Amazon S3 Multi-Cloud Scanning Connector for Azure Purview

  • Článek
  • 15 min ke čtení

Multi-Cloud Scanning Connector pro Azure Purview umožňuje zkoumat data organizace mezi poskytovateli cloudu, včetně Amazon Web Services a služeb úložiště Azure.

Tento článek popisuje, jak pomocí Azure Purview kontrolovat nestrukturovaná data aktuálně uložená ve standardních kbelíků Amazon S3 a zjistit, jaké typy citlivých informací ve vašich datech existují. Tento návod také popisuje, jak identifikovat kbelíky Amazon S3, ve kterých jsou data aktuálně uložená pro snadnou ochranu informací a dodržování předpisů pro data.

Pro tuto službu použijte Purview k poskytnutí zabezpečeného přístupu účet Microsoft přístupu k AWS, kde bude spuštěn konektor Multi-Cloud Scanning Connector pro Azure Purview. Konektor Multi-Cloud Scanning Connector pro Azure Purview používá tento přístup k vašim kbelíkům Amazon S3 ke čtení dat a pak hlásí výsledky kontroly, včetně pouze metadat a klasifikace, zpět do Azure. Pomocí klasifikací Purview a popisků můžete analyzovat a kontrolovat výsledky kontroly dat.

Podporované funkce

Extrakce metadat Úplná kontrola Přírůstkové prohledávání Kontrola s vymezenou oborem Classification Zásady přístupu Lineage
Yes Yes Yes Yes Yes No Omezeno**

** Pokud se datová sada používá jako zdroj nebo jímka v Data Factory aktivita Copy

Důležité

Konektor pro kontrolu více cloudů pro Azure Purview je samostatný doplněk pro Azure Purview. Podmínky a ujednání konektoru multi-cloudové kontroly pro Azure Purview jsou obsaženy ve smlouvě, na základě které jste získali Microsoft Azure Services. Další informace najdete v článku Microsoft Azure informace na adrese https://azure.microsoft.com/support/legal/ .

Rozsah Purview pro Amazon S3

V současné době nepodporujeme gestion privátní koncové body, které pracují s vašimi zdroji AWS.

Další informace o limitech Purview najdete v těchto tématu:

Storage a prohledávání oblastí

Konektor Purview pro službu Amazon S3 je aktuálně nasazený pouze v konkrétních oblastech. Následující tabulka mapuje oblasti, ve kterých jsou vaše data uložená, do oblasti, ve které by je služba Azure Purview naskenovala.

Důležité

Zákazníkům se budou účtovat všechny související poplatky za přenos dat v závislosti na oblasti jejich kbelíku.

Storage oblast Oblast prohledávání
USA – východ (Ohio) USA – východ (Ohio)
USA – východ (N. Virginie) USA – východ (N. Virginie)
USA – západ (N. Kalifornie) USA – západ (N. Kalifornie)
USA – západ (Oregon) USA – západ (Oregon)
Afrika (Mys town) Evropa (Kaskády)
Asie a Tichomoří (Hongkong) Asie a Tichomoří (Tokio)
Asie a Tichomoří (Asie a Tichomoří) Asie a Tichomoří (Singapur)
Asie a Tichomoří (Ósaka – místní) Asie a Tichomoří (Tokio)
Asie a Tichomoří () Asie a Tichomoří (Tokio)
Asie a Tichomoří (Singapur) Asie a Tichomoří (Singapur)
Asie a Tichomoří (Sydney) Asie a Tichomoří (Sydney)
Asie a Tichomoří (Tokio) Asie a Tichomoří (Tokio)
Kanada (střed) USA – východ (Ohio)
Čína (Čína) Nepodporováno
Čína (Ningning) Nepodporováno
Evropa (Kaskády) Evropa (Kaskády)
Evropa (Irsko) Evropa (Irsko)
Evropa (Londýn) Evropa (Londýn)
Evropa (Kaskády) Evropa (Paříž)
Evropa (Paříž) Evropa (Paříž)
Evropa (Kaskády) Evropa (Kaskády)
Střední východ (Čína) Evropa (Kaskády)
Jižní Amerika (Sâo Paulo) USA – východ (Ohio)

Požadavky

Před přidáním kbelíků Amazon S3 jako zdrojů dat Purview a skenováním dat S3 se ujistěte, že jste provedli následující požadavky.

