Buckets do Amazon S3 - Estúdio de Pesquisa e Engenharia
Monte um bucket Amazon S3Adicionar um bucket do Amazon S3Editar um bucket do Amazon S3Remover um bucket do Amazon S3Isolamento de dadosAcesso ao bucket entre contasEvitando a exfiltração de dados em uma VPC privadaSolução de problemas Habilitando CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Buckets do Amazon S3

Monte um bucket Amazon S3

O Research and Engineering Studio (RES) suporta a montagem de buckets do Amazon S3 em instâncias de infraestrutura de desktop virtual (VDI) Linux. Os administradores do RES podem integrar buckets do S3 ao RES, anexá-los aos projetos, editar suas configurações e remover buckets na guia buckets do S3 em Gerenciamento do ambiente.

O painel de buckets S3 fornece uma lista de buckets S3 integrados disponíveis para você. No painel de buckets do S3, você pode:

  1. Use Adicionar bucket para integrar um bucket S3 ao RES.

  2. Selecione um bucket do S3 e use o menu Ações para:

    • Editar um bucket

    • Remova um balde

  3. Use o campo de pesquisa para pesquisar pelo nome do bucket e encontrar buckets S3 integrados.

    A lista de buckets do S3 permite pesquisar por nome de bucket e encontrar buckets integrados

Adicionar um bucket do Amazon S3

Para adicionar um bucket S3 ao seu ambiente RES:

  1. Escolha Add bucket (Adicionar bucket).

  2. Insira os detalhes do bucket, como nome do bucket, ARN e ponto de montagem.

    Importante

    • O ARN do bucket, o ponto de montagem e o modo fornecidos não podem ser alterados após a criação.

    • O ARN do bucket pode conter um prefixo que isolará o bucket S3 integrado desse prefixo.

  3. Selecione um modo para integrar seu bucket.

    Importante

    • Consulte Isolamento de dados para obter mais informações relacionadas ao isolamento de dados com modos específicos.

  4. Em Opções avançadas, você pode fornecer um ARN de função do IAM para montar os buckets para acesso entre contas. Siga as etapas Acesso ao bucket entre contas para criar a função do IAM necessária para acesso entre contas.

  5. (Opcional) Associe o bucket aos projetos, que podem ser alterados posteriormente. No entanto, um bucket do S3 não pode ser montado nas sessões de VDI existentes de um projeto. Somente as sessões iniciadas após o projeto ter sido associado ao bucket montarão o bucket.

  6. Selecione Enviar.

Editar um bucket do Amazon S3

  1. Selecione um bucket do S3 na lista de buckets do S3.

  2. No menu Ações, escolha Editar.

  3. Insira suas atualizações.

    Importante

    • Associar um projeto a um bucket S3 não montará o bucket nas instâncias existentes da infraestrutura de desktop virtual (VDI) desse projeto. O bucket só será montado em sessões de VDI iniciadas em um projeto após o bucket ter sido associado a esse projeto.

    • Desassociar um projeto de um bucket do S3 não afetará os dados no bucket do S3, mas fará com que os usuários de desktop percam o acesso a esses dados.

  4. Escolha Salvar configuração do bucket.

    A página Editar S3 Bucket com os campos de nome de exibição e associação do projeto inseridos e o botão Salvar configuração do bucket destacado

Remover um bucket do Amazon S3

  1. Selecione um bucket do S3 na lista de buckets do S3.

  2. No menu Ações, escolha Remover.

    Importante

    • Primeiro, você deve remover todas as associações de projetos do bucket.

    • A operação de remoção não afeta os dados no bucket do S3. Ele remove apenas a associação do bucket do S3 com o RES.

    • A remoção de um bucket fará com que as sessões de VDI existentes percam o acesso ao conteúdo desse bucket quando as credenciais da sessão expirarem (aproximadamente 1 hora).

Isolamento de dados

Ao adicionar um bucket do S3 ao RES, você tem opções para isolar os dados dentro do bucket para projetos e usuários específicos. Na página Adicionar bucket, você pode escolher um modo de Somente leitura (R) ou Leitura e gravação (R/W).

Somente leitura

Se Read Only (R) for selecionado, o isolamento de dados será imposto com base no prefixo do ARN do bucket (Amazon Resource Name). Por exemplo, se um administrador adicionar um bucket ao RES usando o ARN arn:aws:s3:::bucket-name/example-data/ e associar esse bucket ao Projeto A e ao Projeto B, os usuários que iniciam a VDIs partir do Projeto A e do Projeto B só poderão ler os dados localizados bucket-name abaixo do caminho. /example-data Eles não terão acesso aos dados fora desse caminho. Se não houver prefixo anexado ao ARN do bucket, todo o bucket será disponibilizado para qualquer projeto associado a ele.

