Freigeben über


Amazon S3 Multicloud Scanning Connector für Microsoft Purview

Mit dem Multicloud Scanning Connector für Microsoft Purview können Sie Ihre Unternehmensdaten über Cloudanbieter hinweg untersuchen, einschließlich Amazon Web Services zusätzlich zu Azure-Speicherdiensten.

In diesem Artikel wird beschrieben, wie Sie Microsoft Purview verwenden, um Ihre derzeit in Amazon S3-Standardbuckets gespeicherten unstrukturierten Daten zu überprüfen und zu ermitteln, welche Arten vertraulicher Informationen in Ihren Daten vorhanden sind. In dieser Schrittanleitung wird auch beschrieben, wie Sie die Amazon S3-Buckets identifizieren, in denen die Daten derzeit gespeichert sind, um den Informationsschutz und die Datenkonformität zu vereinfachen.

Verwenden Sie für diesen Dienst Microsoft Purview, um ein Microsoft-Konto mit sicherem Zugriff auf AWS bereitzustellen, in dem der Multicloud Scanning Connector für Microsoft Purview ausgeführt wird. Der Multicloud Scanning Connector für Microsoft Purview verwendet diesen Zugriff auf Ihre Amazon S3-Buckets, um Ihre Daten zu lesen, und meldet dann die Überprüfungsergebnisse, einschließlich nur der Metadaten und der Klassifizierung, an Azure. Verwenden Sie die Microsoft Purview-Klassifizierungs- und Bezeichnungsberichte, um Ihre Datenscanergebnisse zu analysieren und zu überprüfen.

Wichtig

Der Multicloud Scanning Connector für Microsoft Purview ist ein separates Add-On für Microsoft Purview. Die Geschäftsbedingungen für den Multicloud Scanning Connector für Microsoft Purview sind in der Vereinbarung enthalten, gemäß der Sie Microsoft Azure-Dienste erhalten haben. Weitere Informationen finden Sie unter Rechtliche Informationen zu Microsoft Azure unter https://azure.microsoft.com/support/legal/.

Unterstützte Funktionen

Metadatenextraktion Vollständiger Scan Inkrementelle Überprüfung Bereichsbezogene Überprüfung Klassifizierung Bezeichnen Zugriffsrichtlinie Herkunft Datenfreigabe Live-Ansicht
Ja Ja Ja Ja Ja Ja Ja (Vorschau) Begrenzt** Nein Nein

** Herkunft wird unterstützt, wenn das Dataset als Quelle/Senke in Data Factory Copy-Aktivität

Bekannte Einschränkungen

Beim Scannen von Amazon S3 von Glacier-Speicherklassen werden Schemaextraktion, Klassifizierung und Vertraulichkeitsbezeichnungen nicht unterstützt.

Private Microsoft Purview-Endpunkte werden beim Scannen von Amazon S3 nicht unterstützt.

Weitere Informationen zu Microsoft Purview-Grenzwerten finden Sie unter:

Speicher- und Überprüfungsregionen

Der Microsoft Purview-Connector für den Amazon S3-Dienst wird derzeit nur in bestimmten Regionen bereitgestellt. In der folgenden Tabelle werden die Regionen, in denen Ihre Daten gespeichert sind, der Region zugeordnet, in der sie von Microsoft Purview gescannt werden.

Wichtig

Kunden werden alle zugehörigen Datenübertragungsgebühren gemäß der Region ihres Buckets in Rechnung gestellt.

Speicherregion Scanbereich
USA, Osten (Ohio) USA, Osten (Ohio)
USA, Osten (N. Virginia) USA, Osten (N. Virginia)
USA, Westen (Kalifornien) USA, Westen (Kalifornien)
USA, Westen (Oregon) USA, Westen (Oregon)
Afrika (Kapstadt) Europa (Frankfurt)
Asien-Pazifik (Sonderverwaltungsregion Hongkong) Asien-Pazifik (Tokio)
Asien-Pazifik (Mumbai) Asien-Pazifik (Singapur)
Asien-Pazifik (Osaka-Local) Asien-Pazifik (Tokio)
Asien-Pazifik (Seoul) Asien-Pazifik (Tokio)
Asien-Pazifik (Singapur) Asien-Pazifik (Singapur)
Asien-Pazifik (Sydney) Asien-Pazifik (Sydney)
Asien-Pazifik (Tokio) Asien-Pazifik (Tokio)
Kanada (Mitte) USA, Osten (Ohio)
China (Peking) Nicht unterstützt
China (Ningxia) Nicht unterstützt
Europa (Frankfurt) Europa (Frankfurt)
Europa (Irland) Europa (Irland)
Europa (London) Europa (London)
Europa (Mailand) Europa (Paris)
Europa (Paris) Europa (Paris)
Europa (Stockholm) Europa (Frankfurt)
Naher Osten (Bahrain) Europa (Frankfurt)
Südamerika (São Paulo) USA, Osten (Ohio)

Voraussetzungen

Stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllt haben, bevor Sie Ihre Amazon S3-Buckets als Microsoft Purview-Datenquellen hinzufügen und Ihre S3-Daten überprüfen.

