Uso de S3 Storage Lens para proteger sus datos - Amazon Simple Storage Service
Identificar los buckets que no utilizan SSE-KMS para el cifrado predeterminadoIdentificar los buckets que tienen habilitado el control de versiones de S3Identificar solicitudes que usen Signature Version 2 (SigV2) de AWSCuente el número total de reglas de replicación para cada bucketIdentificar el porcentaje de bytes de Object Lock

Uso de S3 Storage Lens para proteger sus datos

Puede utilizar las métricas de protección de datos de Lente de almacenamiento de Amazon S3 para identificar los buckets en los que no se han aplicado las prácticas recomendadas de protección de datos. Puede usar estas métricas para tomar medidas y aplicar una configuración estándar que se ajuste a las prácticas recomendadas para proteger los datos en todos los buckets de la cuenta u organización. Por ejemplo, puede usar las métricas de protección de datos para identificar los buckets que no utilizan claves AWS Key Management Service (AWS KMS) (SSE-KMS) para el cifrado predeterminado o las solicitudes que utilizan AWS Signature Version 2 (SigV2).

Los siguientes casos de uso proporcionan estrategias para usar el panel de Lente de almacenamiento de S3 para identificar los valores atípicos y aplicar las prácticas recomendadas de protección de datos en todos los buckets de S3.

Identificar los buckets que no utilizan el cifrado del lado del servidor con AWS KMS para el cifrado predeterminado (SSE-KMS)

Con el cifrado predeterminado de Amazon S3, puede establecer el comportamiento de cifrado predeterminado para un bucket de S3. Para obtener más información, consulte Establecer el comportamiento del cifrado predeterminado del lado del servidor para los buckets de Amazon S3.

Puede utilizar el SSE-KMS enabled bucket count (Recuento de buckets habilitados para SSE-KMS) y las métricas de % SSE-KMS enabled buckets (Porcentaje de buckets habilitados para SSE-KMS) para identificar los buckets que utilizan el cifrado del lado del servidor con claves AWS KMS (SSE-KMS) como cifrado predeterminado. Lente de almacenamiento de S3 también proporciona métricas para bytes no cifrados, objetos no cifrados, bytes cifrados y objetos cifrados. Para obtener una lista completa de métricas, consulte Glosario de métricas de Amazon S3 Storage Lens.

Puede analizar las métricas de cifrado de SSE-KMS en el contexto de las métricas de cifrado generales para identificar los buckets que no utilizan SSE-KMS. Si quiere usar SSE-KMS para todos los buckets de la cuenta u organización, puede actualizar la configuración de cifrado predeterminada para estos buckets para usar SSE-KMS. Además de SSE-KMS, puede utilizar el cifrado del lado del servidor con claves administradas de Amazon S3 (SSE-S3) o claves proporcionadas por el cliente (SSE-C). Para obtener más información, consulte Protección de los datos mediante el cifrado.

Paso 1: identificar qué buckets utilizan SSE-KMS para el cifrado predeterminado

  1. Inicie sesión en la AWS Management Console y abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  2. En el panel de navegación izquierdo, elija Storage Lens, Dashboards (Paneles).

  3. En la lista Dashboards (Paneles), elija el nombre del panel que desea ver.

  4. En la sección Trends and distributions (Tendencias y distribuciones), elija % SSE-KMS enabled bucket count (Porcentaje de recuento de buckets habilitado de SSE-KMS) para la métrica principal y % encrypted bytes (Porcentaje de bytes cifrados) para la métrica secundaria.

    El gráfico de Trend for date (Tendencias para fechas) se actualiza para mostrar las tendencias para SSE-KMS y bytes cifrados.

  5. Para ver información más detallada e información en el nivel de bucket para SSE-KMS:

    1. Elija un punto del gráfico. Aparecerá un recuadro con opciones para obtener información más detallada.

    2. Elija la dimensión Buckets. A continuación, elija Apply (Aplicar).

  6. En el gráfico Distribution by buckets for date (Distribución por buckets para fecha), elija la métrica SSE-KMS enabled bucket count (Recuento de buckets habilitado de SSE-KMS).

  7. Ahora puede ver qué buckets tienen habilitado SSE-KMS y cuáles no.

Paso 2: actualizar la configuración de cifrado predeterminada del bucket

Ahora que ha determinado qué buckets utilizan SSE-KMS en el contexto del % encrypted bytes (Porcentaje de bytes cifrados), puede identificar los buckets que no utilizan SSE-KMS. A continuación, puede acceder opcionalmente a estos buckets en la consola de S3 y actualizar la configuración de cifrado predeterminada para usar SSE-KMS o SSE-S3. Para obtener más información, consulte Configuración del cifrado predeterminado.

