Mengonfigurasi Inventaris Amazon S3 - Amazon Simple Storage Service
Menyiapkan Inventaris Amazon S3Kebijakan Bucket TujuanMemberikan izin kepada Amazon S3 untuk menggunakan CMK untuk enkripsiMengonfigurasi inventaris dengan menggunakan konsol S3Penggunaan API REST untuk bekerja dengan Inventaris S3

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengonfigurasi Inventaris Amazon S3

Inventaris Amazon S3 menyediakan daftar file datar dari objek dan metadata, sesuai jadwal yang Anda tentukan. Anda dapat menggunakan Inventaris S3 sebagai alternatif terjadwal untuk operasi API List sinkron Amazon S3. Inventaris S3 menyediakan nilai yang dipisahkan koma (CSV), kolom baris yang dioptimalkan Apache (ORC), atau file output Apache Parquet (Parquet) yang mencantumkan objek Anda dan metadata yang sesuai.

Anda dapat mengonfigurasi Inventaris S3 untuk membuat daftar inventaris setiap hari atau setiap minggu untuk bucket S3 atau untuk objek yang memiliki prefiks yang sama (objek yang memiliki nama yang diawali dengan string yang sama). Untuk informasi selengkapnya, lihat Mengkatalogkan dan menganalisis data Anda dengan S3 Inventory.

Bagian ini menjelaskan cara mengonfigurasi inventaris, termasuk detail tentang sumber inventaris dan bucket tujuan.

Gambaran Umum

Inventaris Amazon S3 membantu Anda mengelola penyimpanan dengan membuat daftar objek dalam bucket S3 sesuai jadwal yang telah ditentukan. Anda dapat mengonfigurasi beberapa daftar inventaris untuk satu bucket. Daftar inventaris diterbitkan dalam format file CSV, ORC, atau file Parquet di bucket tujuan.

Cara termudah untuk menyiapkan inventaris adalah dengan menggunakan konsol Amazon S3, tetapi Anda juga dapat menggunakan Amazon S3 REST API AWS Command Line Interface ,AWS CLI(), atau. AWS SDKs Konsol menjalankan langkah pertama dari prosedur berikut ini untuk Anda: menambahkan kebijakan bucket ke bucket tujuan.

Untuk menyiapkan Inventaris Amazon S3 untuk bucket S3

  1. Tambahkan kebijakan bucket untuk bucket tujuan.

    Anda harus membuat kebijakan bucket di bucket tujuan yang memberikan izin ke Amazon S3 untuk menulis objek ke bucket di lokasi yang ditentukan. Untuk contoh kebijakan, lihat Berikan izin untuk Inventaris S3 dan analitik S3.

  2. Konfigurasikan inventaris untuk mencantumkan objek dalam bucket sumber dan terbitkan daftar tersebut ke bucket tujuan.

    Ketika mengkonfigurasi daftar inventaris untuk bucket sumber, Anda perlu menentukan bucket tujuan untuk menyimpan daftar tersebut, dan apakah Anda ingin membuat daftar tersebut secara harian atau mingguan. Anda juga dapat mengonfigurasi apakah akan mencantumkan semua versi objek atau hanya versi saat ini dan metadata objek apa yang akan disertakan.

    Beberapa bidang metadata objek dalam konfigurasi laporan Inventaris S3 bersifat opsional, artinya mereka tersedia secara default tetapi dapat dibatasi saat Anda memberikan izin kepada pengguna. s3:PutInventoryConfiguration Anda dapat mengontrol apakah pengguna dapat menyertakan bidang metadata opsional ini dalam laporan mereka dengan menggunakan kunci s3:InventoryAccessibleOptionalFields kondisi.

    Untuk informasi selengkapnya tentang bidang metadata opsional yang tersedia di Inventaris S3, lihat di Referensi OptionalFieldsAPI Amazon Simple Storage Service. Untuk informasi selengkapnya tentang membatasi akses ke bidang metadata opsional tertentu dalam konfigurasi inventaris, lihat. Kontrol pembuatan konfigurasi laporan Inventaris S3

    Anda dapat menentukan bahwa file daftar inventaris dienkripsi menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) atau () kunci terkelola pelanggan (SSE-KMS). AWS Key Management Service AWS KMS

    catatan

    The Kunci yang dikelola AWS (aws/s3) tidak didukung untuk enkripsi SSE-KMS dengan S3 Inventory.