Erstellen eines Microsoft Purview-Kontos

Erstellen einer neuen AWS-Rolle für Microsoft Purview

Der Microsoft Purview-Scanner wird in einem Microsoft-Konto in AWS bereitgestellt. Damit der Microsoft Purview-Scanner Ihre S3-Daten lesen kann, müssen Sie im AWS-Portal im IAM-Bereich eine dedizierte Rolle erstellen, die vom Scanner verwendet werden soll.

In diesem Verfahren wird beschrieben, wie Sie die AWS-Rolle mit der erforderlichen Microsoft-Konto-ID und External ID aus Microsoft Purview erstellen und dann den Wert des Rollen-ARN in Microsoft Purview eingeben.

So suchen Sie Ihre Microsoft-Konto-ID und External ID:

  1. So suchen Sie Anmeldeinformationen:

  2. Wählen Sie Neu aus, um neue Anmeldeinformationen zu erstellen.

    Wählen Sie im angezeigten Bereich Neue Anmeldeinformationen in der Dropdownliste Authentifizierungsmethode die Option Rollen-ARN aus.

    Kopieren Sie dann die Microsoft-Konto-ID und External ID Werte, die in einer separaten Datei angezeigt werden, oder lassen Sie sie zum Einfügen in das relevante Feld in AWS bereit. Zum Beispiel:

    Suchen Sie Ihre Microsoft-Konto-ID und External ID Werte.

So erstellen Sie Ihre AWS-Rolle für Microsoft Purview:

  1. Öffnen Sie Ihre Amazon Web Services-Konsole , und wählen Sie unter Sicherheit, Identität und Compliancedie Option IAM aus.

  2. Wählen Sie Rollen und dann Rolle erstellen aus.

  3. Wählen Sie Ein anderes AWS-Konto aus, und geben Sie dann die folgenden Werte ein:

    Feld Beschreibung
    Konto-ID Geben Sie Ihre Microsoft-Konto-ID ein. Beispiel: 181328463391
    Externe ID Wählen Sie unter Optionen die Option Externe ID erforderlich... aus, und geben Sie dann Ihre External ID in das angegebene Feld ein.
    Beispiel: e7e2b8a3-0a9f-414f-a065-afaf4ac6d994

    Zum Beispiel:

    Fügen Sie ihrem AWS-Konto die Microsoft-Konto-ID hinzu.

  4. Filtern Sie im Bereich Rolle > "Berechtigungsrichtlinien anfügen" die angezeigten Berechtigungen nach S3. Wählen Sie AmazonS3ReadOnlyAccess aus. Wenn Sie auch Schutzrichtlinien anwenden möchten, fügen Sie auch diese Berechtigungen hinzu:

    • GetBucketLocation
    • GetBucketPublicAccessBlock
    • GetObject
    • PutBucketPolicy
    • PutObjectTagging
    • DeleteBucketPolicy
    • Listenbucket

    Wählen Sie die Richtlinie ReadOnlyAccess für die neue Amazon S3-Scanrolle aus.

    Wichtig

    Die AmazonS3ReadOnlyAccess-Richtlinie bietet mindestberechtigungen, die zum Überprüfen Ihrer S3-Buckets erforderlich sind, und kann auch andere Berechtigungen enthalten.

    Um nur die minimal erforderlichen Berechtigungen zum Überprüfen Ihrer Buckets anzuwenden, erstellen Sie eine neue Richtlinie mit den unter Mindestberechtigungen für Ihre AWS-Richtlinie aufgeführten Berechtigungen, je nachdem, ob Sie einen einzelnen Bucket oder alle Buckets in Ihrem Konto überprüfen möchten.

    Wenden Sie Ihre neue Richtlinie auf die Rolle anstelle von AmazonS3ReadOnlyAccess an.

  5. Wählen Sie Weiter: Tags aus.

  6. Im Bereich Tags hinzufügen (optional) können Sie optional ein aussagekräftiges Tag für diese neue Rolle erstellen. Mit nützlichen Tags können Sie den Zugriff für jede von Ihnen erstellte Rolle organisieren, nachverfolgen und steuern.

    Wenn Sie auch Schutzrichtlinien anwenden möchten, fügen Sie ein Tag mit dem Schlüssel msftpurview_allowlisted und dem Wert truehinzu.

    Geben Sie nach Bedarf einen neuen Schlüssel und einen neuen Wert für Ihr Tag ein. Wenn Sie fertig sind oder diesen Schritt überspringen möchten, wählen Sie Weiter: Überprüfen aus, um die Rollendetails zu überprüfen und die Rollenerstellung abzuschließen.

    Fügen Sie ein aussagekräftiges Tag hinzu, um den Zugriff für Ihre neue Rolle zu organisieren, nachzuverfolgen oder zu steuern.

  7. Gehen Sie im Bereich Überprüfen wie folgt vor:

    • Geben Sie im Feld Rollenname einen aussagekräftigen Namen für Ihre Rolle ein.
    • Geben Sie im Feld Rollenbeschreibung eine optionale Beschreibung ein, um den Zweck der Rolle zu identifizieren.
    • Vergewissern Sie sich im Abschnitt Richtlinien , dass die richtige Richtlinie (AmazonS3ReadOnlyAccess) an die Rolle angefügt ist.

