設定 Amazon S3 清查

Amazon S3 清查在您定義的排程上，提供物件及中繼資料的一般檔案清單。您可以將 S3 清查做為 Amazon S3 同步 List API 操作的另一種排程選擇。S3 清查提供以逗號分隔的值 (CSV)、Apache 最佳化資料列單欄式 (ORC) 或 Apache Parquet (Parquet) 輸出檔，其中列出您的物件及相應中繼資料。

您可以設定 S3 清查，為具有共同字首的 S3 儲存貯體和物件 (名稱以相同字串開頭的物件)，每天或每週建立清查清單。如需詳細資訊，請參閱 Amazon S3 清查。

本節說明如何設定清查，包括清查來源與目的地儲存貯體的詳細資訊。

概觀

Amazon S3 清查可依定義的排程，建立 S3 儲存貯體中物件的清單，協助您管理儲存體。您可以為儲存貯體設定多份清查清單。會在目的地儲存貯體中將清查清單發佈為 CSV、ORC 或 Parquet 檔案。

設定庫存最簡單的方法是使用 Amazon S3 主控台，但您也可以使用 Amazon S3 REST API、 AWS Command Line Interface (AWS CLI) 或 AWS 開發套件。主控台會為您執行以下程序的第一項步驟：在目的地儲存貯體中新增儲存貯體政策。

設定 S3 儲存貯體的 Amazon S3 清查

1. 新增目標儲存貯體的儲存貯體政策。

   您必須在目的地儲存貯體上建立儲存貯體政策，以授予 Amazon S3 許可，以將物件寫入定義位置的儲存貯體。如需政策範例，請參閱「授予 S3 清查與 S3 分析的許可」。

2. 設定清查以列出來源儲存貯體的物件，並將清單發佈至目標儲存貯體。

   當您設定來源儲存貯體的清查清單時，要指定存放清單的目的地儲存貯體，以及每日或每週產生清單。您也可以設定是列出所有物件版本還是僅列出目前版本，以及要包含的物件中繼資料。

   S3 庫存報告組態中的某些物件中繼資料欄位是選用的，這表示預設情況下可以使用，但是當您授與使用者s3:PutInventoryConfiguration權限時，這些欄位可能會受到限制。您可以使用s3:InventoryAccessibleOptionalFields條件索引鍵，控制使用者是否可以在報表中包含這些選擇性的中繼資料欄位。

   如需 S3 庫存中可用的選用中繼資料欄位的詳細資訊，請參閱 Amazon 簡單儲存服務 API 參考OptionalFields中的。如需有關限制存取詳細目錄組態中某些選用中繼資料欄位的詳細資訊，請參閱控制 S3 庫存報告組態建立。

   您可以使用伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-S3) 或 () 客戶受管金鑰 (SSE-KMS AWS KMS)，指定將庫存清單檔案加密。 AWS Key Management Service

   注意

   不支援使用 S3 庫存進行 SSE-KMS 加密的 AWS 受管金鑰 (aws/s3)。

   如需 SSE-S3 與 SSE-KMS 的詳細資訊，請參閱 使用伺服器端加密保護資料。若預計使用 SSE-KMS 加密，請參閱步驟 3。

   • 如需如何使用主控台設定清查清單的資訊，請參閱「使用 S3 主控台設定清查」。

   • 若要使用 Amazon S3 API 設定庫存清單，請使用 PutBucketInventoryConfigurationREST API 操作或 AWS CLI 或 AWS 開發套件中的對等項目。

3. 若要使用 SSE-KMS 加密清查清單檔案，請對 Amazon S3 授予許可使用 AWS KMS key。

   您可以使用 Amazon S3 主控台、Amazon S3 REST API 或 AWS 開發套件為庫存清單檔案設定加密。 AWS CLI無論選擇哪種方式，您必須對 Amazon S3 授予許可使用客戶受管金鑰來加密清查檔案。對 Amazon S3 授予許可時，請針對要用於加密清查檔案的客戶受管金鑰，修改金鑰政策。如需詳細資訊，請參閱 對 Amazon S3 授予許可使用您的客戶受管金鑰進行加密。

