Utiliser S3 Storage Lens pour protéger vos données - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser S3 Storage Lens pour protéger vos données

Vous pouvez utiliser les métriques sur la protection des données Amazon S3 Storage Lens pour identifier les compartiments dans lesquels les bonnes pratiques de protection des données n'ont pas été appliquées. Vous pouvez utiliser ces métriques pour agir et appliquer des paramètres standard conformes aux bonnes pratiques pour protéger vos données dans les compartiments de votre compte ou de votre organisation. Par exemple, vous pouvez utiliser des mesures de protection des données pour identifier les compartiments qui n'utilisent pas de clés AWS Key Management Service (AWS KMS) (SSE-KMS) pour le chiffrement par défaut ou les demandes qui utilisent AWS Signature Version 2 (SIGv2).

Les cas d'utilisation suivants fournissent des stratégies d'utilisation de votre tableau de bord S3 Storage Lens pour identifier les anomalies et appliquer les bonnes pratiques de protection des données sur vos compartiments S3.

Identifiez les compartiments qui n'utilisent pas le chiffrement côté serveur AWS KMS pour le chiffrement par défaut (-) SSE KMS

Avec le chiffrement par défaut d'Amazon S3, vous pouvez définir le comportement de chiffrement par défaut pour un compartiment S3. Pour de plus amples informations, veuillez consulter Définition du comportement de chiffrement côté serveur par défaut pour les compartiments Amazon S3.

Vous pouvez utiliser les SSE métriques « nombre de compartiments KMS activés » et « % SSE » de compartiments KMS activés pour identifier les compartiments qui utilisent le chiffrement côté serveur avec des AWS KMS clés (SSE-KMS) pour le chiffrement par défaut. S3 Storage Lens fournit également des métriques pour les octets non chiffrés, les objets non chiffrés, les octets chiffrés et les objets chiffrés. Pour obtenir une liste complète des métriques, consultez Glossaire des métriques Amazon S3 Storage Lens.

Vous pouvez analyser SSE - les métriques de KMS chiffrement dans le contexte des métriques de chiffrement générales pour identifier les buckets qui ne les utilisent pas SSE -KMS. Si vous souhaitez utiliser SSE - KMS pour tous les compartiments de votre compte ou de votre organisation, vous pouvez ensuite mettre à jour les paramètres de chiffrement par défaut pour ces compartiments à utiliser SSE -. KMS Outre SSE -KMS, vous pouvez utiliser le chiffrement côté serveur avec des clés gérées par Amazon S3 (-S3) ou des clés fournies par le client (SSE-C). SSE Pour de plus amples informations, veuillez consulter Protection des données à l'aide du chiffrement.

Étape 1 : identifier les buckets utilisés, KMS pour le SSE chiffrement par défaut

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le panneau de navigation de gauche, choisissez Storage Lens, Dashboards (Tableaux de bord).

  3. Dans la liste Dashboards (Tableaux de bord), choisissez le nom du tableau de bord que vous souhaitez afficher.

  4. Dans la section Tendances et distributions, sélectionnez % SSE - nombre de compartiments KMS activé pour la métrique principale et % d'octets chiffrés pour la métrique secondaire.

    Le graphique des tendances est mis à jour pour afficher les tendances relatives aux octets chiffrés KMS et aux octets chiffrés. SSE

  5. Pour obtenir des informations plus détaillées, au niveau du compartiment, sur : SSE KMS

    1. Choisissez un point sur le graphique. Une case apparaît avec des choix pour afficher des informations plus détaillées.

    2. Choisissez la dimension Buckets (Compartiments). Choisissez ensuite Apply(Applisuer).

  6. Dans le graphique Distribution par compartiments pour les dates, choisissez la métrique de nombre de compartiments KMS activée SSE -.

  7. Vous pouvez désormais voir quels buckets sont SSE KMS activés et lesquels ne le sont pas.

Étape 2 : mettre à jour les paramètres de chiffrement par défaut des compartiments

Maintenant que vous avez déterminé quels compartiments sont utilisés, KMS dans le contexte de vos % d'octets chiffrés, vous pouvez identifier les compartiments qui n'utilisent SSE pas SSE -. KMS Vous pouvez ensuite éventuellement accéder à ces compartiments dans la console S3 et mettre à jour leurs paramètres de chiffrement par défaut pour utiliser SSE - KMS ou SSE -S3. Pour de plus amples informations, veuillez consulter Configuration du chiffrement par défaut.

Identification des compartiments pour lesquels la gestion des versions S3 est activée

Lorsque cette option est activée, la fonction de gestion des versions S3 conserve plusieurs versions du même objet qui peuvent être utilisées pour récupérer rapidement des données si un objet est supprimé ou écrasé accidentellement. Vous pouvez utiliser la métrique Versioning-enabled bucket count (Nombre de compartiments activés pour la gestion des versions) pour voir quels compartiments utilisent la gestion des versions S3. Ensuite, vous pouvez agir dans la console S3 pour activer la gestion des versions S3 pour d'autres compartiments.

