使用 S3 Storage Lens 存储统计管理工具保护您的数据
您可以使用 Amazon S3 Storage Lens 存储统计管理工具数据保护指标来识别尚未应用数据保护最佳实践的桶。您可以使用这些指标来采取措施并应用符合最佳实践的标准设置,以保护您的账户或组织的桶中的数据。例如,您可以使用数据保护指标来识别不使用 AWS Key Management Service(AWS KMS)密钥(SSE-KMS)进行原定设置加密的桶或使用 AWS 签名版本 2(SigV2)的请求。
以下使用案例提供使用 S3 Storage Lens 存储统计管理工具控制面板识别异常值并跨 S3 桶应用数据保护最佳实践的策略。
主题
识别不使用具有 AWS KMS 的服务器端加密(SSE-KMS)进行原定设置加密的桶
借助 Amazon S3 原定设置加密,您可以设置 S3 桶的原定设置加密行为。有关更多信息,请参阅 为 Amazon S3 存储桶设置默认服务器端加密行为。
您可以使用 SSE-KMS enabled bucket count(启用 SSE-KMS 的桶计数)和 % SSE-KMS enabled buckets(启用 SSE-KMS 的桶的百分比)指标来识别使用具有 AWS KMS 密钥的服务器端加密(SSE-KMS)进行原定设置加密的桶。S3 Storage Lens 存储统计管理工具还提供关于未加密字节、未加密对象、加密字节和加密对象的指标。要获得指标的完整列表,请参阅 Amazon S3 Storage Lens 存储统计管理工具指标词汇表。
您可以在常规加密指标的上下文中分析 SSE-KMS 加密指标,以识别不使用 SSE-KMS 的桶。如果您想对账户或组织中的所有桶使用 SSE-KMS,则可以将这些桶的原定设置加密设置更新为使用 SSE-KMS。除了 SSE-KMS 之外,您还可以将服务器端加密与 Amazon S3 托管式密钥(SSE-S3)或与客户托管式密钥(SSE-C)结合使用。有关更多信息,请参阅 利用加密来保护数据。
步骤 1:确定哪些桶使用 SSE-KMS 进行原定设置加密
登录到AWS Management Console,然后通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/
。 -
在左侧导航窗格中,选择 Storage Lens 和 Dashboards(控制面板)。
-
在 Dashboards(控制面板)列表中,选择您要查看的控制面板的名称。
-
在 Trends and distributions(趋势和分布)部分中,为主要指标选择 % SSE-KMS enabled bucket count(启用 SSE-KMS 的桶计数百分比),为辅助指标选择 % encrypted bytes(加密字节百分比)。
Trend for date(日期的趋势)图更新,以显示 SSE-KMS 和加密字节的趋势。
-
要查看 SSE-KMS 的更精细桶级见解,请执行以下操作:
-
在图上选择一个点。此时将出现一个方框,其中包含可提供更精细见解的选项。
-
选择 Buckets(桶)维度。然后选择 Apply(应用)。
-
-
在 Distribution by buckets for date(按日期的桶划分的分布)图中,选择 SSE-KMS enabled bucket count(启用 SSE-KMS 的桶计数)指标。
-
现在,您可以查看哪些桶启用了 SSE-KMS,哪些桶未启用。
步骤 2:更新桶原定设置加密设置
现在,您已经确定了哪些桶在 % encrypted bytes(加密字节百分比)的上下文中使用 SSE-KMS,您可以识别不使用 SSE-KMS 的桶。然后,您可以选择在 S3 控制台中导航到这些桶,并更新其原定设置加密设置以使用 SSE-KMS 或 SSE-S3。有关更多信息,请参阅 配置默认加密。
识别已启用 S3 版本控制的桶
启用后,S3 版本控制功能会保留同一对象的多个版本,当对象被意外删除或覆盖时,可以使用这些版本快速恢复数据。您可以使用 Versioning-enabled bucket count(启用版本控制的桶计数)指标来查看哪些桶使用 S3 版本控制。然后,您可以在 S3 控制台中执行操作,从而为其他桶启用 S3 版本控制。
步骤 1:识别已启用 S3 版本控制的桶
-
登录到AWS Management Console,然后通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/
。 -
在导航窗格中,选择 Storage Lens 和 Dashboards(控制面板)。
-
在 Dashboards(控制面板)列表中,选择您要查看的控制面板的名称。
-
在 Trends and distributions(趋势和分布)部分中,为主要指标选择 Versioning-enabled bucket count(启用版本控制的桶计数),为辅助指标选择 Buckets(桶)。
Trend for date(日期的趋势)图更新,以显示启用 S3 版本控制的桶的趋势。在趋势线的正下方,您可以看到 Storage class distribution(存储类分布)和 Region distribution(区域分布)子部分。
-
要查看您在 Trend for date(日期的趋势)图中看到的任何桶的更精细见解,以便进行更深入的分析,请执行以下操作:
-
在图上选择一个点。此时将出现一个方框,其中包含可提供更精细见解的选项。
-
选择一个维度应用于您的数据以进行更深入的分析:Account(账户)、AWS 区域、Storage class(存储类)或 Bucket(桶)。然后选择 Apply(应用)。
-
-
