As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Pré-requisitos para usar o Snowball Edge
Antes de começar a usar o Snowball Edge, você precisa se inscrever em uma AWS conta, caso ainda não tenha uma. Também recomendamos aprender a configurar seus dados e instâncias de computação para uso com o Snowball Edge.
AWS Snowball O Edge é um serviço específico da região. Portanto, antes de planejar seu trabalho, confira se o serviço está disponível na sua Região da AWS. Certifique-se de que sua localização e o bucket do Amazon S3 estejam no mesmo país Região da AWS ou no mesmo país, pois isso afetará sua capacidade de solicitar o dispositivo.
Para usar o armazenamento compatível com o Amazon S3 no Snowball Edge com dispositivos computacionais otimizados para trabalhos locais de computação e armazenamento de borda, você precisa provisionar a capacidade do S3 no dispositivo ou dispositivos ao fazer o pedido. O armazenamento compatível com Amazon S3 no Snowball Edge oferece suporte ao gerenciamento local de buckets, para que você possa criar buckets S3 no dispositivo ou cluster depois de receber o dispositivo ou dispositivos.
Como parte do processo de pedido, você cria uma função AWS Identity and Access Management (IAM) e uma chave AWS Key Management Service (AWS KMS). Essa chave do KMS é usada para criptografar o código de desbloqueio do trabalho. Para obter mais informações sobre a criação de funções do IAM e chaves KMS, consulte Criação de um trabalho para solicitar um dispositivo Snowball Edge.
nota
Na Ásia-Pacífico (Mumbai), o Região da AWS serviço é fornecido pela Amazon na Internet Services Private Limited (AISPL). Para obter informações sobre como se inscrever na Amazon Web Services na Ásia-Pacífico (Mumbai) Região da AWS, consulte Inscrever-se no AISPL.
Tópicos
- Inscreva-se para um Conta da AWS
- Criar um usuário com acesso administrativo
- Sobre o ambiente
- Trabalhar com nomes de arquivos contendo caracteres especiais
- Criptografia Amazon S3 com AWS KMS
- Criptografia do Amazon S3 com criptografia do lado do servidor
- Pré-requisitos para usar o adaptador Amazon S3 no Snowball Edge para trabalhos de importação e exportação
- Pré-requisitos para usar o armazenamento compatível com Amazon S3 no Snowball Edge
- Pré-requisitos para usar instâncias de computação no Snowball Edge
Inscreva-se para um Conta da AWS
Se você não tiver um Conta da AWS, conclua as etapas a seguir para criar um.
Para se inscrever em um Conta da AWS
Abra a https://portal.aws.amazon.com/billing/inscrição.
Siga as instruções online.
Parte do procedimento de inscrição envolve receber uma chamada telefônica e inserir um código de verificação no teclado do telefone.
Quando você se inscreve em um Conta da AWS, um Usuário raiz da conta da AWSé criado. O usuário-raiz tem acesso a todos os Serviços da AWS e atributos na conta. Como prática recomendada de segurança, atribua o acesso administrativo a um usuário e use somente o usuário-raiz para executar tarefas que exigem acesso de usuário-raiz.
AWS envia um e-mail de confirmação após a conclusão do processo de inscrição. A qualquer momento, você pode visualizar a atividade atual da sua conta e gerenciar sua conta acessando https://aws.amazon.com/e
Criar um usuário com acesso administrativo
Depois de se inscrever em um Conta da AWS, proteja seu Usuário raiz da conta da AWS AWS IAM Identity Center, habilite e crie um usuário administrativo para que você não use o usuário root nas tarefas diárias.
Proteja seu Usuário raiz da conta da AWS
-
Faça login AWS Management Console
como proprietário da conta escolhendo Usuário raiz e inserindo seu endereço de Conta da AWS e-mail. Na próxima página, insira a senha. Para obter ajuda ao fazer login usando o usuário-raiz, consulte Fazer login como usuário-raiz no Guia do usuário do Início de Sessão da AWS .
-
Habilite a autenticação multifator (MFA) para o usuário-raiz.
Para obter instruções, consulte Habilitar um dispositivo de MFA virtual para seu usuário Conta da AWS raiz (console) no Guia do usuário do IAM.
