Konfigurieren von Amazon S3 Inventory - Amazon Simple Storage Service
Einrichten von Amazon S3 InventoryZiel-Bucket-RichtlinieErteilen der Berechtigung an Amazon S3 zur Verwendung Ihres vom Kunden verwalteten Schlüssels für die VerschlüsselungKonfigurieren des Bestands mit der S3-KonsoleVerwendung der REST-API für die Arbeit mit S3 Inventory

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren von Amazon S3 Inventory

Amazon S3 Inventory stellt eine Flat-File-Liste Ihrer Objekte und Metadaten nach einem von Ihnen definierten Zeitplan bereit. Sie können S3 Inventory als geplante Alternative zur synchronen API-Operation List von Amazon S3 verwenden. S3 Inventory bietet kommagetrennte Werte (CSV), Apache optimierte Zeilenspaltenweise (ORC) oder Apache Parquet (Parquet)Ausgabedateien, die Ihre Objekte und die entsprechenden Metadaten auflisten.

Sie können S3 Inventory so konfigurieren, dass täglich oder wöchentlich Bestandslisten für einen S3-Bucket oder für Objekte mit gemeinsamem Präfix (Objekte, deren Namen mit derselben Zeichenfolge beginnen) erstellt werden. Weitere Informationen finden Sie unter Katalogisieren und Analysieren Ihrer Daten mit S3 Inventory.

In diesem Abschnitt wird beschrieben, wie Sie einen Bestand, einschließlich Details über die Quell- und Ziel-Buckets des Bestands, einrichten.

Übersicht

Amazon S3 Inventory hilft Ihnen, Ihren Speicher zu verwalten, indem nach einem definierten Zeitplan Listen der Objekte in einem S3-Bucket erstellt werden. Sie können mehrere Bestandslisten für einen Bucket konfigurieren. Die Inventarlisten werden in CSV, ORC oder Parquet Dateien in einem Ziel-Bucket.

Der einfachste Weg, ein Inventar einzurichten, ist die Verwendung der Amazon S3 S3-Konsole, aber Sie können auch die Amazon S3 S3-REST-API, AWS Command Line Interface (AWS CLI) oder verwenden AWS SDKs. Die Konsole führt den ersten Schritt des folgenden Verfahrens für Sie durch: Hinzufügen einer Bucket-Richtlinie zum Ziel-Bucket.

So richten Sie Amazon S3 Inventory für einen S3-Bucket ein

  1. Fügen Sie eine Bucket-Richtlinie für den Ziel-Bucket hinzu.

    Sie müssen eine Bucket-Richtlinie für den Ziel-Bucket einrichten, der Amazon S3 die Berechtigung zu erteilt, Objekte in den Bucket an dem definierten Speicherort zu schreiben. Eine Beispielrichtlinie finden Sie unter Gewähren von Berechtigungen für S3 Inventory und S3 Analytics.

  2. Konfigurieren Sie eine Bestandsliste, um die Objekte in einem Quell-Bucket aufzulisten und die Liste in einem Ziel-Bucket zu veröffentlichen.

    Wenn Sie eine Bestandsliste für einen Quell-Bucket konfigurieren, geben Sie den Ziel-Bucket an, in dem die Liste gespeichert werden soll, und ob Sie möchten, dass die Liste täglich oder wöchentlich generiert werden soll. Sie können auch konfigurieren, ob alle Objektversionen oder nur die aktuellen Versionen aufgelistet werden sollen und welche Objektmetadaten enthalten sein sollen.

    Einige Objektmetadatenfelder in S3-Inventory-Berichtskonfigurationen sind optional, was bedeutet, dass sie standardmäßig verfügbar sind, aber eingeschränkt werden können, wenn Sie einem Benutzer die s3:PutInventoryConfiguration-Berechtigung erteilen. Mithilfe des s3:InventoryAccessibleOptionalFields-Bedingungsschlüssels können Sie steuern, ob Benutzer diese optionalen Metadatenfelder in ihre Berichte aufnehmen können.