Vytvoření účtu Purview

Vytvoření nové role AWS pro dosah

Tento postup popisuje, jak najít hodnoty pro ID účtu Azure a externí ID, vytvořit roli AWS a pak zadat hodnotu pro vaši roli ARN v dosah.

Vyhledání ID a externího ID účtu Microsoft:

  1. V dosah přejděte na > přihlašovací údaje zabezpečení a přístup k centru pro správu > .

  2. Pokud chcete vytvořit nové přihlašovací údaje, vyberte Nový .

    V podokně nové přihlašovací údaje , které se zobrazí na pravé straně, v rozevíracím seznamu metoda ověřování vyberte role ARN.

    Pak zkopírujte hodnoty id účet Microsoft a externích ID , které se zobrazují do samostatného souboru, nebo je požádejte o jejich vložení do příslušného pole v AWS. Například:

    Vyhledejte id účet Microsoft a hodnoty externího ID.

Vytvoření role AWS pro dosah:

  1. Otevřete konzolu Amazon Web Services a v části zabezpečení, identita a kompatibilita vyberte IAM.

  2. Vyberte role a pak vytvořit roli.

  3. Vyberte jiný účet AWS a zadejte následující hodnoty:

    Pole Description
    Account ID Zadejte ID účtu Microsoft. Příklad: 181328463391
    Externí ID V části Možnosti vyberte vyžadovat externí ID... a potom do určeného pole zadejte své externí ID.
    Příklad: e7e2b8a3-0a9f-414f-a065-afaf4ac6d994

    Například:

    Přidejte ID účtu Microsoft k účtu AWS.

  4. V oblasti vytvořit roli > připojit zásady oprávnění filtrujte oprávnění zobrazená na S3. Vyberte AmazonS3ReadOnlyAccess a potom vyberte Další: značky.

    Vyberte zásady ReadOnlyAccess pro novou skenovací roli Amazon S3.

    Důležité

    Zásady AmazonS3ReadOnlyAccess poskytují minimální oprávnění potřebná pro kontrolu vašich intervalů S3 a můžou zahrnovat i další oprávnění.

    Pokud chcete použít jenom minimální oprávnění požadovaná pro kontrolu vašich kontejnerů, vytvořte novou zásadu s oprávněními uvedenými v části minimální oprávnění pro zásady AWS, podle toho, jestli chcete skenovat jeden nebo všechny intervaly ve vašem účtu.

    Místo AmazonS3ReadOnlyAccess použijte nové zásady na roli .

  5. V oblasti Přidat značky (volitelné) můžete volitelně zvolit vytvoření smysluplné značky pro tuto novou roli. Užitečné značky umožňují organizovat, sledovat a řídit přístup pro každou roli, kterou vytvoříte.

    V případě potřeby zadejte nový klíč a hodnotu pro značku. Až budete hotovi, nebo pokud chcete tento krok přeskočit, vyberte Další: Projděte si podrobnosti role a dokončete vytvoření role.

    Přidejte smysluplnou značku k uspořádání, sledování nebo řízení přístupu pro novou roli.

  6. V oblasti recenze udělejte toto:

    • Do pole název role zadejte smysluplný název pro vaši roli.
    • V poli Popis role zadejte volitelný popis, který identifikuje účel role.
    • V části zásady potvrďte, že je k této roli připojená správná zásada (AmazonS3ReadOnlyAccess).

    Potom vyberte vytvořit roli a proces dokončete.

