Utilisation de S3 Storage Lens pour protéger vos données - Amazon Simple Storage Service
Identification des compartiments qui n’utilisent pas SSE-KMS pour le chiffrement par défautIdentification des compartiments pour lesquels la gestion des versions S3 est activéeIdentification des demandes qui utilisent AWS Signature Version 2 (SigV2)Décompte du nombre total de règles de réplication pour chaque compartimentIdentification du pourcentage d’octets de verrouillage d’objets

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de S3 Storage Lens pour protéger vos données

Vous pouvez utiliser les métriques sur la protection des données Amazon S3 Storage Lens pour identifier les compartiments dans lesquels les bonnes pratiques de protection des données n’ont pas été appliquées. Vous pouvez utiliser ces métriques pour agir et appliquer des paramètres standard conformes aux bonnes pratiques pour protéger vos données dans les compartiments de votre compte ou de votre organisation. Par exemple, vous pouvez utiliser des mesures de protection des données pour identifier les compartiments qui n'utilisent pas de clés AWS Key Management Service (AWS KMS) (SSE-KMS) pour le chiffrement par défaut ou les demandes qui utilisent AWS Signature Version 2 (SIGv2).

Les cas d’utilisation suivants fournissent des stratégies d’utilisation de votre tableau de bord S3 Storage Lens pour identifier les anomalies et appliquer les bonnes pratiques de protection des données sur vos compartiments S3.

Identifiez les compartiments qui n'utilisent pas le chiffrement côté serveur AWS KMS pour le chiffrement par défaut (SSE-KMS)

Avec le chiffrement par défaut d’Amazon S3, vous pouvez définir le comportement de chiffrement par défaut pour un compartiment S3. Pour de plus amples informations, veuillez consulter Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3.

Vous pouvez utiliser les métriques du nombre de compartiments activés par SSE-KMS et du % de compartiments activés par SSE-KMS pour identifier les compartiments qui utilisent le chiffrement côté serveur avec des clés (SSE-KMS) comme chiffrement par AWS KMS défaut. S3 Storage Lens fournit également des métriques pour les octets non chiffrés, les objets non chiffrés, les octets chiffrés et les objets chiffrés. Pour obtenir une liste complète des métriques, consultez Glossaire des métriques Amazon S3 Storage Lens.

Vous pouvez analyser les métriques de chiffrement SSE-KMS dans le contexte des métriques de chiffrement générales afin d’identifier les compartiments qui n’utilisent pas SSE-KMS. Pour utiliser SSE-KMS pour tous les compartiments de votre compte ou de votre organisation, vous pouvez ensuite mettre à jour les paramètres de chiffrement par défaut de ces compartiments afin d’utiliser SSE-KMS. Outre SSE-KMS, vous pouvez utiliser le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) ou des clés fournies par le client (SSE-C). Pour de plus amples informations, veuillez consulter Protection des données à l’aide du chiffrement.

Étape 1 : identifier les compartiments qui utilisent SSE-KMS pour le chiffrement par défaut

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le panneau de navigation de gauche, choisissez Storage Lens, Dashboards (Tableaux de bord).

  3. Dans la liste Dashboards (Tableaux de bord), choisissez le nom du tableau de bord que vous souhaitez afficher.

  4. Dans la section Tendances et distributions, choisissez % de compartiments avec SSE-KMS activé comme métrique principale et % d’octets chiffrés comme métrique secondaire.

    Le graphique Trend for date (Tendance pour date) est mis à jour pour afficher les tendances relatives à SSE-KMS et aux octets chiffrés.

  5. Pour afficher des informations plus détaillées au niveau du compartiment pour SSE-KMS :

    1. Choisissez un point sur le graphique. Une case apparaît avec des choix pour afficher des informations plus détaillées.

    2. Choisissez la dimension Buckets (Compartiments). Choisissez ensuite Appliquer.

  6. Dans le graphique Distribution by buckets for date (Distribution par compartiments pour date), choisissez la métrique SSE-KMS enabled bucket count (Nombre de compartiments avec SSE-KMS activé).

  7. Vous pouvez désormais voir pour quels compartiments SSE-KMS est activé et pour quels compartiments il ne l’est pas.

Étape 2 : mettre à jour les paramètres de chiffrement par défaut des compartiments

Maintenant que vous avez déterminé quels compartiments utilisent SSE-KMS dans le contexte de votre métrique % d’octets chiffrés, vous pouvez identifier les compartiments qui n’utilisent pas SSE-KMS. Vous pouvez ensuite éventuellement accéder à ces compartiments dans la console S3 et mettre à jour leurs paramètres de chiffrement par défaut pour utiliser SSE-KMS ou SSE-S3. Pour de plus amples informations, veuillez consulter Configuration du chiffrement par défaut.