Étape 1 : identifier les compartiments pour lesquels la gestion des versions S3 est activée

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le volet de navigation, sélectionnez Storage Lens, puis Dashboards (Tableaux de bord).

  3. Dans la liste Dashboards (Tableaux de bord), choisissez le nom du tableau de bord que vous souhaitez afficher.

  4. Dans la section Trends and distributions (Tendances et distributions), choisissez Versioning-enabled bucket count (Nombre de compartiments activés pour la gestion des versions) comme métrique principale et Buckets (Compartiments) comme métrique secondaire.

    Le graphique Trend for date (Tendance pour date) est mis à jour pour afficher les tendances des compartiments pour lesquels la gestion des versions S3 est activée. Juste en dessous de la courbe des tendances, vous pouvez voir les sous-sections Storage class distribution (Distribution des classes de stockage) et Region distribution (Distribution par région).

  5. Pour obtenir des informations plus détaillées sur l'un des compartiments que vous voyez dans le graphique Trend for date (Tendance pour date) afin de pouvoir effectuer une analyse approfondie, procédez comme suit :

    1. Choisissez un point sur le graphique. Une case apparaît avec des choix pour afficher des informations plus détaillées.

    2. Choisissez une dimension à appliquer à vos données pour une analyse plus approfondie : Account (Compte), Région AWS, Storage class (Classe de stockage) ou Bucket (Compartiment). Choisissez ensuite Apply(Applisuer).

  6. Dans la section Bubble analysis by buckets for date (Analyse à bulles par compartiments pour date), choisissez les métriques Versioning-enabled bucket count (Nombre de compartiments activés pour la gestion des versions), Buckets (Compartiments) et Active buckets (Compartiments actifs).

    La section Bubble analysis by buckets for date (Analyse à bulles par compartiments pour date) est mise à jour pour afficher les données relatives aux métriques que vous avez sélectionnées. Vous pouvez utiliser ces données pour voir pour quels compartiments la gestion des versions S3 est activée dans le contexte de votre nombre total de compartiments. Dans la section Bubble analysis by buckets for date (Analyse à bulles par compartiments pour date), vous pouvez tracer vos compartiments sur plusieurs dimensions à l'aide de trois métriques quelconques pour représenter les valeurs X-axis (Axe des X), Y-axis (Axe des Y) et Size (Taille) de la bulle.

Étape 2 : activer la gestion des versions S3

Après avoir identifié les compartiments pour lesquels la gestion des versions S3 est activée, vous pouvez identifier les compartiments pour lesquels la gestion des versions S3 n'a jamais été activée ou a été suspendue. Ensuite, vous pouvez éventuellement activer la gestion des versions pour ces compartiments dans la console S3. Pour de plus amples informations, veuillez consulter Activation de la gestion des versions sur les compartiments.

Identification des demandes qui utilisent AWS Signature Version 2 (SigV2)

Vous pouvez utiliser la métrique Toutes les demandes de signature non prises en charge pour identifier les demandes utilisant la version 2 de AWS signature (SIGv2). Ces données peuvent vous aider à identifier les applications spécifiques qui utilisent SigV2. Vous pouvez ensuite migrer ces applications vers AWS Signature Version 4 (SigV4).

SigV4 est la méthode de signature recommandée pour toutes les nouvelles applications S3. Le SigV4 offre une sécurité améliorée et est pris en charge dans tous les Régions AWS domaines. Pour plus d'informations, consultez Amazon S3 update - SigV2 deprecation period extended & modified (Mise à jour Amazon S3 – Période d'obsolescence SigV2 étendue et modifiée).

Prérequis

Pour voir la métrique All unsupported signature requests (Toutes les demandes de signature non prises en charge) dans votre tableau de bord S3 Storage Lens, vous devez activer Advanced metrics and recommendations (Métriques et recommandations avancées) de S3 Storage Lens, puis sélectionner Advanced data protection metrics (Métriques avancées sur la protection des données). Pour de plus amples informations, veuillez consulter Utilisation de la console S3.

Étape 1 : Examiner les tendances de signature SigV2 par région Compte AWS, par région et par compartiment

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le panneau de navigation de gauche, choisissez Storage Lens, Dashboards (Tableaux de bord).

  3. Dans la liste Dashboards (Tableaux de bord), choisissez le nom du tableau de bord que vous souhaitez afficher.

  4. Pour identifier des compartiments, des comptes et des régions spécifiques dont les demandes utilisent SigV2 :

    1. Sous Top N overview for date (Aperçu des N éléments principaux pour date), dans Top N (N éléments principaux), entrez le nombre de compartiments pour lesquels vous souhaitez voir des données.

