Bucket Amazon S3 - Studio di ricerca e ingegneria
Monta un bucket Amazon S3Aggiungi un bucket Amazon S3Modifica un bucket Amazon S3Rimuovere un bucket Amazon S3Isolamento dei datiAccesso a diversi bucket di accountPrevenzione dell'esfiltrazione dei dati in un VPC privatoRisoluzione dei problemi Abilitazione CloudTrail

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Bucket Amazon S3

Monta un bucket Amazon S3

Research and Engineering Studio (RES) supporta il montaggio di bucket Amazon S3 su istanze Linux Virtual Desktop Infrastructure (VDI). Gli amministratori RES possono inserire i bucket S3 in RES, collegarli ai progetti, modificarne la configurazione e rimuovere i bucket nella scheda S3 bucket in Gestione ambientale.

La dashboard dei bucket S3 fornisce un elenco di bucket S3 integrati disponibili. Dalla dashboard dei bucket S3, puoi:

  1. Usa Aggiungi bucket per inserire un bucket S3 in RES.

  2. Seleziona un bucket S3 e usa il menu Azioni per:

    • Modificare un bucket

    • Rimuovi un secchio

  3. Usa il campo di ricerca per cercare in base al nome del bucket e trovare i bucket S3 integrati.

    L'elenco dei bucket S3 ti consente di cercare per nome del bucket e di trovare i bucket integrati

Aggiungi un bucket Amazon S3

Per aggiungere un bucket S3 al tuo ambiente RES:

  1. Scegliere Add bucket (Aggiungi bucket).

  2. Inserisci i dettagli del bucket come il nome del bucket, l'ARN e il punto di montaggio.

    Importante

    • L'ARN, il punto di montaggio e la modalità del bucket forniti non possono essere modificati dopo la creazione.

    • L'ARN del bucket può contenere un prefisso che isolerà il bucket S3 integrato in base a quel prefisso.

  3. Seleziona una modalità in cui inserire il tuo bucket.

    Importante

    • Isolamento dei datiPer ulteriori informazioni relative all'isolamento dei dati con modalità specifiche, consulta.

  4. In Opzioni avanzate, puoi fornire un ruolo IAM ARN per montare i bucket per l'accesso tra account. Segui i passaggi indicati Accesso a diversi bucket di account per creare il ruolo IAM richiesto per l'accesso da più account.

  5. (Facoltativo) Associa il bucket ai progetti, che possono essere modificati in seguito. Tuttavia, un bucket S3 non può essere montato nelle sessioni VDI esistenti di un progetto. Solo le sessioni avviate dopo che il progetto è stato associato al bucket monteranno il bucket.

  6. Scegli Invia.

Modifica un bucket Amazon S3

  1. Seleziona un bucket S3 nell'elenco dei bucket S3.

  2. Dal menu Azioni, scegli Modifica.

  3. Inserisci i tuoi aggiornamenti.

    Importante

    • L'associazione di un progetto a un bucket S3 non comporterà il montaggio del bucket sulle istanze VDI (Virtual Desktop Infrastructure) esistenti di quel progetto. Il bucket verrà montato solo nelle sessioni VDI avviate in un progetto dopo che il bucket sarà stato associato a quel progetto.

    • La dissociazione di un progetto da un bucket S3 non influirà sui dati contenuti nel bucket S3, ma comporterà la perdita dell'accesso a tali dati da parte degli utenti desktop.

  4. Scegli Save bucket setup.

    La pagina Modifica S3 Bucket con il nome visualizzato e i campi di associazione del progetto inseriti e il pulsante Salva configurazione del bucket evidenziato

Rimuovere un bucket Amazon S3

  1. Seleziona un bucket S3 nell'elenco dei bucket S3.

  2. Dal menu Azioni, scegli Rimuovi.

    Importante

    • È innanzitutto necessario rimuovere tutte le associazioni di progetto dal bucket.