    Wählen Sie dann Rolle erstellen aus, um den Vorgang abzuschließen. Zum Beispiel:

    Überprüfen Sie die Details, bevor Sie Ihre Rolle erstellen.

Zusätzliche erforderliche Konfigurationen:

Erstellen von Microsoft Purview-Anmeldeinformationen für Ihre AWS S3-Überprüfung

In diesem Verfahren wird beschrieben, wie Sie neue Microsoft Purview-Anmeldeinformationen für die Überprüfung Ihrer AWS-Buckets erstellen.

Tipp

Wenn Sie direkt über Erstellen einer neuen AWS-Rolle für Microsoft Purview fortfahren, ist möglicherweise bereits der Bereich Neue Anmeldeinformationen in Microsoft Purview geöffnet.

Sie können auch neue Anmeldeinformationen in der Mitte des Prozesses erstellen, während Sie Ihre Überprüfung konfigurieren. Wählen Sie in diesem Fall im Feld Anmeldeinformationen die Option Neu aus.

  1. Navigieren Sie in Microsoft Purview zum Management Center, und wählen Sie unter Sicherheit und Zugriffdie Option Anmeldeinformationen aus.

  2. Wählen Sie Neu aus, und verwenden Sie im Bereich Neue Anmeldeinformationen , der auf der rechten Seite angezeigt wird, die folgenden Felder, um Ihre Microsoft Purview-Anmeldeinformationen zu erstellen:

    Feld Beschreibung
    Name Geben Sie einen aussagekräftigen Namen für diese Anmeldeinformationen ein.
    Beschreibung Geben Sie eine optionale Beschreibung für diese Anmeldeinformationen ein, z. B. Used to scan the tutorial S3 buckets
    Authentifizierungsmethode Wählen Sie Rollen-ARN aus, da Sie einen Rollen-ARN verwenden, um auf Ihren Bucket zuzugreifen.
    Rollen-ARN Nachdem Sie Ihre Amazon IAM-Rolle erstellt haben, navigieren Sie im AWS IAM-Bereich zu Ihrer Rolle, kopieren Sie den Wert für Rollen-ARN , und geben Sie ihn hier ein. Beispiel: arn:aws:iam::181328463391:role/S3Role.

    Weitere Informationen finden Sie unter Abrufen des neuen Rollen-ARN.

    Die Microsoft-Konto-ID und die External ID Werte werden beim Erstellen Ihres Rollen-ARN in AWS verwendet.

  3. Wählen Sie Erstellen aus, wenn Sie fertig sind, um die Erstellung der Anmeldeinformationen abzuschließen.

Weitere Informationen zu Microsoft Purview-Anmeldeinformationen finden Sie unter Anmeldeinformationen für die Quellauthentifizierung in Microsoft Purview.

Konfigurieren der Überprüfung für verschlüsselte Amazon S3-Buckets

AWS-Buckets unterstützen mehrere Verschlüsselungstypen. Für Buckets, die AWS-KMS-Verschlüsselung verwenden, ist eine spezielle Konfiguration erforderlich, um die Überprüfung zu aktivieren.

Hinweis

Für Buckets, die keine Verschlüsselung verwenden, AES-256- oder AWS-KMS S3-Verschlüsselung, überspringen Sie diesen Abschnitt, und fahren Sie mit Abrufen Ihres Amazon S3-Bucketnamens fort.

So überprüfen Sie den Verschlüsselungstyp, der in Ihren Amazon S3-Buckets verwendet wird:

  1. Navigieren Sie in AWS zu Storage>S3> , und wählen Sie im Menü auf der linken Seite Buckets aus.

    Wählen Sie die Registerkarte Amazon S3 Buckets aus.

  2. Wählen Sie den Bucket aus, den Sie überprüfen möchten. Wählen Sie auf der Detailseite des Buckets die Registerkarte Eigenschaften aus, und scrollen Sie nach unten zum Bereich Standardverschlüsselung .

    • Wenn der ausgewählte Bucket nur für die AWS-KMS-Verschlüsselung konfiguriert ist, auch wenn die Standardverschlüsselung für Ihren Bucket Deaktiviert ist, überspringen Sie den Rest dieses Verfahrens, und fahren Sie mit Abrufen des Amazon S3-Bucketnamens fort.

    • Wenn der ausgewählte Bucket für die AWS-KMS-Verschlüsselung konfiguriert ist, fahren Sie wie unten beschrieben fort, um eine neue Richtlinie hinzuzufügen, die das Überprüfen eines Buckets mit benutzerdefinierter AWS-KMS-Verschlüsselung ermöglicht.

    Zum Beispiel:

    Anzeigen eines Amazon S3-Buckets, der mit AWS-KMS-Verschlüsselung konfiguriert ist

So fügen Sie eine neue Richtlinie zum Überprüfen eines Buckets mit benutzerdefinierter AWS-KMS-Verschlüsselung hinzu:

  1. Navigieren Sie in AWS zu Dienste>IAM-Richtlinien>, und wählen Sie Richtlinie erstellen aus.

  2. Definieren Sie auf der Registerkarte Create policy>Visual Editor ihre Richtlinie mit den folgenden Werten:

    Feld Beschreibung
    Dienst Geben Sie KMS ein, und wählen Sie es aus.
    Aktionen Wählen Sie unter Zugriffsebenedie Option Schreiben aus, um den Abschnitt Schreiben zu erweitern.
    Wählen Sie nach dem Erweitern nur die Option Entschlüsseln aus.
    Ressourcen Wählen Sie eine bestimmte Ressource oder Alle Ressourcen aus.