    2. Pour Metric (Métrique), choisissez All unsupported signature requests (Toutes les demandes de signature non prises en charge) dans la catégorie Data protection (Protection des données).

      La liste Top N des mises à jour des dates afin d'afficher les données relatives aux demandes SIGv2 par compte et par compartiment. Région AWS La section Top N overview for date (Aperçu des N éléments principaux pour date) indique également la variation en pourcentage par rapport à la journée ou à la semaine précédente et une ligne étincelante pour visualiser la tendance. Cette tendance est une tendance sur 14 jours pour les métriques gratuites et une tendance sur 30 jours pour les métriques et recommandations avancées.

      Note

      Grâce aux métriques et recommandations avancées S3 Storage Lens, les métriques sont disponibles pour les requêtes pendant 15 mois. Pour de plus amples informations, veuillez consulter Sélection des métriques.

Étape 2 : identifier les compartiments auxquels les applications accèdent via des demandes SigV2

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le panneau de navigation de gauche, choisissez Storage Lens, Dashboards (Tableaux de bord).

  3. Dans la liste Dashboards (Tableaux de bord), choisissez le nom du tableau de bord que vous souhaitez afficher.

  4. Dans votre tableau de bord Storage Lens, choisissez l'onglet Bucket (Compartiment).

  5. Faites défiler jusqu'à la section Buckets (Compartiments). Sous Metrics categories (Catégories de métriques), choisissez Data protection (Protection des données). Effacez ensuite Summary (Résumé).

    La liste Buckets (Compartiments) est mise à jour pour afficher toutes les métriques Data protection (Protection des données) disponibles pour les compartiments affichés.

  6. Pour filtrer la liste Buckets (Compartiments) afin d'afficher uniquement des métriques spécifiques sur la protection des données, choisissez l'icône des préférences ( A screenshot that shows the preferences icon in the S3 Storage Lens dashboard. ).

  7. Désactivez les boutons bascules pour toutes les métriques sur la protection des données jusqu'à ce que seules les métriques suivantes restent sélectionnées :

    • All unsupported signature requests (Toutes les demandes de signature non prises en charge)

    • % all unsupported signature requests (% de toutes les demandes de signature non prises en charge)

  8. (Facultatif) Sous Page size (Taille de page), choisissez le nombre de compartiments à afficher dans la liste.

  9. Choisissez Confirmer.

    La liste Buckets (Compartiments) est mise à jour pour afficher les métriques au niveau des compartiments pour les demandes SigV2. Vous pouvez utiliser ces données pour identifier des compartiments spécifiques qui font l'objet de demandes SigV2. Vous pouvez ensuite utiliser ces informations pour migrer vos applications vers SigV4. Pour plus d'informations, consultez Authentification des demandes (AWS Signature version 4) dans le manuel Amazon Simple Storage Service API Reference.

Décompte du nombre total de règles de réplication pour chaque compartiment

La réplication S3 permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3. Les compartiments configurés pour la réplication d'objet peuvent appartenir au même Compte AWS ou à des comptes distincts. Pour de plus amples informations, veuillez consulter Réplication d'objets au sein des régions et entre elles.

Vous pouvez utiliser les métriques de décompte des règles de réplication S3 Storage Lens pour obtenir des informations détaillées par compartiment sur les compartiments configurés pour la réplication. Ces informations incluent les règles de réplication au sein des compartiments et des régions et entre eux.

Prérequis

Pour voir les métriques de décompte des règles de réplication dans votre tableau de bord S3 Storage Lens, vous devez activer Advanced metrics and recommendations (Métriques et recommandations avancées) de S3 Storage Lens, puis sélectionner Advanced data protection metrics (Métriques avancées sur la protection des données). Pour de plus amples informations, veuillez consulter Utilisation de la console S3.

Étape 1 : Compter le nombre total de règles de réplication pour chaque compartiment

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le panneau de navigation de gauche, choisissez Storage Lens, Dashboards (Tableaux de bord).

  3. Dans la liste Dashboards (Tableaux de bord), choisissez le nom du tableau de bord que vous souhaitez afficher.

  4. Dans votre tableau de bord Storage Lens, choisissez l'onglet Bucket (Compartiment).

  5. Faites défiler jusqu'à la section Buckets (Compartiments). Sous Metrics categories (Catégories de métriques), choisissez Data protection (Protection des données). Effacez ensuite Summary (Résumé).

  6. Pour filtrer la liste Buckets (Compartiments) afin d'afficher uniquement les métriques de décompte des règles de réplication, choisissez l'icône des préférences ( A screenshot that shows the preferences icon in the S3 Storage Lens dashboard. ).