    Například:

    Před vytvořením role si Projděte podrobnosti.

Vytvoření dosah přihlašovacích údajů pro kontrolu AWS S3

Tento postup popisuje, jak vytvořit nové dosah přihlašovací údaje, které se použijí při kontrole AWS sad.

Tip

Pokud budete pokračovat přímo v z části Vytvoření nové role AWS pro dosah, možná již máte v dosah otevřené podokno nové přihlašovací údaje .

Při konfiguraci kontrolymůžete také vytvořit nové přihlašovací údaje v průběhu procesu. V takovém případě v poli pověření vyberte možnost Nový.

  1. V dosah přejděte do centra pro správu a v části zabezpečení a přístup vyberte přihlašovací údaje.

  2. Vyberte Nový a v podokně nové přihlašovací údaje , které se zobrazí na pravé straně, k vytvoření přihlašovacích údajů dosah použijte následující pole:

    Pole Popis
    Název Zadejte smysluplný název pro toto pověření.
    Popis Zadejte volitelný popis tohoto přihlašovacího údaje, například Used to scan the tutorial S3 buckets
    Metoda ověřování Vyberte role ARN, protože pro přístup k vašemu kontejneru používáte ARN role.
    Role ARN Po vytvoření role Amazon IAMpřejděte do své role v oblasti AWS IAM, zkopírujte hodnotu role ARN a zadejte ji sem. Příklad: arn:aws:iam::181328463391:role/S3Role.

    Další informace najdete v tématu načtení nové role ARN.

    Id účet Microsoft a hodnoty externího ID se používají při vytváření role ARN v AWS.

  3. Až skončíte s vytvářením přihlašovacích údajů, vyberte vytvořit .

Další informace o přihlašovacích údajích dosah najdete v tématu přihlašovací údaje pro ověřování zdroje v Azure dosah.

Konfigurace vyhledávání šifrovaných sad Amazon S3

AWS intervaly podporují více typů šifrování. u kontejnerů, které používají šifrování AWS-Služba správy klíčů , je pro povolení kontroly nutná speciální konfigurace.

Poznámka

v případě kontejnerů, které nepoužívají šifrování, AES-256 nebo AWS-Služba správy klíčů S3, přeskočte tuto část a pokračujte v načítání názvu intervalu aplikace Amazon S3.

Pokud chcete kontrolovat typ šifrování, který se používá v kontejnerech Amazon S3:

  1. v AWS přejděte do Storage > S3 > a v nabídce na levé straně vyberte kontejnery.

    Vyberte kartu sady Amazon S3.

  2. Vyberte kontejner, který chcete kontrolovat. Na stránce s podrobnostmi o daném intervalu vyberte kartu vlastnosti a přejděte dolů k oblasti výchozí šifrování .

    • pokud je vámi vybraný interval nakonfigurovaný na cokoli, ale Služba správy klíčů AWS šifrování, včetně toho, jestli je výchozí šifrování pro váš kontejner zakázané, přeskočte zbývající část tohoto postupu a pokračujte načtením názvu kontejneru Amazon S3.

    • pokud je vámi vybraný interval nakonfigurovaný pro šifrování AWS-Služba správy klíčů , pokračujte podle popisu níže, abyste přidali novou zásadu, která umožňuje kontrolu sady pomocí vlastního Služba správy klíčů AWS šifrování.

    Například:

    zobrazení kontejneru Amazon S3 nakonfigurovaného pomocí šifrování AWS-Služba správy klíčů

pokud chcete přidat novou zásadu, která povolí kontrolu intervalu s vlastním Služba správy klíčů AWS šifrováním:

  1. V AWS přejděte na služby > > zásady IAM a vyberte vytvořit zásadu.

  2. Na kartě vytvořit > vizuální Editor zásad Definujte zásadu s následujícími hodnotami:

    Pole Description
    Služba zadejte a vyberte Služba správy klíčů.
    Akce V části úroveň přístupu vyberte možnost zapsat . tím se rozbalí oddíl Write .
    Po rozbalení vyberte jenom možnost dešifrování .
    Prostředky Vyberte konkrétní prostředek nebo všechny prostředky.