Ler e escrever

Se Read and Write (R/W) for selecionado, o isolamento de dados ainda será aplicado com base no prefixo do ARN do bucket, conforme descrito acima. Esse modo tem opções adicionais para permitir que os administradores forneçam prefixos baseados em variáveis para o bucket do S3. Quando Read and Write (R/W) selecionada, fica disponível uma seção de prefixo personalizado que oferece um menu suspenso com as seguintes opções:

  • Sem prefixo personalizado

  • /%p

  • /%p/%u

Sem isolamento de dados personalizado

Quando No custom prefix selecionado para Prefixo personalizado, o bucket é adicionado sem nenhum isolamento de dados personalizado. Isso permite que qualquer projeto associado ao bucket tenha acesso de leitura e gravação. Por exemplo, se um administrador adicionar um bucket ao RES usando o ARN arn:aws:s3:::bucket-name No custom prefix selecionado e associar esse bucket ao Projeto A e ao Projeto B, os usuários que iniciarem a VDIs partir do Projeto A e do Projeto B terão acesso irrestrito de leitura e gravação ao bucket.

Isolamento de dados em um nível por projeto

Quando /%p selecionado para Prefixo personalizado, os dados no bucket são isolados para cada projeto específico associado a ele. A %p variável representa o código do projeto. Por exemplo, se um administrador adicionar um bucket ao RES usando o ARN arn:aws:s3:::bucket-name com /%p selecionado e um ponto de montagem de/bucket, e associar esse bucket ao Projeto A e ao Projeto B, o usuário A no Projeto A poderá gravar um arquivo no. /bucket O usuário B no Projeto A também pode ver o arquivo no qual o usuário A escreveu/bucket. No entanto, se o usuário B iniciar uma VDI no Projeto B e examinar/bucket, ele não verá o arquivo que o usuário A escreveu, pois os dados são isolados pelo projeto. O arquivo que o usuário A escreveu é encontrado no bucket do S3 sob o prefixo, /ProjectA enquanto o usuário B só pode acessar usando /ProjectB o arquivo VDIs do Projeto B.

Isolamento de dados em nível por projeto e por usuário

Quando /%p/%u selecionado para Prefixo personalizado, os dados no bucket são isolados para cada projeto específico e usuário associado a esse projeto. A %p variável representa o código do projeto e %u representa o nome de usuário. Por exemplo, um administrador adiciona um bucket ao RES usando o ARN arn:aws:s3:::bucket-name com /%p/%u selecionado e um ponto de montagem de. /bucket Esse bucket está associado ao Projeto A e ao Projeto B. O usuário A no Projeto A pode gravar um arquivo no/bucket. Ao contrário do cenário anterior, com apenas %p isolamento, o usuário B, nesse caso, não verá o arquivo que o usuário A escreveu no Projeto A/bucket, pois os dados são isolados pelo projeto e pelo usuário. O arquivo que o usuário A escreveu é encontrado no bucket do S3 sob o prefixo, /ProjectA/UserA enquanto o usuário B só pode acessá-lo /ProjectA/UserB ao usá-lo VDIs no Projeto A.

Acesso ao bucket entre contas

O RES tem a capacidade de montar buckets de outras AWS contas, desde que esses buckets tenham as permissões corretas. No cenário a seguir, um ambiente RES na Conta A deseja montar um bucket S3 na Conta B.

Etapa 1: Crie uma função do IAM na conta na qual o RES está implantado (isso será chamado de Conta A):

  1. Faça login no console AWS de gerenciamento da conta RES que precisa acessar o bucket do S3 (Conta A).

  2. Abra o console do IAM:

    1. Navegue até o painel do IAM.

    2. No painel de navegação, selecione Políticas.

  3. Crie uma política:

    1. Selecione Criar política.

    2. Selecione a guia JSON.

    3. Cole a seguinte política JSON (<BUCKET-NAME>substitua pelo nome do bucket do S3 localizado na Conta B):

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:AbortMultipartUpload"
            ],
            "Resource": [
                "arn:aws:s3:::<BUCKET-NAME>",
                "arn:aws:s3:::<BUCKET-NAME>/*"
            ]
        }
    ]
}