Criar um usuário com acesso administrativo
-
Habilitar o Centro de Identidade do IAM.
Para obter instruções, consulte Habilitar o AWS IAM Identity Center no Guia do usuário do AWS IAM Identity Center .
-
No Centro de Identidade do IAM, conceda o acesso administrativo a um usuário.
Para ver um tutorial sobre como usar o Diretório do Centro de Identidade do IAM como fonte de identidade, consulte Configurar o acesso do usuário com o padrão Diretório do Centro de Identidade do IAM no Guia AWS IAM Identity Center do usuário.
Iniciar sessão como o usuário com acesso administrativo
-
Para fazer login com seu usuário do Centro de Identidade do IAM, use o URL de login que foi enviado ao seu endereço de e-mail quando você criou o usuário do Centro de Identidade do IAM.
Para obter ajuda para fazer login usando um usuário do IAM Identity Center, consulte Como fazer login no portal de AWS acesso no Guia Início de Sessão da AWS do usuário.
Atribuir acesso a usuários adicionais
-
No Centro de Identidade do IAM, crie um conjunto de permissões que siga as práticas recomendadas de aplicação de permissões com privilégio mínimo.
Para obter instruções, consulte Criar um conjunto de permissões no Guia do usuário do AWS IAM Identity Center .
-
Atribua usuários a um grupo e, em seguida, atribua o acesso de autenticação única ao grupo.
Para obter instruções, consulte Adicionar grupos no Guia do usuário do AWS IAM Identity Center .
Sobre o ambiente
Compreender seu conjunto de dados e como o ambiente local está configurado ajudará você a concluir sua transferência de dados. Considere o seguinte antes de fazer seu pedido.
- Quais dados você está transferindo?
-
A transferência de um grande número de arquivos pequenos não funciona bem com o AWS Snowball Edge. Isso ocorre porque o Snowball Edge criptografa cada objeto. Arquivos pequenos incluem arquivos com menos de 1 MB. Recomendamos que você feche o zíper antes de transferi-los para o dispositivo AWS Snowball Edge. Também recomendamos que você não tenha mais de 500 mil ou diretórios em cada diretório.
- Os dados serão acessados durante a transferência?
-
É importante ter um conjunto de dados estático (ou seja, nenhum usuário ou sistema deverá estar acessando os dados durante a transferência). Caso contrário, a transferência de arquivos pode falhar devido a uma incompatibilidade na soma de verificação. Os arquivos não serão transferidos e serão marcados como
Failed.Para evitar corromper seus dados, não desconecte um dispositivo AWS Snowball Edge nem altere suas configurações de rede ao transferir dados. Os arquivos devem estar em um estado estático enquanto são gravados no dispositivo. Arquivos modificados enquanto estão sendo gravados podem resultar em conflitos de leitura/gravação.
- A rede suportará a transferência de AWS Snowball dados?
-
O Snowball Edge é compatível com os adaptadores de RJ45rede SFP+ ou QSFP+. Verifique se o switch é um switch de gigabit. Dependendo da marca do switch, pode ser gigabit ou 10/100/1.000. Os dispositivos Snowball Edge não são compatíveis com switch de megabit ou switch 10/100.
Trabalhar com nomes de arquivos contendo caracteres especiais
É importante observar que, se seus arquivos contiverem caracteres especiais, você poderá encontrar erros. Embora o Amazon S3 permita caracteres especiais, é altamente recomendável que você evite os seguintes caracteres:
-
Barra invertida (“\”)
-
Chave esquerda (“{”)
-
Chave direita (“}”)
-
Colchete esquerdo (“[”)
-
Colchete direito (“]”)
-
Sinal de menor (“<”)
-
Sinal de maior (“>”)
-
Caracteres ASCII não imprimíveis (128-255 caracteres decimais)
-
Circunflexo (“^”)
-
Caractere de porcentagem (“%”)
-
Crase (“`”)
-
Pontos de interrogação
-
Til (“~”)
-
Caractere de libra (“#”)
-
Barra vertical (“|”)
Se seus arquivos tiverem um ou mais desses caracteres nos nomes dos objetos, renomeie os objetos antes de copiá-los para o dispositivo AWS Snowball Edge. Os usuários do Windows que têm espaços nos nomes dos arquivos devem ter cuidado ao copiar objetos individuais ou executar um comando recursivo. Nos comandos, coloque os nomes dos objetos que incluem espaços nos nomes entre aspas. Veja exemplos desses arquivos a seguir.