    Wenn Sie fertig sind, wählen Sie Richtlinie überprüfen aus, um den Vorgang fortzusetzen.

    Erstellen Sie eine Richtlinie zum Überprüfen eines Buckets mit AWS-KMS-Verschlüsselung.

  3. Geben Sie auf der Seite Richtlinie überprüfen einen aussagekräftigen Namen für Ihre Richtlinie und eine optionale Beschreibung ein, und wählen Sie dann Richtlinie erstellen aus.

    Die neu erstellte Richtlinie wird Ihrer Liste der Richtlinien hinzugefügt.

  4. Fügen Sie Die neue Richtlinie an die Rolle an, die Sie für die Überprüfung hinzugefügt haben.

    1. Navigieren Sie zurück zur Seite IAM-Rollen>, und wählen Sie die Rolle aus, die Sie zuvor hinzugefügt haben.

    2. Wählen Sie auf der Registerkarte Berechtigungen die Option Richtlinien anfügen aus.

      Wählen Sie auf der Registerkarte Berechtigungen Ihrer Rolle Richtlinien anfügen aus.

    3. Suchen Sie auf der Seite Berechtigungen anfügen nach der neuen Richtlinie, die Sie oben erstellt haben, und wählen Sie sie aus. Wählen Sie Richtlinie anfügen aus, um Ihre Richtlinie an die Rolle anzufügen.

      Die Seite Zusammenfassung wird aktualisiert, und Ihre neue Richtlinie ist An Ihre Rolle angefügt.

      Zeigen Sie eine aktualisierte Zusammenfassungsseite mit der neuen Richtlinie an, die An Ihre Rolle angefügt ist.

Bestätigen des Zugriffs auf Ihre Bucketrichtlinie

Stellen Sie sicher, dass die S3-Bucketrichtlinie die Verbindung nicht blockiert:

  1. Navigieren Sie in AWS zu Ihrem S3-Bucket, und wählen Sie dann die Registerkarte >BerechtigungenBucket-Richtlinie aus.
  2. Überprüfen Sie die Richtliniendetails, um sicherzustellen, dass die Verbindung vom Microsoft Purview-Scannerdienst nicht blockiert wird.

Bestätigen des Zugriffs auf ihre SCP-Richtlinie

Stellen Sie sicher, dass keine SCP-Richtlinie vorhanden ist, die die Verbindung mit dem S3-Bucket blockiert.

Ihre SCP-Richtlinie kann beispielsweise LESE-API-Aufrufe an die AWS-Region blockieren, in der Ihr S3-Bucket gehostet wird.

  • Erforderliche API-Aufrufe, die von Ihrer SCP-Richtlinie zugelassen werden müssen, sind: AssumeRole, GetBucketLocation, GetObject, ListBucket, GetBucketPublicAccessBlock.
  • Ihre SCP-Richtlinie muss auch Aufrufe der AWS-Region us-east-1 zulassen, bei der es sich um die Standardregion für API-Aufrufe handelt. Weitere Informationen finden Sie in der AWS-Dokumentation.

Befolgen Sie die SCP-Dokumentation, überprüfen Sie die SCP-Richtlinien Ihrer organization, und stellen Sie sicher, dass alle für den Microsoft Purview-Scanner erforderlichen Berechtigungen verfügbar sind.

Abrufen des neuen Rollen-ARN

Sie müssen Ihren AWS-Rollen-ARN aufzeichnen und in Microsoft Purview kopieren, wenn Sie eine Überprüfung für Ihren Amazon S3-Bucket erstellen.

So rufen Sie Ihren Rollen-ARN ab:

  1. Suchen Sie im Bereich AWS Identity and Access Management (IAM)>Roles nach der neuen Rolle, die Sie für Microsoft Purview erstellt haben, und wählen Sie sie aus.

  2. Wählen Sie auf der Seite Zusammenfassung der Rolle die Schaltfläche In Zwischenablage kopieren rechts neben dem Wert des Rollen-ARN aus.

    Kopieren Sie den Rollen-ARN-Wert in die Zwischenablage.

In Microsoft Purview können Sie Ihre Anmeldeinformationen für AWS S3 bearbeiten und die abgerufene Rolle in das Feld Rollen-ARN einfügen. Weitere Informationen finden Sie unter Erstellen einer Überprüfung für einen oder mehrere Amazon S3-Buckets.

Abrufen des Amazon S3-Bucketnamens

Sie benötigen den Namen Ihres Amazon S3-Buckets, um ihn in Microsoft Purview zu kopieren, wenn Sie eine Überprüfung für Ihren Amazon S3-Bucket erstellen.

So rufen Sie den Bucketnamen ab:

  1. Navigieren Sie in AWS zu Storage>S3> , und wählen Sie im Menü auf der linken Seite Buckets aus.

    Zeigen Sie die Registerkarte Amazon S3 Buckets an.