    Až budete hotovi, vyberte zkontrolovat zásadu a pokračujte.

    vytvořte zásadu pro skenování kontejneru pomocí šifrování AWS Služba správy klíčů.

  3. Na stránce Kontrola zásad zadejte smysluplný název zásady a volitelný popis a pak vyberte vytvořit zásadu.

    Nově vytvořená zásada se přidá do seznamu zásad.

  4. Připojte nové zásady k roli, kterou jste přidali ke skenování.

    1. Přejděte zpět na stránku > role IAM a vyberte roli, kterou jste přidali dříve.

    2. Na kartě oprávnění vyberte připojit zásady.

      Na kartě oprávnění role vyberte připojit zásady.

    3. Na stránce připojit oprávnění vyhledejte a vyberte novou zásadu, kterou jste vytvořili výše. Vyberte připojit zásadu a připojte zásadu k roli.

      Stránka Souhrn je aktualizována s novou zásadou připojenou k vaší roli.

      Umožňuje zobrazit aktualizovanou stránku souhrnu s novou zásadou připojenou k vaší roli.

Načtení nové role ARN

Když vytváříte kontrolu pro váš kontejner Amazon S3, budete muset zaznamenat svou roli AWS ARN a zkopírovat ji do dosah.

Postup načtení ARN role:

  1. V oblasti role AWS Správa identit a přístupu (IAM) > vyhledejte a vyberte novou roli, kterou jste vytvořili pro dosah.

  2. Na stránce Souhrn role vyberte tlačítko Kopírovat do schránky napravo od hodnoty ARN role .

    Zkopírujte hodnotu role ARN do schránky.

V dosah můžete upravit svoje přihlašovací údaje pro AWS S3 a vložit načtenou roli do pole role ARN . Další informace najdete v tématu Vytvoření kontroly pro jeden nebo více bloků Amazon S3.

Načíst název intervalu Amazon S3

Když vytváříte kontrolu pro váš kontejner Amazon S3 , budete potřebovat název svého kontejneru Amazon S3.

Chcete-li načíst název svého kontejneru:

  1. v AWS přejděte do Storage > S3 > a v nabídce na levé straně vyberte kontejnery.

    Zobrazte kartu sady Amazon S3.

  2. Vyhledejte a vyberte svou sadu, abyste zobrazili stránku s podrobnostmi o intervalu, a pak zkopírujte název kontejneru do schránky.

    Například:

    Načtěte a zkopírujte adresu URL bloku S3.

    Vložte název svého kontejneru do zabezpečeného souboru a přidejte do s3:// něj předponu, abyste mohli vytvořit hodnotu, kterou budete muset zadat při konfiguraci vašeho intervalu jako prostředku dosah.

    Příklad: s3://purview-tutorial-bucket

Tip

Jako zdroj dat dosah je podporována pouze kořenová úroveň vašeho kontejneru. Například následující adresa URL, která obsahuje podsložku, není podporována:s3://purview-tutorial-bucket/view-data

Pokud však nakonfigurujete kontrolu pro konkrétní blok S3, můžete pro kontrolu vybrat jednu nebo více určitých složek. Další informace najdete v kroku určení rozsahu kontroly.

Vyhledejte ID účtu AWS.

Budete potřebovat ID účtu AWS k registraci účtu AWS jako zdroje dat dosah spolu se všemi jeho kontejnery.

ID účtu AWS je ID, pomocí kterého se přihlašujete ke konzole AWS. Můžete ji také najít, až se přihlásíte na řídicím panelu IAM, vlevo pod možností navigace a nahoře, jako číselnou část přihlašovací adresy URL:

Například:

Načtěte ID účtu AWS.

