Configurazione di Amazon S3 Inventory Policy del bucket di destinazione Concessione ad Amazon S3 dell'autorizzazione per l'utilizzo della chiave gestita dal cliente per la crittografia Configurazione dell'inventario utilizzando la console S3 Utilizzo di REST API per utilizzare Inventario S3

Configurazione di Amazon S3 Inventory

Amazon S3 Inventory fornisce un elenco di tipo file flat contenente oggetti e metadati in base a una pianificazione definita. Puoi utilizzare S3 Inventory come alternativa pianificata all'operazione API sincrona List di Amazon S3. S3 Inventory fornisce valori separati da virgole (CSV), Apache riga colonnare ottimizzata (ORC), oppure Apache Parquet (Parquet)file di output che elencano gli oggetti e i metadati corrispondenti.

Puoi configurare S3 Inventory per creare elenchi di inventario su base giornaliera o settimanale per un bucket S3 o per oggetti che condividono un prefisso (oggetti con nomi che iniziano con la stessa stringa). Per ulteriori informazioni, consulta Catalogazione e analisi dei dati con Inventario S3.

In questa sezione viene descritto come configurare un inventario inserendo le informazioni sui bucket di origine e destinazione dell'inventario.

Argomenti

Panoramica
Creazione di una policy di bucket di destinazione
Concessione ad Amazon S3 dell'autorizzazione per l'utilizzo della chiave gestita dal cliente per la crittografia
Configurazione dell'inventario utilizzando la console S3
Utilizzo di REST API per utilizzare Inventario S3

Panoramica

Amazon S3 Inventory semplifica la gestione dell'archiviazione tramite la creazione di elenchi di oggetti in un bucket S3 in base a una pianificazione definita. È possibile configurare diversi elenchi di inventario per un bucket. Gli elenchi di inventario vengono pubblicati su CSV, ORC o Parquet file in un bucket di destinazione.

Il modo più semplice per configurare un inventario è utilizzare la console Amazon S3, ma puoi anche utilizzare l'API REST di Amazon S3 AWS Command Line Interface ,AWS CLI() o. AWS SDKs La console effettua la prima fase della seguente procedura: l'aggiunta di una policy di bucket al bucket di destinazione.

Per configurare un Amazon S3 Inventory per un bucket S3

Aggiungere una policy di bucket per il bucket di destinazione.

È necessario creare una policy del bucket sul bucket di destinazione che conceda le autorizzazioni ad Amazon S3 per scrivere oggetti nel bucket nella posizione definita. Per un esempio di policy, consulta Concedere autorizzazioni per S3 Inventory e S3 Analytics.
Configurare un inventario per elencare gli oggetti in un bucket di origine e pubblicare l'elenco su un bucket di destinazione.

Quando si configura un elenco di inventario per un bucket di origine, viene specificato il bucket di destinazione dove si intende archiviare l'elenco, indicando se si vuole generare l'elenco giornalmente o settimanalmente. Si può anche configurare se elencare tutte le versioni dell'oggetto o solo quelle correnti e quali metadati dell'oggetto includere.

Alcuni campi dei metadati degli oggetti nelle configurazioni dei report dell'Inventario S3 sono opzionali, cioè sono disponibili per impostazione predefinita, ma possono essere limitati quando si concede a un utente l'autorizzazione s3:PutInventoryConfiguration. È possibile controllare se gli utenti possono includere questi campi di metadati opzionali nei loro report utilizzando la chiave di condizione s3:InventoryAccessibleOptionalFields.

Per ulteriori informazioni sui campi di metadati opzionali disponibili in S3 Inventory, consulta OptionalFieldsnel riferimento alle API di Amazon Simple Storage Service. Per ulteriori informazioni sulla limitazione dell'accesso a determinati campi di metadati opzionali in una configurazione dell'inventario, consulta Controllo della creazione della configurazione dei report di Inventario S3.