| Sistema operacional | Nome do arquivo: arquivo teste.txt |
|---|---|
|
Windows |
|
|
iOS |
|
|
Linux |
|
nota
Os únicos metadados do objeto transferidos são o nome e o tamanho do objeto.
Criptografia Amazon S3 com AWS KMS
Você pode usar as chaves de criptografia padrão AWS gerenciadas ou gerenciadas pelo cliente para proteger seus dados ao importar ou exportar dados.
Usando a criptografia de bucket padrão do Amazon S3 com chaves gerenciadas AWS KMS
Para habilitar a criptografia AWS gerenciada com AWS KMS
-
Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/
. Escolha o bucket do Amazon S3 que deseja criptografar.
No assistente que aparece no lado direito, escolha Propriedades.
Na caixa Criptografia padrão, escolha Desabilitada (essa opção está esmaecida) para habilitar a criptografia padrão.
-
Escolha AWS-KMS como método de criptografia e selecione a chave do KMS que você deseja usar. Essa chave é usada para criptografar objetos que são colocados no bucket.
Escolha Salvar.
Depois que o trabalho do Snowball Edge for criado e antes da importação dos dados, adicione uma instrução à política de perfil do IAM já existente. Esse é o perfil que você criou durante o processo de pedido. Dependendo do tipo de trabalho, o nome do perfil padrão é semelhante a Snowball-import-s3-only-role ou Snowball-export-s3-only-role.
Veja a seguir exemplos do uso de uma instrução.
Para importar dados
Se você usa criptografia do lado do servidor com chaves AWS KMS gerenciadas (SSE-KMS) para criptografar os buckets do Amazon S3 associados ao seu trabalho de importação, você também precisa adicionar a seguinte declaração à sua função do IAM.
exemplo Exemplo de perfil do IAM de importação do Snowball
{ "Effect": "Allow", "Action": [ "kms: GenerateDataKey", "kms: Decrypt" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111" }
Para exportar dados
Se você usa criptografia do lado do servidor com chaves AWS KMS gerenciadas para criptografar os buckets do Amazon S3 associados ao seu trabalho de exportação, você também deve adicionar a seguinte declaração à sua função do IAM.
exemplo Perfil do IAM para exportação do Snowball
{ "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource":"arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111" }
Usando a criptografia de bucket padrão do S3 com chaves de AWS KMS cliente
Você pode usar a criptografia padrão de bucket do Amazon S3 com suas próprias chaves do KMS para proteger os dados que você está importando e exportando.
Para importar dados
Para habilitar a criptografia gerenciada pelo cliente com AWS KMS
-
Faça login no console AWS Management Console e abra o AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms
. -
Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
No painel de navegação esquerdo, escolha Chaves gerenciadas pelo cliente e depois selecione a chave do KMS associada aos buckets que você deseja usar.
Expanda a Política de chave se ela ainda não estiver expandida.
Na seção Usuários de chaves, escolha Adicionar e pesquise o perfil do IAM. Escolha o perfil do IAM e selecione Adicionar.
Como alternativa, você pode escolher Mudar para visualização da política para exibir o documento de política de chave e adicionar uma instrução à política de chave. Veja a seguir um exemplo da política.
exemplo de uma política para a chave gerenciada pelo AWS KMS cliente
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/snowball-import-s3-only-role" ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*" }
Depois que essa política for adicionada à chave gerenciada pelo AWS KMS cliente, também será necessário atualizar a função do IAM associada ao trabalho do Snowball. Por padrão, o perfil é snowball-import-s3-only-role.
exemplo Exemplo do perfil do IAM de importação do Snowball
{ "Effect": "Allow", "Action": [ "kms: GenerateDataKey", "kms: Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111" }
Para obter mais informações, consulte Usando políticas baseadas em identidade (políticas do IAM) para AWS Snowball.