  7. Désactivez les boutons bascules pour toutes les métriques sur la protection des données jusqu'à ce que seules les métriques de décompte des règles de réplication restent sélectionnées :

    • Same-Region Replication rule count (Nombre de règles de réplication pour la même région)

    • Cross-Region Replication rule count (Nombre de règles de réplication entre régions)

    • Same-account replication rule count (Nombre de règles de réplication pour le même compte)

    • Cross-account replication rule count (Nombre de règles de réplication entre comptes)

    • Total replication rule count (Nombre total de règles de réplication)

  8. (Facultatif) Sous Page size (Taille de page), choisissez le nombre de compartiments à afficher dans la liste.

  9. Choisissez Confirmer.

Étape 2 : ajouter des règles de réplication

Une fois que vous avez déterminé le nombre de règles de réplication par compartiment, vous pouvez éventuellement créer des règles de réplication supplémentaires. Pour de plus amples informations, veuillez consulter Exemples de configuration de la réplication en direct.

Identification du pourcentage d'octets de verrouillage d'objets

Avec S3 Object Lock, vous pouvez stocker des objets à l'aide d'un modèle write-once-read-many (WORM). Vous pouvez utiliser le verrouillage des objets pour empêcher que des objets soient supprimés ou remplacés pendant une durée déterminée ou indéfinie. Vous pouvez activer le verrouillage des objets uniquement lorsque vous créez un compartiment et activez également la gestion des versions S3. Toutefois, vous pouvez modifier la période de conservation pour des versions d'objet individuelles ou appliquer des restrictions légales aux compartiments pour lesquels le verrouillage des objets est activé. Pour de plus amples informations, veuillez consulter Verrouiller des objets avec Object Lock.

Vous pouvez utiliser les métriques de verrouillage d'objets dans S3 Storage Lens pour voir la métrique % Object Lock bytes (% d'octets de verrouillage d'objets) pour votre compte ou votre organisation. Vous pouvez utiliser ces informations pour identifier les compartiments de votre compte ou de votre organisation qui ne respectent pas vos bonnes pratiques de protection des données.

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Dans le panneau de navigation de gauche, choisissez Storage Lens, Dashboards (Tableaux de bord).

  3. Dans la liste Dashboards (Tableaux de bord), choisissez le nom du tableau de bord que vous souhaitez afficher.

  4. Dans la section Snapshot (Instantané), sous Metrics categories (Catégories de métriques), choisissez Data protection (Protection des données).

    La section Snapshot (Instantané) est mise à jour pour afficher les métriques sur la protection des données, notamment la métrique % Object Lock bytes (% d'octets de verrouillage d'objets). Vous pouvez voir le pourcentage global d'octets de verrouillage d'objets pour votre compte ou votre organisation.

  5. Pour voir la métrique % Object Lock bytes (% d'octets de verrouillage d'objets) par compartiment, faites défiler la page vers le bas jusqu'à la section Top N overview (Aperçu des N éléments principaux).

    Pour obtenir des données au niveau des objets pour le verrouillage d'objets, vous pouvez également utiliser les métriques Object Lock object count (Nombre d'objets de verrouillage d'objets) et % Object Lock objects (% d'objets avec verrouillage d'objets).

  6. Pour Metric (Métrique), choisissez % Object Lock bytes (% d'octets de verrouillage d'objets) dans la catégorie Data protection (Protection des données).

    Par défaut, la section Top N overview for date (Aperçu des N éléments principaux pour date) affiche les métriques des 3 principaux compartiments. Dans le champ Top N (N éléments principaux), vous pouvez augmenter le nombre de compartiments. La section Top N overview for date (Aperçu des N éléments principaux pour date) indique également la variation en pourcentage par rapport à la journée ou à la semaine précédente et une ligne étincelante pour visualiser la tendance. Cette tendance est une tendance sur 14 jours pour les métriques gratuites et une tendance sur 30 jours pour les métriques et recommandations avancées.

    Note

    Grâce aux métriques et recommandations avancées S3 Storage Lens, les métriques sont disponibles pour les requêtes pendant 15 mois. Pour de plus amples informations, veuillez consulter Sélection des métriques.

  7. Passez en revue les données suivantes pour % Object Lock bytes (% d'octets de verrouillage d'objets) :

    • Top number accounts (nombre comptes principaux) ‐ Découvrez quels comptes ont la métrique % Object Lock bytes (% d'octets de verrouillage d'objets) la plus élevée et la plus faible.

    • Top number Regions (nombre régions principales) ‐ Affichez une répartition de la métrique % Object Lock bytes (% d'octets de verrouillage d'objets) par région.

    • Top number buckets (nombre compartiments principaux) ‐ Découvrez quels compartiments ont la métrique % Object Lock bytes (% d'octets de verrouillage d'objets) la plus élevée et la plus faible.