  2. Suchen Sie nach Ihrem Bucket, und wählen Sie sie aus, um die Seite mit den Bucketdetails anzuzeigen, und kopieren Sie dann den Bucketnamen in die Zwischenablage.

    Zum Beispiel:

    Rufen Sie die S3-Bucket-URL ab, und kopieren Sie sie.

    Fügen Sie ihren Bucketnamen in eine sichere Datei ein, und fügen Sie ihr ein s3:// Präfix hinzu, um den Wert zu erstellen, den Sie beim Konfigurieren Ihres Buckets als Microsoft Purview-Konto eingeben müssen.

    Beispiel: s3://purview-tutorial-bucket

Tipp

Nur die Stammebene Ihres Buckets wird als Microsoft Purview-Datenquelle unterstützt. Beispielsweise wird die folgende URL, die einen Unterordner enthält, nicht unterstützt: s3://purview-tutorial-bucket/view-data

Wenn Sie jedoch eine Überprüfung für einen bestimmten S3-Bucket konfigurieren, können Sie einen oder mehrere bestimmte Ordner für Ihre Überprüfung auswählen. Weitere Informationen finden Sie im Schritt zum Festlegen des Umfangs Ihrer Überprüfung.

Suchen Ihrer AWS-Konto-ID

Sie benötigen Ihre AWS-Konto-ID, um Ihr AWS-Konto zusammen mit allen zugehörigen Buckets als Microsoft Purview-Datenquelle zu registrieren.

Ihre AWS-Konto-ID ist die ID, die Sie für die Anmeldung bei der AWS-Konsole verwenden. Sie finden sie auch nach der Anmeldung auf der IAM-Dashboard links unter den Navigationsoptionen und oben als numerischen Teil Ihrer Anmelde-URL:

Zum Beispiel:

Rufen Sie Ihre AWS-Konto-ID ab.

Hinzufügen eines einzelnen Amazon S3-Buckets als Microsoft Purview-Konto

Verwenden Sie dieses Verfahren, wenn Sie nur über einen einzelnen S3-Bucket verfügen, den Sie bei Microsoft Purview als Datenquelle registrieren möchten, oder wenn Sie mehrere Buckets in Ihrem AWS-Konto haben, aber nicht alle bei Microsoft Purview registrieren möchten.

So fügen Sie Ihren Bucket hinzu:

  1. Navigieren Sie in Microsoft Purview zu Data Map, und wählen Sie Datenquellen>Amazon S3>registrieren>Weiter aus.

    Fügen Sie einen Amazon AWS-Bucket als Microsoft Purview-Datenquelle hinzu.

    Tipp

    Wenn Sie über mehrere Sammlungen verfügen und Ihr Amazon S3 einer bestimmten Sammlung hinzufügen möchten, wählen Sie oben rechts die Kartenansicht und dann das Symbol Registrieren registrieren aus.

  2. Geben Sie im daraufhin geöffneten Bereich Quellen registrieren (Amazon S3) die folgenden Details ein:

    Feld Beschreibung
    Name Geben Sie einen aussagekräftigen Namen ein, oder verwenden Sie den angegebenen Standardwert.
    Bucket-URL Geben Sie ihre AWS-Bucket-URL mit der folgenden Syntax ein: s3://<bucketName>

    Hinweis: Stellen Sie sicher, dass Sie nur die Stammebene Ihres Buckets verwenden. Weitere Informationen finden Sie unter Abrufen des Amazon S3-Bucketnamens.
    Auswählen einer Sammlung Wenn Sie ausgewählt haben, eine Datenquelle aus einer Sammlung zu registrieren, ist diese Sammlung bereits aufgeführt.

    Wählen Sie nach Bedarf eine andere Sammlung aus, keine , um keine Sammlung zuzuweisen, oder Neu , um jetzt eine neue Sammlung zu erstellen.

    Weitere Informationen zu Microsoft Purview-Sammlungen finden Sie unter Verwalten von Datenquellen in Microsoft Purview.

    Wenn Sie fertig sind, wählen Sie Fertig stellen aus, um die Registrierung abzuschließen.

Fahren Sie mit Erstellen einer Überprüfung für einen oder mehrere Amazon S3-Buckets fort.

Hinzufügen eines AWS-Kontos als Microsoft Purview-Konto

Verwenden Sie dieses Verfahren, wenn Sie über mehrere S3-Buckets in Ihrem Amazon-Konto verfügen und alle als Microsoft Purview-Datenquellen registrieren möchten.

Wenn Sie nicht alle buckets zusammen überprüfen möchten, können Sie beim Konfigurieren Ihrer Überprüfung die spezifischen Buckets auswählen, die Sie überprüfen möchten.

So fügen Sie Ihr Amazon-Konto hinzu:

  1. Navigieren Sie in Microsoft Purview zur Seite Data Map , und wählen Sie Datenquellen>Registrieren von>Amazon-Konten>Weiter aus.

    Fügen Sie ein Amazon-Konto als Microsoft Purview-Datenquelle hinzu.

    Tipp

    Wenn Sie über mehrere Sammlungen verfügen und Ihr Amazon S3 einer bestimmten Sammlung hinzufügen möchten, wählen Sie oben rechts die Kartenansicht und dann das Symbol Registrieren registrieren aus.