A chave do KMS que está sendo usada tem a seguinte aparência:
“Resource”:“arn:aws:kms:region:AccoundID:key/*”
Para exportar dados
exemplo de uma política para a chave gerenciada pelo AWS KMS cliente
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/snowball-import-s3-only-role" ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*" }
Depois que essa política for adicionada à chave gerenciada pelo AWS KMS cliente, também será necessário atualizar a função do IAM associada ao trabalho do Snowball. Por padrão, o perfil se parece com o seguinte:
snowball-export-s3-only-role
exemplo Exemplo do perfil do IAM de exportação do Snowball
{ "Effect": "Allow", "Action": [ "kms: GenerateDataKey", "kms: Decrypt" ], "Resource": "arn:aws:kms:us-west-2:123456789012:key/abc123a1-abcd-1234-efgh-111111111111" }
Depois que essa política for adicionada à chave gerenciada pelo AWS KMS cliente, também será necessário atualizar a função do IAM associada ao trabalho do Snowball. Por padrão, o perfil é snowball-export-s3-only-role.
Criptografia do Amazon S3 com criptografia do lado do servidor
AWS Snowball suporta criptografia do lado do servidor com chaves de criptografia gerenciadas do Amazon S3 (SSE-S3). A criptografia do lado do servidor tem a ver com proteção de dados em repouso, e o SSE-S3 tem criptografia multifator, forte, para proteger os dados em repouso no Amazon S3. Para obter mais informações sobre o SSE-S3, consulte Protecting Data Using Server-Side Encryption with Amazon S3-Managed Encryption Keys (SSE-S3) no Guia do usuário do Amazon Simple Storage Service.
nota
Atualmente, AWS Snowball não oferece suporte à criptografia do lado do servidor com chaves fornecidas pelo cliente (SSE-C). No entanto, você pode usar esse tipo de SSE para proteger dados que foram importados, ou talvez você já a esteja usando nos dados que deseja exportar. Nesses casos, tenha em mente o seguinte:
-
Importar: se quiser usar SSE-C para criptografar os objetos que importou para o S3, copie esses objetos em outro bucket que tenha a criptografia SSE-KMS ou SSE-S3 estabelecida como parte da política desse bucket.
-
Exportar: se deseja exportar objetos criptografados com SSE-C, copie esses objetos para outro bucket que não tenha criptografia do lado do servidor ou que tenha SSE-KMS ou SSE-S3 especificado na política desse bucket.
Pré-requisitos para usar o adaptador Amazon S3 no Snowball Edge para trabalhos de importação e exportação
Você pode usar o adaptador S3 no Snowball Edge ao usar os dispositivos para mover dados de fontes de dados locais para a nuvem ou da nuvem para o armazenamento de dados local. Para obter mais informações, consulte Transferência de arquivos usando o adaptador Amazon S3 para migração de dados de ou para o Snowball Edge.
O bucket do Amazon S3 associado ao trabalho deve usar a classe de armazenamento do Amazon S3 Standard. Antes de criar o primeiro trabalho, lembre-se do seguinte.
Para trabalhos que importam dados para o Amazon S3, siga estas etapas:
-
Confirme se os arquivos e as pastas a serem transferidos têm nomes que seguem as diretrizes de nomeação de chave de objeto do Amazon S3. Os arquivos ou as pastas com nomes que não estiverem de acordo com essas diretrizes não serão importados para o Amazon S3.
-
Planeje os dados que você deseja importar para o Amazon S3. Para obter mais informações, consulte Planejando sua grande transferência com o Snowball Edge.
Antes de exportar dados do Amazon S3, siga estas etapas:
-
Entenda quais dados serão exportados ao criar o trabalho. Para obter mais informações, consulte Usar chaves de objeto do Amazon S3 ao exportar dados para um dispositivo Snowball Edge.
-
Para todos os arquivos com dois-pontos (
:) no nome, altere os nomes no Amazon S3 antes de criar o trabalho de exportação para obter esses arquivos. Arquivos com dois pontos no nome não são exportados para o Microsoft Windows Server.