    Untuk informasi selengkapnya tentang SSE-S3 dan SSE-KMS, lihat Melindungi data dengan enkripsi di sisi klien. Jika Anda berencana menggunakan enkripsi SSE-KMS, lihat Langkah 3.

  3. Untuk mengenkripsi file daftar inventaris dengan SSE-KMS, berikan izin kepada Amazon S3 untuk menggunakan AWS KMS key.

    Anda dapat mengonfigurasi enkripsi untuk file daftar inventaris dengan menggunakan konsol Amazon S3, Amazon S3 REST API AWS CLI, atau. AWS SDKs Apa pun cara yang dipilih, Anda harus memberikan izin kepada Amazon S3 untuk menggunakan CMK agar dapat mengenkripsi file inventaris. Berikan izin kepada Amazon S3 dengan memodifikasi kebijakan kunci untuk CMK yang ingin Anda gunakan untuk mengenkripsi file inventaris. Untuk informasi selengkapnya, lihat Memberikan izin kepada Amazon S3 untuk menggunakan CMK untuk enkripsi.

    Bucket tujuan yang menyimpan file daftar inventaris dapat dimiliki oleh Akun AWS yang berbeda dari akun yang memiliki bucket sumber. Jika Anda menggunakan enkripsi SSE-KMS untuk operasi lintas akun Inventaris Amazon S3, sebaiknya gunakan ARN kunci KMS yang memenuhi syarat sepenuhnya saat mengonfigurasi inventaris S3. Untuk informasi selengkapnya, lihat Menggunakan enkripsi SSE-KMS untuk operasi lintas akun dan ServerSideEncryptionByDefault di Referensi API Amazon Simple Storage Service.

Membuat kebijakan bucket tujuan

Jika membuat konfigurasi inventaris melalui konsol Amazon S3, Amazon S3 secara otomatis membuat kebijakan bucket pada bucket tujuan yang memberikan izin tulis ke bucket tersebut kepada Amazon S3. Namun, jika Anda membuat konfigurasi inventaris melalui AWS CLI, AWS SDKs, atau Amazon S3 REST API, Anda harus menambahkan kebijakan bucket secara manual di bucket tujuan. Kebijakan bucket tujuan Inventaris S3 memungkinkan Amazon S3 menulis data untuk laporan inventaris ke bucket.

Berikut ini adalah contoh kebijakan bucket. 

{  
      "Version": "2012-10-17",
      "Statement": [
        {
            "Sid": "InventoryExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-DESTINATION-BUCKET/*"
            ],
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3:::DOC-EXAMPLE-SOURCE-BUCKET"
                },
                "StringEquals": {
                    "aws:SourceAccount": "source-account-id",
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

Untuk informasi selengkapnya, lihat Berikan izin untuk Inventaris S3 dan analitik S3.

Jika terjadi kesalahan saat mencoba membuat kebijakan bucket, Anda akan diberi petunjuk tentang cara memperbaikinya. Misalnya, jika Anda memilih bucket tujuan di bucket lain Akun AWS dan tidak memiliki izin untuk membaca dan menulis ke kebijakan bucket, Anda akan melihat pesan galat.

Dalam hal ini, pemilik bucket tujuan harus menambahkan kebijakan bucket ke bucket tujuan. Jika kebijakan tidak ditambahkan ke bucket tujuan, Anda tidak akan mendapatkan laporan inventaris karena Amazon S3 tidak memiliki izin untuk menulis ke bucket tujuan. Jika bucket sumber dimiliki oleh akun yang berbeda dengan akun pengguna saat ini, ID akun yang benar dari pemilik bucket sumber harus diganti dalam kebijakan.

catatan

Pastikan tidak ada pernyataan Deny yang ditambahkan ke kebijakan bucket tujuan yang akan mencegah pengiriman laporan inventaris ke dalam bucket ini. Untuk informasi selengkapnya, lihat Mengapa saya tidak dapat membuat Laporan Inventaris Amazon S3? .