Puoi specificare che il file della lista di inventario sia crittografato utilizzando la crittografia lato server con una chiave gestita Amazon S3 (SSE-S3) o AWS Key Management Service una () chiave gestita dal cliente AWS KMS(SSE-KMS).

Nota
Il Chiave gestita da AWS (aws/s3) non è supportato per la crittografia SSE-KMS con S3 Inventory.

Per ulteriori informazioni su SSE-S3 e SSE-KMS, consulta Protezione dei dati con la crittografia lato server. Se si intende utilizzare la crittografia SSE-KMS, consulta la Fase 3.
- Per informazioni su come utilizzare la console per configurare un elenco inventario, consulta Configurazione dell'inventario utilizzando la console S3.
- Per utilizzare l'API Amazon S3 per configurare un elenco di inventario, usa PutBucketInventoryConfigurationFunzionamento dell'API REST o l'equivalente di AWS CLI o AWS SDKs.
Per crittografare il file dell'elenco di inventario con SSE-KMS, concedi a Simple Storage Service (Amazon S3) l'autorizzazione per l'utilizzo della AWS KMS key.

Puoi configurare la crittografia per il file dell'elenco di inventario utilizzando la console Amazon S3, l'API REST AWS CLI di Amazon S3 oppure. AWS SDKs Indipendentemente dalla soluzione scelta, devi concedere ad Amazon S3 l'autorizzazione per l'utilizzo della chiave gestita dal cliente per crittografare il file di inventario. Per concedere ad Amazon S3 l'autorizzazione, modifica la policy della chiave gestita dal cliente che desideri utilizzare per crittografare il file di inventario. Per ulteriori informazioni, consulta Concessione ad Amazon S3 dell'autorizzazione per l'utilizzo della chiave gestita dal cliente per la crittografia.

Il bucket di destinazione in cui è archiviato il file dell'elenco di inventario può essere di proprietà di un Account AWS diverso rispetto all'account che possiede il bucket di origine. Se si utilizza la crittografia SSE-KMS per le operazioni multi-account di Inventario Amazon S3, si consiglia di utilizzare un ARN della chiave KMS completamente qualificato quando si configura Inventario S3. Per ulteriori informazioni, consulta Utilizzo della crittografia SSE-KMS per operazioni multi-account e .ServerSideEncryptionByDefaultnel riferimento alle API di Amazon Simple Storage Service.

Creazione di una policy di bucket di destinazione

Se crei la configurazione dell'inventario tramite la console Amazon S3, Amazon S3 crea automaticamente una policy di bucket sul bucket di destinazione che concede ad Amazon S3 l'autorizzazione di scrittura. Tuttavia, se crei la configurazione dell'inventario tramite o l' AWS CLI API REST di Amazon S3, devi aggiungere manualmente una policy del bucket sul bucket di destinazione. AWS SDKs La policy del bucket di destinazione di Inventario S3 consente ad Amazon S3 di scrivere i dati per i report di inventario nel bucket.

Di seguito è riportato un esempio di policy dei bucket.


{  
      "Version": "2012-10-17",
      "Statement": [
        {
            "Sid": "InventoryExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-DESTINATION-BUCKET/*"
            ],
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3:::DOC-EXAMPLE-SOURCE-BUCKET"
                },
                "StringEquals": {
                    "aws:SourceAccount": "source-account-id",
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

Per ulteriori informazioni, consulta Concedere autorizzazioni per S3 Inventory e S3 Analytics.

Se si verifica un errore quando si tenta di creare la policy del bucket, vengono fornite le istruzioni su come correggerlo. Ad esempio, se scegli un bucket di destinazione in un altro Account AWS e non disponi delle autorizzazioni per leggere e scrivere nella policy del bucket, visualizzerai un messaggio di errore.