    Weitere Informationen zu den optionalen Metadatenfeldern, die in S3 Inventory verfügbar sind, finden Sie unter OptionalFieldsin der Amazon Simple Storage Service API-Referenz. Weitere Informationen zum Einschränken des Zugriffs auf bestimmte optionale Metadatenfelder in einer Bestandskonfiguration finden Sie unter Steuern der Erstellung der Konfiguration von S3-Inventory-Berichten.

    Sie können angeben, dass die Inventarlistendatei mithilfe einer serverseitigen Verschlüsselung mit einem von Amazon S3 verwalteten Schlüssel (SSE-S3) oder einem () vom Kunden verwalteten Schlüssel AWS Key Management Service (SSE-KMS AWS KMS) verschlüsselt wird.

    Anmerkung

    Von AWS verwalteter Schlüssel (aws/s3) wird für die SSE-KMS-Verschlüsselung mit S3 Inventory nicht unterstützt.

    Weitere Informationen zu SSE-S3 und SSE-KMS finden Sie unter Schützen von Daten mit serverseitiger Verschlüsselung. Wenn Sie die SSE-KMS-Verschlüsselung verwenden möchten, siehe Schritt 3.

  3. Um die Bestandslisten-Datei mit SSE-KMS zu verschlüsseln, erteilen Sie Amazon S3 die Berechtigung, AWS KMS key zu verwenden.

    Sie können die Verschlüsselung für die Inventarlistendatei mithilfe der Amazon S3 S3-Konsole, der Amazon S3 S3-REST-API AWS CLI, oder konfigurieren AWS SDKs. Unabhängig davon, welche Möglichkeit Sie wählen: Sie müssen Amazon S3 die Berechtigung gewähren, den vom Kunden verwalteten Schlüssel zum Verschlüsseln der Bestandsdatei zu verwenden. Sie erteilen Amazon S3 die Berechtigung, indem Sie die Schlüsselrichtlinie für den kundenverwalteten Schlüssel ändern, den Sie zur Verschlüsselung der Bestandsdatei verwenden möchten. Weitere Informationen finden Sie unter Erteilen der Berechtigung an Amazon S3 zur Verwendung Ihres vom Kunden verwalteten Schlüssels für die Verschlüsselung.

    Der Ziel-Bucket, in dem die Bestandslistendatei gespeichert wird, kann zu einem anderen AWS-Konto  als zu dem Konto gehören, zu dem der Quell-Bucket gehört. Wenn Sie SSE-KMS-Verschlüsselung für die kontoübergreifenden Operationen von Amazon S3 Inventory verwenden, empfehlen wir, einen vollständig qualifizierten KMS-Schlüssel-ARN zu verwenden, wenn Sie S3 Inventory konfigurieren. Weitere Informationen finden Sie unter Verwenden der SSE-KMS-Verschlüsselung für kontoübergreifende Vorgänge und ServerSideEncryptionByDefaultin der Amazon Simple Storage Service API-Referenz.

Erstellen einer Ziel-Bucket-Richtlinie

Wenn Sie Ihre Bestandskonfiguration über die S3-Konsole erstellen, erstellt Amazon S3 automatisch eine Bucket-Richtlinie für den Ziel-Bucket, die ihm Amazon-S3-Schreibberechtigung gewährt. Wenn Sie Ihre Inventarkonfiguration jedoch über die AWS CLI AWS SDKs, oder die Amazon S3 S3-REST-API erstellen, müssen Sie dem Ziel-Bucket manuell eine Bucket-Richtlinie hinzufügen. Mit der Ziel-Bucket-Richtlinie für S3 Inventory kann Amazon S3 Daten für die Bestandsberichte in den Bucket schreiben.

Hier finden Sie ein Beispiel für eine Bucket-Richtlinie. 

{  
      "Version": "2012-10-17",
      "Statement": [
        {
            "Sid": "InventoryExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-DESTINATION-BUCKET/*"
            ],
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3:::DOC-EXAMPLE-SOURCE-BUCKET"
                },
                "StringEquals": {
                    "aws:SourceAccount": "source-account-id",
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

Weitere Informationen finden Sie unter Gewähren von Berechtigungen für S3 Inventory und S3 Analytics.

