使用 S3 Storage Lens 保護您的資料

您可以使用 Amazon S3 Storage Lens 資料保護指標，來識別尚未套用資料保護最佳實務的儲存貯體。您可以使用這些指標採取行動，並套用符合最佳實務的標準設定，以在您的帳戶或組織中跨儲存貯體保護您的資料。例如，您可以使用資料保護指標，來識別未使用 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS) 進行預設加密的儲存貯體，或使用 AWS 第 2 版簽署程序 (SigV2) 的請求。

下列使用案例提供策略，用於使用 S3 Storage Lens 儀表板來識別異常值以及跨 S3 儲存貯體套用資料保護最佳實務。

識別未使用伺服器端加密搭配 AWS KMS 進行預設加密 (SSE-KMS) 的儲存貯體

使用 Amazon S3 預設加密，您可以設定 S3 儲存貯體的預設加密行為。如需更多詳細資訊，請參閱 對 Amazon S3 儲存貯體設定預設伺服器端加密行為。

您可以使用 SSE-KMS enabled bucket count (已啟用 SSE-KMS 的儲存貯體計數) 和 % SSE-KMS enabled buckets (% 已啟用 SSE-KMS 的儲存貯體) 指標，識別使用伺服器端加密搭配 AWS KMS 金鑰 (SSE-KMS) 進行預設加密的儲存貯體。S3 Storage Lens 也提供未加密位元組、未加密物件、加密位元組和加密物件的指標。如需指標的完整清單，請參閱Amazon S3 Storage Lens 指標詞彙表。

您可以在一般加密指標的內容中分析 SSE-KMS 加密指標，以識別未使用 SSE-KMS 的儲存貯體。如果您想要針對帳戶或組織中的所有儲存貯體使用 SSE-KMS，則可以更新這些儲存貯體的預設加密設定，以使用 SSE-KMS。除了 SSE-KMS 之外，您還可以使用伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-S3) 或客戶提供的金鑰 (SSE-C)。如需更多詳細資訊，請參閱 使用加密來保護資料。

步驟 1：識別哪些儲存貯體正在使用 SSE-KMS 進行預設加密

1. 登入 AWS Management Console，並開啟位於 https://console.aws.amazon.com/s3/ 的 Amazon S3 主控台。

2. 在左導覽窗格中，選擇 Storage Lens、Dashboards (儀表板)。

3. 在 Dashboards (儀表板) 清單中，選擇您要檢視的儀表板名稱。

4. 在 Trends and distributions (趨勢和分佈) 區段中，選擇 % SSE-KMS enabled bucket count (% 已啟用 SSE-KMS 的儲存貯體計數) 作為主要指標，以及選擇 % encrypted bytes (% 加密位元組) 作為次要指標。

   Trend for date (<日期> 的趨勢) 圖表會更新，以顯示 SSE-KMS 和加密位元組的趨勢。

5. 若要檢視 SSE-KMS 的更精細儲存貯體層級洞見：

   1. 在圖表上選擇一點。將出現一個方塊，其中包含更精細洞見的選項。

   2. 選擇 Buckets (儲存貯體) 維度。接著選擇 Apply (套用)。

6. 在 Distribution by buckets for date (<日期> 依儲存貯體的分佈) 圖表中，選擇 SSE-KMS enabled bucket count (已啟用 SSE-KMS 的儲存貯體計數) 指標。

7. 您現在可以看到哪些儲存貯體已啟用 SSE-KMS，以及哪些儲存貯體未啟用它。

步驟 2：更新儲存貯體預設加密設定

確定了哪些儲存貯體在 % encrypted bytes (% 加密位元組) 的內容中使用 SSE-KMS，您就可以識別未使用 SSE-KMS 的儲存貯體。然後，您可以選擇性地導覽至 S3 主控台內的這些儲存貯體，並更新其預設加密設定，以使用 SSE-KMS 或 SSE-S3。如需更多詳細資訊，請參閱 設定預設加密。

識別已啟用 S3 版本控制的儲存貯體

啟用時，S3 版本控制功能會保留相同物件的多個版本，以便在物件意外刪除或覆寫時快速復原資料。您可以使用 Versioning-enabled bucket count (已啟用版本控制的儲存貯體計數) 指標，查看哪些儲存貯體使用 S3 版本控制。然後，您可以在 S3 主控台中採取動作，針對其他儲存貯體啟用 S3 版本控制。