In questo caso, il proprietario del bucket di destinazione deve aggiungere la policy del bucket al bucket di destinazione. Se la policy non viene aggiunta al bucket di destinazione, non si otterrà alcun report di inventario, in quanto Amazon S3 non dispone dell'autorizzazione di scrittura per il bucket di destinazione. Se il bucket di origine è di proprietà di un account diverso da quello dell'utente attuale, l'ID account corretto del proprietario del bucket di origine verrà sostituito nella policy.

Nota

Assicurati che non siano state aggiunte istruzioni di rifiuto alla policy del bucket di destinazione che impediscano la consegna dei report di inventario in questo bucket. Per ulteriori informazioni, consulta Perché non riesco a generare un report di Inventario Amazon S3?

Concessione ad Amazon S3 dell'autorizzazione per l'utilizzo della chiave gestita dal cliente per la crittografia

Per concedere ad Amazon S3 l'autorizzazione a utilizzare la tua chiave gestita dal cliente AWS Key Management Service (AWS KMS) per la crittografia lato server, devi utilizzare una policy di chiave. Per aggiornare la policy della chiave in modo da poter utilizzare la chiave gestita dal cliente, completa la procedura seguente.

Per concedere ad Amazon S3 le autorizzazioni per la crittografia utilizzando la chiave gestita dal cliente

Utilizzando la Account AWS chiave proprietaria della chiave gestita dal cliente, accedi a. AWS Management Console
Apri la AWS KMS console in https://console.aws.amazon.com/kms.
Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.
In Chiavi gestite dal cliente, scegli la chiave gestita dal cliente che desideri utilizzare per crittografare i file inventario.
Nella sezione Key Policy (Policy chiave), scegliere Switch to policy view (Passa alla visualizzazione della policy).
Per aggiornare la policy chiave, seleziona Modifica.

Nella pagina Modifica policy delle chiavi, aggiungi le seguenti righe alla policy della chiave esistente. Per source-account-id e amzn-s3-demo-source-bucket, fornisci i valori appropriati per il tuo caso d'uso.


{
    "Sid": "Allow Amazon S3 use of the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "s3.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition":{
      "StringEquals":{
         "aws:SourceAccount":"source-account-id"
     },
      "ArnLike":{
        "aws:SourceARN": "arn:aws:s3:::amzn-s3-demo-source-bucket"
     }
   }
}

Scegli Save changes (Salva modifiche).

Per ulteriori informazioni sulla creazione di chiavi gestite dal cliente e sull'utilizzo delle policy delle chiavi, consulta i seguenti collegamenti nella Guida per Developer di AWS Key Management Service :

Nota

Configurazione dell'inventario utilizzando la console S3

Segui queste istruzioni per configurare l'inventario utilizzando la console S3.

Nota

La consegna del primo report di inventario Amazon S3 può richiedere fino a 48 ore.

Accedi AWS Management Console e apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/
Nel riquadro di navigazione sinistro, scegli Bucket per uso generico.
Nell'elenco dei bucket, scegli il nome del bucket per cui desideri configurare Amazon S3 Inventory.
Scegliere la scheda Management (Gestione),
In Configurazioni inventario seleziona Crea configurazione inventario.
Specifica un nome in Nome della configurazione dell'inventario.
Per Ambito dell'inventario, esegui le operazioni descritte di seguito.
- Immetti un prefisso facoltativo.
- Scegli quali versioni dell'oggetto includere, Solo versioni correnti o Includi tutte le versioni.
In Dettagli report scegli la posizione dell'account Account AWS in cui desideri salvare i report: Questo account o Un account diverso.
In Destinazione, scegli il bucket di destinazione in cui desideri salvare i report di inventario.

Il bucket di destinazione deve trovarsi nello stesso bucket per il Regione AWS quale stai configurando l'inventario. Il bucket di destinazione può trovarsi in un diverso Account AWS. Quando specifichi il bucket di destinazione, puoi anche includere un prefisso opzionale per raggruppare insiemi i report di inventario.