    4. Escolha Próximo.

  4. Analise e crie a política:

    1. Forneça um nome para a política (por exemplo, “S3 AccessPolicy “).

    2. Adicione uma descrição opcional para explicar a finalidade da política.

    3. Revise a política e selecione Criar política.

  5. Abra o console do IAM:

    1. Navegue até o painel do IAM.

    2. No painel de navegação, selecione Settings (Configurações).

  6. Crie uma função:

    1. Selecione Criar perfil.

    2. Escolha Política de confiança personalizada como o tipo de entidade confiável.

    3. Cole a seguinte política JSON (<ACCOUNT_ID>substitua pelo ID da conta real da Conta A, <ENVIRONMENT_NAME> pelo nome do ambiente da implantação do RES e <REGION> pela AWS região em que o RES é implantado):

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<ACCOUNT_ID>:role/<ENVIRONMENT_NAME>-custom-credential-broker-lambda-role-<REGION>"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    4. Selecione “Avançar”.

  7. Anexe políticas de permissões:

    1. Pesquise e selecione a política que você criou anteriormente.

    2. Selecione “Avançar”.

  8. Marque, revise e crie a função:

    1. Insira um nome de função (por exemplo, “S3 AccessRole “).

    2. Na Etapa 3, selecione Adicionar tag e, em seguida, insira a chave e o valor a seguir:

      • Chave: res:Resource

      • Valor: s3-bucket-iam-role

    3. Revise a função e selecione Criar função.

  9. Use a função do IAM no RES:

    1. Copie o ARN da função do IAM que você criou.

    2. Faça login no console RES.

    3. No painel de navegação esquerdo, selecione S3 Bucket.

    4. Selecione Adicionar bucket e preencha o formulário com o ARN do bucket S3 entre contas.

    5. Selecione o menu suspenso Configurações avançadas - opcional.

    6. Insira o ARN da função no campo ARN da função do IAM.

    7. Selecione Adicionar bucket.

Etapa 2: modificar a política de bucket na Conta B

  1. Faça login no console AWS de gerenciamento da conta B.

  2. Abra o console S3:

    1. Navegue até o painel do S3.

    2. Selecione o bucket ao qual você deseja conceder acesso.

  3. Edite a política do bucket:

    1. Escolha a guia Permissões e selecione Política de bucket.

    2. Adicione a política a seguir para conceder à função do IAM da Conta A acesso ao bucket (<AccountA_ID>substitua pelo ID real da conta A e <BUCKET-NAME> pelo nome do bucket S3):

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/S3AccessRole"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:AbortMultipartUpload"
            ],
            "Resource": [
                "arn:aws:s3:::<BUCKET-NAME>",
                "arn:aws:s3:::<BUCKET-NAME>/*"
            ]
        }
    ]
}

    3. Selecione Salvar.

Evitando a exfiltração de dados em uma VPC privada

Para evitar que os usuários extraiam dados de buckets S3 seguros para seus próprios buckets S3 em suas contas, você pode anexar um VPC endpoint para proteger sua VPC privada. As etapas a seguir mostram como criar um VPC endpoint para o serviço S3 que ofereça suporte ao acesso aos buckets do S3 em sua conta, bem como a quaisquer contas adicionais que tenham buckets entre contas.

  1. Abra o console da Amazon VPC:

    1. Faça login no AWS Management Console.

    2. Abra o console da Amazon VPC em. https://console.aws.amazon.com/vpc/

  2. Crie um VPC Endpoint para S3:

    1. No painel de navegação esquerdo, selecione Endpoints.

    2. Selecione Criar endpoint.

    3. Em Service category (Categoria de serviços), certifique-se de que a opção serviços AWS esteja selecionada.

    4. No campo Nome do serviço, insira com.amazonaws.<region>.s3 (<region>substitua pela sua AWS região) ou pesquise por “S3".

    5. Selecione o serviço S3 na lista.

  3. Defina as configurações do endpoint:

    1. Para VPC, selecione a VPC em que você deseja criar o endpoint.

    2. Para sub-redes, selecione as duas sub-redes privadas usadas para as sub-redes VDI durante a implantação.

    3. Em Habilitar nome DNS, verifique se a opção está marcada. Isso permite que o nome do host DNS privado seja resolvido nas interfaces de rede do endpoint.