Přidání jednoho intervalu Amazon S3 jako prostředku dosah

Tento postup použijte, pokud máte pouze jeden interval S3, který chcete zaregistrovat do dosah jako zdroj dat, nebo pokud máte ve svém účtu AWS více kontejnerů, ale nechcete je zaregistrovat do dosah.

Přidání vašeho intervalu:

  1. V Azure dosah přejdete na stránku Mapa dat a vyberte ikonu zaregistrovat registraci. > Amazon S3 > Pokračovat.

    Přidejte sadu Amazon AWS jako zdroj dat dosah.

    Tip

    Pokud máte více kolekcí a chcete přidat organizaci Amazon S3 do určité kolekce, vyberte zobrazení mapa v pravém horním rohu a pak vyberte ikonu zaregistrovat registraci. tlačítko uvnitř kolekce

  2. V podokně Registrovat zdroje (Amazon S3) , které se otevře, zadejte následující podrobnosti:

    Pole Popis
    Název Zadejte smysluplný název, nebo použijte zadaný výchozí.
    Adresa URL kontejneru Pomocí následující syntaxe zadejte adresu URL AWS sady: s3://<bucketName>

    Poznámka: Ujistěte se, že používáte pouze kořenovou úroveň vašeho kontejneru. Další informace najdete v tématu načtení názvu kontejneru Amazon S3.
    Vybrat kolekci Pokud jste vybrali možnost Registrovat zdroj dat v rámci kolekce, již je tato kolekce uvedena.

    Vyberte jinou kolekci podle potřeby, žádné pro přiřazení žádné kolekce nebo novou vytvořte novou kolekci nyní.

    Další informace o dosah kolekcích najdete v tématu Správa zdrojů dat v Azure dosah.

    Až budete hotovi, vyberte Dokončit a dokončete registraci.

Pokračujte v vytváření kontroly pro jeden nebo několik sad Amazon S3.

Přidání účtu AWS jako prostředku dosah

Tento postup použijte, pokud máte ve svém účtu Amazon více bloků S3 a chcete je zaregistrovat jako dosah zdroje dat.

Když nakonfigurujete kontrolu, budete moct vybrat konkrétní intervaly, které chcete kontrolovat, pokud je nechcete kontrolovat dohromady.

Chcete-li přidat svůj účet Amazon:

  1. V Azure dosah přejdete na stránku Mapa dat a vyberte ikonu zaregistrovat registraci. > Účty Amazon > Pokračovat.

    Přidejte účet Amazon jako zdroj dat dosah.

    Tip

    Pokud máte více kolekcí a chcete přidat organizaci Amazon S3 do určité kolekce, vyberte zobrazení mapa v pravém horním rohu a pak vyberte ikonu zaregistrovat registraci. tlačítko uvnitř kolekce

  2. V podokně Registrovat zdroje (Amazon S3) , které se otevře, zadejte následující podrobnosti:

    Pole Popis
    Název Zadejte smysluplný název, nebo použijte zadaný výchozí.
    ID účtu AWS Zadejte ID účtu AWS. Další informace najdete v tématu Vyhledání ID účtu AWS .
    Vybrat kolekci Pokud jste vybrali možnost Registrovat zdroj dat v rámci kolekce, již je tato kolekce uvedena.

    Vyberte jinou kolekci podle potřeby, žádné pro přiřazení žádné kolekce nebo novou vytvořte novou kolekci nyní.

    Další informace o dosah kolekcích najdete v tématu Správa zdrojů dat v Azure dosah.

    Až budete hotovi, vyberte Dokončit a dokončete registraci.

Pokračujte v vytváření vyhledávání pro jeden nebo několik bloků Amazon S3.

Vytvoření kontroly pro jeden nebo více sad Amazon S3

Po přidání sad jako zdrojů dat dosah můžete nakonfigurovat kontrolu tak, aby se spouštěla v naplánovaných intervalech, nebo hned.