步驟 1：識別已啟用 S3 版本控制的儲存貯體

1. 登入 AWS Management Console，並開啟位於 https://console.aws.amazon.com/s3/ 的 Amazon S3 主控台。

2. 在導覽窗格中，選擇 Storage Lens、Dashboards (儀表板)。

3. 在 Dashboards (儀表板) 清單中，選擇您要檢視的儀表板名稱。

4. 在 Trends and distributions (趨勢和分佈) 區段中，選擇 Versioning-enabled bucket count (已啟用版本控制的儲存貯體計數) 作為主要指標，以及選擇 Buckets (儲存貯體) 作為次要指標。

   Trend for date (日期的趨勢) 圖表會更新，以顯示已啟用 S3 版本控制的儲存貯體的趨勢。在趨勢線下方，您可以看到 Storage class distribution (儲存體類別分佈) 和 Region distribution (區域分佈) 子區段。

5. 若要檢視您在 Trend for date (<日期> 的趨勢) 圖表中看到的任何儲存貯體的更精細洞見，以便您可以執行更深入的分析，請執行下列動作：

   1. 在圖表上選擇一點。將出現一個方塊，其中包含更精細洞見的選項。

   2. 選擇要套用至資料以進行更深入分析的維度：Account (帳戶)、AWS 區域、Storage class (儲存體類別) 或 Bucket (儲存貯體)。接著選擇 Apply (套用)。

6. 在 Bubble analysis by buckets for date (<日期> 依儲存貯體的氣泡分析) 區段中，選擇 Versioning-enabled bucket count (已啟用版本控制的儲存貯體計數)、Buckets (儲存貯體) 和 Active buckets (作用中儲存貯體) 指標。

   Bubble analysis by buckets for date (日期的依儲存貯體進行氣泡分析) 區段會更新，以顯示您所選指標的資料。您可以使用此資料，來查看哪些儲存貯體已在儲存貯體總計數的內容中啟用 S3 版本控制。在 Bubble analysis by buckets for date (日期的依儲存貯體進行氣泡分析) 區段中，您可以使用任意三個指標在多個維度上繪製儲存貯體，以表示氣泡的 X-axis (X 軸)、Y-axis (Y 軸) 以及 Size (大小)。

步驟 2：啟用 S3 版本控制

在識別了已啟用 S3 版本控制的儲存貯體之後，您可以識別從未啟用 S3 版本控制或已暫停版本控制的儲存貯體。然後，您可以選擇性地在 S3 主控台中針對這些儲存貯體啟用版本控制。如需更多詳細資訊，請參閱 在儲存貯體上啟用版本控制。

識別使用 AWS 第 2 版簽署程序 (SigV2) 的請求

您可以使用 All unsupported signature requests (所有不支援的簽章請求) 指標，來識別使用 AWS 第 2 版簽署程序 (SigV2) 的請求。此資料可協助您識別正在使用 SigV2 的特定應用程式。然後，您可以將這些應用程序遷移至 AWS 第 4 版簽署程序 (SigV4)。

SigV4 是所有新 S3 應用程式的建議簽署方法。SigV4 提供了改善的安全性，並在所有 AWS 區域 中受到支援。如需詳細資訊，請參閱 Amazon S3 更新 - SigV2 棄用期間延長和修改。

先決條件

若要在 S3 Storage Lens 儀表板中查看 All unsupported signature requests (所有不支援的簽章請求)，您必須啟用 S3 Storage Lens Advanced metrics and recommendations (進階指標和建議)，然後選取 Advanced data protection metrics (進階資料保護指標)。如需更多詳細資訊，請參閱 建立和更新 Amazon S3 Storage Lens 儀表板。

步驟 1：依 AWS 帳戶、區域和儲存貯體檢查 SigV2 簽署趨勢

1. 登入 AWS Management Console，並開啟位於 https://console.aws.amazon.com/s3/ 的 Amazon S3 主控台。