在 Bubble analysis by buckets for date(按日期的桶划分的气泡分析)部分中,选择 Versioning-enabled bucket count(启用版本控制的桶计数)、Buckets(桶)和 Active buckets(活动的桶)指标。
Bubble analysis by buckets for date(按日期的桶划分的气泡分析)部分将更新,以显示所选指标的数据。您可以使用这些数据在桶总计数的上下文中查看哪些桶启用了 S3 版本控制。在 Bubble analysis by buckets for date(按日期的桶划分的气泡分析)部分中,您可以使用任意三个指标在多个维度上绘制桶,以表示气泡的 X-axis(X 轴)、Y-axis(Y 轴)和 Size(大小)。
步骤 2:启用 S3 版本控制
识别启用了 S3 版本控制的桶后,您可以识别从未启用 S3 版本控制或暂停版本控制的桶。然后,您可以选择在 S3 控制台中为这些桶启用版本控制。有关更多信息,请参阅 在存储桶上启用版本控制。
识别使用 AWS 签名版本 2(SigV2)的请求
您可以使用 All unsupported signature requests(所有不支持的签名请求)指标来识别使用 AWS 签名版本 2(SigV2)的请求。这些数据可以帮助您识别使用 SigV2 的特定应用程序。然后,您可以将这些应用程序迁移到 AWS 签名版本 4(SigV4)。
SigV4 是所有新 S3 应用程序的推荐签名方法。SigV4 可提供更高的安全性,并且在所有 AWS 区域中得到支持。有关更多信息,请参阅 Amazon S3 更新 - SigV2 弃用期延长并修改
先决条件
要在 S3 Storage Lens 存储统计管理工具控制面板中查看 All unsupported signature requests(所有不支持的签名请求),您必须启用 S3 Storage Lens 存储统计管理工具 Advanced metrics and recommendations(高级指标和建议),然后选择 Advanced data protection metrics(高级数据保护指标)。有关更多信息,请参阅 使用 S3 控制台。
步骤 1:按 AWS 账户、区域和桶检查 SigV2 签名趋势
登录到AWS Management Console,然后通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/
。 -
在左侧导航窗格中,选择 Storage Lens 和 Dashboards(控制面板)。
-
在 Dashboards(控制面板)列表中,选择您要查看的控制面板的名称。
-
要识别具有使用 SigV2 的请求的特定桶、账户和区域,请执行以下操作:
-
在 Top N overview for date(日期的前 N 个概览)下的 Top N(前 N 个)中,输入您想要查看其数据的桶数。
-
对于 Metric(指标),从 Data protection(数据保护)类别中选择 All unsupported signature requests(所有不支持的签名请求)。
Top N overview for date(日期的前 N 个概览)将更新,以按账户、AWS 区域和桶显示 SigV2 请求的数据。Top N overview for date(日期的前 N 个概览)部分还显示与前一天或前一周相比的百分比变化以及用于可视化趋势的火花线。该趋势对于免费指标为 14 天趋势,对于高级指标和建议为 30 天趋势。
注意
使用 S3 Storage Lens 存储统计管理工具高级指标和建议,指标可用于 15 个月的查询。有关更多信息,请参阅 指标选择。
-
步骤 2:识别应用程序通过 SigV2 请求访问的桶
登录到AWS Management Console,然后通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/
。 -
在左侧导航窗格中,选择 Storage Lens 和 Dashboards(控制面板)。
-
在 Dashboards(控制面板)列表中,选择您要查看的控制面板的名称。
-
在 Storage Lens 存储统计管理工具控制面板中,选择 Bucket(桶)选项卡。
-
向下滚动到 Bucket(桶)部分。在 Metrics categories(指标类别)下,选择 Data protection(数据保护)。然后清除 Summary(摘要)。
Buckets(桶)列表将更新,以显示所显示的桶的所有可用 Data protection(数据保护)指标。
-
要筛选 Buckets(桶)列表以仅显示特定的数据保护指标,请选择首选项图标( )。
-
清除所有数据保护指标的切换开关,直到只有以下指标保持选中状态:
-
All unsupported signature requests(所有不支持的签名请求)
-
% all unsupported signature requests(所有不支持的签名请求百分比)
-
-
(可选)在 Page size(页面大小)下,选择要在列表中显示的桶数。
-
选择确认。
Buckets(桶)列表将更新以显示 SigV2 请求的桶级指标。您可以使用这些数据来识别具有 SigV2 请求的特定桶。然后,您可以使用此信息将应用程序迁移到 SigV4。有关更多信息,请参阅《Amazon Simple Storage Service API》参考中的验证请求 (AWS Signature Version 4)。
计算每个桶的复制规则总计数
S3 复制支持跨 Amazon S3 桶自动以异步方式复制对象。为对象复制配置的桶可由相同 AWS 账户 或不同账户拥有。有关更多信息,请参阅 在区域内和跨区域复制对象。