    • L'operazione di rimozione non ha alcun impatto sui dati nel bucket S3. Rimuove solo l'associazione del bucket S3 con RES.

    • La rimozione di un bucket farà sì che le sessioni VDI esistenti perderanno l'accesso al contenuto di quel bucket alla scadenza delle credenziali di quella sessione (~1 ora).

Isolamento dei dati

Quando aggiungi un bucket S3 a RES, hai la possibilità di isolare i dati all'interno del bucket per progetti e utenti specifici. Nella pagina Aggiungi Bucket, puoi scegliere una modalità di sola lettura (R) o Lettura e scrittura (R/W).

Sola lettura

Se Read Only (R) selezionato, l'isolamento dei dati viene applicato in base al prefisso del bucket ARN (Amazon Resource Name). Ad esempio, se un amministratore aggiunge un bucket a RES utilizzando l'arn:aws:s3:::bucket-name/example-data/ARN e lo associa al Progetto A e al Progetto B, gli utenti che eseguono l' VDIs avvio dall'interno del Progetto A e del Progetto B possono leggere solo i dati che si trovano sotto il percorso. bucket-name /example-data Non avranno accesso ai dati al di fuori di quel percorso. Se non viene aggiunto alcun prefisso al bucket ARN, l'intero bucket verrà reso disponibile per qualsiasi progetto ad esso associato.

Leggi e scrivi

Se Read and Write (R/W) è selezionata, l'isolamento dei dati viene comunque applicato in base al prefisso del bucket ARN, come descritto sopra. Questa modalità dispone di opzioni aggiuntive per consentire agli amministratori di fornire un prefisso basato su variabili per il bucket S3. Quando Read and Write (R/W) è selezionata, diventa disponibile una sezione Prefisso personalizzato che offre un menu a discesa con le seguenti opzioni:

  • Nessun prefisso personalizzato

  • /%p

  • /%p/%u

Nessun isolamento personalizzato dei dati

Quando No custom prefix è selezionato per Prefisso personalizzato, il bucket viene aggiunto senza alcun isolamento dei dati personalizzato. Ciò consente a tutti i progetti associati al bucket di avere accesso in lettura e scrittura. Ad esempio, se un amministratore aggiunge un bucket a RES utilizzando l'arn:aws:s3:::bucket-nameARN No custom prefix con selected e lo associa al Progetto A e al Progetto B, gli utenti che eseguono l' VDIs avvio dall'interno del Progetto A e del Progetto B avranno accesso illimitato in lettura e scrittura al bucket.

Isolamento dei dati a livello di progetto

Quando /%p è selezionato per Prefisso personalizzato, i dati nel bucket vengono isolati per ogni progetto specifico ad esso associato. La %p variabile rappresenta il codice del progetto. Ad esempio, se un amministratore aggiunge un bucket a RES utilizzando l'arn:aws:s3:::bucket-nameARN /%p con selected e un Mount Point /bucket di e associa questo bucket al Progetto A e al Progetto B, l'utente A nel Progetto A può scrivere un file su. /bucket L'utente B del Progetto A può anche vedere il file in cui ha scritto l'utente A. /bucket Tuttavia, se l'utente B avvia un VDI nel Progetto B e lo cerca/bucket, non vedrà il file scritto dall'utente A, poiché i dati sono isolati dal progetto. Il file scritto dall'utente A si trova nel bucket S3 sotto il prefisso, /ProjectA mentre l'utente B può accedervi solo /ProjectB quando lo utilizza dal Progetto B. VDIs

