viene aggiornato con i parametri a livello di bucket per le richieste SigV2. È possibile utilizzare questi dati per identificare bucket specifici con richieste SigV2. Quindi, puoi utilizzare queste informazioni per eseguire la migrazione delle tue applicazioni a SigV4. Per ulteriori informazioni, consulta Authenticating Requests (AWS Signature Version 4) nell'Amazon Simple Storage Service API Reference.

Conteggiare il numero totale di regole di replica per ogni bucket

La replica S3 consente di eseguire la copia asincrona e automatica di oggetti tra bucket Amazon S3. I bucket configurati per la replica di oggetti possono essere di proprietà dello stesso Account AWS o di account diversi. Per ulteriori informazioni, consulta Replica di oggetti all'interno e tra regioni.

Puoi utilizzare i parametri relativi al conteggio delle regole di replica di S3 Storage Lens per ottenere informazioni dettagliate per bucket sui bucket configurati per la replica. Queste informazioni includono le regole di replica all'interno di e tra bucket e regioni.

Prerequisito

Per visualizzare i parametri relativi al conteggio delle regole di replica nel pannello di controllo di S3 Storage Lens, devi abilitare l'opzione S3 Storage Lens Advanced metrics and recommendations (Parametri e suggerimenti avanzati) e quindi selezionare Advanced data protection metrics (Parametri avanzati protezione dati). Per ulteriori informazioni, consulta Utilizzo della console S3.

Fase 1: contare il numero totale di regole di replica per ogni bucket

1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

2. Nel riquadro di navigazione a sinistra, scegli Storage Lens, Dashboards (Pannelli di controllo).

3. Nell'elenco Dashboards (Pannelli di controllo), scegli il pannello di controllo che desideri visualizzare.

4. Nel pannello di controllo di Storage Lens, scegli la scheda Bucket.

5. Scorri fino alla sezione Buckets (Bucket). In Metrics categories (Categorie parametri), scegli Data protection (Protezione dati). Quindi deseleziona Summary (Riepilogo).

6. Per filtrare l'elenco Buckets (Bucket) in modo da visualizzare solo i parametri relativi al conteggio delle regole di replica, scegli l'icona delle preferenze ( ).

7. Deseleziona tutti i parametri di protezione dei dati finché non rimangono selezionati solo i parametri relativi al conteggio delle regole di replica:

   • Same-Region Replication rule count (Conteggio regole di replica stessa regione)

   • Cross-Region Replication rule count (Conteggio regole di replica tra regioni)

   • Same-account replication rule count (Conteggio regole di replica stesso account)

   • Cross-account replication rule count (Conteggio regole di replica tra account)

   • Total replication rule count (Conteggio totale regole di replica)

8. (Facoltativo) In Page size (Dimensioni pagina), scegli il numero di bucket da visualizzare nell'elenco.

9. Scegli Confirm (Conferma).

Fase 2: aggiungere regole di replica

Dopo aver creato il conteggio delle regole di replica per bucket, facoltativamente è possibile creare altre regole di replica. Per ulteriori informazioni, consulta Esempi per la configurazione della replica in tempo reale.

Identificare la percentuale di byte con blocco degli oggetti

Con S3 Object Lock, puoi archiviare oggetti utilizzando un modello write-once-read-many (WORM). Puoi usare il blocco degli oggetti per impedire che gli oggetti vengano eliminati o sovrascritti per un periodo di tempo fisso o indefinito. Puoi abilitare il blocco degli oggetti solo quando crei un bucket e abiliti anche la funzionalità S3 di controllo delle versioni. Tuttavia, puoi modificare il periodo di conservazione per le versioni dei singoli oggetti o applicare il blocco a fini legali per i bucket in cui è abilitato il blocco degli oggetti. Per ulteriori informazioni, consulta Bloccare oggetti con Object Lock.

Puoi utilizzare i parametri di blocco degli oggetti in S3 Storage Lens per visualizzare il parametro % Object Lock in bytes (% blocco oggetti in byte) per il tuo account o la tua organizzazione. Puoi utilizzare queste informazioni per identificare i bucket non conformi alle best practice di protezione dei dati nel tuo account o nella tua organizzazione.

1. Accedi a AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

2. Nel riquadro di navigazione a sinistra, scegli Storage Lens, Dashboards (Pannelli di controllo).

3. Nell'elenco Dashboards (Pannelli di controllo), scegli il pannello di controllo che desideri visualizzare.

4. Nella sezione Snapshot, in Metrics categories (Categorie parametri), scegli Data protection (Protezione dati).

   La sezione Snapshot viene aggiornata per visualizzare i parametri di protezione dei dati, incluso il parametro % Object Lock in bytes (% blocco oggetti in byte). Puoi vedere la percentuale complessiva di byte con blocco degli oggetti per il tuo account o la tua organizzazione.

5. Per visualizzare il valore del parametro % Object Lock bytes (% blocco oggetti in byte) per bucket, scorri verso il basso fino alla sezione Top N overview (Panoramica primi N).

   Per ottenere dati a livello di oggetto per il blocco degli oggetti, puoi anche utilizzare i parametri Object Lock object count (Conteggio oggetti con blocco oggetti) e % Object Lock objects (% oggetti con blocco oggetti).

6. In Metric (Parametro), scegli % Object Lock bytes (% blocco oggetti in byte) nella categoria Data protection (Protezione dati).

   Per impostazione predefinita, la sezione Top N overview for date (Panoramica primi N per [data]) mostra i parametri per i primi 3 bucket. Nel campo Top N (Primi N) è possibile aumentare il numero di bucket. La sezione Top N overview for date (Panoramica primi N per [data]) mostra anche la variazione percentuale rispetto al giorno o alla settimana precedente e un grafico sparkline per visualizzare la tendenza. Questa tendenza è valida per 14 giorni per i parametri gratuiti e per 30 giorni per i parametri e i suggerimenti avanzati.

   Nota

   Con i parametri avanzati e i suggerimenti di S3 Storage Lens, i parametri sono disponibili per le query per 15 mesi. Per ulteriori informazioni, consulta Selezione dei parametri.

7. Controlla i seguenti dati per il parametro % Object Lock bytes (% blocco oggetti in byte):

   • Top number accounts (Primi [numero] account): verifica quali account hanno il valore più alto e il valore più basso per il parametro % Object Lock bytes (% blocco oggetti in byte).

   • Top number Regions (Prime [numero] regioni): visualizza un'analisi dettagliata dei valori del parametro % Object Lock bytes (% blocco oggetti in byte) per regione.

   • Top number buckets (Primi [numero] bucket): verifica quali bucket hanno il valore più alto e il valore più basso per il parametro % Object Lock bytes (% blocco oggetti in byte).