Usar a Lente de Armazenamento do S3 para proteger seus dados - Amazon Simple Storage Service
Identificar buckets que não usam SSE-KMS como criptografia padrãoIdentificar buckets com o Versionamento do S3 ativadoIdentificar solicitações que usam o AWS Signature Version 2 (SigV2)Contar o número total de regras de replicação para cada bucketIdentificar a porcentagem de bytes do Bloqueio de Objeto

Usar a Lente de Armazenamento do S3 para proteger seus dados

Você pode usar as métricas de proteção de dados da Lente de Armazenamento do Amazon S3 para identificar buckets nos quais as práticas recomendadas de proteção de dados não foram aplicadas. Você pode usar essas métricas para agir e aplicar configurações padrão que se alinham às práticas recomendadas para proteger seus dados em todos os buckets de sua conta ou organização. Por exemplo, você pode usar métricas de proteção de dados para identificar buckets que não usam chaves do AWS Key Management Service (AWS KMS) para criptografia padrão ou solicitações que usam o AWS Signature Version 2 (SigV2).

Os casos de uso a seguir fornecem estratégias para usar o painel da Lente de Armazenamento do S3 para identificar valores discrepantes e aplicar as práticas recomendadas de proteção de dados em seus bucket da Lente de Armazenamento do S3.

Identificar buckets que não usam a criptografia do lado do servidor com AWS KMS como criptografia padrão (SSE-KMS)

Com a criptografia padrão do Amazon S3, você pode definir o comportamento de criptografia padrão para um bucket do S3. Para obter mais informações, consulte Definir o comportamento padrão da criptografia para os buckets do Amazon S3.

Você pode usar as métricas SSE-KMS enabled bucket count (Contagem de buckets habilitados para SSE-KMS) e % SSE-KMS enabled buckets (% de buckets habilitados para SSE-KMS) para identificar buckets que usam criptografia do lado do servidor com chaves do AWS KMS (SSE-KMS) como criptografia padrão. A Lente de Armazenamento do S3 também fornece métricas para bytes não criptografados, objetos não criptografados, bytes criptografados e objetos criptografados. Para obter uma lista completa de métricas, consulte Glossário de métricas de lente de armazenamento do Amazon S3.

Você pode analisar as métricas de criptografia do SSE-KMS no contexto das métricas gerais de criptografia para identificar buckets que não usam SSE-KMS. Se você quiser usar SSE-KMS para todos os buckets em sua conta ou organização, poderá atualizar as configurações de criptografia padrão desses buckets para usar SSE-KMS. Além de SSE-KMS, você pode usar a criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3) ou chaves fornecidas pelo cliente (SSE-C). Para obter mais informações, consulte Proteger dados com criptografia.

Etapa 1: Identificar quais buckets estão usando SSE-KMS como criptografia padrão

  1. Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação esquerdo, escolha Storage Lens (Lente de Armazenamento) e Dashboards (Painéis).

  3. Na lista Dashboards (Painéis), escolha o nome do painel que deseja visualizar.

  4. Na seção Trends and distributions (Tendências e distribuições), escolha % SSE-KMS enabled bucket count (% de contagem de buckets habilitados para SSE-KMS) como métrica primária e % encrypted bytes (% de bytes criptografados) como métrica secundária.

    O gráfico Trend for date (Tendências para data) é atualizado para exibir tendências de SSE-KMS e bytes criptografados.

  5. Para ver insights mais granulares por bucket para SSE-KMS:

    1. Escolha um ponto no gráfico. Uma caixa aparecerá com opções para obter insights mais granulares.

    2. Escolha a dimensão Buckets. Em seguida, escolha Aplicar.

  6. No gráfico Distribution by buckets for date (Distribuição por buckets para data), escolha a métrica SSE-KMS enabled bucket count (Contagem de buckets habilitados para SSE-KMS).

  7. Agora você pode ver quais buckets têm SSE-KMS habilitada e quais não.

Etapa 2: Atualizar as configurações de criptografia padrão do bucket

Agora que você determinou quais buckets usam SSE-KMS no contexto de % encrypted bytes (% de bytes criptografados), você pode identificar buckets que não usam SSE-KMS. Depois, opcionalmente, você pode navegar até esses buckets no console do S3 e atualizar suas configurações de criptografia padrão para usar SSE-KMS ou SSE-S3. Para obter mais informações, consulte Configurar a criptografia padrão.