Isolamento dei dati a livello di progetto e utente

Quando /%p/%u è selezionato per Prefisso personalizzato, i dati nel bucket vengono isolati per ogni progetto specifico e utente associato a quel progetto. La %p variabile rappresenta il codice del progetto e %u rappresenta il nome utente. Ad esempio, un amministratore aggiunge un bucket a RES utilizzando l'arn:aws:s3:::bucket-nameARN /%p/%u con selected e un Mount Point di. /bucket Questo bucket è associato al Progetto A e al Progetto B. L'utente A del Progetto A può scrivere un file. /bucket A differenza dello scenario precedente con il solo %p isolamento, l'utente B in questo caso non vedrà il file scritto dall'utente A nel Progetto A in/bucket, poiché i dati sono isolati sia dal progetto che dall'utente. Il file scritto dall'utente A si trova nel bucket S3 sotto il prefisso, /ProjectA/UserA mentre l'utente B può accedervi solo /ProjectA/UserB quando lo utilizza nel Progetto A. VDIs

Accesso a diversi bucket di account

RES ha la capacità di montare bucket da altri AWS account, a condizione che questi bucket abbiano le autorizzazioni giuste. Nello scenario seguente, un ambiente RES nell'Account A desidera montare un bucket S3 nell'Account B.

Fase 1: Creare un ruolo IAM nell'account in cui viene distribuito RES (questo ruolo verrà denominato Account A):

  1. Accedi alla console di AWS gestione per l'account RES che deve accedere al bucket S3 (account A).

  2. Apri la console IAM:

    1. Vai alla dashboard IAM.

    2. Nel riquadro di navigazione selezionare Policy.

  3. Crea una policy:

    1. Seleziona Crea policy.

    2. Scegli la scheda JSON.

    3. Incolla la seguente politica JSON (<BUCKET-NAME>sostituiscila con il nome del bucket S3 situato nell'account B):

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:AbortMultipartUpload"
            ],
            "Resource": [
                "arn:aws:s3:::<BUCKET-NAME>",
                "arn:aws:s3:::<BUCKET-NAME>/*"
            ]
        }
    ]
}

    4. Seleziona Avanti.

  4. Rivedi e crea la politica:

    1. Fornisci un nome per la politica (ad esempio, «AccessPolicyS3").

    2. Aggiungi una descrizione opzionale per spiegare lo scopo della politica.

    3. Rivedi la politica e seleziona Crea politica.

  5. Apri la console IAM:

    1. Vai alla dashboard IAM.

    2. Nel riquadro di navigazione selezionare Roles (Ruoli).

  6. Crea un ruolo:

    1. Seleziona Create role (Crea ruolo).

    2. Scegli la politica di fiducia personalizzata come tipo di entità affidabile.

    3. Incolla la seguente politica JSON (<ACCOUNT_ID>sostituiscila con l'ID account effettivo dell'account A, <ENVIRONMENT_NAME> con il nome dell'ambiente della distribuzione RES e <REGION> con la AWS regione in cui viene distribuito RES):

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<ACCOUNT_ID>:role/<ENVIRONMENT_NAME>-custom-credential-broker-lambda-role-<REGION>"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    4. Seleziona «Avanti».