您可以使用 S3 Storage Lens 存储统计管理工具复制规则计数指标来获取有关配置为进行复制的桶的每个桶的详细信息。此信息包括桶和区域内部以及跨桶和区域的复制规则。
先决条件
要在 S3 Storage Lens 存储统计管理工具控制面板中查看复制规则计数指标,您必须启用 S3 Storage Lens 存储统计管理工具 Advanced metrics and recommendations(高级指标和建议),然后选择 Advanced data protection metrics(高级数据保护指标)。有关更多信息,请参阅 使用 S3 控制台。
步骤 1:计算每个桶的复制规则总计数
登录到AWS Management Console,然后通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/
。 -
在左侧导航窗格中,选择 Storage Lens 和 Dashboards(控制面板)。
-
在 Dashboards(控制面板)列表中,选择您要查看的控制面板的名称。
-
在 Storage Lens 存储统计管理工具控制面板中,选择 Bucket(桶)选项卡。
-
向下滚动到 Bucket(桶)部分。在 Metrics categories(指标类别)下,选择 Data protection(数据保护)。然后清除 Summary(摘要)。
-
要筛选 Buckets(桶)列表以仅显示复制规则计数指标,请选择首选项图标( )。
-
清除所有数据保护指标的切换开关,直到只有复制规则计数指标保持选中状态:
-
Same-Region Replication rule count(同区域复制规则计数)
-
Cross-Region Replication rule count(跨区域复制规则计数)
-
Same-account replication rule count(同账户复制规则计数)
-
Cross-account replication rule count(跨账户复制规则计数)
-
Total replication rule count(复制规则总计数)
-
-
(可选)在 Page size(页面大小)下,选择要在列表中显示的桶数。
-
选择确认。
步骤 2:添加复制规则
获得每个桶的复制规则计数后,您可以选择创建其他复制规则。有关更多信息,请参阅 配置实时复制的示例。
确定对象锁定字节的百分比
借助 S3 对象锁定,您可以使用一次写入,多次读取(WORM)模式存储对象。您可以使用对象锁定帮助您防止在固定的时间段内或无限期地删除或覆盖对象。您只能在创建桶时启用对象锁定,也可以启用 S3 版本控制。但是,您可以编辑各个对象版本的保留期,也可以对启用了对象锁定的桶应用依法保留。有关更多信息,请参阅 使用对象锁定以锁定对象。
您可以使用 S3 Storage Lens 存储统计管理工具中的对象锁定指标来查看您的账户或组织的 % Object Lock bytes(对象锁定字节百分比)指标。您可以使用这些信息来识别您的账户或组织中未遵循数据保护最佳实践的桶。
-
登录到AWS Management Console,然后通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/
。 -
在左侧导航窗格中,选择 Storage Lens 和 Dashboards(控制面板)。
-
在 Dashboards(控制面板)列表中,选择您要查看的控制面板的名称。
-
在 Snapshot(快照)部分的 Metrics categories(指标类别)下,选择 Data protection(数据保护)。
Snapshot(快照)部分更新以显示数据保护指标,包括 % Object Lock bytes(对象锁定字节百分比)指标。您可以查看您的账户或组织的对象锁定字节的总体百分比。
-
要查看每个桶的 % Object Lock bytes(对象锁定字节百分比),请向下滚动到 Top N overview(前 N 个概览)部分。
要获取对象锁定的对象级数据,您还可以使用 Object Lock object count(对象锁定对象计数)和 % Object Lock objects(对象锁定对象百分比)指标。
-
对于 Metric(指标),从 Data protection(数据保护)类别中选择 % Object Lock bytes(对象锁定字节百分比)。
原定设置情况下,Top N overview for date(日期的前 N 个概览)部分显示前 3 个桶的指标。在 Top N(前 N 个)字段中,您可以增加桶的数量。Top N overview for date(日期的前 N 个概览)部分还显示与前一天或前一周相比的百分比变化以及用于可视化趋势的火花线。该趋势对于免费指标为 14 天趋势,对于高级指标和建议为 30 天趋势。
注意
使用 S3 Storage Lens 存储统计管理工具高级指标和建议,指标可用于 15 个月的查询。有关更多信息,请参阅 指标选择。
-
查看 % Object Lock bytes(对象锁定字节百分比)的以下数据:
-
Top number accounts(前 number 个账户)- 查看哪些账户具有最高和最低的 % Object Lock bytes(对象锁定字节百分比)。
-
Top number Regions(前 number 个区域)- 查看按区域划分的 % Object Lock bytes(对象锁定字节百分比)明细。
-
Top number buckets(前 number 个桶)-查看哪些桶具有最高和最低的 % Object Lock bytes(对象锁定字节百分比)。
-