   儲存庫存清單檔案的目的地儲存貯體可由不同的  AWS 帳戶  擁有，不需與擁有來源儲存貯體的帳戶相同。如果您對 Amazon S3 庫存的跨帳戶操作使用 SSE-KMS 加密，建議您在設定 S3 庫存時使用完全合格的 KMS 金鑰 ARN。如需詳細資訊，請參閱《Amazon Simple Storage Service API 參考》中的 針對跨帳戶操作使用 SSE-KMS 加密 或 ServerSideEncryptionByDefault。

建立目的地儲存貯體政策

如果透過 S3 主控台建立庫存清單組態，Amazon S3 會自動在目的地儲存貯體上建立儲存貯體政策，將儲存貯體的寫入許可授予 Amazon S3。但是，如果您透過 AWS CLI、 AWS 開發套件或 Amazon S3 REST API 建立庫存組態，則必須在目標儲存貯體上手動新增儲存貯體政策。如需詳細資訊，請參閱 授予 S3 清查與 S3 分析的許可。S3 庫存目的地儲存貯體政策允許 Amazon S3 將庫存報告的資料寫入儲存貯體。

若在嘗試建立儲存貯體政策的時候發生錯誤，會為您提供修正方式的說明。例如，如果您選擇另一 AWS 帳戶 個目標值區中的目標值區，但沒有讀取和寫入值區政策的權限，您會看到錯誤訊息。

在這種情況下，目的地值區擁有者必須將值區政策新增至目的地值區。如果未將政策新增至目的地儲存貯體，您將不會取得清查報告，因為 Amazon S3 沒有目的地儲存貯體的寫入許可。若來源儲存貯體由不同的帳戶擁有，而非由目前的使用者擁有，則必須為政策中的來源儲存貯體擁有者替換正確的帳戶 ID。

對 Amazon S3 授予許可使用您的客戶受管金鑰進行加密

若要授與 Amazon S3 使用您的 AWS Key Management Service (AWS KMS) 客戶受管金鑰進行伺服器端加密的權限，您必須使用金鑰政策。若要更新您的金鑰政策，以便使用您的客戶受管金鑰，請依照下列步驟執行。

使用您的客戶受管金鑰授予 Amazon S3 加密許可

1. 使用擁 AWS 帳戶 有客戶管理金鑰的，登入 AWS Management Console.

2. 請在以下位置開啟 AWS KMS 主控台。 https://console.aws.amazon.com/kms

3. 若要變更 AWS 區域，請使用頁面右上角的「地區」選取器。

4. 在左側導覽窗格中，選擇 Customer managed keys (客戶受管金鑰)。

5. 在客戶受管金鑰下，選擇要用於加密清查檔案的客戶受管金鑰。

6. 在 Key policy (金鑰政策) 區段中，選擇 Switch to policy view (切換至政策檢視)。

7. 若要更新金鑰政策，請選擇 Edit (編輯)。

8. 在編輯金鑰政策頁面上，將下列幾行新增至現有的金鑰政策。針對 source-account-id 和 DOC-EXAMPLE-SOURCE-BUCKET，提供您的使用案例適用的值。

   {
       "Sid": "Allow Amazon S3 use of the customer managed key",
       "Effect": "Allow",
       "Principal": {
           "Service": "s3.amazonaws.com"
       },
       "Action": [
           "kms:GenerateDataKey"
       ],
       "Resource": "*",
       "Condition":{
         "StringEquals":{
            "aws:SourceAccount":"source-account-id"
        },
         "ArnLike":{
           "aws:SourceARN": "arn:aws:s3:::DOC-EXAMPLE-SOURCE-BUCKET"
        }
      }
   }

9. 選擇儲存變更。

如需建立客戶受管金鑰和使用金鑰政策的詳細資訊，請參閱《AWS Key Management Service 開發人員指南》中的下列連結：

• 管理金鑰

• 中的主要政策 AWS KMS

使用 S3 主控台設定清查

使用這些說明來設定使用 S3 主控台的清查。

注意

Amazon S3 最長可能需要 48 小時的時間才能提供第一份庫存清單報告。

1. 登入 AWS Management Console 並開啟 Amazon S3 主控台，網址為 https://console.aws.amazon.com/s3/。

