Multi-Cloud Scanning Connector de Amazon S3 para Azure Purview

  • Artículo
  • 20 minutos para leer

Multi-Cloud Scanning Connector para Azure Purview permite explorar los datos de la organización entre proveedores de nube, incluidos Amazon Web Services además de los servicios de almacenamiento de Azure.

En este artículo se describe cómo usar Azure Purview para examinar los datos no estructurados almacenados actualmente en cubos estándar de Amazon S3 y detectar qué tipos de información confidencial existen en los datos. En esta guía de procedimientos también se describe cómo identificar los cubos de Amazon S3 en los que los datos están almacenados actualmente para facilitar la protección de la información y el cumplimiento de datos.

Para este servicio, use Purview a fin de proporcionar una cuenta Microsoft con acceso seguro a AWS, donde se ejecutará Multi-Cloud Scanning Connector para Azure Purview. Multi-Cloud Scanning Connector para Azure Purview usa este acceso a los cubos de Amazon S3 para leer los datos y, después, notifica a Azure los resultados del examen, solo con los metadatos y la clasificación. Use los informes de clasificación y etiquetado de Purview para analizar y revisar los resultados del examen de los datos.

Funcionalidades admitidas

Extracción de metadatos Examen completo Examen incremental Examen con ámbito Clasificación Directiva de acceso Lineage
No Limitado**

** Se admite el linaje si el conjunto de datos se usa como origen o receptor en la actividad de copia de Data Factory

Importante

Multi-Cloud Scanning Connector para Azure Purview es un complemento independiente de Azure Purview. Los términos y condiciones de Multi-Cloud Scanning Connector para Azure Purview se incluyen en el contrato por el que ha obtenido Microsoft Azure Services. Para obtener más información, vea Información legal de Microsoft Azure en https://azure.microsoft.com/support/legal/.

Ámbito de Purview para Amazon S3

Actualmente no se admiten los puntos de conexión privados de ingesta que funcionan con orígenes de AWS.

Para obtener información adicional sobre los límites de Purview, consulte:

Regiones de almacenamiento y examen

El conector de Purview para el servicio Amazon S3 está implementado actualmente solo en regiones específicas. En la tabla siguiente se asignan las regiones en las que se almacenan los datos a la región en la que se examinarán con Azure Purview.

Importante

A los clientes se les cobrará por todos los cargos de transferencia de datos relacionados en función de la región de su cubo.

Región de almacenamiento Región de examen
Este de EE. UU. (Ohio) Este de EE. UU. (Ohio)
Este de EE. UU. (N. Virginia) Este de EE. UU. (N. Virginia)
Oeste de EE. UU. (N. California) Oeste de EE. UU. (N. California)
Oeste de EE. UU. (Oregon) Oeste de EE. UU. (Oregon)
África (Ciudad del cabo) Europa (Frankfurt)
Asia Pacífico (Hong Kong) Asia Pacífico (Tokio)
Asia Pacífico (Mumbai) Asia Pacífico (Singapur)
Asia Pacífico (Osaka-local) Asia Pacífico (Tokio)
Asia Pacífico (Seúl) Asia Pacífico (Tokio)
Asia Pacífico (Singapur) Asia Pacífico (Singapur)
Asia Pacífico (Sídney) Asia Pacífico (Sídney)
Asia Pacífico (Tokio) Asia Pacífico (Tokio)
Canada (Central) Este de EE. UU. (Ohio)
China (Pekín) No compatible
China (Ningxia) No compatible
Europa (Frankfurt) Europa (Frankfurt)
Europa (Irlanda) Europa (Irlanda)
Europa (Londres) Europa (Londres)
Europa (Milán) Europa (París)
Europa (París) Europa (París)
Europa (Estocolmo) Europa (Frankfurt)
Oriente Medio (Bahrein) Europa (Frankfurt)
Sudamérica (Sao Paulo) Este de EE. UU. (Ohio)

Prerrequisitos

Asegúrese de que ha completado los siguientes requisitos previos antes de agregar los cubos de Amazon S3 como orígenes de datos de Purview y examinar los datos de S3.