Memberikan izin kepada Amazon S3 untuk menggunakan CMK untuk enkripsi

Untuk memberikan izin Amazon S3 untuk menggunakan AWS Key Management Service (AWS KMS) kunci terkelola pelanggan untuk enkripsi sisi server, Anda harus menggunakan kebijakan kunci. Untuk memperbarui kebijakan kunci agar Anda dapat menggunakan CMK, gunakan prosedur berikut ini.

Untuk memberikan izin Amazon S3 untuk mengenkripsi dengan menggunakan kunci terkelola pelanggan

  1. Menggunakan Akun AWS yang memiliki kunci yang dikelola pelanggan, masuk ke. AWS Management Console

  2. Buka AWS KMS konsol di https://console.aws.amazon.com/kms.

  3. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  4. Di panel navigasi kiri, pilih CMK.

  5. Di bawah CMK, pilih kunci yang dikelola pelanggan yang ingin Anda gunakan untuk mengenkripsi file inventaris.

  6. Di bagian Kebijakan Kunci, pilih Beralih ke tampilan kebijakan.

  7. Untuk memperbarui kebijakan kunci, pilih Edit.

  8. Pada halaman Edit kebijakan kunci, tambahkan baris berikut ke kebijakan kunci yang ada. Untuk source-account-id dan amzn-s3-demo-source-bucket, berikan nilai yang sesuai untuk kasus penggunaan Anda.

    {
    "Sid": "Allow Amazon S3 use of the customer managed key",
    "Effect": "Allow",
    "Principal": {
        "Service": "s3.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition":{
      "StringEquals":{
         "aws:SourceAccount":"source-account-id"
     },
      "ArnLike":{
        "aws:SourceARN": "arn:aws:s3:::amzn-s3-demo-source-bucket"
     }
   }
}

  9. Pilih Simpan perubahan.

Untuk informasi selengkapnya tentang membuat CMK dan menggunakan kebijakan kunci, lihat tautan berikut di Panduan Developer AWS Key Management Service :

catatan

Pastikan tidak ada pernyataan Deny yang ditambahkan ke kebijakan bucket tujuan yang akan mencegah pengiriman laporan inventaris ke dalam bucket ini. Untuk informasi selengkapnya, lihat Mengapa saya tidak dapat membuat Laporan Inventaris Amazon S3? .

Mengonfigurasi inventaris dengan menggunakan konsol S3

Gunakan petunjuk ini untuk mengonfigurasi inventaris dengan menggunakan konsol S3.

catatan

Amazon S3 akan membutuhkan waktu hingga 48 jam untuk mengirimkan laporan inventaris pertama.

  1. Masuk ke AWS Management Console dan buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/

  2. Di panel navigasi kiri, pilih Bucket tujuan umum.

  3. Dalam daftar bucket, pilih nama bucket yang ingin Anda konfigurasikan Inventaris Amazon S3.

  4. Pilih tab Manajemen.

  5. Di bawah Konfigurasi inventaris, pilih Buat konfigurasi inventaris.

  6. Untuk Nama konfigurasi inventaris, masukkan nama.

  7. Untuk Cakupan inventaris, lakukan hal berikut:

    • Masukkan prefiks opsional.

    • Pilih versi objek yang akan disertakan, baik Versi saat ini saja atau Sertakan semua versi.

  8. Di bawah Detail laporan, pilih lokasi Akun AWS tempat Anda ingin menyimpan laporan: Akun ini atau Akun lain.

  9. Di bawah Tujuan, pilih bucket tujuan tempat Anda ingin menyimpan laporan inventaris.

    Bucket tujuan harus Wilayah AWS sama dengan ember tempat Anda menyiapkan inventaris. Bucket tujuan dapat berada di Akun AWS yang berbeda. Saat menentukan bucket tujuan, Anda juga dapat menyertakan prefiks opsional untuk mengelompokkan laporan inventaris Anda.

    Di bawah bidang bucket Tujuan, terdapat pernyataan Izin bucket tujuan yang ditambahkan ke kebijakan bucket tujuan agar Amazon S3 dapat menempatkan data di bucket tersebut. Untuk informasi selengkapnya, lihat Membuat kebijakan bucket tujuan.