  1. V levém podokně nástroje dosah Studiovyberte kartu mapování dat a pak proveďte jednu z následujících akcí:

    • V zobrazení mapy vyberte možnost Nová kontrola Ikona nové kontroly. do pole zdroj dat.
    • V zobrazení seznamu umístěte ukazatel myši na řádek zdroje dat a vyberte Nový skenovat Ikona nové kontroly.

  2. V podokně Prohledat... , které se otevře vpravo, definujte následující pole a pak vyberte pokračovat:

    Pole Popis
    Název Zadejte smysluplný název pro kontrolu nebo použijte výchozí nastavení.
    Typ Zobrazí se pouze v případě, že jste přidali svůj účet AWS se všemi zahrnutými intervaly.

    Aktuální možnosti zahrnují jenom všechny > Amazon S3. Můžete zůstat vyladěné pro další možnosti, které můžete vybrat, když se dosah paleta podpory pro rozšíření.
    Přihlašovací údaj Vyberte dosah přihlašovací údaje s vaší rolí ARN.

    Tip: Pokud chcete v tuto chvíli vytvořit nové přihlašovací údaje, vyberte Nový. Další informace najdete v tématu Vytvoření dosah přihlašovacích údajů pro kontrolu intervalu AWS.
    Amazon S3 Zobrazí se pouze v případě, že jste přidali svůj účet AWS se všemi zahrnutými intervaly.

    Vyberte jeden nebo více kontejnerů, které chcete kontrolovat, nebo Vyberte možnost vše , pokud chcete zkontrolovat všechny intervaly ve vašem účtu.

    Dosah automaticky zkontroluje, jestli je role ARN platná a že jsou dostupné kontejnery a objekty v kontejnerech, a pak pokračuje v případě, že je připojení úspěšné.

    Tip

    Chcete-li před pokračováním zadat jiné hodnoty a otestovat připojení sami, vyberte možnost Test připojení v pravém dolním rohu před výběrem možnosti pokračovat.

  3. V podokně Rozsah vyhledávání vyberte konkrétní intervaly nebo složky, které chcete zahrnout do kontroly.

    Když vytváříte kontrolu celého účtu AWS, můžete vybrat konkrétní intervaly k prohledávání. Při vytváření vyhledávání pro konkrétní AWS S3 můžete vybrat konkrétní složky, které chcete zkontrolovat.

  4. V podokně vybrat sadu pravidel skenování buď vyberte sadu výchozích pravidel AmazonS3 , nebo vyberte Nová sada pravidel skenování a vytvořte novou sadu vlastních pravidel. Po výběru sady pravidel vyberte pokračovat.

    Pokud se rozhodnete vytvořit novou sadu pravidel pro vlastní skenování, pomocí Průvodce definujte následující nastavení:

    Podokno Description
    Sada pravidel nové kontroly /
    Popis pravidla skenování    		 Zadejte smysluplný název a volitelný popis pro sadu pravidel.
    Vybrat typy souborů Vyberte všechny typy souborů, které chcete zahrnout do kontroly, a pak vyberte pokračovat.

    Chcete-li přidat nový typ souboru, vyberte možnost nový typ souboru a definujte následující:
    – Přípona souboru, kterou chcete přidat
    – Volitelný popis
    – Zda má obsah souboru vlastní oddělovač, nebo se jedná o typ systémového souboru. Pak zadejte vlastní oddělovač nebo vyberte typ systémového souboru.

    Vyberte vytvořit a vytvořte vlastní typ souboru.
    Vybrat pravidla klasifikace Přejděte na a vyberte pravidla klasifikace, která chcete pro datovou sadu spustit.

    Vyberte vytvořit , až budete hotovi s vytvořením sady pravidel.