Wenn beim Erstellen der Bucket-Richtlinie ein Problem auftritt, erhalten Sie Anweisungen zur Fehlerbehebung. Wenn Sie beispielsweise einen Ziel-Bucket in einem anderen auswählen AWS-Konto und nicht über Lese- und Schreibberechtigungen für die Bucket-Richtlinie verfügen, wird Ihnen eine Fehlermeldung angezeigt.

In diesem Fall muss der Eigentümer des Ziel-Buckets die Bucket-Richtlinie dem Ziel-Bucket hinzufügen. Wird die Richtlinie dem Ziel-Bucket nicht hinzugefügt, erhalten Sie keinen Bestandsbericht, da Amazon S3 nicht über die Berechtigung verfügt, in den Ziel-Bucket zu schreiben. Wenn der Quell-Bucket nicht dem Konto des aktuellen Benutzers gehört, muss die richtige Konto-ID des Quell-Bucket-Eigentümers in der Richtlinie ersetzt werden.

Anmerkung

Stellen Sie sicher, dass keine Deny-Anweisungen zur Ziel-Bucket-Richtlinie hinzugefügt werden, die die Zustellung von Bestandsberichten in diesen Bucket verhindern würden. Weitere Informationen finden Sie unter Warum kann ich keinen Amazon-S3-Bestandsbericht erstellen?.

Erteilen der Berechtigung an Amazon S3 zur Verwendung Ihres vom Kunden verwalteten Schlüssels für die Verschlüsselung

Um Amazon S3 die Erlaubnis zu erteilen, Ihren AWS Key Management Service (AWS KMS) vom Kunden verwalteten Schlüssel für die serverseitige Verschlüsselung zu verwenden, müssen Sie eine Schlüsselrichtlinie verwenden. Gehen Sie wie folgt vor, um Ihre Schlüsselrichtlinie zu aktualisieren, damit Sie einen vom Kunden verwalteten Schlüssel verwenden können.

So gewähren Sie Amazon-S3-Berechtigungen zum Verschlüsseln mit Ihrem vom Kunden verwalteten Schlüssel

  1. Melden Sie AWS-Konto sich mit dem Schlüssel, der dem Kunden gehört, bei der AWS Management Console an.

  2. Öffnen Sie die AWS KMS Konsole unter https://console.aws.amazon.com/kms.

  3. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  4. Klicken Sie im linken Navigationsbereich auf Customer managed keys (Vom Kunden verwaltete Schlüssel).

  5. Wählen Sie unter Kundenverwaltete Schlüssel den vom Kunden verwalteten Schlüssel aus, den Sie zum Verschlüsseln der Bestandsdateien verwenden möchten.

  6. Wählen Sie im Abschnitt Key policy (Schlüsselrichtlinie) die Option Switch to policy view (Zur Richtlinienansicht wechseln) aus.

  7. Um die Schlüsselrichtlinie zu aktualisieren, wählen Sie Bearbeiten aus.

  8. Fügen Sie auf der Seite Schlüsselrichtlinie bearbeiten die folgenden Zeilen zu der vorhandenen Schlüsselrichtlinie hinzu. Geben Sie für source-account-id und amzn-s3-demo-source-bucket die entsprechenden Werte für Ihren Anwendungsfall an.

    {
    "Sid": "Allow Amazon S3 use of the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "s3.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition":{
      "StringEquals":{
         "aws:SourceAccount":"source-account-id"
     },
      "ArnLike":{
        "aws:SourceARN": "arn:aws:s3:::amzn-s3-demo-source-bucket"
     }
   }
}

  9. Wählen Sie Änderungen speichern.

Weitere Informationen zum Erstellen von kundenverwalteten Schlüsseln in und zum Verwenden von Schlüsselrichtlinien finden Sie unter den folgenden Links im AWS Key Management Service Benutzerhandbuch:

Anmerkung

Stellen Sie sicher, dass keine Deny-Anweisungen zur Ziel-Bucket-Richtlinie hinzugefügt werden, die die Zustellung von Bestandsberichten in diesen Bucket verhindern würden. Weitere Informationen finden Sie unter Warum kann ich keinen Amazon-S3-Bestandsbericht erstellen?.

