Utilizzo di S3 Storage Lens per proteggere i tuoi dati - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di S3 Storage Lens per proteggere i tuoi dati

Puoi utilizzare i parametri per la protezione dei dati di Amazon S3 Storage Lens per identificare i bucket in cui non sono state applicate le best practice per la protezione dei dati. Puoi utilizzare questi parametri per definire e applicare impostazioni standard in linea con le best practice per proteggere i dati nei bucket del tuo account o della tua organizzazione. Ad esempio, è possibile utilizzare i parametri per la protezione dei dati per identificare i bucket che non utilizzano chiavi AWS Key Management Service (AWS KMS) (SSE-KMS) per la crittografia predefinita o le richieste che utilizzano AWS Signature Version 2 (SigV2).

I seguenti casi d'uso forniscono strategie per l'utilizzo del pannello di controllo di S3 Storage Lens al fine di identificare i valori anomali e applicare le best practice per la protezione dei dati tra i bucket S3.

Identificare i bucket che non utilizzano la crittografia lato server con AWS KMS per la crittografia predefinita (SSE-KMS)

La crittografia predefinita di Amazon S3 consente di impostare il comportamento di crittografia predefinito di un bucket S3. Per ulteriori informazioni, consulta Impostazione del comportamento predefinito della crittografia lato server per i bucket Amazon S3.

È possibile utilizzare i parametri relativi al numero di bucket abilitati per SSE-KMS e alla percentuale di bucket abilitati per SSE-KMS per identificare i bucket che utilizzano la crittografia lato server con chiavi AWS KMS (SSE-KMS) come crittografia predefinita. S3 Storage Lens fornisce anche parametri per byte non crittografati, oggetti non crittografati, byte crittografati e oggetti crittografati. Per un elenco completo di parametri, consulta Glossario dei parametri di Amazon S3 Storage Lens.

È possibile analizzare i parametri di crittografia SSE-KMS nel contesto dei parametri di crittografia generali per identificare i bucket che non utilizzano SSE-KMS. Se desideri utilizzare SSE-KMS per tutti i bucket del tuo account o della tua organizzazione, puoi quindi aggiornare le impostazioni di crittografia predefinite per questi bucket in modo che utilizzino SSE-KMS. Oltre a SSE-KMS, puoi usare la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3) o chiavi fornite dal cliente (SSE-C). Per ulteriori informazioni, consulta Protezione dei dati con la crittografia.

Fase 1: identificare i bucket che usano SSE-KMS per la crittografia predefinita

  1. Accedi alla AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

  2. Nel riquadro di navigazione a sinistra, scegli Storage Lens, Dashboards (Pannelli di controllo).

  3. Nell'elenco Dashboards (Pannelli di controllo), scegli il pannello di controllo che desideri visualizzare.

  4. Nella sezione Trends and distributions (Tendenze e distribuzioni), scegli % SSE-KMS enabled bucket count (% conteggio bucket abilitati per SSE-KMS) per il parametro principale e % encrypted bytes (% byte crittografati) per il parametro secondario.

    Il grafico Trend for date (Tendenza per [data]) viene aggiornato per visualizzare le tendenze per SSE-KMS e byte crittografati.

  5. Per visualizzare informazioni più granulari a livello di bucket per SSE-KMS:

    1. Scegli un punto sul grafico. Apparirà un riquadro con le scelte per visualizzare informazioni dettagliate più granulari.

    2. Scegli la dimensione Buckets (Bucket). Quindi, scegliere Apply (Applica).

  6. Nel grafico Distribution by buckets for date (Distribuzione per bucket per [data]), scegli il parametro SSE-KMS enabled bucket count (Conteggio bucket abilitati per SSE-KMS).

  7. Ora puoi vedere quali bucket hanno SSE-KMS abilitato e quali no.

Fase 2: aggiornare le impostazioni predefinite di crittografia dei bucket

Dopo aver determinato quali bucket utilizzano SSE-KMS nel contesto del parametro % encrypted bytes (% byte crittografati), puoi identificare i bucket che non utilizzano SSE-KMS. Facoltativamente, puoi quindi accedere a questi bucket mediante la console S3 e aggiornare le loro impostazioni di crittografia predefinite affinché utilizzino SSE-KMS o SSE-S3. Per ulteriori informazioni, consulta Configurazione della crittografia predefinita.

Identificare i bucket con il controllo delle versioni S3 abilitato

Se attivata, la funzionalità Controllo versioni S3 conserva più versioni dello stesso oggetto che possono essere utilizzate per recuperare rapidamente i dati nel caso in cui un oggetto venga eliminato o sovrascritto accidentalmente. Puoi utilizzare il parametro Versioning-enabled bucket count (Conteggio bucket con controllo versioni abilitato) per vedere quali bucket utilizzano la funzionalità S3 di controllo delle versioni. Quindi, puoi usare la console S3 per abilitare la funzionalità S3 di controllo delle versioni per altri bucket.