Identification des compartiments pour lesquels la gestion des versions S3 est activée

Lorsque cette option est activée, la fonction de gestion des versions S3 conserve plusieurs versions du même objet qui peuvent être utilisées pour récupérer rapidement des données si un objet est supprimé ou écrasé accidentellement. Vous pouvez utiliser la métrique Versioning-enabled bucket count (Nombre de compartiments activés pour la gestion des versions) pour voir quels compartiments utilisent la gestion des versions S3. Ensuite, vous pouvez agir dans la console S3 pour activer la gestion des versions S3 pour d’autres compartiments.

Étape 1 : identifier les compartiments pour lesquels la gestion des versions S3 est activée

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation, choisissez Storage Lens, Tableaux de bord.

  3. Dans la liste Dashboards (Tableaux de bord), choisissez le nom du tableau de bord que vous souhaitez afficher.

  4. Dans la section Trends and distributions (Tendances et distributions), choisissez Versioning-enabled bucket count (Nombre de compartiments activés pour la gestion des versions) comme métrique principale et Buckets (Compartiments) comme métrique secondaire.

    Le graphique Trend for date (Tendance pour date) est mis à jour pour afficher les tendances des compartiments pour lesquels la gestion des versions S3 est activée. Juste en dessous de la courbe des tendances, vous pouvez voir les sous-sections Distribution des classes de stockage et Distribution par région.

  5. Pour obtenir des informations plus détaillées sur l’un des compartiments que vous voyez dans le graphique Trend for date (Tendance pour date) afin de pouvoir effectuer une analyse approfondie, procédez comme suit :

    1. Choisissez un point sur le graphique. Une case apparaît avec des choix pour afficher des informations plus détaillées.

    2. Choisissez une dimension à appliquer à vos données pour une analyse plus approfondie : Account (Compte), Région AWS, Storage class (Classe de stockage) ou Bucket (Compartiment). Choisissez ensuite Appliquer.

  6. Dans la section Bubble analysis by buckets for date (Analyse à bulles par compartiments pour date), choisissez les métriques Versioning-enabled bucket count (Nombre de compartiments activés pour la gestion des versions), Buckets (Compartiments) et Active buckets (Compartiments actifs).

    La section Bubble analysis by buckets for date (Analyse à bulles par compartiments pour date) est mise à jour pour afficher les données relatives aux métriques que vous avez sélectionnées. Vous pouvez utiliser ces données pour voir pour quels compartiments la gestion des versions S3 est activée dans le contexte de votre nombre total de compartiments. Dans la section Bubble analysis by buckets for date (Analyse à bulles par compartiments pour date), vous pouvez tracer vos compartiments sur plusieurs dimensions à l'aide de trois métriques quelconques pour représenter les valeurs X-axis (Axe des X), Y-axis (Axe des Y) et Size (Taille) de la bulle.

Étape 2 : activer la gestion des versions S3

Après avoir identifié les compartiments pour lesquels la gestion des versions S3 est activée, vous pouvez identifier les compartiments pour lesquels la gestion des versions S3 n’a jamais été activée ou a été suspendue. Ensuite, vous pouvez éventuellement activer la gestion des versions pour ces compartiments dans la console S3. Pour de plus amples informations, veuillez consulter Activation de la gestion des versions sur les compartiments.

Identification des demandes qui utilisent AWS Signature Version 2 (SigV2)

Vous pouvez utiliser la métrique Toutes les demandes de signature non prises en charge pour identifier les demandes utilisant la version 2 de AWS signature (SIGv2). Ces données peuvent vous aider à identifier les applications spécifiques qui utilisent SigV2. Vous pouvez ensuite migrer ces applications vers AWS Signature Version 4 (SigV4).

SigV4 est la méthode de signature recommandée pour toutes les nouvelles applications S3. Le SigV4 offre une sécurité améliorée et est pris en charge dans tous les Régions AWS domaines. Pour plus d’informations, consultez Amazon S3 update - SigV2 deprecation period extended & modified (Mise à jour Amazon S3 – Période d’obsolescence SigV2 étendue et modifiée).

Prérequis

Pour voir la métrique Toutes les demandes de signature non prises en charge dans votre tableau de bord S3 Storage Lens, vous devez activer Métriques et recommandations avancées de S3 Storage Lens, puis sélectionner Métriques avancées sur la protection des données. Pour de plus amples informations, veuillez consulter Utilisation de la console S3.

Étape 1 : Examiner les tendances de signature SigV2 par région Compte AWS, par région et par compartiment

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le panneau de navigation de gauche, choisissez Storage Lens, Dashboards (Tableaux de bord).