Identificar los buckets que tienen habilitado el control de versiones de S3

Cuando está habilitada, la característica de control de versiones de S3 conserva varias versiones del mismo objeto que se pueden utilizar para recuperar datos rápidamente si un objeto se elimina o sobrescribe accidentalmente. Puede usar la métrica de Versioning-enabled bucket count (Recuento de buckets con control de versiones habilitado) para ver qué buckets utilizan el control de versiones de S3. A continuación, puede realizar una acción en la consola de S3 para habilitar el control de versiones de S3 para otros buckets.

Paso 1: identificar los buckets que tienen habilitado el control de versiones de S3

  1. Inicie sesión en la AWS Management Console y abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  2. En el panel de navegación, elija Storage Lens, Dashboards (Paneles).

  3. En la lista Dashboards (Paneles), elija el nombre del panel que desea ver.

  4. En la sección Trends and distributions (Tendencias y distribuciones), elija Versioning-enabled bucket count (Recuento de buckets con control de versiones habilitado) para la métrica principal y Buckets para la métrica secundaria.

    El gráfico de Trend for date (Tendencias para fechas) se actualiza para mostrar las tendencias para los buckets habilitados de control de versiones de S3. Justo debajo de la línea de tendencias, puede ver las subsecciones Storage class distribution (Distribución de clases de almacenamiento) y Region distribution (Distribución de regiones).

  5. Para ver información más detallada sobre cualquiera de los buckets que se ven en el gráfico Trend for date (Tendencias para fechas) y poder realizar un análisis más profundo, haga lo siguiente:

    1. Elija un punto del gráfico. Aparecerá un recuadro con opciones para obtener información más detallada.

    2. Elija una dimensión para aplicarla a los datos para un análisis más profundo: Account (Cuenta), Región de AWS, Storage class (Clase de almacenamiento) o Bucket. A continuación, elija Apply (Aplicar).

  6. En la sección Bubble analysis by buckets for date (Análisis de burbujas por buckets para fechas), elija las métricas Versioning-enabled bucket count (Recuento de buckets con el control de versiones habilitado), Buckets y Active buckets (Buckets activos).

    La sección Bubble analysis by buckets for date (Análisis de burbujas por buckets para fechas) se actualiza para mostrar los datos de las métricas que seleccionó. Puede usar estos datos para ver qué buckets tienen habilitado el control de versiones de S3 en el contexto del recuento total de buckets. En la sección Bubble analysis by buckets for date (Análisis de burbujas de buckets por fecha), puede trazar los buckets en varias dimensiones mediante las tres métricas que representan el X-axis (Eje X), el Y-axis (Eje Y) y el Size (Tamaño) de la burbuja.

Paso 2: habilitar el control de versiones de S3

Una vez que haya identificado los buckets que tienen habilitado el control de versiones de S3, podrá identificar los buckets que nunca lo han tenido habilitado o que tienen el control de versiones suspendido. A continuación, puede habilitar opcionalmente el control de versiones para estos buckets en la consola de S3. Para obtener más información, consulte Habilitar el control de versiones en buckets.

Identificar solicitudes que usen Signature Version 2 (SigV2) de AWS

Puede utilizar la métrica All unsupported signature requests (Todas las solicitudes de firma no admitidas) para identificar las solicitudes que utilizan AWS Signature Version 2 (SigV2). Estos datos le pueden ayudar a identificar aplicaciones específicas que utilizan SigV2. A continuación, puede migrar estas aplicaciones a AWS Signature Version 4 (SigV4).

SigV4 es el método de firma recomendado para todas las aplicaciones nuevas de S3. SigV4 proporciona una seguridad mejorada y es compatible con todas las Regiones de AWS. Para obtener más información, consulte Actualización de Amazon S3: período de desaprobación de Sigv2 extendido y modificado.

Requisito previo

Para ver All unsupported signature requests (Todas las solicitudes de firma no admitidas) en el panel de Lente de almacenamiento de S3, debe habilitar las Advanced metrics and recommendations (Métricas y recomendaciones avanzadas) de Lente de almacenamiento de S3 y, a continuación, seleccionar las Advanced data protection metrics (Métricas avanzadas de protección de datos). Para obtener más información, consulte Creación y actualización de los paneles de Amazon S3 Storage Lens.

Paso 1: examinar las tendencias de firma de SigV2 por Cuenta de AWS, región y bucket

  1. Inicie sesión en la AWS Management Console y abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  2. En el panel de navegación izquierdo, elija Storage Lens, Dashboards (Paneles).