Nel campo Bucket di destinazione viene visualizzata l'istruzione Autorizzazione del bucket di destinazione che viene aggiunta alla policy del bucket di destinazione per consentire ad Amazon S3 di inserire i dati in tale bucket. Per ulteriori informazioni, consulta Creazione di una policy di bucket di destinazione.
In Frequenza, seleziona la frequenza con cui verrà generato il report: Giornaliero o Settimanale.
Per Formato di output, scegli uno dei seguenti formati per il report:
- CSV: se prevedi di utilizzare questo report di inventario con Operazioni in batch S3 o se desideri analizzare questo report in un altro strumento, come Microsoft Excel, scegli CSV.
- Apache ORC
- Apache Parquet
In Stato seleziona Abilita o Disabilita.
Per configurare la crittografia lato server, in Crittografia dei report di inventario, segui la procedura riportata sotto:
1. In Crittografia lato server, scegli Non specificare una chiave di crittografia o Specifica una chiave di crittografia per crittografare i dati.
  - Per conservare le impostazioni relative ai bucket per la crittografia predefinita degli oggetti lato server durante l'archiviazione in Amazon S3, scegli Non specificare una chiave di crittografia. Finché nella destinazione del bucket sono abilitate le chiavi bucket S3, l'operazione di copia applica la chiave bucket S3 al bucket di destinazione.
    
    Nota
    Se la policy del bucket per la destinazione specificata richiede la crittografia degli oggetti prima di archiviarli in Amazon S3, è necessario scegli Specifica una chiave di crittografia. In caso contrario, la copia degli oggetti nella destinazione avrà esito negativo.
  - Per crittografare gli oggetti prima di archiviarli in Amazon S3, scegli Specifica una chiave di crittografia.
2. Se si sceglie Specificare una chiave di crittografia, in Tipo di crittografiasi deve scegli la chiave gestita da Amazon S3 (SSE-S3) o la chiave AWS Key Management Service (SSE-KMS).
  
  Per crittografare gli oggetti, SSE-S3 utilizza una delle cifrature di blocco più complesse, lo standard di crittografia avanzata a 256 bit (AES-256). SSE-KMS garantisce un maggiore controllo sulla chiave. Per ulteriori informazioni su SSE-S3, consulta Uso della crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3). Per ulteriori informazioni su SSE-KMS, consulta Utilizzo della crittografia lato server con chiavi (SSE-KMS) AWS KMS.
  
  Nota
  Per crittografare il file elenco inventario con SSE-KMS, devi impostare Amazon S3 in modo che possa utilizzare la chiave gestita dal cliente. Per le istruzioni, consulta la sezione Concedere ad Amazon S3 l'autorizzazione delle chiavi KMS per la crittografia.
3. Se hai scelto AWS Key Management Service la chiave (SSE-KMS), sotto AWS KMS key, puoi specificare la tua AWS KMS chiave tramite una delle seguenti opzioni.
  
  Nota
  Se il bucket di destinazione che memorizza il file dell'elenco di inventario è di proprietà di un altro Account AWS, assicurati di utilizzare una chiave KMS ARN completa per specificare la tua chiave KMS.
  - Per scegliere da un elenco di chiavi KMS disponibili, scegli tra le tue AWS KMS chiavi e scegli una chiave KMS con crittografia simmetrica dall'elenco delle chiavi disponibili. Assicurati che la chiave KMS sia nella stessa Regione del bucket.
    