  10. Di bawah Frekuensi, pilih seberapa sering laporan akan dibuat: Harian atau Mingguan.

  11. Untuk Format output, pilih salah satu format berikut untuk laporan:

    • CSV–Jika Anda berencana untuk menggunakan laporan inventaris ini dengan Operasi Batch S3 atau jika Anda ingin menganalisis laporan ini di alat lain, seperti Microsoft Excel, pilih CSV.

    • Apache ORC

    • Apache Parquet

  12. Di bawah Status, pilih Aktifkan atau Nonaktifkan.

  13. Untuk mengonfigurasi enkripsi di sisi server, Enkripsi laporan inventaris, ikuti langkah-langkah berikut:

    1. Di bawah Enkripsi sisi server, pilih Jangan tentukan kunci enkripsi atau Tentukan kunci enkripsi untuk mengenkripsi data.

      • Agar pengaturan bucket tetap menggunakan enkripsi di sisi server default untuk objek saat menyimpannya di Amazon S3, pilih Jangan tentukan kunci enkripsi. Selama tujuan bucket telah mengaktifkan Kunci Bucket S3, operasi penyalinan akan menerapkan Kunci Bucket S3 di bucket tujuan.

        catatan

        Jika kebijakan bucket untuk tujuan yang ditentukan mengharuskan objek dienkripsi sebelum menyimpannya di Amazon S3, Anda harus memilih Tentukan kunci enkripsi. Jika tidak, penyalinan objek ke tujuan akan gagal.

      • Untuk mengenkripsi objek sebelum menyimpannya di Amazon S3, pilih Tentukan kunci enkripsi.

    2. Jika Anda memilih Tentukan kunci enkripsi, di bawah Jenis enkripsi, Anda harus memilih kunci terkelola Amazon S3 (SSE-S3) atau AWS Key Management Service kunci (SSE-KMS).

      SSE-S3 menggunakan salah satu penyandian blok terkuat—Advanced Encryption Standard 256-bit (AES-256) untuk mengenkripsi setiap objek. SSE-KMS memberikan kontrol yang lebih besar terhadap kunci Anda. Untuk informasi selengkapnya tentang SSE-S3, lihat. Menggunakan enkripsi di sisi server dengan kunci terkelola Amazon S3 (SSE-S3) Untuk informasi lebih lanjut tentang SSE-KMS, lihat Menggunakan enkripsi sisi server dengan AWS KMS kunci (SSE-KMS).

      catatan

      Untuk mengenkripsi file daftar inventaris dengan SSE-KMS, Anda harus memberikan izin kepada Amazon S3 untuk menggunakan CMK. Untuk petunjuk, lihat Memberikan Izin kepada Amazon S3 untuk Melakukan Enkripsi Menggunakan Kunci KMS Anda.

    3. Jika Anda memilih AWS Key Management Service kunci (SSE-KMS), di bawah AWS KMS key, Anda dapat menentukan AWS KMS kunci Anda melalui salah satu opsi berikut.

      catatan

      Jika bucket tujuan yang menyimpan file daftar inventaris dimiliki oleh yang berbeda Akun AWS, pastikan Anda menggunakan ARN kunci KMS yang memenuhi syarat untuk menentukan kunci KMS Anda.

      • Untuk memilih dari daftar kunci KMS yang tersedia, pilih Pilih dari AWS KMS kunci Anda, dan pilih kunci KMS enkripsi simetris dari daftar kunci yang tersedia. Pastikan kunci KMS berada di Region yang sama dengan bucket Anda.

        catatan

        Kunci Kunci yang dikelola AWS (aws/s3) dan kunci terkelola pelanggan Anda muncul dalam daftar. Namun, Kunci yang dikelola AWS (aws/s3) tidak didukung untuk enkripsi SSE-KMS dengan S3 Inventory.

      • Untuk memasukkan ARN kunci KMS, pilih Enter AWS KMS key ARN, dan masukkan ARN kunci KMS Anda di bidang yang muncul.