  7. Allega politiche di autorizzazione:

    1. Cerca e seleziona la politica che hai creato in precedenza.

    2. Seleziona «Avanti».

  8. Tagga, rivedi e crea il ruolo:

    1. Inserisci il nome di un ruolo (ad esempio, «AccessRoleS3").

    2. Nella fase 3, seleziona Aggiungi tag, quindi inserisci la chiave e il valore seguenti:

      • Chiave: res:Resource

      • Valore: s3-bucket-iam-role

    3. Rivedi il ruolo e seleziona Crea ruolo.

  9. Usa il ruolo IAM in RES:

    1. Copia l'ARN del ruolo IAM che hai creato.

    2. Accedi alla console RES.

    3. Nel riquadro di navigazione a sinistra, seleziona S3 Bucket.

    4. Seleziona Aggiungi bucket e compila il modulo con l'ARN del bucket S3 multiaccount.

    5. Seleziona il menu a discesa Impostazioni avanzate (opzionale).

    6. Inserisci il ruolo ARN nel campo ARN del ruolo IAM.

    7. Seleziona Aggiungi secchio.

Passaggio 2: modifica la politica del bucket nell'account B

  1. Accedi alla console di AWS gestione per l'account B.

  2. Apri la console S3:

    1. Vai alla dashboard di S3.

    2. Seleziona il bucket a cui vuoi concedere l'accesso.

  3. Modifica la politica del bucket:

    1. Scegli la scheda Autorizzazioni e seleziona Bucket policy.

    2. Aggiungi la seguente policy per concedere al ruolo IAM dell'Account A l'accesso al bucket (sostituiscilo <AccountA_ID> con l'ID account effettivo dell'Account A e <BUCKET-NAME> con il nome del bucket S3):

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/S3AccessRole"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:AbortMultipartUpload"
            ],
            "Resource": [
                "arn:aws:s3:::<BUCKET-NAME>",
                "arn:aws:s3:::<BUCKET-NAME>/*"
            ]
        }
    ]
}

    3. Seleziona Salva.

Prevenzione dell'esfiltrazione dei dati in un VPC privato

Per impedire agli utenti di esfiltrare i dati dai bucket S3 sicuri nei propri bucket S3 del proprio account, puoi collegare un endpoint VPC per proteggere il tuo VPC privato. I passaggi seguenti mostrano come creare un endpoint VPC per il servizio S3 che supporti l'accesso ai bucket S3 all'interno del tuo account, nonché a qualsiasi account aggiuntivo con bucket tra account.

  1. Apri la console Amazon VPC:

    1. Accedi alla console di AWS gestione.

    2. Apri la console Amazon VPC all'indirizzo. https://console.aws.amazon.com/vpc/

  2. Crea un endpoint VPC per S3:

    1. Nel riquadro di navigazione a sinistra, seleziona Endpoints.

    2. Seleziona Create endpoint (Crea endpoint).

    3. In Categoria servizio, assicurati che Servizi AWS sia selezionato.

    4. Nel campo Service Name, inserisci com.amazonaws.<region>.s3 (sostituisci <region> con la tua AWS regione) o cerca «S3".

    5. Seleziona il servizio S3 dall'elenco.

  3. Configura le impostazioni degli endpoint:

    1. Per VPC, seleziona il VPC in cui desideri creare l'endpoint.

    2. Per le sottoreti, seleziona entrambe le sottoreti private utilizzate per le sottoreti VDI durante la distribuzione.

    3. Per Abilita nome DNS, assicurati che l'opzione sia selezionata. Ciò consente di risolvere il nome host DNS privato nelle interfacce di rete degli endpoint.

  4. Configura la politica per limitare l'accesso:

    1. In Policy, seleziona Personalizzato.

    2. Nell'editor delle politiche, inserisci una politica che limiti l'accesso alle risorse all'interno del tuo account o di un account specifico. Ecco un esempio di politica (sostituiscila mybucket con il nome del tuo bucket S3 111122223333 e 444455556666 con l' AWS account appropriato a IDs cui desideri avere accesso):

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::mybucket",
                "arn:aws:s3:::mybucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalAccount": [
                        "111122223333",   // Your Account ID
                        "444455556666"    // Another Account ID
                    ]
                }
            }
        }
    ]
}

  5. Crea l'endpoint:

    1. Verificare le impostazioni.

    2. Seleziona Crea endpoint.

  6. Verifica l'endpoint:

    1. Una volta creato l'endpoint, vai alla sezione Endpoints nella console VPC.

    2. Seleziona l'endpoint appena creato.

    3. Verifica che lo stato sia disponibile.

Seguendo questi passaggi, crei un endpoint VPC che consente l'accesso a S3 limitato alle risorse all'interno del tuo account o a un ID account specificato.

Risoluzione dei problemi

Come verificare se un bucket non riesce a montarsi su un VDI

Se un bucket non riesce a montarsi su un VDI, esistono alcune posizioni in cui è possibile verificare la presenza di errori. Segui i passaggi seguenti.