Creación de una cuenta de Purview

Creación de un nuevo rol de AWS para Purview

En este procedimiento se describe cómo buscar los valores de un identificador de cuenta de Azure y de un identificador externo, crear un rol de AWS y, después, escribir el valor del ARN de rol en Purview.

Para buscar el identificador de la cuenta Microsoft y el identificador externo:

  1. En Purview, vaya a Management Center > Security and access > Credentials (Centro de administración > Seguridad y acceso > Credenciales).

  2. Seleccione New (Nueva) para crear una credencial.

    En el panel New credential (Nueva credencial) que aparece a la derecha, en el desplegable Authentication method (Método de autenticación), seleccione Role ARN (Rol de ARN).

    Después, copie los valores de identificador de cuenta de Microsoft y el identificador externo que aparecen en un archivo separado, o bien téngalos a mano para seguirlos en el campo correspondiente de AWS. Por ejemplo:

    Busque los valores de identificador de la cuenta Microsoft e identificador externo.

Para crear el rol de AWS para Purview:

  1. Abra la consola de Amazon Web Services y, en Security, Identity, and Compliance (Seguridad, identidad y cumplimiento), seleccione IAM.

  2. Seleccione Roles (Roles) y Create role (Crear rol).

  3. Seleccione Another AWS account (Otra cuenta de AWS) y escriba los siguientes valores:

    Campo Descripción
    Id. de cuenta Escriba el identificador de la cuenta de Microsoft. Por ejemplo: 181328463391
    Id. externo En opciones, seleccione Require external ID... (Requerir id. externo...) y, a continuación, escriba el identificador externo en el campo designado.
    Por ejemplo: e7e2b8a3-0a9f-414f-a065-afaf4ac6d994

    Por ejemplo:

    Agregue el identificador de cuenta de Microsoft a la cuenta de AWS.

  4. En el área Create role > Attach permissions policies (Crear rol > Asociar directiva de permisos), filtre los permisos que se muestran por S3. Seleccione AmazonS3ReadOnlyAccess y, a continuación, seleccione Next: Tags (Siguiente: Etiquetas).

    Seleccione la directiva ReadOnlyAccess para el nuevo rol de examen de Amazon S3.

    Importante

    La directiva AmazonS3ReadOnlyAccess brinda los permisos mínimos necesarios para examinar los cubos S3, y también puede incluir otros permisos.

    Para aplicar solo los permisos mínimos necesarios para examinar los cubos, cree una nueva directiva con los permisos enumerados en Permisos mínimos para la directiva de AWS, en función de si quiere examinar un único cubo o todos los cubos de la cuenta.

    Aplique la nueva directiva al rol en lugar de a AmazonS3ReadOnlyAccess.

  5. En el área Add tags (optional) (Agregar etiquetas [opcional]), puede optar por crear una etiqueta descriptiva para este nuevo rol. Las etiquetas útiles permiten organizar, realizar un seguimiento y controlar el acceso de cada rol que se crea.

    Escriba una nueva clave y un valor para la etiqueta según sea necesario. Cuando haya terminado, o si desea omitir este paso, seleccione Next: Review (Siguiente: Revisar) para revisar los detalles del rol y completar la creación del rol.

    Agregue una etiqueta descriptiva para organizar, realizar un seguimiento o controlar el acceso del nuevo rol.

  6. En el área Review (Revisar), siga estos pasos:

    • En el campo Role name (Nombre de rol), escriba un nombre descriptivo para el rol.
    • En el cuadro Role description (Descripción de rol), escriba una descripción opcional para identificar el propósito del rol.
    • En la sección Policies (Directivas), confirme que está asociada al rol la directiva correcta (AmazonS3ReadOnlyAccess).