2. 在左側導覽窗格中，選擇 Buckets (儲存貯體)。在儲存貯體清單中，選擇您要設定其 Amazon S3 庫存清單的儲存貯體名稱。

3. 選擇 Management (管理) 標籤，

4. 在 Inventory configurations (清查組態) 下，選擇 Create inventory configuration (建立清查組態)。

5. 在清查組態名稱中，輸入名稱。

6. 針對庫存清單範圍，執行下列操作：

   • 輸入選擇性字首。

   • 選擇要包含的物件版本：僅目前版本或包含所有版本。

7. 在 Report details (報告詳細資訊) 下，選擇要儲存報告的 AWS 帳戶 位置：This account (此帳戶) 或 A different account (不同帳戶)。

8. 在目的地下，選擇要儲存庫存清單報告的目的地儲存貯體。

   目的地值區必須與您 AWS 區域 要設定庫存的值區相同。目的地儲存貯體可位於不同的 AWS 帳戶中。指定目的地儲存貯體時，您也可以加入選用的字首，以將庫存清單報告集中在一起。

   在目的地儲存貯體欄位下，您會看到目的地儲存貯體許可陳述式，這會新增至目的地儲存貯體政策，以允許 Amazon S3 將資料放入該儲存貯體中。如需詳細資訊，請參閱 建立目的地儲存貯體政策。

9. 在頻率下，選擇產生報告的頻率：每日或每週。

10. 針對輸出格式，選擇下列其中一種報告格式：

    • CSV - 如果您打算使用此庫存清單報告進行 S3 批次操作，或是您想要在其他工具 (例如 Microsoft Excel) 中分析此報告，請選擇 CSV。

    • Apache ORC

    • Apache Parquet

11. 在 Status (狀態) 下，選擇 Enable (啟用) 或 Disable (停用)。

12. 若要設定伺服器端加密，請在清查報告加密之下,遵循下列步驟：

    1. 在 [伺服器端加密] 下，選擇 [不指定加密金鑰] 或 [指定要加密資料的加密金鑰]。

       • 若要在將物件存放到 Amazon S3 時，保留預設伺服器端加密的儲存貯體設定，請選擇不指定加密金鑰。只要儲存貯體目的地已啟用 S3 儲存貯體金鑰，複製操作便會在目的地儲存貯體中套用 S3 儲存貯體金鑰。

         注意

         如果指定目標的儲存貯體政策要求物件先加密，然後再將物件存放到 Amazon S3，您必須選擇指定加密金鑰。否則，便無法將物件複製到目的地。

       • 若要先加密物件再存放到 Amazon S3，請選擇指定加密金鑰。

    2. 如果您選擇「指定加密金鑰」，則在「加密類型」下，您必須選擇 Amazon S3 受管金鑰 (SSE-S3) 或金AWS Key Management Service 鑰 (SSE-KMS)。

       SSE-S3 使用目前最強大的其中一種區塊加密法，也就是 256 位元進階加密標準 (AES-256)，來加密每個物件。SSE-KMS 可以讓您更完善地控制金鑰。如需 SSE-S3 的詳細資訊，請參閱 使用 Amazon S3 受管金鑰 (SSE-S3) 進行伺服器端加密。如需 SSE-KMS 的詳細資訊，請參閱「使用伺服器端加密搭配 AWS KMS 金鑰 (SSE-KMS)」。

       注意

       若要使用 SSE-KMS 加密清查清單檔案，您必須對 Amazon S3 授予許可使用客戶受管金鑰。如需說明，請參閱對 Amazon S3 授予許可使用 KMS 金鑰進行加密。

    3. 如果您選擇金AWS Key Management Service 鑰 (SSE-KMS)，在下 AWS KMS key，您可以透過下列其中一個選項指定金 AWS KMS 鑰。

       注意

       如果儲存詳細目錄清單檔案的目的地儲存貯體屬於不同的 AWS 帳戶，請確定您使用完整的 KMS 金鑰 ARN 來指定 KMS 金鑰。

       • 若要從可用 KMS 金鑰清單中選擇，請選擇 [從您的金 AWS KMS 鑰中選擇]，然後從可用金鑰清單中選擇對稱加密 KMS 金鑰。確定 KMS 金鑰與儲存貯體位於相同的區域。