  2. Geben Sie im daraufhin geöffneten Bereich Quellen registrieren (Amazon S3) die folgenden Details ein:

    Feld Beschreibung
    Name Geben Sie einen aussagekräftigen Namen ein, oder verwenden Sie den angegebenen Standardwert.
    AWS-Konto-ID Geben Sie Ihre AWS-Konto-ID ein. Weitere Informationen finden Sie unter Suchen Ihrer AWS-Konto-ID.
    Auswählen einer Sammlung Wenn Sie ausgewählt haben, eine Datenquelle aus einer Sammlung zu registrieren, ist diese Sammlung bereits aufgeführt.

    Wählen Sie nach Bedarf eine andere Sammlung aus, keine , um keine Sammlung zuzuweisen, oder Neu , um jetzt eine neue Sammlung zu erstellen.

    Weitere Informationen zu Microsoft Purview-Sammlungen finden Sie unter Verwalten von Datenquellen in Microsoft Purview.

    Wenn Sie fertig sind, wählen Sie Fertig stellen aus, um die Registrierung abzuschließen.

Fahren Sie mit Erstellen einer Überprüfung für einen oder mehrere Amazon S3-Buckets fort.

Erstellen einer Überprüfung für einen oder mehrere Amazon S3-Buckets

Nachdem Sie Ihre Buckets als Microsoft Purview-Datenquellen hinzugefügt haben, können Sie eine Überprüfung so konfigurieren, dass sie in geplanten Intervallen oder sofort ausgeführt wird.

  1. Wählen Sie im Microsoft Purview-Portal die Data Map aus:

    • Wählen Sie in derKartenansicht im Feld Datenquelle die Option Neue Überprüfung aus.
    • Zeigen Sie in der Listenansicht auf die Zeile für Ihre Datenquelle, und wählen Sie Neues Scansymbolaus.
  2. Definieren Sie im Bereich Scan... auf der rechten Seite die folgenden Felder, und wählen Sie dann Weiter aus:

    Feld Beschreibung
    Name Geben Sie einen aussagekräftigen Namen für Ihre Überprüfung ein, oder verwenden Sie die Standardeinstellung.
    Typ Wird nur angezeigt, wenn Sie Ihr AWS-Konto hinzugefügt haben, wobei alle Buckets enthalten sind.

    Aktuelle Optionen umfassen nur Alle>Amazon S3. Bleiben Sie auf dem Laufenden, um weitere Optionen auszuwählen, während die Supportmatrix von Microsoft Purview erweitert wird.
    Credential Wählen Sie microsoft Purview-Anmeldeinformationen mit Ihrem Rollen-ARN aus.

    Tipp: Wenn Sie zu diesem Zeitpunkt neue Anmeldeinformationen erstellen möchten, wählen Sie Neu aus. Weitere Informationen finden Sie unter Erstellen von Microsoft Purview-Anmeldeinformationen für Ihre AWS-Bucketüberprüfung.
    Amazon S3 Wird nur angezeigt, wenn Sie Ihr AWS-Konto hinzugefügt haben, wobei alle Buckets enthalten sind.

    Wählen Sie einen oder mehrere Buckets aus, die überprüft werden sollen, oder Wählen Sie alle aus , um alle Buckets in Ihrem Konto zu überprüfen.

    Microsoft Purview überprüft automatisch, ob der Rollen-ARN gültig ist und auf die Buckets und Objekte innerhalb der Buckets zugegriffen werden kann, und fährt dann fort, wenn die Verbindung erfolgreich ist.

    Tipp

    Um verschiedene Werte einzugeben und die Verbindung selbst zu testen, bevor Sie fortfahren , wählen Sie Verbindung testen unten rechts aus, bevor Sie Weiter auswählen.

  3. Wählen Sie im Bereich Bereich Bereich Ihre Überprüfung die spezifischen Buckets oder Ordner aus, die Sie in Ihre Überprüfung einschließen möchten.

    Wenn Sie eine Überprüfung für ein gesamtes AWS-Konto erstellen, können Sie bestimmte Buckets auswählen, die überprüft werden sollen. Beim Erstellen einer Überprüfung für einen bestimmten AWS S3-Bucket können Sie bestimmte Ordner auswählen, die überprüft werden sollen.

  4. Wählen Sie im Bereich Überprüfungsregelsatz auswählen entweder den AmazonS3-Standardregelsatz aus, oder wählen Sie Neuer Überprüfungsregelsatz aus, um einen neuen benutzerdefinierten Regelsatz zu erstellen. Nachdem Sie ihren Regelsatz ausgewählt haben, wählen Sie Weiter aus.

    Wenn Sie einen neuen benutzerdefinierten Überprüfungsregelsatz erstellen möchten, verwenden Sie den Assistenten, um die folgenden Einstellungen zu definieren:

    Pane Beschreibung
    Neuer Überprüfungsregelsatz /
    Beschreibung der Scanregel
    Geben Sie einen aussagekräftigen Namen und eine optionale Beschreibung für Ihren Regelsatz ein.
    Dateitypen auswählen Wählen Sie alle Dateitypen aus, die Sie in die Überprüfung einbeziehen möchten, und wählen Sie dann Weiter aus.