      • Untuk membuat kunci terkelola pelanggan baru di AWS KMS konsol, pilih Buat kunci KMS.

  14. Untuk Bidang metadata tambahan, pilih satu atau beberapa hal berikut untuk ditambahkan ke laporan inventaris:

    • Ukuran–Ukuran objek dalam byte, tidak termasuk ukuran unggahan multibagian yang tidak lengkap, metadata objek, dan penanda hapus.

    • Tanggal terakhir diubah–Tanggal pembuatan objek atau tanggal modifikasi terakhir, mana pun yang terbaru.

    • Unggahan multibagian–Menentukan bahwa objek diunggah sebagai unggahan multibagian. Untuk informasi selengkapnya, lihat Mengunggah dan menyalin objek menggunakan unggahan multipart di Amazon S3.

    • Status replikasi–Status replikasi objek. Untuk informasi selengkapnya, lihat Mendapatkan informasi status replikasi.

    • Status enkripsi–Jenis enkripsi di sisi server yang digunakan untuk mengenkripsi objek. Untuk informasi selengkapnya, lihat Melindungi data dengan enkripsi di sisi klien.

    • Status Kunci Bucket - Menunjukkan apakah kunci tingkat ember yang dihasilkan oleh AWS KMS berlaku untuk objek. Untuk informasi selengkapnya, lihat Mengurangi biaya SSE-KMS dengan Kunci Bucket Amazon S3.

    • Daftar kontrol akses objek — Daftar kontrol akses (ACL) untuk setiap objek yang mendefinisikan Akun AWS atau kelompok mana yang diberikan akses ke objek ini dan jenis akses yang diberikan. Untuk informasi selengkapnya tentang bidang ini, lihat Menggunakan bidang ACL Objek . Untuk informasi lebih lanjut tentang ACLs, lihatGambaran umum daftar kontrol akses (ACL).

    • Pemilik objek–Pemilik objek.

    • Kelas penyimpanan–Kelas penyimpanan yang digunakan untuk menyimpan objek.

    • Intelligent-Tiering: Tingkat Akses–Menunjukkan tingkat akses (sering atau jarang) dari objek jika disimpan di kelas penyimpanan Intelligent-Tiering S3. Untuk informasi selengkapnya, lihat Kelas penyimpanan untuk mengoptimalkan data secara otomatis dengan pola akses yang berubah atau tidak diketahui.

    • ETagTag entitas (ETag) adalah hash dari objek. ETag Merefleksikan perubahan hanya pada isi objek, bukan metadatanya. ETag Mungkin atau mungkin bukan MD5 intisari data objek. Ketentuannya tergantung pada bagaimana objek dibuat dan bagaimana objek dienkripsi. Untuk informasi selengkapnya, lihat Object dalam Referensi API Amazon Simple Storage Service.

    • Algoritme checksum–Menunjukkan algoritme yang digunakan untuk membuat checksum objek. Untuk informasi selengkapnya, lihat Menggunakan algoritma checksum yang didukung.

    • Semua konfigurasi Kunci Objek–Status Kunci Objek, termasuk pengaturan berikut:

      • Kunci Objek: Mode retensi–Tingkat perlindungan yang diterapkan pada objek, baik Tata Kelola atau Kepatuhan.

      • Kunci Objek: Pertahankan hingga tanggal–Tanggal hingga objek yang terkunci tidak dapat dihapus.

      • Kunci Objek: Status penyimpanan yang sah–Status penyimpanan yang sah objek yang terkunci.

      Untuk informasi selngkapnya tentang Kunci Objek S3, lihat Cara kerja Kunci Objek S3.

    Untuk informasi selengkapnya tentang konten laporan inventaris, lihat Daftar Inventaris Amazon S3.

    Untuk informasi selengkapnya tentang membatasi akses ke bidang metadata opsional tertentu dalam konfigurasi inventaris, lihat. Kontrol pembuatan konfigurasi laporan Inventaris S3

  15. Pilih Buat.

Penggunaan API REST untuk bekerja dengan Inventaris S3

Berikut ini adalah operasi REST yang dapat Anda gunakan untuk bekerja dengan Amazon S3 Inventory.