  3. En la lista Dashboards (Paneles), elija el nombre del panel que desea ver.

  4. Para identificar buckets, cuentas y regiones específicos con solicitudes que utilizan SigV2:

    1. En Top N overview for date (Información general de las N principales para fechas), en Top N (N principales), ingrese el número de buckets de los que le gustaría ver los datos.

    2. Para Metric (Métrica), elija All unsupported signature requests (Todas las solicitudes de firma no admitidas) en la categoría Data protection (Protección de datos).

      La Top N overview for date (Información general de las N principales para fechas) se actualiza para mostrar datos para solicitudes SigV2 por cuenta, Región de AWS y bucket. La sección Top N overview for date (Información general de las N principales para fechas) también muestra el cambio porcentual con respecto al día o la semana anteriores y un minigráfico para visualizar la tendencia. Esta tendencia es una tendencia de 14 días para las métricas gratuitas y una tendencia de 30 días para las métricas y recomendaciones avanzadas.

      nota

      Con las métricas y recomendaciones avanzadas de Lente de almacenamiento de S3, las métricas están disponibles para consultas durante 15 meses. Para obtener más información, consulte Selección de métricas.

Paso 2: identificar los buckets a los que acceden las aplicaciones mediante solicitudes SigV2

  1. Inicie sesión en la AWS Management Console y abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  2. En el panel de navegación izquierdo, elija Storage Lens, Dashboards (Paneles).

  3. En la lista Dashboards (Paneles), elija el nombre del panel que desea ver.

  4. En el panel de Storage Lens, elija la pestaña Bucket.

  5. Desplácese hacia abajo hasta la sección Buckets. En Metric categories (Categorías de métricas), elija Data protection (Protección de datos). A continuación, elimine Summary (Resumen).

    La lista de Buckets se actualiza para mostrar todas las métricas de Data protection (Protección de datos) disponibles para los buckets que se muestran.

  6. Para filtrar la lista de Buckets para mostrar solo métricas de protección de datos específicas, elija el icono de preferencias ( A screenshot that shows the preferences icon in the S3 Storage Lens dashboard. ).

  7. Desactive los botones de todas las métricas de protección de datos hasta que solo queden seleccionadas las siguientes métricas:

    • All unsupported signature requests (Todas las solicitudes de firma no admitidas)

    • % all unsupported signature requests (Porcentaje de todas las solicitudes de firma no admitidas)

  8. (Opcional) En Page size (Tamaño de página), elija el número de buckets que desea mostrar en la lista.

  9. Elija Confirm (Confirmar).

    La lista de Buckets se actualiza para mostrar las métricas en el nivel de bucket de las solicitudes SigV2. Puede usar estos datos para identificar buckets específicos que tienen solicitudes SigV2. A continuación, puede utilizar esta información para migrar las aplicaciones a SigV4. Para obtener más información, consulte Autenticación de solicitudes (AWS Signature Version 4) en la Referencia de la API de Amazon Simple Storage Service.

Cuente el número total de reglas de replicación para cada bucket

Con la Replicación de S3 es posible copiar objetos entre buckets de Amazon S3 de forma automática y asincrónica. Los buckets que están configurados para reproducción de objetos pueden pertenecer a la misma Cuenta de AWS o a cuentas diferentes. Para obtener más información, consulte Información general de la replicación de objetos.

Puede utilizar las métricas de recuento de reglas de Replicación de Lente de almacenamiento de S3 para obtener información detallada por bucket sobre los buckets configurados para la replicación. Esta información incluye reglas de replicación dentro y entre buckets y regiones.

Requisito previo

Para ver métricas de recuento de reglas de replicación en el panel de Lente de almacenamiento de S3, debe habilitar Lente de almacenamiento de S3 Advanced metrics and recommendations (Métricas y recomendaciones avanzadas) y, a continuación, seleccionar Advanced data protection metrics (Métricas de protección de datos avanzadas). Para obtener más información, consulte Creación y actualización de los paneles de Amazon S3 Storage Lens.

Paso 1: cuente el número total de reglas de replicación para cada bucket

  1. Inicie sesión en la AWS Management Console y abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  2. En el panel de navegación izquierdo, elija Storage Lens, Dashboards (Paneles).

  3. En la lista Dashboards (Paneles), elija el nombre del panel que desea ver.

  4. En el panel de Storage Lens, elija la pestaña Bucket.

  5. Desplácese hacia abajo hasta la sección Buckets. En Metric categories (Categorías de métricas), elija Data protection (Protección de datos). A continuación, elimine Summary (Resumen).