         注意

         AWS 受管金鑰 (aws/s3) 和客戶管理的金鑰都會出現在清單中。不過， AWS 受管金鑰 (aws/s3) 不支援使用 S3 庫存進行 SSE-KMS 加密。

       • 若要輸入 KMS 金鑰 ARN，請選擇 [輸入金 AWS KMS 鑰 ARN]，然後在出現的欄位中輸入您的 KMS 金鑰 ARN。

       • 若要在 AWS KMS 主控台中建立新的客戶管理金鑰，請選擇 [建立 KMS 金鑰]。

13. 針對其他欄位，選取下列其中一項或多項以新增至庫存清單報告中：

    • 大小 - 物件大小 (以位元組為單位)，不包括未完成的分段上傳、物件中繼資料和刪除標記的大小。

    • 上次修改日期 – 物件建立日期或上次修改日期，以最近者為準。

    • Multipart upload (分段上傳) – 指出物件的上傳方式為分段上傳。如需詳細資訊，請參閱「使用分段上傳來上傳和複製物件」。

    • Replication status (複寫狀態) – 物件的複寫狀態。如需詳細資訊，請參閱 取得複寫狀態資訊。

    • 加密狀態 - 用來加密物件的伺服器端加密類型。如需詳細資訊，請參閱 使用伺服器端加密保護資料。

    • 值區索引鍵狀態 — 指出由所產生的儲存貯體層級金鑰是否 AWS KMS 套用至物件。如需詳細資訊，請參閱 使用 Amazon S3 儲存貯體金鑰降低 SSE-KMS 的成本。

    • 物件存取控制清單 — 每個物件的存取控制清單 (ACL)，可定義哪些 AWS 帳戶 或群組被授與此物件的存取權，以及授與的存取類型。如需此欄位的詳細資訊，請參閱 使用物件 ACL 欄位。如需 ACL 的詳細資訊，請參閱「存取控制清單 (ACL) 概觀」。

    • 物件擁有者 - 物件的擁有者。

    • 儲存類別 - 用於存放物件的儲存類別。

    • Intelligent-Tiering：存取方案 - 指出物件的存取方案 (經常或不常) (如果儲存在 Intelligent-Tiering 儲存類別中)。如需詳細資訊，請參閱 存取模式會變更或不明的自動最佳化資料的儲存體方案。

    • ETag – 實體標籤 (ETag) 是物件的雜湊值。ETag 只會反映物件內容的變更，而非其中繼資料的變更。ETag 可能是 (也可能不是) 物件資料的 MD5 摘要。取決於建立物件的方式，及其加密的方式。如需詳細資訊，請參閱《Amazon Simple Storage Service API 參考》中的 Object。

    • 檢查總和演算法 - 說明用於建立物件的檢查總和演算法。

    • 所有物件鎖定組態 - 物件的物件鎖定狀態，包括下列設定：

      • 物件鎖定：保留模式 - 套用於物件的保護層級：控管或合規。

      • 物件鎖定：保留截止日期 - 此日期之後才能刪除鎖定的物件。

      • 物件鎖定：法務保存措施狀態 - 鎖定物件的法務保存措施狀態。

      如需 S3 物件鎖定的詳細資訊，請參閱 S3 物件鎖定的運作方式。

    如需清查報告內容的詳細資訊，請參閱 Amazon S3 清查清單。

    如需有關限制存取詳細目錄組態中某些選用中繼資料欄位的詳細資訊，請參閱控制 S3 庫存報告組態建立。

14. 選擇建立。

發佈清查清單時，您可以使用 Amazon S3 Select 查詢清查清單檔案。如需如何使用 Amazon S3 Select 尋找清查清單並查詢清查清單檔案的詳細資訊，請參閱 尋找您的清查清單。

使用 REST API 搭配 S3 庫存清單

以下是您可以用來與 Amazon S3 庫存搭配使用的其餘作業。

• DeleteBucketInventoryConfiguration

• GetBucketInventoryConfiguration

• ListBucketInventoryConfigurations

• PutBucketInventoryConfiguration