Identificar buckets com o Versionamento do S3 ativado

Quando habilitado, o recurso de versionamento do S3 retém várias versões do mesmo objeto que podem ser usadas para recuperar dados rapidamente se um objeto for acidentalmente excluído ou substituído. Você pode usar a métrica Versioning-enabled bucket count (Contagem de buckets habilitados para Versionamento) para ver quais buckets usam o Versionamento do S3. Depois, você pode usar o console do S3 para ativar o Versionamento do S3 para outros buckets.

Etapa 1: Identificar buckets com o Versionamento do S3 ativado

  1. Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação, escolha Storage Lens (Lente de Armazenamento) e Dashboards (Painéis).

  3. Na lista Dashboards (Painéis), escolha o nome do painel que deseja visualizar.

  4. Na seção Trends and distributions (Tendências e distribuições), escolha Versioning-enabled bucket count (Contagem de buckets habilitados para Versionamento) como métrica primária e Buckets como métrica secundária.

    O gráfico Trend for date (Tendência para data) é atualizado para exibir tendências dos buckets com Versionamento do S3 ativado. Logo abaixo da linha de tendências, você pode ver as subseções Storage class distribution (Distribuição por classe de armazenamento) e Region distribution (Distribuição por região).

  5. Para ver informações mais granulares de qualquer um dos buckets exibidos no gráfico Trend for date (Tendência para data) com o intuito de realizar uma análise mais profunda, faça o seguinte:

    1. Escolha um ponto no gráfico. Uma caixa aparecerá com opções para obter insights mais granulares.

    2. Escolha uma dimensão para aplicar aos dados para uma análise mais profunda: Account (Conta), Região da AWS, Storage class (Classe de armazenamento) ou Bucket. Em seguida, escolha Aplicar.

  6. Na seção Bubble analysis by buckets for date (Análise de bolhas por buckets para data), escolha as métricas Versioning-enabled bucket count (Contagem de buckets habilitados para Versionamento), Buckets e Active buckets (Buckets ativos).

    A seção Bubble analysis by buckets for date (Análise de bolhas por buckets para data) é atualizada para exibir dados das métricas que você selecionou. Você pode usar esses dados para ver quais buckets estão com o Versionamento do S3 ativado no contexto da sua contagem total de buckets. Na seção Bubble analysis by buckets for date (Análise de bolhas por buckets para data), você pode plotar seus buckets em várias dimensões usando três métricas quaisquer para representar o X-axis (Eixo X), Y-axis (Eixo Y) e Size (Tamanho) da bolha.

Etapa 2: Habilitar o Versionamento do S3

Depois de identificar os buckets com Versionamento do S3 ativado, você pode identificar os buckets que nunca tiveram o Versionamento do S3 ativado ou que estão com o versionamento suspenso. Depois, opcionalmente, você pode ativar o versionamento para esses buckets no console S3. Para obter mais informações, consulte Habilitar o versionamento em buckets.

Identificar solicitações que usam o AWS Signature Version 2 (SigV2)

Você pode usar a métrica All unsupported signature requests (Todas as solicitações de assinatura incompatíveis) para identificar solicitações que usam o AWS Signature Version 2 (SigV2). Esses dados podem ajudar você a identificar aplicações específicas que usam o SigV2. Depois, você pode migrar essas aplicações para o AWS Signature Version 4 (SigV4).

O SigV4 é o método de assinatura recomendado para todas as novas aplicações do S3. O SigV4 oferece segurança aprimorada e é compatível com todas as Regiões da AWS. Para obter mais informações, consulte Atualização do Amazon S3 – Período de defasagem do SigV2 estendido e modificado.

Pré-requisito

Para ver All unsupported signature requests (Todas as solicitações de assinatura incompatíveis) no painel da Lente de Armazenamento do S3, você deve ativar a opção Advanced metrics and recommendations (Métricas e recomendações avançadas) da Lente de Armazenamento do S3 e selecionar Advanced data protection metrics (Métricas avançadas de proteção de dados). Para obter mais informações, consulte Criação e atualização dos painéis do Amazon S3 Storage Lens.

Etapa 1: Examinar as tendências de assinatura do SigV2 por Conta da AWS, região e bucket

  1. Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação esquerdo, escolha Storage Lens (Lente de Armazenamento) e Dashboards (Painéis).