    Seleccione Create role (Crear rol) para completar el proceso.

    Por ejemplo:

    Revise los detalles antes de crear el rol.

Creación de una credencial de Purview para un examen AWS S3

En este procedimiento se describe cómo crear una nueva credencial de Purview para usarla al examinar los cubos de AWS.

Sugerencia

Si continúa directamente desde Creación de un nuevo rol de AWS para Purview,es posible que ya tenga abierto el panel New credential (Nueva credencial) en Purview.

También puede crear una nueva credencial en medio del proceso, durante la configuración del examen. En ese caso, en el campo Credential (Credencial), seleccione New (Nuevo).

  1. En Purview, vaya a Management Center (Centro de administración) y, en Security and access (Seguridad y acceso), seleccione Credentials (Credenciales).

  2. Seleccione New (Nuevo) y, en el panel New credential (Nueva credencial) que aparece a la derecha, use los campos siguientes para crear la credencial de Purview:

    Campo Descripción
    Nombre Escriba un nombre descriptivo para esta credencial.
    Descripción Escriba una descripción opcional para esta credencial, como Used to scan the tutorial S3 buckets.
    Método de autenticación Seleccione Role ARN (ARN de rol), ya que va a usar un ARN de rol para acceder al cubo.
    ARN de rol Una vez que haya creado el rol de IAM de Amazon, vaya al mismo en el área IAM de AWS, copie el valor de ARN de rol y escríbalo aquí. Por ejemplo: arn:aws:iam::181328463391:role/S3Role.

    Para más información, consulte Recuperación del nuevo ARN de rol.

    Los valores del identificador de cuenta de Microsoft y del identificador externo se utilizan al crear su rol de ARN en AWS.

  3. Seleccione Create (Crear) cuando termine de crear la credencial.

Para más información sobre las credenciales de Purview, consulte Credenciales para la autenticación de origen en Azure Purview.

Configuración del examen de cubos de Amazon S3 cifrados

Los cubos de AWS admiten varios tipos de cifrado. Para los cubos que usan el cifrado AWS-KMS, se requiere una configuración especial para habilitar el examen.

Nota

En el caso de cubos que no usan cifrado o usan cifrado AES-256 o AWS-KMS S3, omita esta sección y continúe en Recuperación del nombre del cubo de Amazon S3.

Para comprobar el tipo de cifrado que se usa en los cubos de Amazon S3:

  1. En AWS, vaya a Storage > S3 (Almacenamiento > S3) y seleccione Buckets (Cubos) en e menú de la izquierda.

    Seleccione la pestaña de cubos de Amazon S3.

  2. Seleccione el cubo que desea comprobar. En la página de detalles del cubo, seleccione la pestaña Properties (Propiedades) y desplácese hacia abajo hasta el área Default encryption (Cifrado predeterminado).

    • Si el cubo que ha seleccionado tiene una configuración que no sea el cifrado AWS-KMS, incluido si el cifrado predeterminado para el cubo está deshabilitado, omita el resto de este procedimiento y continúe en Recuperación del nombre del cubo de Amazon S3.

    • Si el cubo seleccionado está configurado para el cifrado AWS-KMS, continúe como se describe a continuación para agregar una nueva directiva que permita el examen de un cubo con cifrado AWS-KMS personalizado.

    Por ejemplo:

    Visualización de un cubo de Amazon S3 configurado con cifrado AWS-KMS

Para agregar una nueva directiva que permita el examen de un cubo con cifrado AWS-KMS personalizado:

  1. En AWS, vaya a Services > IAM > Policies (Servicios > IAM > Directivas) y seleccione Create policy (Crear directiva).

  2. En la pestaña Create policy > Visual editor (Crear directiva > Editor visual), defina la directiva con los siguientes valores:

    Campo Descripción
    Servicio Escriba y seleccione KMS.
    Acciones En Access level (Nivel de acceso), seleccione Write (Escritura) para expandir la sección Write (Escritura).
    Una vez expandida, seleccione solo la opción Decrypt (Descifrar).
    Recursos Seleccione un recurso específico o All resources (Todos los recursos).