  4. Configure a política para restringir o acesso:

    1. Em Política, selecione Personalizado.

    2. No editor de políticas, insira uma política que restrinja o acesso aos recursos em sua conta ou em uma conta específica. Aqui está um exemplo de política (mybucketsubstitua pelo nome do bucket do S3 111122223333 e 444455556666 pela AWS conta apropriada IDs que você deseja acessar):

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::mybucket",
                "arn:aws:s3:::mybucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalAccount": [
                        "111122223333",   // Your Account ID
                        "444455556666"    // Another Account ID
                    ]
                }
            }
        }
    ]
}

  5. Crie o endpoint:

    1. Examine suas configurações.

    2. Selecione Criar endpoint.

  6. Verifique o endpoint:

    1. Depois que o endpoint for criado, navegue até a seção Endpoints no console da VPC.

    2. Selecione o endpoint recém-criado.

    3. Verifique se o estado está disponível.

Seguindo essas etapas, você cria um VPC endpoint que permite acesso ao S3 restrito aos recursos da sua conta ou a um ID de conta especificado.

Solução de problemas

Como verificar se um bucket não consegue ser montado em uma VDI

Se um bucket não for montado em uma VDI, há alguns locais onde você pode verificar se há erros. Siga as etapas abaixo.

  1. Verifique os registros do VDI:

    1. Faça login no console AWS de gerenciamento.

    2. Abra o EC2 console e navegue até Instâncias.

    3. Selecione a instância de VDI que você executou.

    4. Conecte-se à VDI por meio do Gerenciador de Sessões.

    5. Execute os seguintes comandos :

      sudo su
cd ~/bootstrap/logs

      Aqui, você encontrará os registros do bootstrap. Os detalhes de qualquer falha estarão localizados no configure.log.{time} arquivo.

      Além disso, verifique o /etc/message registro para obter mais detalhes.

  2. Verifique os registros personalizados do CloudWatch Lambda do Credential Broker:

    1. Faça login no console AWS de gerenciamento.

    2. Abra o CloudWatch console e navegue até Grupos de registros.

    3. Pesquise o grupo de registros/aws/lambda/<stack-name>-vdc-custom-credential-broker-lambda.

    4. Examine o primeiro grupo de registros disponível e localize quaisquer erros nos registros. Esses registros conterão detalhes sobre possíveis problemas, fornecendo credenciais personalizadas temporárias para montagem de buckets do S3.

  3. Verifique os CloudWatch registros personalizados do API Gateway do Credential Broker:

    1. Faça login no console AWS de gerenciamento.

    2. Abra o CloudWatch console e navegue até Grupos de registros.

    3. Pesquise o grupo de registros<stack-name>-vdc-custom-credential-broker-lambdavdccustomcredentialbrokerapigatewayaccesslogs<nonce>.

    4. Examine o primeiro grupo de registros disponível e localize quaisquer erros nos registros. Esses registros conterão detalhes sobre todas as solicitações e respostas ao API Gateway para obter as credenciais personalizadas necessárias para montar os buckets do S3.

Como editar a configuração da função do IAM de um bucket após a integração

  1. Faça login no AWS DynamoDB Console.

  2. Selecione a tabela:

    1. No painel de navegação esquerdo, selecione Tabelas.

    2. Encontre e selecione<stack-name>.cluster-settings.

  3. Digitalize a tabela:

    1. Selecione Explorar itens da tabela.

    2. Verifique se a opção Escanear está selecionada.

  4. Adicionar um filtro:

    1. Selecione Filtros para abrir a seção de entrada do filtro.

    2. Defina o filtro para corresponder à sua chave-

      • Atributo: insira a chave.

      • Condição: Escolha Começa com.

      • Valor: insira shared-storage.<filesystem_id>.s3_bucket.iam_role_arn <filesystem_id> substituindo pelo valor do sistema de arquivos que precisa ser modificado.

  5. Execute o escaneamento:

    Selecione Executar para executar o escaneamento com o filtro.

  6. Confira o valor:

    Se a entrada existir, verifique se o valor está definido corretamente com o ARN correto da função do IAM.

    Se a entrada não existir:

    1. Selecione Criar item.

    2. Insira os detalhes do item:

      • Para o atributo-chave, insirashared-storage.<filesystem_id>.s3_bucket.iam_role_arn.

      • Adicione o ARN correto da função do IAM.

    3. Selecione Salvar para adicionar o item.

  7. Reinicie as instâncias de VDI:

    Reinicialize a instância para garantir VDIs que os ARN afetados pela função incorreta do IAM sejam montados novamente.

Habilitando CloudTrail

Para ativar CloudTrail sua conta usando o CloudTrail console, siga as instruções fornecidas em Criação de uma trilha com o CloudTrail console no Guia do AWS CloudTrail usuário. CloudTrail registrará o acesso aos buckets do S3 registrando a função do IAM que os acessou. Isso pode ser vinculado a um ID de instância, que está vinculado a um projeto ou usuário.