  3. Na lista Dashboards (Painéis), escolha o nome do painel que deseja visualizar.

  4. Para identificar buckets, contas e regiões específicos com solicitações que usam SigV2:

    1. Em Top N overview for date (Visão geral dos N principais para data), em Top N (N principais), insira o número de buckets para os quais deseja ver dados.

    2. Em Metric (Métrica), escolha All unsupported signature requests (Todas as solicitações de assinatura incompatíveis) na categoria Data protection (Proteção de dados).

      A seção Top N overview for date (Visão geral dos N principais para data) é atualizada para exibir dados de solicitações SigV2 por conta, Região da AWS e bucket. A seção Top N overview for date (Visão geral dos N principais para data) também mostra a variação percentual em relação ao dia ou semana anterior e uma linha em spark para visualizar a tendência. Essa tendência é de 14 dias para métricas gratuitas e 30 dias para métricas e recomendações avançadas.

      nota

      Com métricas e recomendações avançadas da Lente de Armazenamento do S3, as métricas ficam disponíveis para consultas por 15 meses. Para obter mais informações, consulte Seleção de métricas.

Etapa 2: Identificar buckets que são acessados por aplicações por meio de solicitações SigV2

  1. Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação esquerdo, escolha Storage Lens (Lente de Armazenamento) e Dashboards (Painéis).

  3. Na lista Dashboards (Painéis), escolha o nome do painel que deseja visualizar.

  4. No painel da Lente de Armazenamento, escolha a guia Bucket.

  5. Role para baixo até a seção Buckets. Em Metrics categories (Categorias de métricas), escolha Data protection (Proteção de dados). Depois, desmarque Summary (Resumo).

    A lista Buckets é atualizada para exibir todas as métricas de Data protection (Proteção de dados) disponíveis para os buckets mostrados.

  6. Para filtrar a lista Buckets a fim de exibir somente métricas específicas de proteção de dados, escolha o ícone de preferências ( A screenshot that shows the preferences icon in the S3 Storage Lens dashboard. ).

  7. Desmarque todas as métricas de proteção de dados, exceto:

    • All unsupported signature requests (Todas as solicitações de assinatura incompatíveis)

    • % all unsupported signature requests (% de todas as solicitações de assinatura incompatíveis)

  8. (Opcional) Em Page size (Tamanho da página), escolha o número de buckets a serem exibidos na lista.

  9. Selecione a opção Confirm (Confirmar).

    A lista Buckets é atualizada para exibir métricas por bucket para solicitações SigV2. Você pode usar esses dados para identificar buckets específicos que têm solicitações SigV2. Depois, você pode usar essas informações para migrar aplicações para SigV4. Para obter mais informações, consulte Autenticação de solicitações (AWS Signature Version 4)) na Referência de APIs do Amazon Simple Storage Service.

Contar o número total de regras de replicação para cada bucket

A Replicação do S3 permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3. Os buckets configurados para replicação de objetos podem pertencer à mesma conta da Conta da AWS ou a contas diferentes. Para obter mais informações, consulte Replicação de objetos.

Você pode usar as métricas de contagem de regras de replicação da Lente de Armazenamento do S3 para obter informações detalhadas por bucket sobre os buckets que estão configurados para replicação. Essas informações incluem regras de replicação dentro e entre buckets e regiões.

Pré-requisito

Para ver as métricas de contagem de regras de replicação no painel da Lente de Armazenamento do S3, você deve ativar a opção Advanced metrics and recommendations (Métricas e recomendações avançadas) da Lente de Armazenamento do S3 e selecionar Advanced data protection metrics (Métricas avançadas de proteção de dados). Para obter mais informações, consulte Criação e atualização dos painéis do Amazon S3 Storage Lens.

Etapa 1: Contar o número total de regras de replicação para cada bucket

  1. Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação esquerdo, escolha Storage Lens (Lente de Armazenamento) e Dashboards (Painéis).

  3. Na lista Dashboards (Painéis), escolha o nome do painel que deseja visualizar.

  4. No painel da Lente de Armazenamento, escolha a guia Bucket.

  5. Role para baixo até a seção Buckets. Em Metrics categories (Categorias de métricas), escolha Data protection (Proteção de dados). Depois, desmarque Summary (Resumo).

  6. Para filtrar a lista Buckets para exibir somente métricas de contagem de regras de replicação, escolha o ícone de preferências ( A screenshot that shows the preferences icon in the S3 Storage Lens dashboard. ).