    Cuando haya terminado, seleccione Review policy (Revisar directiva) para continuar.

    Cree una directiva para examinar un cubo con cifrado AWS-KMS.

  3. En la página Review policy (Revisar directiva), escriba un nombre descriptivo para la directiva y una descripción opcional y, a continuación, seleccione Create policy (Crear directiva).

    La directiva recién creada se agrega a la lista de directivas.

  4. Adjunte la nueva directiva al rol que ha agregado para el examen.

    1. Vuelva a la página IAM > Roles y seleccione el rol que agregó anteriormente.

    2. En la pestaña Permissions (Permisos), seleccione Attach policies (Asociar directivas).

      En la pestaña Permissions (Permisos) del rol, seleccione Attach policies (Asociar directivas).

    3. En la página Attach Permissions (Asociar permisos), busque y seleccione la nueva directiva que creó anteriormente. Seleccione Attach policy (Asociar directiva) para adjuntar la directiva al rol.

      La página Summary (Resumen) se actualiza con la nueva directiva adjunta al rol.

      Visualización de una página de resumen actualizada con la nueva directiva asociada al rol.

Recuperación del nuevo ARN de rol

Deberá anotar el ARN de rol de AWS y copiarlo en Purview al crear un examen para el cubo de Amazon S3.

Para recuperar el ARN de rol:

  1. En el área Identity and Access Management (IAM) > Roles (Administración de identidad y acceso > Roles) de AWS, busque y seleccione el nuevo rol que creó para Purview.

  2. En la página Summary (Resumen) del rol, seleccione el botón Copy to clipboard (Copiar al portapapeles) a la derecha del valor de ARN de rol (ARN de rol).

    Copie el valor del ARN de rol en el portapapeles.

En Purview, puede editar la credencial de AWS S3 y pegar el rol recuperado en el campo ARN de rol. Para más información, vaya a Creación de un examen para uno o varios cubos de Amazon S3.

Recuperación del nombre del cubo de Amazon S3

Necesitará el nombre del cubo de Amazon S3 para copiarlo en Purview al crear un examen para el cubo de Amazon S3.

Para recuperar el nombre del cubo:

  1. En AWS, vaya a Storage > S3 (Almacenamiento > S3) y seleccione Buckets (Cubos) en e menú de la izquierda.

    Consulte la pestaña de cubos de Amazon S3.

  2. Busque y seleccione el cubo para ver la página de detalles del cubo y, a continuación, copie el nombre del cubo en el portapapeles.

    Por ejemplo:

    Recupere y copie la dirección URL del cubo de S3.

    Pegue el nombre del cubo en un archivo seguro y agregue el prefijo s3:// para crear el valor que debe especificar al configurar el cubo como un recurso de Purview.

    Por ejemplo: s3://purview-tutorial-bucket

Sugerencia

Solo se admite el nivel raíz del cubo como origen de datos de Purview. Por ejemplo, no se admite la siguiente dirección URL, que incluye una subcarpeta: s3://purview-tutorial-bucket/view-data.

Sin embargo, si configura un examen para un cubo de S3 concreto, puede seleccionar una o varias carpetas específicas para el examen. Para más información, consulte el paso para el ámbito del examen.

Búsqueda del identificador de cuenta de AWS

Necesitará el identificador de la cuenta de AWS para registrar la cuenta de AWS como un origen de datos de Purview, junto con todos sus cubos.

El identificador de la cuenta de AWS es el identificador que se usa para iniciar sesión en la consola de AWS. También puede encontrarlo una vez que haya iniciado sesión en el panel IAM, a la izquierda bajo las opciones de navegación y en la parte superior, como la parte numérica de la dirección URL de inicio de sesión:

Por ejemplo:

Recupere el identificador de cuenta de AWS.