Konfigurieren des Bestands mit der S3-Konsole

Verwenden Sie diese Anweisungen, um den Bestand mit der S3-Konsole zu konfigurieren.

Anmerkung

Es könnte bis zu 48 Stunden dauern, bis Amazon S3 den ersten Inventarbericht bereitstellt.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie im linken Navigationsbereich Allzweck-Buckets aus.

  3. Wählen Sie in der Bucket-Liste den Namen des Buckets aus, für den Sie Amazon S3 S3-Inventar konfigurieren möchten.

  4. Wählen Sie den Tab Management.

  5. Wählen Sie unter Inventory configurations (Bestands-Konfigurationen) die Option Create inventory configuration (Bestands-Konfiguration erstellen).

  6. Geben Sie unter Name der Bestandskonfiguration einen Namen ein.

  7. Gehen Sie für Umfang für den Bestand wie folgt vor:

    • Geben Sie ein optionales Präfix ein.

    • Wählen Sie aus, welche Objektversionen eingeschlossen werden sollen: Nur aktuelle Versionen oder Alle Versionen einschließen.

  8. Wählen Sie unter Berichtsdetails den Speicherort des AWS-Konto aus, in dem Sie die Berichte speichern möchten: Dieses Konto oder ein anderes Konto.

  9. Wählen Sie unter Destination (Ziel) den Ziel-Bucket aus, in dem die Bestandsberichte gespeichert werden sollen.

    Der Ziel-Bucket muss sich in demselben Bucket befinden AWS-Region wie der Bucket, für den Sie das Inventar einrichten. Der Ziel-Bucket kann sich in einem anderem AWS-Konto befinden. Beim Festlegen des Ziel-Buckets können Sie auch ein optionales Präfix angeben, um Ihre Bestandsberichte zu gruppieren.

    Unter dem Bucket-Feld Destination (Ziel) sehen Sie die Anweisung Ziel-Bucket-Berechtigung, die der Ziel-Bucket-Richtlinie hinzugefügt wird, damit Amazon S3 Daten in diesen Bucket platzieren kann. Weitere Informationen finden Sie unter Erstellen einer Ziel-Bucket-Richtlinie.

  10. Wählen Sie unter Häufigkeit aus, wie oft der Bericht erstellt wird: Täglich oder Wöchentlich.

  11. Wählen Sie als Ausgabeformat eines der folgenden Formate für den Bericht aus:

    • CSV – Wenn Sie diesen Bestandsbericht mit S3-Batchoperationen verwenden oder in einem anderen Tool wie Microsoft Excel analysieren möchten, wählen Sie CSV aus.

    • Apache ORC

    • Apache Parquet

  12. Wählen Sie unter Status die Option Enable (Aktivieren) oder Disable (Deaktivieren) aus.

  13. Führen Sie unter Verschlüsselung des Bestandsberichts die folgenden Schritte aus, um die serverseitige Verschlüsselung zu konfigurieren:

    1. Wählen Sie unter Serverseitige Verschlüsselung entweder die Option Keinen Verschlüsselungsschlüssel angeben oder Verschlüsselungsschlüssel angeben für die Datenverschlüsselung aus.

      • Um die Bucket-Einstellungen für die serverseitige Standardverschlüsselung von Objekten beizubehalten, wenn sie in Amazon S3 gespeichert werden, wählen Sie Keinen Verschlüsselungsschlüssel angeben aus. Solange S3-Bucket-Schlüssel für den Ziel-Bucket aktiviert sind, wendet der Kopiervorgang S3-Bucket-Schlüssel auf den Ziel-Bucket an.