2. 在左導覽窗格中，選擇 Storage Lens、Dashboards (儀表板)。

3. 在 Dashboards (儀表板) 清單中，選擇您要檢視的儀表板名稱。

4. 若要識別具有使用 SigV2 之請求的特定儲存貯體、帳戶和區域：

   1. 在 Top N overview for date (<日期> 的前 N 個概觀) 下的 Top N (前 N 個) 中，輸入您要查看其資料的儲存貯體數目。

   2. 對於 Metric (指標)，請從 Data protection (資料保護) 類別中選擇 All unsupported signature requests (所有不支援的簽章請求)。

      Top N overview for date (日期的前 N 個概觀) 會更新，依帳戶、AWS 區域和儲存貯體顯示 SigV2 請求的資料。Top N overview for date (日期的前 N 個概觀) 區段也會顯示前一天或前一週的變更百分比以及火花線，來視覺化趨勢。此趨勢是 14 天趨勢 (若為免費指標)，以及 30 天趨勢 (若為進階指標和建議)。

      注意

      有了 S3 Storage Lens 進階指標和建議，指標可供查詢使用 15 個月。如需更多詳細資訊，請參閱 指標選擇。

步驟 2：識別應用程式透過 SigV2 請求存取的儲存貯體

1. 登入 AWS Management Console，並開啟位於 https://console.aws.amazon.com/s3/ 的 Amazon S3 主控台。

2. 在左導覽窗格中，選擇 Storage Lens、Dashboards (儀表板)。

3. 在 Dashboards (儀表板) 清單中，選擇您要檢視的儀表板名稱。

4. 在 Storage Lens 儀表板中，選擇 Bucket (儲存貯體) 索引標籤。

5. 向下捲動至 Buckets (儲存貯體) 區段。在 Metrics categories (指標類別) 下，選擇 Data protection (資料保護)。然後清除 Summary (摘要)。

   Buckets (儲存貯體) 清單會更新，以顯示所顯示儲存貯體的所有可用 Data protection (資料保護) 指標。

6. 若要篩選 Buckets (儲存貯體) 清單，僅顯示特定資料保護指標，請選擇偏好設定圖示 ( )。

7. 清除所有資料保護指標的切換，直到只留下以下選取的指標為止：

   • All unsupported signature requests (所有不支援的簽章請求)

   • % all unsupported signature requests (% 所有不支援的簽章請求)

8. (選用) 在 Page size (頁面大小) 下，選擇要在清單中顯示的儲存貯體數目。

9. 選擇 Confirm (確認)。

   Buckets (儲存貯體) 清單會更新，以顯示 SigV2 請求的儲存貯體層級指標。您可以使用此資料來識別具有 SigV2 請求的特定儲存貯體。然後，您可以使用此資訊，將應用程式遷移到 SigV4。如需詳細資訊，請參閱《Amazon Simple Storage Service API 參考》中的身分身分驗證請求 (AWS Signature 第 4 版)。

計算每個儲存貯體的複寫規則總數

S3 複寫可讓物件跨 Amazon S3 儲存貯體進行自動非同步複製。設定用於物件複寫的儲存貯體可由相同 AWS 帳戶 或不同帳戶擁有。如需更多詳細資訊，請參閱 複製物件概觀。

您可以使用 S3 Storage Lens 複寫規則計數指標，取得針對複寫所設定之儲存貯體的每個儲存貯體詳細資訊。此資訊包括儲存貯體和區域內部以及它們之間的複寫規則。

先決條件

若要在 S3 Storage Lens 儀表板中查看複寫規則計數指標，您必須啟用 S3 Storage Lens Advanced metrics and recommendations (進階指標和建議)，然後選取 Advanced data protection metrics (進階資料保護指標)。如需更多詳細資訊，請參閱 建立和更新 Amazon S3 Storage Lens 儀表板。

步驟 1：計算每個儲存貯體的複寫規則總數

1. 登入 AWS Management Console，並開啟位於 https://console.aws.amazon.com/s3/ 的 Amazon S3 主控台。

2. 在左導覽窗格中，選擇 Storage Lens、Dashboards (儀表板)。

3. 在 Dashboards (儀表板) 清單中，選擇您要檢視的儀表板名稱。

4. 在 Storage Lens 儀表板中，選擇 Bucket (儲存貯體) 索引標籤。

5. 向下捲動至 Buckets (儲存貯體) 區段。在 Metrics categories (指標類別) 下，選擇 Data protection (資料保護)。然後清除 Summary (摘要)。