Adición de un único cubo de Amazon S3 como recurso de Purview

Use este procedimiento si solo tiene un único cubo de S3 que desee registrar en Purview como origen de datos, o si tiene varios cubos en la cuenta de AWS, pero no desea registrarlos todos en Purview.

Para agregar un cubo:

  1. En Azure Purview, vaya a la página Mapa de datos y seleccione Registrar Icono Registrar. > Amazon S3 > Continue (Amazon S3 > Continuar).

    Agregue un cubo de Amazon AWS como un origen de datos de Purview.

    Sugerencia

    Si tiene varias colecciones y desea agregar Amazon S3 a una colección específica, seleccione Map view (Vista de mapa) en la parte superior derecha y, a continuación, seleccione el icono Register (Registrar). Icono Registrar. Botón dentro de la colección.

  2. En el panel Register sources (Amazon S3) (Registrar orígenes [Amazon S3]) que se abre, escriba los detalles siguientes:

    Campo Descripción
    Nombre Escriba un nombre descriptivo o utilice el valor predeterminado proporcionado.
    Dirección URL del cubo Escriba la dirección URL del cubo de AWS con la siguiente sintaxis: s3://<bucketName>

    Nota: Asegúrese de usar solo el nivel de raíz del cubo. Para más información, consulte Recuperación del nombre del cubo de Amazon S3.
    Selección de una colección Si ha seleccionado registrar un origen de datos desde una colección, esa colección ya aparece en la lista.

    Seleccione una colección diferente según sea necesario, None (Ninguna) para no asignar ninguna colección o New (Nueva) para crear una nueva colección ahora.

    Para más información sobre las colecciones de Purview, consulte Administración de orígenes de datos en Azure Purview (versión preliminar).

    Cuando haya terminado, seleccione Finish (Finalizar) para completar el registro.

Continúe con Creación de un examen para uno o varios cubos de Amazon S3.

Adición de una cuenta de AWS como un recurso de Purview

Use este procedimiento si tiene varios cubos de S3 en la cuenta de Amazon y desea registrarlos todos como orígenes de datos de Purview.

Al configurar el examen, podrá seleccionar los cubos específicos que desea examinar, si no desea examinarlos todos juntos.

Para agregar una cuenta de Amazon:

  1. En Azure Purview, vaya a la página Mapa de datos y seleccione Registrar Icono Registrar. > Amazon accounts > Continue (Cuentas de Amazon > Continuar).

    Agregue una cuenta de Amazon como un origen de datos de Purview.

    Sugerencia

    Si tiene varias colecciones y desea agregar Amazon S3 a una colección específica, seleccione Map view (Vista de mapa) en la parte superior derecha y, a continuación, seleccione el icono Register (Registrar). Icono Registrar. Botón dentro de la colección.

  2. En el panel Register sources (Amazon S3) (Registrar orígenes [Amazon S3]) que se abre, escriba los detalles siguientes:

    Campo Descripción
    Nombre Escriba un nombre descriptivo o utilice el valor predeterminado proporcionado.
    Identificador de cuenta de AWS Escriba el identificador de cuenta de AWS. Para más información, consulte Búsqueda del identificador de cuenta de AWS.
    Selección de una colección Si ha seleccionado registrar un origen de datos desde una colección, esa colección ya aparece en la lista.

    Seleccione una colección diferente según sea necesario, None (Ninguna) para no asignar ninguna colección o New (Nueva) para crear una nueva colección ahora.

    Para más información sobre las colecciones de Purview, consulte Administración de orígenes de datos en Azure Purview (versión preliminar).

    Cuando haya terminado, seleccione Finish (Finalizar) para completar el registro.

Vaya a Creación de un examen para uno o varios cubos de Amazon S3.

Creación de un examen para uno o varios cubos de Amazon S3

Una vez que haya agregado los cubos como orígenes de datos de Purview, puede configurar un examen para que se ejecute a intervalos programados o inmediatamente.