Fase 1: identificare i bucket con il controllo delle versioni S3 abilitato

  1. Accedi alla AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

  2. Nel riquadro di navigazione, scegli Storage Lens, Pannelli di controllo.

  3. Nell'elenco Dashboards (Pannelli di controllo), scegli il pannello di controllo che desideri visualizzare.

  4. Nella sezione Trends and distributions (Tendenze e distribuzioni), scegli Versioning-enabled bucket count (Conteggio bucket con controllo versioni abilitato) per il parametro principale e Buckets (Bucket) per il parametro secondario.

    Il grafico Trend for date (Tendenza per [data]) viene aggiornato con le tendenze per i bucket con la funzionalità S3 di controllo delle versioni abilitata. Subito sotto la riga delle tendenze, puoi vedere le sottosezioni Storage class distribution (Distribuzione classi di archiviazione) e Region distribution (Distribuzione regionale).

  5. Per visualizzare informazioni dettagliate più granulari per tutti i bucket visualizzati nel grafico Trend for date (Tendenza per [data]) in modo da poter eseguire un'analisi più approfondita, procedi come segue:

    1. Scegli un punto sul grafico. Apparirà un riquadro con le scelte per visualizzare informazioni dettagliate più granulari.

    2. Scegli una dimensione da applicare ai tuoi dati per un'analisi più approfondita: Account, Regione AWS, Storage class (Classe di archiviazione) o Bucket. Quindi, scegliere Apply (Applica).

  6. Nella sezione Bubble analysis by buckets for date (Analisi a bolle per bucket per [data]), scegli i parametri Versioning-enabled bucket count (Conteggio bucket con controllo versioni abilitato), Buckets (Bucket) e Active buckets (Bucket attivi).

    La sezione Bubble analysis by buckets for date (Analisi a bolle per bucket per [data]) viene aggiornata per visualizzare i dati relativi ai parametri selezionati. Puoi utilizzare questi dati per vedere quali bucket hanno la funzionalità S3 di controllo delle versioni abilitata nel contesto del numero totale di bucket. Nella sezione Bubble analysis by buckets for date (Analisi a bolle per bucket per [data]), è possibile tracciare i bucket su più dimensioni utilizzando tre parametri per rappresentare l'asse X, l'asse Y e la dimensione della bolla.

Fase 2: abilitare il controllo delle versioni S3

Dopo aver identificato i bucket in cui è abilitata la funzionalità S3 del controllo delle versioni, puoi identificare i bucket in cui il controllo delle versioni S3 non è mai stato abilitato o il cui controllo delle versioni è sospeso. Facoltativamente, puoi quindi abilitare il controllo delle versioni per questi bucket nella console S3. Per ulteriori informazioni, consulta Abilitazione della funzione Controllo delle versioni sui bucket.

Identificare le richieste che usano AWS Signature Version 2 (SigV2)

È possibile utilizzare la metrica All unsupported signature requests (Tutte le richieste di firma non supportate) per identificare le richieste che utilizzano AWS Signature Version 2 (SigV2). Questi dati possono aiutarti a identificare applicazioni specifiche che utilizzano SigV2. È possibile quindi eseguire la migrazione di queste applicazioni ad AWS Signature Version 4 (SigV4).

SigV4 è il metodo di firma consigliato per tutte le nuove applicazioni S3. SigV4 offre una maggiore sicurezza ed è supportato in tutte le Regioni AWS. Per ulteriori informazioni, consulta la sezione relativa all'agggiornamento di Amazon S3 e all'estensione e alla modifica del periodo di obsolescenza di SigV2.

Prerequisito

Per visualizzare tutte le richieste di firma non supportate nel pannello di controllo di S3 Storage Lens, devi abilitare l'opzione S3 Storage Lens Advanced metrics and recommendations (Parametri e suggerimenti avanzati) e quindi selezionare Advanced data protection metrics (Parametri avanzati protezione dati). Per ulteriori informazioni, consulta Creazione e aggiornamento dei pannelli di controllo di Amazon S3 Storage Lens.

Fase 1: esaminare le tendenze di firma SigV2 per Account AWS, regione e bucket

  1. Accedi alla AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

  2. Nel riquadro di navigazione a sinistra, scegli Storage Lens, Dashboards (Pannelli di controllo).

  3. Nell'elenco Dashboards (Pannelli di controllo), scegli il pannello di controllo che desideri visualizzare.

  4. Per identificare bucket, account e regioni specifici con richieste che utilizzano SigV2:

    1. Nella sezione Top N overview for date (Panoramica primi N per [data]), in Top N (Primi N), inserisci il numero di bucket per i quali desideri visualizzare i dati.