Pré-requisitos para usar o armazenamento compatível com Amazon S3 no Snowball Edge
Você usa o armazenamento compatível com o Amazon S3 no Snowball Edge quando está armazenando dados no dispositivo em seu ponto de presença e usando os dados para operações computacionais locais. Dados utilizados para operações de computação local não serão importados para o Amazon S3 quando o dispositivo for devolvido.
Ao solicitar um dispositivo Snow para computação e armazenamento locais com armazenamento compatível com o Amazon S3, lembre-se do seguinte:
-
Você provisionará a capacidade de armazenamento do Amazon S3 ao pedir o dispositivo. Portanto, pense na necessidade de armazenamento antes de pedir um dispositivo.
-
Você pode criar buckets do Amazon S3 no dispositivo depois de recebê-lo, em vez de fazer o pedido de um dispositivo Snowball Edge.
-
Você precisará baixar a versão mais recente do cliente Snowball Edge AWS CLI (v2.11.15 ou superior) ou instalá-la em seu computador para usar o armazenamento AWS OpsHub compatível com o Amazon S3 no Snowball Edge.
-
Depois de receber seu dispositivo, configure, inicie e use o armazenamento compatível com o Amazon S3 no Snowball Edge, de acordo com Usando o armazenamento compatível com o Amazon S3 no Snowball Edge neste guia.
Pré-requisitos para usar instâncias de computação no Snowball Edge
Você pode executar instâncias computacionais EC2 compatíveis com a Amazon hospedadas em um AWS Snowball Edge com os tipos de sbe-g instância sbe1sbe-c,, e:
-
O tipo de instância
sbe1funciona em dispositivos com a opção Snowball Edge otimizado para armazenamento. -
O tipo de instância
sbe-cfunciona em dispositivos com a opção Snowball Edge otimizado para computação.
Todos os três tipos de instância de computação compatíveis nas opções de dispositivo Snowball Edge são exclusivos para dispositivos AWS Snowball Edge. Como suas contrapartes baseadas em nuvem, essas instâncias exigem que o Amazon Machine Images (AMIs) seja iniciado. Selecione a AMI para uma instância, antes de criar o trabalho do Snowball Edge.
Para usar uma instância de computação em um Snowball Edge, crie um trabalho para solicitar um dispositivo Snowball Edge e especifique seu. AMIs Você pode fazer isso usando o AWS Snowball Management Console, o AWS Command Line Interface (AWS CLI) ou um dos AWS SDKs. Normalmente, para usar as instâncias, há alguns pré-requisitos de manutenção que devem ser executados antes da criação do trabalho.
Para trabalhos que usam instâncias de computação, antes de adicionar qualquer uma AMIs delas ao seu trabalho, você deve ter uma AMI na sua Conta da AWS e ela deve ser um tipo de imagem compatível. Atualmente, AMIs os suportados são baseados nos seguintes sistemas operacionais:
nota
Ubuntu 16.04 LTS - As imagens Xenial (HVM) não são mais suportadas no AWS Marketplace, mas ainda são suportadas para uso em dispositivos Snowball Edge por meio do Amazon EC2 VM Import/Export e executadas localmente em. AMIs
É possível obter essas imagens no AWS Marketplace
Se você estiver usando SSH para se conectar às instâncias em execução em um Snowball Edge, poderá usar o próprio par de chaves ou criar um no Snowball Edge. Para usar AWS OpsHub para criar um par de chaves no dispositivo, consulteTrabalhando com pares de chaves para instâncias EC2 compatíveis em AWS OpsHub. Para usar o AWS CLI para criar um par de chaves no dispositivo, consulte create-key-pair emLista de AWS CLI
comandos EC2 compatíveis com suporte em um Snowball Edge. Para obter mais informações sobre pares de chaves e o Amazon Linux 2, consulte os pares de EC2 chaves e instâncias Linux da Amazon no Guia EC2 do usuário da Amazon.
Para obter informações específicas sobre o uso de instâncias de computação em um dispositivo, consulte Usando instâncias de computação EC2 compatíveis com a Amazon no Snowball Edge.