    Um einen neuen Dateityp hinzuzufügen, wählen Sie Neuer Dateityp aus, und definieren Sie Folgendes:
    – Die Dateierweiterung, die Sie hinzufügen möchten
    – Eine optionale Beschreibung
    – Gibt an, ob die Dateiinhalte über ein benutzerdefiniertes Trennzeichen verfügen oder ein Systemdateityp sind. Geben Sie dann Ihr benutzerdefiniertes Trennzeichen ein, oder wählen Sie ihren Systemdateityp aus.

    Wählen Sie Erstellen aus, um ihren benutzerdefinierten Dateityp zu erstellen.
    Auswählen von Klassifizierungsregeln Navigieren Sie zu den Klassifizierungsregeln, die Sie für Ihr Dataset ausführen möchten, und wählen Sie sie aus.

    Wählen Sie Erstellen aus, wenn Sie fertig sind, um Ihren Regelsatz zu erstellen.

  5. Wählen Sie im Bereich Scantrigger festlegen eine der folgenden Optionen aus, und wählen Sie dann Weiter aus:

    • Wiederholung zum Konfigurieren eines Zeitplans für eine wiederkehrende Überprüfung
    • Einmal zum Konfigurieren einer Überprüfung, die sofort gestartet wird
  6. Überprüfen Sie im Bereich Überprüfung Ihre Überprüfungsdetails , um zu bestätigen, dass sie korrekt sind, und wählen Sie dann Speichern oder Speichern und ausführen aus, wenn Sie einmal im vorherigen Bereich ausgewählt haben.

    Hinweis

    Nach dem Start kann es bis zu 24 Stunden dauern, bis die Überprüfung abgeschlossen ist. Sie können Ihre Insight-Berichte überprüfen und den Katalog 24 Stunden nach dem Start der einzelnen Überprüfungen durchsuchen.

Weitere Informationen finden Sie unter Erkunden der Microsoft Purview-Scanergebnisse.

Erkunden von Microsoft Purview-Scanergebnissen

Sobald eine Microsoft Purview-Überprüfung für Ihre Amazon S3-Buckets abgeschlossen ist, führen Sie einen Drilldown im Microsoft Purview Data Map-Bereich durch, um den Scanverlauf anzuzeigen.

Wählen Sie eine Datenquelle aus, um deren Details anzuzeigen, und wählen Sie dann die Registerkarte Scans aus, um alle derzeit ausgeführten oder abgeschlossenen Überprüfungen anzuzeigen. Wenn Sie ein AWS-Konto mit mehreren Buckets hinzugefügt haben, wird der Überprüfungsverlauf für jeden Bucket unter dem Konto angezeigt.

Zum Beispiel:

Zeigen Sie die AWS S3-Bucketscans unter der Quelle Ihres AWS-Kontos an.

Verwenden Sie die anderen Bereiche von Microsoft Purview, um Details zu den Inhalten in Ihrem Datenbestand zu finden, einschließlich Ihrer Amazon S3-Buckets:

  • Durchsuchen Sie die Microsoft Purview Unified Catalog, und filtern Sie nach einem bestimmten Bucket. Zum Beispiel:

    Durchsuchen Sie den Katalog nach AWS S3-Ressourcen.

  • Zeigen Sie Erkenntnisberichte an, um Statistiken für die Klassifizierung, Vertraulichkeitsbezeichnungen, Dateitypen und weitere Details zu Ihren Inhalten anzuzeigen.

    Alle Microsoft Purview Insight-Berichte enthalten die Amazon S3-Überprüfungsergebnisse sowie die restlichen Ergebnisse aus Ihren Azure-Datenquellen. Falls relevant, wurde den Berichtsfilteroptionen ein weiterer Amazon S3-Ressourcentyp hinzugefügt.

    Weitere Informationen finden Sie unter Grundlegendes zu Data Estate Insights in Microsoft Purview.

Mindestberechtigungen für Ihre AWS-Richtlinie

Das Standardverfahren zum Erstellen einer AWS-Rolle für Microsoft Purview , die beim Überprüfen Ihrer S3-Buckets verwendet wird, verwendet die AmazonS3ReadOnlyAccess-Richtlinie .

Die AmazonS3ReadOnlyAccess-Richtlinie bietet mindestberechtigungen, die zum Überprüfen Ihrer S3-Buckets erforderlich sind, und kann auch andere Berechtigungen enthalten.

Um nur die mindestberechtigungen anzuwenden, die zum Überprüfen Ihrer Buckets erforderlich sind, erstellen Sie eine neue Richtlinie mit den in den folgenden Abschnitten aufgeführten Berechtigungen, je nachdem, ob Sie einen einzelnen Bucket oder alle Buckets in Ihrem Konto überprüfen möchten.

Wenden Sie Ihre neue Richtlinie auf die Rolle anstelle von AmazonS3ReadOnlyAccess an.