    2. In Metric (Parametro), scegli All unsupported signature requests (Tutte le richieste di firma non supportate) nella categoria Data protection (Protezione dati).

      La sezione Top N overview for date (Panoramica primi N per [data]) viene aggiornata per visualizzare i dati per le richieste SigV2 per account, Regione AWS e bucket. La sezione Top N overview for date (Panoramica primi N per [data]) mostra anche la variazione percentuale rispetto al giorno o alla settimana precedente e un grafico sparkline per visualizzare la tendenza. Questa tendenza è valida per 14 giorni per i parametri gratuiti e per 30 giorni per i parametri e i suggerimenti avanzati.

      Nota

      Con i parametri avanzati e i suggerimenti di S3 Storage Lens, i parametri sono disponibili per le query per 15 mesi. Per ulteriori informazioni, consulta Selezione dei parametri.

Fase 2: identificare i bucket a cui le applicazioni accedono tramite richieste SigV2

  1. Accedi alla AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

  2. Nel riquadro di navigazione a sinistra, scegli Storage Lens, Dashboards (Pannelli di controllo).

  3. Nell'elenco Dashboards (Pannelli di controllo), scegli il pannello di controllo che desideri visualizzare.

  4. Nel pannello di controllo di Storage Lens, scegli la scheda Bucket.

  5. Scorri fino alla sezione Buckets (Bucket). In Metrics categories (Categorie parametri), scegli Data protection (Protezione dati). Quindi deseleziona Summary (Riepilogo).

    L'elenco Buckets (Bucket) viene aggiornato per visualizzare tutti i parametri di protezione dei dati disponibili per i bucket visualizzati.

  6. Per filtrare l'elenco Buckets (Bucket) in modo da visualizzare solo i parametri specifici di protezione dei dati, scegli l'icona delle preferenze ( 
                                A screenshot that shows the preferences icon in the S3 Storage Lens
                                    dashboard.
                            ).

  7. Deseleziona tutti i parametri di protezione dei dati finché non rimangono selezionati solo i seguenti parametri:

    • All unsupported signature requests (Tutte le richieste di firma non supportate)

    • % all unsupported signature requests (% tutte le richieste di firma non supportate)

  8. (Facoltativo) In Page size (Dimensioni pagina), scegli il numero di bucket da visualizzare nell'elenco.

  9. Scegli Confirm (Conferma).

    L'elenco Buckets (Bucket) viene aggiornato con i parametri a livello di bucket per le richieste SigV2. È possibile utilizzare questi dati per identificare bucket specifici con richieste SigV2. Quindi, puoi utilizzare queste informazioni per eseguire la migrazione delle tue applicazioni a SigV4. Per ulteriori informazioni, consulta la sezione Autenticazione delle richieste (AWS Signature Version 4) nella Documentazione di riferimento delle API di Amazon Simple Storage Service.

Conteggiare il numero totale di regole di replica per ogni bucket

La replica S3 consente di eseguire la copia asincrona e automatica di oggetti tra bucket Amazon S3. I bucket configurati per la replica di oggetti possono essere di proprietà dello stesso Account AWS o di account diversi. Per ulteriori informazioni, consulta Replica di oggetti.

Puoi utilizzare i parametri relativi al conteggio delle regole di replica di S3 Storage Lens per ottenere informazioni dettagliate per bucket sui bucket configurati per la replica. Queste informazioni includono le regole di replica all'interno di e tra bucket e regioni.

Prerequisito

Per visualizzare i parametri relativi al conteggio delle regole di replica nel pannello di controllo di S3 Storage Lens, devi abilitare l'opzione S3 Storage Lens Advanced metrics and recommendations (Parametri e suggerimenti avanzati) e quindi selezionare Advanced data protection metrics (Parametri avanzati protezione dati). Per ulteriori informazioni, consulta Creazione e aggiornamento dei pannelli di controllo di Amazon S3 Storage Lens.

Fase 1: contare il numero totale di regole di replica per ogni bucket

  1. Accedi alla AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

  2. Nel riquadro di navigazione a sinistra, scegli Storage Lens, Dashboards (Pannelli di controllo).

  3. Nell'elenco Dashboards (Pannelli di controllo), scegli il pannello di controllo che desideri visualizzare.

  4. Nel pannello di controllo di Storage Lens, scegli la scheda Bucket.

  5. Scorri fino alla sezione Buckets (Bucket). In Metrics categories (Categorie parametri), scegli Data protection (Protezione dati). Quindi deseleziona Summary (Riepilogo).

  6. Per filtrare l'elenco Buckets (Bucket) in modo da visualizzare solo i parametri relativi al conteggio delle regole di replica, scegli l'icona delle preferenze ( 
                                A screenshot that shows the preferences icon in the S3 Storage Lens
                                    dashboard.
                            ).