  6. Para filtrar la lista de buckets para mostrar solo las métricas del recuento de reglas de replicación, elija el icono de preferencias ( A screenshot that shows the preferences icon in the S3 Storage Lens dashboard. ).

  7. Desactive los botones de todas las métricas de protección de datos hasta que solo queden seleccionadas las métricas de recuento de reglas de replicación:

    • Same-Region Replication rule count (Recuento de reglas de replicación de la misma región)

    • Cross-Region Replication rule count (Recuento de reglas de replicación entre regiones)

    • Same-account replication rule count (Recuento de reglas de replicación de la misma cuenta)

    • Cross-account replication rule count (Recuento de reglas de replicación entre cuentas)

    • Total replication rule count (Recuento de reglas de replicación total)

  8. (Opcional) En Page size (Tamaño de página), elija el número de buckets que desea mostrar en la lista.

  9. Elija Confirm (Confirmar).

Paso 2: agregar reglas de replicación

Una vez que disponga de un recuento de reglas de replicación por bucket, puede crear reglas de replicación adicionales si lo desea. Para obtener más información, consulte Ejemplos para configurar la replicación en directo.

Identificar el porcentaje de bytes de Object Lock

Con S3 Object Lock, puede almacenar objetos con un modelo de escritura única y lectura múltiple (WORM). Puede usar Object Lock para ayudarle a evitar que se eliminen o se sobrescriban objetos durante un periodo de tiempo determinado o de manera indefinida. Puede habilitar Object Lock solo al crear un bucket y también habilitar el control de versiones de S3. Sin embargo, puede editar el periodo de retención de las versiones individuales de los objetos o aplicar retenciones legales a los buckets que tengan habilitado Object Lock. Para obtener más información, consulte Usar Bloqueo de objetos de S3.

Puede usar las métricas de Object Lock en Lente de almacenamiento de S3 para ver la métrica % Object Lock bytes (Porcentaje de bytes de Object Lock) de la cuenta u organización. Puede usar esta información para identificar los buckets de la cuenta u organización que no siguen las prácticas recomendadas de protección de datos.

  1. Inicie sesión en la AWS Management Console y abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  2. En el panel de navegación izquierdo, elija Storage Lens, Dashboards (Paneles).

  3. En la lista Dashboards (Paneles), elija el nombre del panel que desea ver.

  4. En la sección Snapshot (Instantánea), en Metrics categories (Categorías de métricas), elija Data protection (Protección de datos).

    La sección Snapshot (Instantánea) se actualiza para mostrar las métricas de protección de datos, incluida la métrica % Object Lock bytes (Porcentaje de bytes de Object Lock). Puede ver el porcentaje total de bytes de Object Lock de la cuenta u organización.

  5. Para ver el % Object Lock bytes (Porcentaje de bytes de Object Lock) por bucket, desplácese hacia abajo hasta la sección Top N overview (Información general de las N principales).

    Para obtener datos en el nivel de objeto para Object Lock, también puede usar las métricas de Object Lock object count (Recuento de objetos de Object Lock) y % Object Lock objects (Porcentaje de objetos de Object Lock).

  6. Para Metric (Métrica), elija % Object Lock bytes (Porcentaje de bytes de Object Lock) de la categoría Data protection (Protección de datos).

    De forma predeterminada, la sección Top N overview for date (Información general de las N principales para fechas) muestra las métricas de los 3 buckets principales. En el campo Top N (N principales), puede aumentar el número de buckets. La sección Top N overview for date (Información general de las N principales para fechas) también muestra el cambio porcentual con respecto al día o la semana anteriores y un minigráfico para visualizar la tendencia. Esta tendencia es una tendencia de 14 días para las métricas gratuitas y una tendencia de 30 días para las métricas y recomendaciones avanzadas.

    nota

    Con las métricas y recomendaciones avanzadas de Lente de almacenamiento de S3, las métricas están disponibles para consultas durante 15 meses. Para obtener más información, consulte Selección de métricas.

  7. Revise los siguientes datos para ver % Object Lock bytes (Porcentaje de bytes de Object Lock):

    • Top number accounts (Cuentas de números principales): consulte qué cuentas tienen el % Object Lock bytes (Porcentaje de bytes de Object Lock) más alto y más bajo.

    • Top number Regions (Regiones de números principales): consulte un desglose de % Object Lock bytes (Porcentaje de bytes de Object Lock) por región.

    • Top number buckets (Buckets de números principales): consulte qué buckets tienen el % Object Lock bytes (Porcentaje de bytes de Object Lock) más alto y más bajo.