        Anmerkung

        Wenn die Bucket-Richtlinie für das angegebene Ziel vorschreibt, dass Objekte verschlüsselt werden müssen, bevor sie in Amazon S3 gespeichert werden, müssen Sie Verschlüsselungsschlüssel angeben auswählen. Andernfalls schlägt das Kopieren von Objekten in das Ziel fehl.

      • Um Objekte zu verschlüsseln, bevor sie in Amazon S3 gespeichert werden, wählen Sie Verschlüsselungsschlüssel angeben aus.

    2. Bei Auswahl von Verschlüsselungsschlüssel angeben müssen Sie unter Verschlüsselungstyp entweder Von Amazon S3 verwalteter Schlüssel (SSE-S3) oder AWS Key Management Service -Schlüssel (SSE-KMS) auswählen.

      SSE-S3 verwendet für die Verschlüsselung der einzelnen Objekte eine der stärksten Blockverschlüsselungen: 256-bit Advanced Encryption Standard (AES-256). Mit SSE-KMS erhalten Sie mehr Kontrolle über Ihren Schlüssel. Weitere Informationen zu SSE-S3 finden Sie unter Verwenden serverseitiger Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3). Weitere Informationen zu SSE-KMS finden Sie unter Verwenden der serverseitigen Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS).

      Anmerkung

      Um die Bestandslisten-Datei mit SSE-KMS zu verschlüsseln, müssen Sie Amazon S3 die Berechtigung erteilen, den vom Kunden verwalteten Schlüssel zu verwenden. Anleitungen finden Sie unter Erteilen einer Amazon S3-Berechtigung zur Verschlüsselung mit Ihren KMS-Schlüsseln.

    3. Wenn Sie unter AWS Key Management Service Schlüssel (SSE-KMS) ausgewählt haben AWS KMS key, können Sie Ihren AWS KMS Schlüssel über eine der folgenden Optionen angeben.

      Anmerkung

      Wenn der Ziel-Bucket, in dem die Inventarlistendatei gespeichert ist, einem anderen gehört AWS-Konto, stellen Sie sicher, dass Sie einen vollqualifizierten KMS-Schlüssel-ARN verwenden, um Ihren KMS-Schlüssel anzugeben.

      • Um aus einer Liste verfügbarer KMS-Schlüssel auszuwählen, wählen Sie Wählen Sie aus Ihren AWS KMS Schlüsseln und wählen Sie einen KMS-Schlüssel mit symmetrischer Verschlüsselung aus der Liste der verfügbaren Schlüssel aus. Stellen Sie sicher, dass sich der KMS-Schlüssel in derselben Region wie Ihr Bucket befindet.

        Anmerkung

        Sowohl der Von AWS verwalteter Schlüssel (aws/s3) als auch Ihr vom Kunden verwalteter Schlüssel werden in der Liste angezeigt. Von AWS verwalteter Schlüssel (aws/s3) wird jedoch nicht für die SSE-KMS-Verschlüsselung mit S3 Inventory unterstützt.

      • Um den KMS-Schlüssel-ARN einzugeben, wählen Sie Enter AWS KMS key ARN und geben Sie Ihren KMS-Schlüssel-ARN in das angezeigte Feld ein.

      • Um einen neuen vom Kunden verwalteten Schlüssel in der AWS KMS Konsole zu erstellen, wählen Sie Create a KMS Key aus.

  14. Wählen Sie für Zusätzliche Metadatenfelder eine oder mehrere der folgenden Optionen für das Hinzufügen zum Bestandsbericht aus:

    • Größe – Die Objektgröße in Byte, ohne die Größe von unvollständigen mehrteiligen Uploads, Objektmetadaten und Löschmarkierungen.

    • Last modified date (Letztes Änderungsdatum) – Datum der Erstellung oder der letzten Änderung des Objekts, je nachdem, welches neuer ist.

    • Multipart upload (Mehrteiliger Upload) – Gibt an, dass das Objekt als mehrteiliger Upload hochgeladen wurde. Weitere Informationen finden Sie unter Hochladen und Kopieren von Objekten mit mehrteiligen Uploads in Amazon S3.