Einzelne Buckets

Beim Überprüfen einzelner S3-Buckets umfassen mindestens AWS-Berechtigungen:

  • GetBucketLocation
  • GetBucketPublicAccessBlock
  • GetObject
  • ListBucket

Stellen Sie sicher, dass Sie Ihre Ressource mit dem spezifischen Bucketnamen definieren. Zum Beispiel:

{
"Version": "2012-10-17",
"Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::<bucketname>"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3::: <bucketname>/*"
        }
    ]
}

Alle Buckets in Ihrem Konto

Beim Überprüfen aller Buckets in Ihrem AWS-Konto umfassen die aws-Mindestberechtigungen Folgendes:

  • GetBucketLocation
  • GetBucketPublicAccessBlock
  • GetObject
  • ListAllMyBuckets
  • ListBucket.

Stellen Sie sicher, dass Sie Ihre Ressource mit einem Wildcard definieren. Zum Beispiel:

{
"Version": "2012-10-17",
"Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetObject",
                "s3:ListAllMyBuckets",
                "s3:ListBucket"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "*"
        }
    ]
}

Problembehandlung

Zum Überprüfen von Amazon S3-Ressourcen muss eine Rolle in AWS IAM erstellt werden, damit der Microsoft Purview-Scannerdienst, der in einem Microsoft-Konto in AWS ausgeführt wird, die Daten lesen kann.

Konfigurationsfehler in der Rolle können zu Verbindungsfehlern führen. In diesem Abschnitt werden einige Beispiele für Verbindungsfehler beschrieben, die beim Einrichten der Überprüfung auftreten können, sowie die Richtlinien zur Problembehandlung für jeden Fall.

Wenn alle in den folgenden Abschnitten beschriebenen Elemente ordnungsgemäß konfiguriert sind und beim Überprüfen von S3-Buckets weiterhin Fehler auftreten, wenden Sie sich an den Microsoft-Support.

Hinweis

Stellen Sie bei Problemen mit dem Richtlinienzugriff sicher, dass weder Ihre Bucketrichtlinie noch Ihre SCP-Richtlinie den Zugriff auf Ihren S3-Bucket von Microsoft Purview aus blockieren.

Weitere Informationen finden Sie unter Bestätigen des Zugriffs auf Ihre Bucketrichtlinie und Bestätigen des Zugriffs auf die SCP-Richtlinie.

Bucket wird mit KMS verschlüsselt

Stellen Sie sicher, dass die AWS-Rolle über KMS Decrypt-Berechtigungen verfügt. Weitere Informationen finden Sie unter Konfigurieren der Überprüfung für verschlüsselte Amazon S3-Buckets.

Für die AWS-Rolle fehlt eine externe ID.

Stellen Sie sicher, dass die AWS-Rolle über die richtige externe ID verfügt:

  1. Wählen Sie im BEREICH AWS IAM die Registerkarte Rollenvertrauensbeziehungen > aus.
  2. Führen Sie die Schritte unter Erstellen einer neuen AWS-Rolle für Microsoft Purview erneut aus, um Ihre Details zu überprüfen.

Fehler beim Rollen-ARN gefunden

Dies ist ein allgemeiner Fehler, der auf ein Problem bei der Verwendung des Rollen-ARN hinweist. Beispielsweise können Sie die Problembehandlung wie folgt durchführen:

  • Stellen Sie sicher, dass die AWS-Rolle über die erforderlichen Berechtigungen zum Lesen des ausgewählten S3-Buckets verfügt. Zu den erforderlichen Berechtigungen gehören AmazonS3ReadOnlyAccess die mindestens erforderlichen Leseberechtigungen und KMS Decrypt für verschlüsselte Buckets.

  • Stellen Sie sicher, dass die AWS-Rolle über die richtige Microsoft-Konto-ID verfügt. Wählen Sie im Bereich AWS IAM die Registerkarte Rollenvertrauensstellungen > aus, und führen Sie dann die Schritte unter Erstellen einer neuen AWS-Rolle für Microsoft Purview erneut aus, um Ihre Details zu überprüfen.

Weitere Informationen finden Sie unter Kann den angegebenen Bucket nicht finden.

Der angegebene Bucket wurde nicht gefunden.

Stellen Sie sicher, dass die S3-Bucket-URL ordnungsgemäß definiert ist:

  1. Navigieren Sie in AWS zu Ihrem S3-Bucket, und kopieren Sie den Bucketnamen.
  2. Bearbeiten Sie in Microsoft Purview die Amazon S3-Datenquelle, und aktualisieren Sie die Bucket-URL, um ihren kopierten Bucketnamen einzuschließen, indem Sie die folgende Syntax verwenden: s3://<BucketName>

Schutzrichtlinie

Mithilfe von Zugriffssteuerungsrichtlinien (Schutzrichtlinien) können Organisationen vertrauliche Daten automatisch datenquellenübergreifend schützen. Microsoft Purview scannt bereits Datenressourcen und identifiziert vertrauliche Datenelemente. Mit diesem neuen Feature können Sie den Zugriff auf diese Daten mithilfe von Vertraulichkeitsbezeichnungen aus Microsoft Purview Information Protection automatisch einschränken.

Informationen zum Einrichten von Schutzrichtlinien für Amazon S3-Quellen finden Sie unter Erstellen von Schutzrichtlinien für Amazon S3.

Nächste Schritte

Erfahren Sie mehr über Microsoft Purview Insight-Berichte: