Configurazione di Amazon S3 Inventory - Amazon Simple Storage Service
Configurazione di Amazon S3 InventoryPolicy del bucket di destinazioneConcessione ad Amazon S3 dell'autorizzazione per l'utilizzo della chiave gestita dal cliente per la crittografiaConfigurazione dell'inventario utilizzando la console S3Utilizzo di REST API per utilizzare Inventario S3

Configurazione di Amazon S3 Inventory

Amazon S3 Inventory fornisce un elenco di tipo file flat contenente oggetti e metadati in base a una pianificazione definita. Puoi utilizzare S3 Inventory come alternativa pianificata all'operazione API sincrona List di Amazon S3. S3 Inventory fornisce file di output con valori separati da virgole (CSV), in Apacheformato ORC (Optimized Row Columnar) o in formato Apache Parquet (Parquet) che elencano gli oggetti e i metadati corrispondenti.

Puoi configurare S3 Inventory per creare elenchi di inventario su base giornaliera o settimanale per un bucket S3 o per oggetti che condividono un prefisso (oggetti con nomi che iniziano con la stessa stringa). Per ulteriori informazioni, consulta Catalogazione e analisi dei dati con Inventario S3.

In questa sezione viene descritto come configurare un inventario inserendo le informazioni sui bucket di origine e destinazione dell'inventario.

Panoramica

Amazon S3 Inventory semplifica la gestione dell'archiviazione tramite la creazione di elenchi di oggetti in un bucket S3 in base a una pianificazione definita. È possibile configurare diversi elenchi di inventario per un bucket. Gli elenchi di inventario sono pubblicati su file CSV, ORC o Parquet in un bucket di destinazione.

Il modo più semplice per impostare un inventario è utilizzare la console Amazon S3, ma è anche possibile utilizzare REST API di Amazon S3, AWS Command Line Interface (AWS CLI) o gli SDK AWS. La console effettua la prima fase della seguente procedura: l'aggiunta di una policy di bucket al bucket di destinazione.

Per configurare un Amazon S3 Inventory per un bucket S

  1. Aggiungere una policy di bucket per il bucket di destinazione.

    È necessario creare una policy del bucket sul bucket di destinazione che conceda le autorizzazioni ad Amazon S3 per scrivere oggetti nel bucket nella posizione definita. Per un esempio di policy, consulta Concedere autorizzazioni per S3 Inventory e S3 Analytics.

  2. Configurare un inventario per elencare gli oggetti in un bucket di origine e pubblicare l'elenco su un bucket di destinazione.

    Quando si configura un elenco di inventario per un bucket di origine, viene specificato il bucket di destinazione dove si intende archiviare l'elenco, indicando se si vuole generare l'elenco giornalmente o settimanalmente. Si può anche configurare se elencare tutte le versioni dell'oggetto o solo quelle correnti e quali metadati dell'oggetto includere.

    Alcuni campi dei metadati degli oggetti nelle configurazioni dei report dell'Inventario S3 sono opzionali, cioè sono disponibili per impostazione predefinita, ma possono essere limitati quando si concede a un utente l'autorizzazione s3:PutInventoryConfiguration. È possibile controllare se gli utenti possono includere questi campi di metadati opzionali nei loro report utilizzando la chiave di condizione s3:InventoryAccessibleOptionalFields.

    Per ulteriori informazioni sui campi di metadati opzionali disponibili in Inventario S3, consulta la sezione OptionalFields in Riferimento API di Amazon Simple Storage Service. Per ulteriori informazioni sulla limitazione dell'accesso a determinati campi di metadati opzionali in una configurazione dell'inventario, consulta Controllo della creazione della configurazione dei report di Inventario S3.

    Puoi specificare che il file dell’elenco di inventario venga crittografato utilizzando la crittografia lato server con una chiave gestita da Amazon S3 (SSE-S3) o una chiave AWS Key Management Service (AWS KMS) gestita dal cliente (SSE-KMS).

    Nota

    La Chiave gestita da AWS (aws/s3) non è supportata per la crittografia SSE-KMS con S3 Inventory.

    Per ulteriori informazioni su SSE-S3 e SSE-KMS, consulta Protezione dei dati con la crittografia lato server. Se si intende utilizzare la crittografia SSE-KMS, consulta la Fase 3.

  3. Per crittografare il file dell'elenco di inventario con SSE-KMS, concedi a Simple Storage Service (Amazon S3) l'autorizzazione per l'utilizzo della AWS KMS key.

    È possibile configurare la crittografia per il file dell'elenco dell'inventario tramite la console Amazon S3, REST API di Amazon S3, AWS CLI o SDK AWS. Indipendentemente dalla soluzione scelta, devi concedere ad Amazon S3 l'autorizzazione per l'utilizzo della chiave gestita dal cliente per crittografare il file di inventario. Per fornire ad Amazon S3 l’autorizzazione, modifica la policy della chiave gestita dal cliente che desideri utilizzare per crittografare il file di inventario. Assicurati di aver fornito l’ARN della chiave KMS nella configurazione di Inventario S3 o nelle impostazioni di crittografia del bucket di destinazione. Se non è stato specificato l’ARN della chiave KMS e vengono utilizzate le impostazioni di crittografia predefinite, non potrai accedere al report di Inventario S3.

    Il bucket di destinazione in cui è archiviato il file dell'elenco di inventario può essere di proprietà di un Account AWS diverso rispetto all'account che possiede il bucket di origine. Se si utilizza la crittografia SSE-KMS per le operazioni multi-account di Inventario Amazon S3, si consiglia di utilizzare un ARN della chiave KMS completamente qualificato quando si configura Inventario S3. Per ulteriori informazioni, consulta Utilizzo della crittografia SSE-KMS per operazioni multi-account e ServerSideEncryptionByDefault nella Documentazione di riferimento delle API Amazon Simple Storage Service.

    Nota

    Se non riesci ad accedere al report di Inventario S3, utilizza l’API GetBucketEncryption e verifica se nel bucket di destinazione è abilitata la crittografia SSE-KMS predefinita. Se non è stato specificato l’ARN della chiave KMS e vengono utilizzate le impostazioni di crittografia predefinite, non potrai accedere al report di Inventario S3. Per accedere nuovamente ai report di Inventario S3, fornisci l’ARN di una chiave KMS nella configurazione di Inventario S3 o nelle impostazioni di crittografia del bucket di destinazione.

Creazione di una policy di bucket di destinazione

Se crei la configurazione dell'inventario tramite la console Amazon S3, Amazon S3 crea automaticamente una policy di bucket sul bucket di destinazione che concede ad Amazon S3 l'autorizzazione di scrittura. Tuttavia, se si crea la configurazione dell'inventario tramite gli SDK AWS CLI, AWS o la REST API di Amazon S3, è necessario aggiungere manualmente una policy del bucket sul bucket di destinazione. La policy del bucket di destinazione di Inventario S3 consente ad Amazon S3 di scrivere i dati per i report di inventario nel bucket.

Di seguito è riportato un esempio di policy dei bucket.

JSON
{  
      "Version":"2012-10-17",		 	 	 
      "Statement": [
        {
            "Sid": "InventoryExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-DESTINATION-BUCKET/*"
            ],
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3:::DOC-EXAMPLE-SOURCE-BUCKET"
                },
                "StringEquals": {
                    "aws:SourceAccount": "source-account-id",
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

Per ulteriori informazioni, consulta Concedere autorizzazioni per S3 Inventory e S3 Analytics.

Se si verifica un errore quando si tenta di creare la policy del bucket, vengono fornite le istruzioni su come correggerlo. Se ad esempio si sceglie un bucket di destinazione in un altro Account AWS e non si dispone delle autorizzazioni di lettura e scrittura per la policy del bucket, verrà visualizzato un messaggio di errore.

In questo caso, il proprietario del bucket di destinazione deve aggiungere la policy del bucket al bucket di destinazione. Se la policy non viene aggiunta al bucket di destinazione, non si otterrà alcun report di inventario, in quanto Amazon S3 non dispone dell'autorizzazione di scrittura per il bucket di destinazione. Se il bucket di origine è di proprietà di un account diverso da quello dell'utente attuale, l'ID account corretto del proprietario del bucket di origine verrà sostituito nella policy.

Nota

Assicurati che non siano state aggiunte istruzioni di rifiuto alla policy del bucket di destinazione che impediscano la consegna dei report di inventario in questo bucket. Per ulteriori informazioni, consulta Perché non riesco a generare un report di Inventario Amazon S3?

Concessione ad Amazon S3 dell'autorizzazione per l'utilizzo della chiave gestita dal cliente per la crittografia

Per concedere ad Amazon S3 l'autorizzazione a usare la chiave AWS Key Management Service (AWS KMS) gestita dal cliente per la crittografia lato server, devi utilizzare una policy della chiave. Per aggiornare la policy della chiave in modo da poter utilizzare la chiave gestita dal cliente, completa la procedura seguente.

Per concedere ad Amazon S3 le autorizzazioni per la crittografia utilizzando la chiave gestita dal cliente

  1. Accedi alla Console di gestione AWS utilizzando l'Account AWS proprietario della chiave gestita dal cliente.

  2. Aprire la console AWS KMS all'indirizzo https://console.aws.amazon.com/kms.

  3. Per modificare la Regione AWS, utilizza il Selettore di regione nell'angolo in alto a destra della pagina.

  4. Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.

  5. In Chiavi gestite dal cliente, scegli la chiave gestita dal cliente che desideri utilizzare per crittografare i file inventario.

  6. Nella sezione Key Policy (Policy chiave), scegliere Switch to policy view (Passa alla visualizzazione della policy).

  7. Per aggiornare la policy chiave, seleziona Modifica.

  8. Nella pagina Modifica policy delle chiavi, aggiungi le seguenti righe alla policy della chiave esistente. Per source-account-id e amzn-s3-demo-source-bucket, fornisci i valori appropriati per il tuo caso d'uso.

    {
    "Sid": "Allow Amazon S3 use of the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "s3.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition":{
      "StringEquals":{
         "aws:SourceAccount":"source-account-id"
     },
      "ArnLike":{
        "aws:SourceARN": "arn:aws:s3:::amzn-s3-demo-source-bucket"
     }
   }
}

  9. Scegli Save changes (Salva modifiche).

Per ulteriori informazioni sulla creazione di chiavi gestite dal cliente e sull'utilizzo delle policy delle chiavi, consulta i seguenti collegamenti nella Guida per Developer di AWS Key Management Service:

Nota

Assicurati che non siano state aggiunte istruzioni di rifiuto alla policy del bucket di destinazione che impediscano la consegna dei report di inventario in questo bucket. Per ulteriori informazioni, consulta Perché non riesco a generare un report di Inventario Amazon S3?

Configurazione dell'inventario utilizzando la console S3

Segui queste istruzioni per configurare l'inventario utilizzando la console S3.

Nota

La consegna del primo report di inventario Amazon S3 può richiedere fino a 48 ore.

  1. Accedi alla Console di gestione AWS e apri la console Amazon S3 all’indirizzo https://console.aws.amazon.com/s3/.

  2. Nel riquadro di navigazione sinistro, scegli Bucket per uso generico.

  3. Nell’elenco dei bucket seleziona il nome del bucket per cui desideri configurare Inventario Amazon S3.

  4. Scegliere la scheda Management (Gestione),

  5. In Configurazioni inventario seleziona Crea configurazione inventario.

  6. Specifica un nome in Nome della configurazione dell'inventario.

  7. Per Ambito dell'inventario, esegui le operazioni descritte di seguito.

    • Immetti un prefisso facoltativo.

    • Scegli quali versioni dell'oggetto includere, Solo versioni correnti o Includi tutte le versioni.

  8. In Dettagli report scegli la posizione dell'account Account AWS in cui desideri salvare i report: Questo account o Un account diverso.

  9. In Destinazione, scegli il bucket di destinazione in cui desideri salvare i report di inventario.

    Il bucket di destinazione deve trovarsi nella stessa Regione AWS del bucket per cui si sta configurando l'inventario. Il bucket di destinazione può trovarsi in un diverso Account AWS. Quando specifichi il bucket di destinazione, puoi anche includere un prefisso opzionale per raggruppare insiemi i report di inventario.

    Nel campo Bucket di destinazione viene visualizzata l'istruzione Autorizzazione del bucket di destinazione che viene aggiunta alla policy del bucket di destinazione per consentire ad Amazon S3 di inserire i dati in tale bucket. Per ulteriori informazioni, consulta Creazione di una policy di bucket di destinazione.

  10. In Frequenza, seleziona la frequenza con cui verrà generato il report: Giornaliero o Settimanale.

  11. Per Formato di output, scegli uno dei seguenti formati per il report:

    • CSV: se prevedi di utilizzare questo report di inventario con Operazioni in batch S3 o se desideri analizzare questo report in un altro strumento, come Microsoft Excel, scegli CSV.

    • Apache ORC

    • Apache Parquet

  12. In Stato seleziona Abilita o Disabilita.

  13. Per configurare la crittografia lato server, in Crittografia dei report di inventario, segui la procedura riportata sotto:

    1. In Crittografia lato server, scegli Non specificare una chiave di crittografia o Specifica una chiave di crittografia per crittografare i dati.

      • Per conservare le impostazioni relative ai bucket per la crittografia predefinita degli oggetti lato server durante l'archiviazione in Amazon S3, scegli Non specificare una chiave di crittografia. Finché nella destinazione del bucket sono abilitate le chiavi bucket S3, l'operazione di copia applica la chiave bucket S3 al bucket di destinazione.

        Nota

        Se la policy del bucket per la destinazione specificata richiede la crittografia degli oggetti prima di archiviarli in Amazon S3, è necessario scegli Specifica una chiave di crittografia. In caso contrario, la copia degli oggetti nella destinazione avrà esito negativo.

      • Per crittografare gli oggetti prima di archiviarli in Amazon S3, scegli Specifica una chiave di crittografia.

    2. Se si sceglie Specificare una chiave di crittografia, in Tipo di crittografiasi deve scegli la chiave gestita da Amazon S3 (SSE-S3) o la chiaveAWS Key Management Service (SSE-KMS).

      Per crittografare gli oggetti, SSE-S3 utilizza una delle cifrature di blocco più complesse, lo standard di crittografia avanzata a 256 bit (AES-256). SSE-KMS garantisce un maggiore controllo sulla chiave. Per ulteriori informazioni su SSE-S3, consulta Uso della crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3). Per ulteriori informazioni su SSE-KMS, consulta Utilizzo della crittografia lato server con chiavi AWS KMS (SSE-KMS).

      Nota

      Per crittografare il file elenco inventario con SSE-KMS, devi impostare Amazon S3 in modo che possa utilizzare la chiave gestita dal cliente. Per le istruzioni, consulta la sezione Concedere ad Amazon S3 l'autorizzazione delle chiavi KMS per la crittografia.

    3. Se scegli Chiave AWS Key Management Service (SSE-KMS), in AWS KMS key puoi specificare la chiave AWS KMS tramite una delle seguenti opzioni.

      Nota

      Se il bucket di destinazione che memorizza il file dell'elenco dell'inventario è di proprietà di un altro Account AWS, assicurarsi di usare un ARN di chiave KMS completamente qualificato per specificare la chiave KMS.

      • Per scegliere da un elenco di chiavi KMS disponibili, scegli Choose from your AWS KMS keys e scegli una chiave KMS di crittografia simmetrica dall'elenco delle chiavi disponibili. Assicurati che la chiave KMS sia nella stessa Regione del bucket.

        Nota

        Nell'elenco vengono visualizzate sia le chiavi Chiave gestita da AWS (aws/s3) che quelle gestite dal cliente. Tuttavia, la Chiave gestita da AWS (aws/s3) non è supportata per la crittografia SSE-KMS con S3 Inventory.

      • Per inserire l'ARN della chiave KMS, scegli Inserisci l'ARN della AWS KMS e quindi specifica l'ARN della chiave KMS nel campo visualizzato.

      • Per creare una chiave gestita dal cliente, scegli Crea una chiave KMS nella console AWS KMS.

  14. Per Campi di metadati aggiuntivi, seleziona una o più delle seguenti opzioni per aggiungere il report di inventario:

    • Dimensione: la dimensione dell'oggetto in byte, esclusa la dimensione dei caricamenti incompleti in più parti, dei metadati degli oggetti e dei contrassegni di eliminazione.

    • Data dell'ultima modifica: la più recente tra la data di creazione dell'oggetto o la data dell'ultima modifica.

    • Caricamento in più parti: specifica che l'oggetto è stato caricato in più parti. Per ulteriori informazioni, consulta Caricamento e copia di oggetti utilizzando il caricamento multiparte in Amazon S3.

    • Stato di replica: lo stato di replica dell'oggetto. Per ulteriori informazioni, consulta Ottenimento delle informazioni sullo stato della replica.

    • Stato crittografia: il tipo di crittografia lato server utilizzata per crittografare l'oggetto. Per ulteriori informazioni, consulta Protezione dei dati con la crittografia lato server.

    • Stato della chiave del bucket: indica se una chiave a livello di bucket generata da AWS KMS si applica all'oggetto. Per ulteriori informazioni, consulta Riduzione del costo di SSE-KMS con le chiavi bucket Amazon S3.

    • Elenco di controllo di accesso dell'oggetto: una lista di controllo degli accessi (ACL) per ogni oggetto che definisce a quale Account AWS o gruppi è concesso l'accesso a questo oggetto e al tipo di accesso concesso. Per ulteriori informazioni su questo campo, consulta Utilizzo del campo ACL oggetto. Per ulteriori informazioni sulle ACL, consulta Panoramica delle liste di controllo accessi (ACL).

    • Proprietario dell'oggetto: il proprietario dell'oggetto.

    • Classe di archiviazione: la classe di archiviazione utilizzata per archiviare l'oggetto.

    • Intelligent-Tiering: livello di accesso: indica il livello di accesso (frequente o raro) dell'oggetto se è stato archiviato nella classe di archiviazione S3 Intelligent-Tiering. Per ulteriori informazioni, consulta Classe di storage per ottimizzare automaticamente i dati con modelli di accesso variabili o sconosciuti.

    • ETag: il tag di entità (ETag) è un hash dell'oggetto. L'ETag riflette solo i cambiamenti ai contenuti di un oggetto, non ai suoi metadati. L'ETag potrebbe o meno essere un digest MD5 dei dati dell'oggetto. a seconda di come l'oggetto è stato creato e crittografato. Per ulteriori informazioni, consulta Object in Amazon Simple Storage Service API Reference (Guida di riferimento per l'API di Amazon Simple Storage Service).

    • Algoritmo di checksum: indica l'algoritmo usato per creare il checksum dell'oggetto. Per ulteriori informazioni, consulta Utilizzo di algoritmi di checksum supportati.

    • Tutte le configurazioni di blocco degli oggetti: lo stato di blocco dell'oggetto, incluse le seguenti impostazioni:

      • Blocco degli oggetti: modalità di conservazione: il livello di protezione applicato all'oggetto, Governance o Conformità.

      • Blocco degli oggetti: mantenere fino alla data: data fino alla quale l'oggetto bloccato non può essere eliminato.

      • Blocco degli oggetti: status della conservazione di carattere legale: lo stato di conservazione ai fini legali dell'oggetto bloccato.

      Per ulteriori informazioni sul blocco degli oggetti S3, consulta Come funziona il blocco oggetti S3.

    Per ulteriori informazioni sul contenuto di un report di inventario, consulta Elenco di Amazon S3 Inventory.

    Per ulteriori informazioni sulla limitazione dell'accesso a determinati campi di metadati opzionali in una configurazione dell'inventario, consulta Controllo della creazione della configurazione dei report di Inventario S3.

  15. Scegli Create (Crea).

Utilizzo di REST API per utilizzare Inventario S3

Di seguito sono riportate le operazioni REST che è possibile utilizzare per lavorare con Inventario Amazon S3.