    • Replication status (Replikationsstatus) – Der Replikationsstatus des Objekts. Weitere Informationen finden Sie unter Abrufen von Replikationsstatusinformationen.

    • Encryption status (Verschlüsselungsstatus) – Der serverseitige Verschlüsselungstyp, der für die Verschlüsselung des Objekts verwendet wird. Weitere Informationen finden Sie unter Schützen von Daten mit serverseitiger Verschlüsselung.

    • Bucket-Schlüsselstatus — Gibt an, ob ein von generierter Schlüssel auf Bucket-Ebene für das Objekt AWS KMS gilt. Weitere Informationen finden Sie unter Reduzieren des Preises von SSE-KMS mit Amazon-S3-Bucket-Schlüsseln.

    • Objektzugriffskontrollliste — Eine Zugriffskontrollliste (ACL) für jedes Objekt, die definiert, welchen AWS-Konten oder welchen Gruppen Zugriff auf dieses Objekt gewährt wird und welche Art von Zugriff gewährt wird. Weitere Hinweise zu diesem Feld finden Sie unter Arbeiten mit dem Feld „Objekt-ACL“. Weitere Hinweise zu finden ACLs Sie unterZugriffskontrolllisten (ACL) – Übersicht.

    • Object owner (Besitzer des Objekts) – Der Besitzer des Objekts.

    • Storage class (Speicherklasse) – Die für die Speicherung des Objekts verwendete Speicherklasse.

    • Intelligent-Tiering: Access tier (Zugriffsebene) – Zugriffsebene (häufig oder selten) des Objekts, wenn es im S3-Intelligent-Tiering-Speicher gespeichert wurde. Weitere Informationen finden Sie unter Speicherklasse zur automatischen Optimierung von Daten mit sich ändernden oder unbekannten Zugriffsmustern.

    • ETag— Das Entity-Tag (ETag) ist ein Hash des Objekts. Das ETag spiegelt nur Änderungen am Inhalt eines Objekts wider, nicht an seinen Metadaten. Dies ETag kann eine MD5 Zusammenfassung der Objektdaten sein oder auch nicht. Dies hängt davon ab, wie das Objekt erstellt und verschlüsselt wurde. Weitere Informationen finden Sie unter Objectin der Amazon Simple Storage Service API-Referenz.

    • Prüfsummen-Algorithmus – Gibt den Algorithmus an, mit dem die Prüfsumme für das Objekt erstellt wurde. Weitere Informationen finden Sie unter Verwenden unterstützter Prüfsummenalgorithmen.

    • All Object lock configurations (Alle Objektsperre-Konfigurationen) – Der Objektsperrenstatus des Objekts, einschließlich der folgenden Einstellungen:

      • Object Lock: Retention mode (Aufbewahrungsmodus der Objektsperre) – Die auf das Objekt angewendete Schutzebene, entweder Governance oder Compliance.

      • Object Lock: Retain until date (Beibehaltungsfrist für Objektsperre) – Das Datum, bis zu dem das gesperrte Objekt nicht gelöscht werden kann.

      • Object Lock: Legal hold status (Status der gesetzlichen Sperrfrist des Objekts) – Der Status der gesetzlichen Sperrfrist des gesperrten Objekts.

      Weitere Informationen zur S3-Objektsperre finden Sie unter So funktioniert die S3-Objektsperre.

    Weitere Informationen zum Inhalt eines Bestandsberichts finden Sie unter Amazon-S3-Inventory-Liste.

    Weitere Informationen zum Einschränken des Zugriffs auf bestimmte optionale Metadatenfelder in einer Bestandskonfiguration finden Sie unter Steuern der Erstellung der Konfiguration von S3-Inventory-Berichten.

  15. Wählen Sie Create (Erstellen) aus.

Verwendung der REST-API für die Arbeit mit S3 Inventory

Die folgenden sind die REST-Operationen, die Sie zur Arbeit mit Amazon S3 Inventory verwenden können.