  1. Seleccione la pestaña Mapa de datos del panel izquierdo de Purview Studio y, luego, realice uno de los siguientes procedimientos:

    • En Map view (Vista de mapa), seleccione New scan (Nuevo examen) Icono Nuevo examen. en el cuadro del origen de datos.
    • En List view (Vista de lista), mantenga el puntero sobre la fila del origen de datos y seleccione New scan (Nuevo examen) Icono Nuevo examen..

  2. En el panel Scan... (Examinar...) que se abre a la derecha, defina los campos siguientes y, a continuación, seleccione Continue (Continuar):

    Campo Descripción
    Nombre Escriba un nombre descriptivo para el examen o utilice el valor predeterminado.
    Tipo Solo se muestra si ha agregado la cuenta de AWS, con todos los cubos incluidos.

    Las opciones actuales incluyen únicamente All > Amazon S3 (Todos > Amazon S3). Manténgase atento sobre más opciones para seleccionar a medida que se amplíe la matriz de compatibilidad de Purview.
    Credential: Seleccione una credencial de Purview con el ARN de rol.

    Sugerencia: Si desea crear una credencial nueva en este momento, seleccione New (Nueva). Para más información, consulte Creación de una credencial de Purview para el examen del cubo de AWS.
    Amazon S3 Solo se muestra si ha agregado la cuenta de AWS, con todos los cubos incluidos.

    Seleccione uno o varios cubos para examinarlos, o bien elija Seleccionar todos para examinar todos los cubos de su cuenta.

    Purview comprueba automáticamente que el ARN de rol es válido y que se puede acceder a los cubos y a los objetos dentro de los cubos y, después, continúa si la conexión se realiza correctamente.

    Sugerencia

    Para especificar valores diferentes y probar la conexión antes de continuar, seleccione Test connection (Probar la conexión) en la parte inferior derecha antes de seleccionar Continue (Continuar).

  3. En el panel Scope your scan (Ámbito del examen),seleccione los cubos o carpetas concretos que desea incluir en el examen.

    Al crear un examen de toda una cuenta de AWS, puede seleccionar los cubos específicos que desea que se examinen. Al crear un examen de un cubo S3 de AWS específico, puede seleccionar las carpetas concretas que desea que se examinen.

  4. En el panel Select a scan rule set (Seleccionar un conjunto de reglas de examen), seleccione el conjunto de reglas predeterminado AmazonS3 o seleccione New scan rule set (Nuevo conjunto de reglas de examen) para crear un nuevo conjunto de reglas personalizado. Una vez que haya seleccionado el conjunto de reglas, seleccione Continue (Continuar).

    Si selecciona crear un nuevo conjunto de reglas de examen personalizado, use el asistente para definir la configuración siguiente:

    Panel Descripción
    New scan rule set / (Nuevo conjunto de reglas de examen)
    Scan rule description (Descripción de la regla de examen)    		 Escriba un nombre descriptivo y una descripción opcional para el conjunto de reglas.
    Select file types (Seleccionar tipos de archivo) Seleccione todos los tipos de archivo que desea incluir en el examen y, a continuación, seleccione Continue (Continuar).

    Para agregar un nuevo tipo de archivo, seleccione New file type (Nuevo tipo de archivo) y defina lo siguiente:
    - La extensión de archivo que desea agregar.
    - Una descripción opcional.
    - Si el contenido del archivo tiene un delimitador personalizado o si es un tipo de archivo del sistema. A continuación, escriba el delimitador personalizado o seleccione el tipo de archivo del sistema.

    Seleccione Create (Crear) para crear el tipo de archivo personalizado.
    Select classification rules (Seleccionar reglas de clasificación) Vaya a las reglas de clasificación y seleccione las que quiere ejecutar en el conjunto de datos.

    Seleccione Create (Crear) cuando termine de crear el conjunto de reglas.