  3. Dans la liste Dashboards (Tableaux de bord), choisissez le nom du tableau de bord que vous souhaitez afficher.

  4. Pour identifier des compartiments, des comptes et des régions spécifiques dont les demandes utilisent SigV2 :

    1. Sous Aperçu des N éléments principaux pour date, dans N éléments principaux, entrez le nombre de compartiments pour lesquels vous souhaitez voir des données.

    2. Pour Métrique, choisissez Toutes les demandes de signature non prises en charge dans la catégorie Protection des données.

      La liste Top N des mises à jour des dates afin d'afficher les données relatives aux demandes SIGv2 par compte et par compartiment. Région AWS La section Aperçu des N éléments principaux pour date indique également la variation en pourcentage par rapport à la journée ou à la semaine précédente et une ligne étincelante pour visualiser la tendance. Cette tendance est une tendance sur 14 jours pour les métriques gratuites et une tendance sur 30 jours pour les métriques et recommandations avancées.

      Note

      Grâce aux métriques et recommandations avancées S3 Storage Lens, les métriques sont disponibles pour les requêtes pendant 15 mois. Pour de plus amples informations, veuillez consulter Sélection des métriques.

Étape 2 : identifier les compartiments auxquels les applications accèdent via des demandes SigV2

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le panneau de navigation de gauche, choisissez Storage Lens, Dashboards (Tableaux de bord).

  3. Dans la liste Dashboards (Tableaux de bord), choisissez le nom du tableau de bord que vous souhaitez afficher.

  4. Dans votre tableau de bord Storage Lens, choisissez l’onglet Bucket (Compartiment).

  5. Faites défiler jusqu'à la section Buckets (Compartiments). Sous Metrics categories (Catégories de métriques), choisissez Data protection (Protection des données). Effacez ensuite Summary (Résumé).

    La liste Buckets (Compartiments) est mise à jour pour afficher toutes les métriques Data protection (Protection des données) disponibles pour les compartiments affichés.

  6. Pour filtrer la liste Buckets (Compartiments) afin d’afficher uniquement des métriques spécifiques sur la protection des données, choisissez l’icône des préférences ( A screenshot that shows the preferences icon in the S3 Storage Lens dashboard. ).

  7. Désactivez les boutons bascules pour toutes les métriques sur la protection des données jusqu’à ce que seules les métriques suivantes restent sélectionnées :

    • Toutes les demandes de signature non prises en charge

    • % de toutes les demandes de signature non prises en charge

  8. (Facultatif) Sous Page size (Taille de page), choisissez le nombre de compartiments à afficher dans la liste.

  9. Choisissez Confirmer.

    La liste Buckets (Compartiments) est mise à jour pour afficher les métriques au niveau des compartiments pour les demandes SigV2. Vous pouvez utiliser ces données pour identifier des compartiments spécifiques qui font l’objet de demandes SigV2. Vous pouvez ensuite utiliser ces informations pour migrer vos applications vers SigV4. Pour plus d'informations, consultez Authentification des demandes (AWS Signature version 4) dans le manuel Amazon Simple Storage Service API Reference.

Décompte du nombre total de règles de réplication pour chaque compartiment

La réplication S3 permet la copie automatique et asynchrone d’objets entre les compartiments Amazon S3. Les compartiments configurés pour la réplication d’objet peuvent appartenir au même Compte AWS ou à des comptes distincts. Pour de plus amples informations, veuillez consulter Réplication d’objets au sein des régions et entre elles.

Vous pouvez utiliser les métriques de décompte des règles de réplication S3 Storage Lens pour obtenir des informations détaillées par compartiment sur les compartiments configurés pour la réplication. Ces informations incluent les règles de réplication au sein des compartiments et des régions et entre eux.

Prérequis

Pour voir les métriques de décompte des règles de réplication dans votre tableau de bord S3 Storage Lens, vous devez activer Advanced metrics and recommendations (Métriques et recommandations avancées) de S3 Storage Lens, puis sélectionner Advanced data protection metrics (Métriques avancées sur la protection des données). Pour de plus amples informations, veuillez consulter Utilisation de la console S3.

Étape 1 : compter le nombre total de règles de réplication pour chaque compartiment

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le panneau de navigation de gauche, choisissez Storage Lens, Dashboards (Tableaux de bord).

  3. Dans la liste Dashboards (Tableaux de bord), choisissez le nom du tableau de bord que vous souhaitez afficher.

  4. Dans votre tableau de bord Storage Lens, choisissez l’onglet Bucket (Compartiment).

  5. Faites défiler jusqu'à la section Buckets (Compartiments). Sous Metrics categories (Catégories de métriques), choisissez Data protection (Protection des données). Effacez ensuite Summary (Résumé).