  7. Desmarque todas as métricas de proteção de dados, exceto as métricas de contagem de regras de replicação:

    • Same-Region Replication rule count (Contagem de regras de replicação na mesma região)

    • Cross-Region Replication rule count (Contagem de regras de replicação entre regiões)

    • Same-account replication rule count (Contagem de regras de replicação na mesma conta)

    • Cross-account replication rule count (Contagem de regras de replicação entre contas)

    • Total replication rule count (Contagem total de regras de replicação)

  8. (Opcional) Em Page size (Tamanho da página), escolha o número de buckets a serem exibidos na lista.

  9. Selecione a opção Confirm (Confirmar).

Etapa 2: Adicionar regras de replicação

Depois de ter a contagem de regras de replicação por bucket, você pode, opcionalmente, criar regras de replicação adicionais. Para obter mais informações, consulte Demonstrações: exemplos para configurar a replicação.

Identificar a porcentagem de bytes do Bloqueio de Objeto

Com o Bloqueio de Objeto do S3, é possível armazenar objetos usando um modelo gravar uma vez, ler muitas (WORM). Use o Bloqueio de Objeto para ajudar a evitar que um objeto seja excluído ou substituído por um período fixo ou indefinidamente. Só é possível ativar o Bloqueio de Objeto ao criar um bucket e ao ativar o Versionamento do S3. No entanto, você pode editar o período de retenção para versões individuais de objetos ou aplicar retenções legais para buckets com o Bloqueio de Objeto ativado. Para obter mais informações, consulte Usar o bloqueio de objetos do S3.

Você pode usar as métricas do Bloqueio de Objeto na Lente de Armazenamento do S3 para ver a métrica % Object Lock bytes (% de bytes do Bloqueio de Objeto) para sua conta ou organização. Você pode usar essas informações para identificar buckets em sua conta ou organização que não estejam seguindo as práticas recomendadas de proteção de dados.

  1. Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. No painel de navegação esquerdo, escolha Storage Lens (Lente de Armazenamento) e Dashboards (Painéis).

  3. Na lista Dashboards (Painéis), escolha o nome do painel que deseja visualizar.

  4. Na seção Snapshot, em Metrics categories (Categorias de métricas), escolha Data protection (Proteção de dados).

    A seção Snapshot é atualizada para exibir as métricas de proteção de dados, incluindo a métrica % Object Lock bytes (% de bytes do Bloqueio de Objeto). Você pode ver a porcentagem geral de bytes do Bloqueio de Objeto para sua conta ou organização.

  5. Para ver a métrica % Object Lock bytes (% de bytes do Bloqueio de Objeto) por bucket, role para baixo até a seção Top N overview (Visão geral dos N principais).

    Para obter dados por objeto para o Bloqueio de Objeto, você também pode usar as métricas Object Lock object count (Contagem de objetos do Bloqueio de Objeto) e % Object Lock objects (% de objetos do Bloqueio de Objeto).

  6. Em Metric (Métrica), escolha % Object Lock bytes (% de bytes do Bloqueio de Objeto) na categoria Data protection (Proteção de dados).

    Por padrão, a seção Top N overview for date (Visão geral dos N principais para data) exibe métricas para os 3 principais buckets. No campo Top N (N principais), você pode aumentar o número de buckets. A seção Top N overview for date (Visão geral dos N principais para data) também mostra a variação percentual em relação ao dia ou semana anterior e uma linha em spark para visualizar a tendência. Essa tendência é de 14 dias para métricas gratuitas e 30 dias para métricas e recomendações avançadas.

    nota

    Com métricas e recomendações avançadas da Lente de Armazenamento do S3, as métricas ficam disponíveis para consultas por 15 meses. Para obter mais informações, consulte Seleção de métricas.

  7. Revise os seguintes dados para % Object Lock bytes (% de bytes do Bloqueio de Objeto):

    • Top number accounts (Número contas principais): veja quais contas têm o maior e o menor valor para % Object Lock bytes (% de bytes do Bloqueio de Objeto).

    • Top number Regions (Número regiões principais): veja um detalhamento de % Object Lock bytes (% de bytes do Bloqueio de Objeto) por região.

    • Top number buckets (Número buckets principais): veja quais buckets têm o maior e o menor valor para % Object Lock bytes (% de bytes do Bloqueio de Objeto).