  1. Controlla i registri VDI:

    1. Accedere alla console di AWS gestione.

    2. Apri la EC2 console e vai a Istanze.

    3. Seleziona l'istanza VDI che hai avviato.

    4. Connect al VDI tramite Session Manager.

    5. Esegui i comandi seguenti:

      sudo su
cd ~/bootstrap/logs

      Qui troverai i log di bootstrap. I dettagli di ogni errore si troveranno nel configure.log.{time} file.

      Inoltre, controlla il /etc/message registro per maggiori dettagli.

  2. Controlla i log CloudWatch Lambda di Custom Credential Broker:

    1. Accedere alla console di gestione AWS .

    2. Apri la CloudWatch console e vai a Gruppi di log.

    3. Cerca il gruppo di log/aws/lambda/<stack-name>-vdc-custom-credential-broker-lambda.

    4. Esamina il primo gruppo di log disponibile e individua eventuali errori all'interno dei log. Questi registri conterranno dettagli sui potenziali problemi relativi alla fornitura di credenziali personalizzate temporanee per il montaggio dei bucket S3.

  3. Controlla i CloudWatch log del gateway API di Custom Credential Broker:

    1. Accedere alla console di AWS gestione.

    2. Apri la CloudWatch console e vai a Gruppi di log.

    3. Cerca il gruppo di log<stack-name>-vdc-custom-credential-broker-lambdavdccustomcredentialbrokerapigatewayaccesslogs<nonce>.

    4. Esamina il primo gruppo di log disponibile e individua eventuali errori all'interno dei log. Questi log conterranno dettagli riguardanti eventuali richieste e risposte all'API Gateway per le credenziali personalizzate necessarie per montare i bucket S3.

Come modificare la configurazione del ruolo IAM di un bucket dopo l'onboarding

  1. Accedi alla console AWS DynamoDB.

  2. Seleziona la tabella:

    1. Nel riquadro di navigazione a sinistra, seleziona Tabelle.

    2. Trova e seleziona<stack-name>.cluster-settings.

  3. Scansiona la tabella:

    1. Seleziona Esplora gli elementi della tabella.

    2. Assicurati che sia selezionata l'opzione Scan.

  4. Aggiungi un filtro:

    1. Seleziona Filtri per aprire la sezione di immissione del filtro.

    2. Imposta il filtro in modo che corrisponda alla tua chiave-

      • Attributo: inserisci la chiave.

      • Condizione: scegli Inizia con.

      • Valore: shared-storage.<filesystem_id>.s3_bucket.iam_role_arn Inserire sostituendolo <filesystem_id> con il valore del filesystem che deve essere modificato.

  5. Esegui la scansione:

    Seleziona Esegui per eseguire la scansione con il filtro.

  6. Controlla il valore:

    Se la voce esiste, assicurati che il valore sia impostato correttamente con l'ARN del ruolo IAM corretto.

    Se la voce non esiste:

    1. Seleziona Crea elemento.

    2. Inserisci i dettagli dell'articolo:

      • Per l'attributo chiave, inseriscishared-storage.<filesystem_id>.s3_bucket.iam_role_arn.

      • Aggiungi l'ARN del ruolo IAM corretto.

    3. Seleziona Salva per aggiungere l'elemento.

  7. Riavvia le istanze VDI:

    Riavvia l'istanza per assicurarti VDIs che gli ARN interessati dal ruolo IAM errato vengano montati nuovamente.

Abilitazione CloudTrail

Per abilitare CloudTrail il tuo account utilizzando la CloudTrail console, segui le istruzioni fornite nella sezione Creazione di un percorso con la CloudTrail console nella Guida per l'AWS CloudTrail utente. CloudTrail registrerà l'accesso ai bucket S3 registrando il ruolo IAM che vi ha effettuato l'accesso. Questo può essere ricollegato a un ID di istanza, che è collegato a un progetto o a un utente.