  5. En el panel Set a scan trigger (Establecer un desencadenador del examen), seleccione una de las siguientes opciones y, a continuación, seleccione Continue (Continuar):

    • Recurring (Periódico) para configurar una programación para un examen recurrente.
    • Once (Una vez) para configurar un examen que se inicia inmediatamente.

  6. En el panel Review your scan (Revisar el examen), compruebe los detalles del examen para confirmar que son correctos y, a continuación, seleccione Save (Guardar) o Save and Run (Guardar y ejecutar) si seleccionó Once (Una vez) en el panel anterior.

    Nota

    Una vez iniciado, el examen puede tardar hasta 24 horas en completarse. Podrá revisar los informes de Insights y buscar el catálogo 24 horas después de iniciar cada examen.

Para más información, consulte Exploración de los resultados del examen de Purview.

Exploración de los resultados del examen de Purview

Una vez que se completa un examen de Purview en los cubos de Amazon S3, puede explorar en profundidad en el área Mapa de datos de Purview para ver el historial de exámenes.

Seleccione un origen de datos para ver sus detalles y, a continuación, seleccione la pestaña Scans (Exámenes) para ver los exámenes que se están ejecutando o que se han completado. Si ha agregado una cuenta de AWS con varios cubos, el historial de exámenes de cada cubo se muestra en la cuenta.

Por ejemplo:

Muestre los exámenes de cubos de AWS S3 en el origen de la cuenta de AWS.

Use las otras áreas de Purview para obtener información detallada sobre el contenido del patrimonio de datos, incluidos los cubos de Amazon S3:

  • Busque el catálogo de datos de Purview y filtre por un cubo específico. Por ejemplo:

    Busque recursos de AWS S3 en el catálogo.

  • Consulte los informes de Insights para ver las estadísticas de la clasificación, las etiquetas de confidencialidad, los tipos de archivo y más detalles sobre el contenido.

    Todos los informes de Insights de Purview incluyen los resultados del examen de Amazon S3, junto con el resto de los resultados de los orígenes de datos de Azure. Cuando procede, se ha agregado un tipo de recurso adicional Amazon S3 a las opciones de filtrado del informe.

    Para más información, consulte Descripción de Insights en Azure Purview.

Permisos mínimos para la directiva de AWS

El procedimiento predeterminado para crear un rol de AWS para Purview para usar al examinar los cubos S3 usa la directiva AmazonS3ReadOnlyAccess.

La directiva AmazonS3ReadOnlyAccess brinda los permisos mínimos necesarios para examinar los cubos S3, y también puede incluir otros permisos.

Para aplicar solo los permisos mínimos necesarios para examinar los cubos, cree una nueva directiva con los permisos enumerados en las secciones siguientes, en función de si quiere examinar un único cubo o todos los cubos de la cuenta.

Aplique la nueva directiva al rol en lugar de a AmazonS3ReadOnlyAccess.

Cubos individuales

Al examinar cubos S3 individuales, los permisos de AWS mínimos incluyen:

  • GetBucketLocation
  • GetBucketPublicAccessBlock
  • GetObject
  • ListBucket

Asegúrese de definir el recurso con el nombre de cubo específico. Por ejemplo:

{
"Version": "2012-10-17",
"Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::<bucketname>"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3::: <bucketname>/*"
        }
    ]
}

Todos los cubos en su cuenta

Al examinar todos los cubos en la cuenta de AWS, los permisos de AWS mínimos incluyen:

  • GetBucketLocation
  • GetBucketPublicAccessBlock
  • GetObject
  • ListAllMyBuckets
  • ListBucket.

Asegúrese de definir el recurso con un carácter comodín. Por ejemplo:

{
"Version": "2012-10-17",
"Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetObject",
                "s3:ListAllMyBuckets",
                "s3:ListBucket"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "*"
        }
    ]
}

Pasos siguientes

Más información sobre los informes de Insights de Azure Purview:

Descripción de Insights en Azure Purview