  6. Pour filtrer la liste Buckets (Compartiments) afin d’afficher uniquement les métriques de décompte des règles de réplication, choisissez l’icône des préférences ( A screenshot that shows the preferences icon in the S3 Storage Lens dashboard. ).

  7. Désactivez les boutons bascules pour toutes les métriques sur la protection des données jusqu’à ce que seules les métriques de décompte des règles de réplication restent sélectionnées :

    • Nombre de règles de réplication pour la même région

    • Nombre de règles de réplication entre régions

    • Same-account replication rule count (Nombre de règles de réplication pour le même compte)

    • Cross-account replication rule count (Nombre de règles de réplication entre comptes)

    • Total replication rule count (Nombre total de règles de réplication)

  8. (Facultatif) Sous Page size (Taille de page), choisissez le nombre de compartiments à afficher dans la liste.

  9. Choisissez Confirmer.

Étape 2 : ajouter des règles de réplication

Une fois que vous avez déterminé le nombre de règles de réplication par compartiment, vous pouvez éventuellement créer des règles de réplication supplémentaires. Pour de plus amples informations, veuillez consulter Exemples de configuration de la réplication en direct.

Identification du pourcentage d’octets de verrouillage d’objets

Avec S3 Object Lock, vous pouvez stocker des objets à l'aide d'un modèle write-once-read-many (WORM). Vous pouvez utiliser le verrouillage des objets pour empêcher que des objets soient supprimés ou remplacés pendant une durée déterminée ou indéfinie. Vous pouvez activer le verrouillage des objets uniquement lorsque vous créez un compartiment et activez également la gestion des versions S3. Toutefois, vous pouvez modifier la période de rétention pour des versions d’objet individuelles ou appliquer des conservations légales aux compartiments pour lesquels le verrouillage d’objet est activé. Pour de plus amples informations, veuillez consulter Verrouillage d’objets avec la fonctionnalité de verrouillage d’objet.

Vous pouvez utiliser les métriques de verrouillage d’objets dans S3 Storage Lens pour voir la métrique % d’octets de verrouillage d’objets pour votre compte ou votre organisation. Vous pouvez utiliser ces informations pour identifier les compartiments de votre compte ou de votre organisation qui ne respectent pas vos bonnes pratiques de protection des données.

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le panneau de navigation de gauche, choisissez Storage Lens, Dashboards (Tableaux de bord).

  3. Dans la liste Dashboards (Tableaux de bord), choisissez le nom du tableau de bord que vous souhaitez afficher.

  4. Dans la section Snapshot (Instantané), sous Metrics categories (Catégories de métriques), choisissez Data protection (Protection des données).

    La section Instantané est mise à jour pour afficher les métriques sur la protection des données, notamment la métrique % d’octets de verrouillage d’objets. Vous pouvez voir le pourcentage global d’octets de verrouillage d’objets pour votre compte ou votre organisation.

  5. Pour voir la métrique % d’octets de verrouillage d’objets par compartiment, faites défiler la page vers le bas jusqu’à la section Aperçu des N éléments principaux.

    Pour obtenir des données au niveau des objets pour le verrouillage d’objet, vous pouvez également utiliser les métriques Nombre d’objets de verrouillage d’objet et % d’objets de verrouillage d’objet.

  6. Pour Métrique, choisissez % d’octets de verrouillage d’objets dans la catégorie Protection des données.

    Par défaut, la section Top N overview for date (Aperçu des N éléments principaux pour date) affiche les métriques des 3 principaux compartiments. Dans le champ Top N (N éléments principaux), vous pouvez augmenter le nombre de compartiments. La section Top N overview for date (Aperçu des N éléments principaux pour date) indique également la variation en pourcentage par rapport à la journée ou à la semaine précédente et une ligne étincelante pour visualiser la tendance. Cette tendance est une tendance sur 14 jours pour les métriques gratuites et une tendance sur 30 jours pour les métriques et recommandations avancées.

    Note

    Grâce aux métriques et recommandations avancées S3 Storage Lens, les métriques sont disponibles pour les requêtes pendant 15 mois. Pour de plus amples informations, veuillez consulter Sélection des métriques.

  7. Passez en revue les données suivantes pour % d’octets de verrouillage d’objets :

    • nombre comptes principaux : découvrez quels comptes ont la métrique % d’octets de verrouillage d’objets la plus élevée et la plus faible.

    • nombre régions principales : affichez une répartition de la métrique % d’octets de verrouillage d’objets par région.

    • nombre compartiments principaux : découvrez quels compartiments ont la métrique % d’octets de verrouillage d’objets la plus élevée et la plus faible.