    Nota
    Nell'elenco vengono visualizzate sia la chiave Chiave gestita da AWS (aws/s3) che quella gestita dal cliente. Tuttavia, Chiave gestita da AWS (aws/s3) non è supportato per la crittografia SSE-KMS con S3 Inventory.
  - Per inserire l'ARN della chiave KMS, scegli Inserisci la AWS KMS chiave ARN e inserisci l'ARN della chiave KMS nel campo visualizzato.
  - Per creare una nuova chiave gestita dal cliente nella AWS KMS console, scegli Crea una chiave KMS.
Per Campi di metadati aggiuntivi, seleziona una o più delle seguenti opzioni per aggiungere il report di inventario:
- Dimensione: la dimensione dell'oggetto in byte, esclusa la dimensione dei caricamenti incompleti in più parti, dei metadati degli oggetti e dei contrassegni di eliminazione.
- Data dell'ultima modifica: la più recente tra la data di creazione dell'oggetto o la data dell'ultima modifica.
- Caricamento in più parti: specifica che l'oggetto è stato caricato in più parti. Per ulteriori informazioni, consulta Caricamento e copia di oggetti utilizzando il caricamento multiparte in Amazon S3.
- Stato di replica: lo stato di replica dell'oggetto. Per ulteriori informazioni, consulta Ottenimento delle informazioni sullo stato della replica.
- Stato crittografia: il tipo di crittografia lato server utilizzata per crittografare l'oggetto. Per ulteriori informazioni, consulta Protezione dei dati con la crittografia lato server.
- Stato della chiave del bucket: indica se una chiave a livello di bucket generata da AWS KMS si applica all'oggetto. Per ulteriori informazioni, consulta Riduzione del costo di SSE-KMS con le chiavi bucket Amazon S3.
- Elenco di controllo dell'accesso agli oggetti: una lista di controllo degli accessi (ACL) per ogni oggetto che definisce a quali Account AWS o gruppi è concesso l'accesso a questo oggetto e il tipo di accesso concesso. Per ulteriori informazioni su questo campo, consulta Utilizzo del campo ACL oggetto. Per ulteriori informazioni su ACLs, vederePanoramica delle liste di controllo accessi (ACL).
- Proprietario dell'oggetto: il proprietario dell'oggetto.
- Classe di archiviazione: la classe di archiviazione utilizzata per archiviare l'oggetto.
- Intelligent-Tiering: livello di accesso: indica il livello di accesso (frequente o raro) dell'oggetto se è stato archiviato nella classe di archiviazione S3 Intelligent-Tiering. Per ulteriori informazioni, consulta Classe di storage per ottimizzare automaticamente i dati con modelli di accesso variabili o sconosciuti.
- ETag— Il tag entity (ETag) è un hash dell'oggetto. ETag Riflette le modifiche solo al contenuto di un oggetto, non ai suoi metadati. ETag Potrebbe essere o meno un MD5 riassunto dei dati dell'oggetto. a seconda di come l'oggetto è stato creato e crittografato. Per ulteriori informazioni, consulta Objectnel riferimento alle API di Amazon Simple Storage Service.
- Algoritmo di checksum: indica l'algoritmo usato per creare il checksum dell'oggetto. Per ulteriori informazioni, consulta Utilizzo di algoritmi di checksum supportati.
- Tutte le configurazioni di blocco degli oggetti: lo stato di blocco dell'oggetto, incluse le seguenti impostazioni:
  - Blocco degli oggetti: modalità di conservazione: il livello di protezione applicato all'oggetto, Governance o Conformità.
  - Blocco degli oggetti: mantenere fino alla data: data fino alla quale l'oggetto bloccato non può essere eliminato.
  - Blocco degli oggetti: status della conservazione di carattere legale: lo stato di conservazione ai fini legali dell'oggetto bloccato.
  Per ulteriori informazioni sul blocco degli oggetti S3, consulta Come funziona il blocco oggetti S3.
Per ulteriori informazioni sul contenuto di un report di inventario, consulta Elenco di Amazon S3 Inventory.

Per ulteriori informazioni sulla limitazione dell'accesso a determinati campi di metadati opzionali in una configurazione dell'inventario, consulta Controllo della creazione della configurazione dei report di Inventario S3.
Scegli Create (Crea) .

Utilizzo di REST API per utilizzare Inventario S3

Di seguito sono riportate le operazioni REST che è possibile utilizzare per lavorare con Inventario Amazon S3.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Catalogazione e analisi dei dati

Individuazione dell'inventario