6. 若要篩選 Buckets (儲存貯體) 清單以僅顯示複寫規則計數指標，請選擇偏好設定圖示 ( )。

7. 清除所有資料保護指標的切換，直到只留下選取的複寫規則計數指標為止：

   • Same-Region Replication rule count (相同區域複寫規則計數)

   • Cross-Region Replication rule count (跨區域複寫規則計數)

   • Same-account replication rule count (相同帳戶複寫規則計數)

   • Cross-account replication rule count (跨帳戶複寫規則計數)

   • Total replication rule count (複寫規則數總計)

8. (選用) 在 Page size (頁面大小) 下，選擇要在清單中顯示的儲存貯體數目。

9. 選擇 Confirm (確認)。

步驟 2：新增複寫規則

在具有每個儲存貯體複寫規則計數之後，您可以選擇性地建立其他複寫規則。如需更多詳細資訊，請參閱 設定即時複製的範例。

識別物件鎖定位元組的百分比

搭配 S3 物件鎖定，您可以使用單寫多讀 (WORM) 模型來存放物件。您可以使用物件鎖定，協助您讓物件在固定時間或無限期免於遭到刪除或覆寫。只有在您建立儲存貯體並同時啟用 S3 版本控制時，才能啟用物件鎖定。不過，您可以編輯個別物件版本的保留期間，或針對已啟用物件鎖定的儲存貯體套用法務保存措施。如需更多詳細資訊，請參閱 使用 S3 物件鎖定。

您可以在 S3 Storage Lens 中使用物件鎖定指標，查看您帳戶或組織的 % Object Lock bytes (% 物件鎖定位元組) 指標。您可以使用此資訊來識別帳戶或組織中未遵循資料保護最佳實務的儲存貯體。

1. 登入 AWS Management Console，並開啟位於 https://console.aws.amazon.com/s3/ 的 Amazon S3 主控台。

2. 在左導覽窗格中，選擇 Storage Lens、Dashboards (儀表板)。

3. 在 Dashboards (儀表板) 清單中，選擇您要檢視的儀表板名稱。

4. 在 Snapshot (快照) 區段的 Metrics categories (指標類別) 下，選擇 Data protection (資料保護)。

   Snapshot (快照) 區段會更新，以顯示資料保護指標，包括 % Object Lock bytes (% 物件鎖定位元組) 指標。您可以查看帳戶或組織的物件鎖定位元組的整體百分比。

5. 若要查看每個儲存貯體的 % Object Lock bytes (% 物件鎖定位元組)，請向下捲動至 Top N overview (前 N 個概觀) 區段。

   若要取得物件鎖定的物件層級資料，您也可以使用 Object Lock object count (物件鎖定物件計數) 和 % Object Lock objects (% 物件鎖定物件) 指標。

6. 針對 Metric (指標)，從 Data protection (資料保護) 類別中選擇 % Object Lock bytes (% 物件鎖定位元組)。

   依預設，Top N overview for date (<日期> 的前 N 個概觀) 區段會顯示前 3 個儲存貯體的指標。在 Top N (前 N 個) 欄位中，您可以增加儲存貯體的數目。Top N overview for date (日期的前 N 個概觀) 區段也會顯示前一天或前一週的變更百分比以及火花線，來視覺化趨勢。此趨勢是 14 天趨勢 (若為免費指標)，以及 30 天趨勢 (若為進階指標和建議)。

   注意

   有了 S3 Storage Lens 進階指標和建議，指標可供查詢使用 15 個月。如需更多詳細資訊，請參閱 指標選擇。

7. 檢閱 % Object Lock bytes (% 物件鎖定位元組) 的下列資料：

   • Top number accounts (前 <數目> 個帳戶) - 查看哪些帳戶具有最高和最低的 % Object Lock bytes (% 物件鎖定位元組)。

   • Top number Regions (前幾個區域) - 依區域檢視 % Object Lock bytes (% 物件鎖定位元組) 的明細。

   • Top number buckets (前幾個儲存貯體) - 查看哪些儲存貯體具有最高和最低的 % Object Lock bytes (% 物件鎖定位元組)。