  5. V podokně nastavit aktivační událost kontroly vyberte jednu z následujících možností a potom vyberte pokračovat:

    • Opakovaná konfigurace plánu pro opakovanou kontrolu
    • Jakmile nakonfigurujete kontrolu, která se spustí hned

  6. V podokně zkontrolovat prohledání zkontrolujte podrobnosti kontroly a potvrďte, že jsou správné, a pak vyberte Uložit nebo Uložit a spustit , pokud jste v předchozím podokně vybrali jednu z nich.

    Poznámka

    Po spuštění může trvat až 24 hodin, než se kontrola dokončí. Budete moct zkontrolovat sestavy Insight a vyhledat v katalogu 24 hodin po spuštění každé kontroly.

Další informace najdete v tématu prozkoumání výsledků kontroly dosah.

Prozkoumat výsledky prohledávání dosah

Po dokončení kontroly dosah v kontejnerech Amazon S3 můžete přejít k podrobnostem v oblasti rozvržení dat dosah a zobrazit historii prohledávání.

Vyberte zdroj dat, pro který chcete zobrazit jeho podrobnosti, a pak vyberte kartu kontroly , abyste zobrazili všechny aktuálně spuštěné nebo dokončené kontroly. Pokud jste přidali účet AWS s více intervaly, zobrazí se pod účtem historie kontroly pro jednotlivé intervaly.

Například:

Zobrazení kontrol intervalu AWS S3 v rámci zdroje účtu AWS

Pomocí dalších oblastí dosah můžete zjistit podrobnosti o obsahu v nemovitosti, včetně vašich sad Amazon S3:

  • Vyhledejte v katalogu data dosah a vyfiltrujte konkrétní interval. Například:

    Vyhledejte v katalogu prostředky AWS S3.

  • Zobrazte si sestavy Insight , abyste zobrazili statistiku pro klasifikaci, popisky citlivosti, typy souborů a další podrobnosti o vašem obsahu.

    Všechny sestavy dosah Insight zahrnují výsledky kontroly Amazon S3, včetně zbývajících výsledků z vašich zdrojů dat Azure. V případě potřeby byl do možností filtrování sestav přidán další typ assetu Amazon S3 .

    další informace najdete v tématu principy Přehledy v Azure dosah.

Minimální oprávnění pro zásady AWS

Výchozí postup vytvoření role AWS pro dosah , která se má použít při kontrole intervalů S3, používá zásady AmazonS3ReadOnlyAccess .

Zásady AmazonS3ReadOnlyAccess poskytují minimální oprávnění potřebná pro kontrolu vašich intervalů S3 a můžou zahrnovat i další oprávnění.

Pokud chcete použít jenom minimální oprávnění požadovaná pro kontrolu vašich kontejnerů, vytvořte novou zásadu s oprávněními uvedenými v následujících oddílech v závislosti na tom, jestli chcete skenovat jeden nebo všechny intervaly ve vašem účtu.

Místo AmazonS3ReadOnlyAccess použijte nové zásady na roli .

Jednotlivé intervaly

Při kontrole jednotlivých bloků S3 zahrnuje minimální AWS oprávnění:

  • GetBucketLocation
  • GetBucketPublicAccessBlock
  • GetObject
  • ListBucket

Ujistěte se, že jste svůj prostředek definovali pomocí konkrétního názvu kontejneru. Například:

{
"Version": "2012-10-17",
"Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::<bucketname>"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3::: <bucketname>/*"
        }
    ]
}

Všechny intervaly ve vašem účtu

Při kontrole všech kontejnerů ve vašem účtu AWS, minimální oprávnění AWS zahrnují:

  • GetBucketLocation
  • GetBucketPublicAccessBlock
  • GetObject
  • ListAllMyBuckets
  • ListBucket.

Ujistěte se, že jste prostředek definovali se zástupným znakem. Například:

{
"Version": "2012-10-17",
"Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetObject",
                "s3:ListAllMyBuckets",
                "s3:ListBucket"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "*"
        }
    ]
}

Další kroky

Další informace o sestavách Azure dosah Insight:

Principy přehledů v Azure Purview