  7. Deseleziona tutti i parametri di protezione dei dati finché non rimangono selezionati solo i parametri relativi al conteggio delle regole di replica:

    • Same-Region Replication rule count (Conteggio regole di replica stessa regione)

    • Cross-Region Replication rule count (Conteggio regole di replica tra regioni)

    • Same-account replication rule count (Conteggio regole di replica stesso account)

    • Cross-account replication rule count (Conteggio regole di replica tra account)

    • Total replication rule count (Conteggio totale regole di replica)

  8. (Facoltativo) In Page size (Dimensioni pagina), scegli il numero di bucket da visualizzare nell'elenco.

  9. Scegli Confirm (Conferma).

Fase 2: aggiungere regole di replica

Dopo aver creato il conteggio delle regole di replica per bucket, facoltativamente è possibile creare altre regole di replica. Per ulteriori informazioni, consulta Procedure dettagliate: esempi di configurazione della replica.

Identificare la percentuale di byte con blocco degli oggetti

La funzionalità S3 di blocco degli oggetti consente di archiviare gli oggetti utilizzando il modello write-once-read-many (WORM). Puoi usare il blocco degli oggetti per impedire che gli oggetti vengano eliminati o sovrascritti per un periodo di tempo fisso o indefinito. Puoi abilitare il blocco degli oggetti solo quando crei un bucket e abiliti anche la funzionalità S3 di controllo delle versioni. Tuttavia, puoi modificare il periodo di conservazione per le versioni dei singoli oggetti o applicare il blocco a fini legali per i bucket in cui è abilitato il blocco degli oggetti. Per ulteriori informazioni, consulta Utilizzo del blocco oggetti S3.

Puoi utilizzare i parametri di blocco degli oggetti in S3 Storage Lens per visualizzare il parametro % Object Lock in bytes (% blocco oggetti in byte) per il tuo account o la tua organizzazione. Puoi utilizzare queste informazioni per identificare i bucket non conformi alle best practice di protezione dei dati nel tuo account o nella tua organizzazione.

  1. Accedi alla AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

  2. Nel riquadro di navigazione a sinistra, scegli Storage Lens, Dashboards (Pannelli di controllo).

  3. Nell'elenco Dashboards (Pannelli di controllo), scegli il pannello di controllo che desideri visualizzare.

  4. Nella sezione Snapshot, in Metrics categories (Categorie parametri), scegli Data protection (Protezione dati).

    La sezione Snapshot viene aggiornata per visualizzare i parametri di protezione dei dati, incluso il parametro % Object Lock in bytes (% blocco oggetti in byte). Puoi vedere la percentuale complessiva di byte con blocco degli oggetti per il tuo account o la tua organizzazione.

  5. Per visualizzare il valore del parametro % Object Lock bytes (% blocco oggetti in byte) per bucket, scorri verso il basso fino alla sezione Top N overview (Panoramica primi N).

    Per ottenere dati a livello di oggetto per il blocco degli oggetti, puoi anche utilizzare i parametri Object Lock object count (Conteggio oggetti con blocco oggetti) e % Object Lock objects (% oggetti con blocco oggetti).

  6. In Metric (Parametro), scegli % Object Lock bytes (% blocco oggetti in byte) nella categoria Data protection (Protezione dati).

    Per impostazione predefinita, la sezione Top N overview for date (Panoramica primi N per [data]) mostra i parametri per i primi 3 bucket. Nel campo Top N (Primi N) è possibile aumentare il numero di bucket. La sezione Top N overview for date (Panoramica primi N per [data]) mostra anche la variazione percentuale rispetto al giorno o alla settimana precedente e un grafico sparkline per visualizzare la tendenza. Questa tendenza è valida per 14 giorni per i parametri gratuiti e per 30 giorni per i parametri e i suggerimenti avanzati.

    Nota

    Con i parametri avanzati e i suggerimenti di S3 Storage Lens, i parametri sono disponibili per le query per 15 mesi. Per ulteriori informazioni, consulta Selezione dei parametri.

  7. Controlla i seguenti dati per il parametro % Object Lock bytes (% blocco oggetti in byte):

    • Top number accounts (Primi [numero] account): verifica quali account hanno il valore più alto e il valore più basso per il parametro % Object Lock bytes (% blocco oggetti in byte).

    • Top number Regions (Prime [numero] regioni): visualizza un'analisi dettagliata dei valori del parametro % Object Lock bytes (% blocco oggetti in byte) per regione.

    • Top number buckets (Primi [numero] bucket): verifica quali bucket hanno il valore più alto e il valore più basso per il parametro % Object Lock bytes (% blocco oggetti in byte).