Condividi tramite


Connettore di scansione multicloud di Amazon S3 per Microsoft Purview

Multicloud Scanning Connector per Microsoft Purview consente di esplorare i dati dell'organizzazione tra i provider di servizi cloud, tra cui Amazon Web Services oltre ai servizi di archiviazione di Azure.

Questo articolo descrive come usare Microsoft Purview per analizzare i dati non strutturati attualmente archiviati nei bucket standard di Amazon S3 e individuare i tipi di informazioni sensibili presenti nei dati. Questa guida pratica descrive anche come identificare i bucket Amazon S3 in cui i dati sono attualmente archiviati per semplificare la protezione delle informazioni e la conformità dei dati.

Per questo servizio, usare Microsoft Purview per fornire un account Microsoft con accesso sicuro ad AWS, in cui verrà eseguito Multicloud Scanning Connector per Microsoft Purview. Multicloud Scanning Connector per Microsoft Purview usa questo accesso ai bucket di Amazon S3 per leggere i dati e quindi riporta in Azure i risultati dell'analisi, inclusi solo i metadati e la classificazione. Usare i report di classificazione ed etichettatura di Microsoft Purview per analizzare ed esaminare i risultati dell'analisi dei dati.

Importante

Multicloud Scanning Connector per Microsoft Purview è un componente aggiuntivo separato per Microsoft Purview. I termini e le condizioni per Multicloud Scanning Connector per Microsoft Purview sono contenuti nel contratto in base al quale sono stati ottenuti i servizi di Microsoft Azure. Per altre informazioni, vedere Informazioni legali di Microsoft Azure all'indirizzo https://azure.microsoft.com/support/legal/.

Funzionalità supportate

Estrazione dei metadati Analisi completa Analisi incrementale Analisi con ambito Classificazione Applicazione di etichette Criteri di accesso Derivazione Condivisione dati Visualizzazione in diretta
Sì (anteprima) Limitato** No No

** La derivazione è supportata se il set di dati viene usato come origine/sink in Data Factory attività Copy

Limitazioni note

Durante l'analisi di Amazon S3 di classi di archiviazione Glacier, l'estrazione dello schema, la classificazione e le etichette di riservatezza non sono supportate.

Gli endpoint privati di Microsoft Purview non sono supportati durante l'analisi di Amazon S3.

Per altre informazioni sui limiti di Microsoft Purview, vedere:

Aree di archiviazione e analisi

Il connettore Microsoft Purview per il servizio Amazon S3 è attualmente distribuito solo in aree specifiche. Nella tabella seguente vengono mappate le aree in cui vengono archiviati i dati all'area in cui vengono analizzati da Microsoft Purview.

Importante

Ai clienti verranno addebitati tutti gli addebiti relativi al trasferimento dei dati in base all'area del bucket.

Area di archiviazione Area di analisi
Stati Uniti orientali (Ohio) Stati Uniti orientali (Ohio)
Stati Uniti orientali (N. Virginia) Stati Uniti orientali (N. Virginia)
Stati Uniti occidentali (N. California) Stati Uniti occidentali (N. California)
Stati Uniti occidentali (Oregon) Stati Uniti occidentali (Oregon)
Africa (Città del Capo) Europa (Francoforte)
Asia Pacifico (Area amministrativa speciale di Hong Kong) Asia Pacifico (Tokyo)
Asia Pacifico (Mumbai) Asia Pacifico (Singapore)
Asia Pacifico (Osaka-Locale) Asia Pacifico (Tokyo)
Asia Pacifico (Seoul) Asia Pacifico (Tokyo)
Asia Pacifico (Singapore) Asia Pacifico (Singapore)
Asia Pacifico (Sydney) Asia Pacifico (Sydney)
Asia Pacifico (Tokyo) Asia Pacifico (Tokyo)
Canada (centrale) Stati Uniti orientali (Ohio)
Cina (Pechino) Non supportato
Cina (Ningxia) Non supportato
Europa (Francoforte) Europa (Francoforte)
Europa (Irlanda) Europa (Irlanda)
Europa (Londra) Europa (Londra)
Europa (Milano) Europa (Parigi)
Europa (Parigi) Europa (Parigi)
Europa (Stoccolma) Europa (Francoforte)
Medio Oriente (Bahrain) Europa (Francoforte)
Sud America (San Paolo) Stati Uniti orientali (Ohio)

Prerequisiti

Assicurarsi di aver eseguito i prerequisiti seguenti prima di aggiungere i bucket Amazon S3 come origini dati di Microsoft Purview e analizzare i dati S3.

Creare un account Microsoft Purview

Creare un nuovo ruolo AWS per Microsoft Purview

Lo scanner Microsoft Purview viene distribuito in un account Microsoft in AWS. Per consentire allo scanner Microsoft Purview di leggere i dati S3, è necessario creare un ruolo dedicato nel portale AWS, nell'area IAM, per essere usato dallo scanner.

Questa procedura descrive come creare il ruolo AWS, con l'ID account Microsoft necessario e ID esterno da Microsoft Purview, quindi immettere il valore role ARN in Microsoft Purview.

Per individuare l'ID account Microsoft e ID esterno:

  1. Per individuare le credenziali:

  2. Selezionare Nuovo per creare una nuova credenziale.

    Nel riquadro Nuove credenziali visualizzato selezionare RRN ruolo nell'elenco a discesa Metodo di autenticazione.

    Copiare quindi l'ID account Microsoft e ID esterno valori visualizzati in un file separato o usarli per incollarli nel campo pertinente in AWS. Ad esempio:

    Individuare l'ID account Microsoft e ID esterno valori.

Per creare il ruolo AWS per Microsoft Purview:

  1. Aprire la console di Amazon Web Services e in Sicurezza, identità e conformità selezionare IAM.

  2. Selezionare Ruoli e quindi Crea ruolo.

  3. Selezionare Un altro account AWS e quindi immettere i valori seguenti:

    Campo Descrizione
    Account ID Immettere l'ID account Microsoft. Ad esempio: 181328463391
    ID esterno In Opzioni selezionare Richiedi ID esterno... e quindi immettere il ID esterno nel campo designato.
    Ad esempio: e7e2b8a3-0a9f-414f-a065-afaf4ac6d994

    Ad esempio:

    Aggiungere l'ID account Microsoft all'account AWS.

  4. Nell'area Crea i criteri di connessione delle autorizzazioni del ruolo > filtrare le autorizzazioni visualizzate in S3. Selezionare AmazonS3ReadOnlyAccess. Se si vuole anche essere in grado di applicare i criteri di protezione, aggiungere anche queste autorizzazioni:

    • GetBucketLocation
    • GetBucketPublicAccessBlock
    • GetObject
    • PutBucketPolicy
    • PutObjectTagging
    • DeleteBucketPolicy
    • Elenco bucket

    Selezionare i criteri ReadOnlyAccess per il nuovo ruolo di analisi di Amazon S3.

    Importante

    Il criterio AmazonS3ReadOnlyAccess fornisce le autorizzazioni minime necessarie per l'analisi dei bucket S3 e può includere anche altre autorizzazioni.

    Per applicare solo le autorizzazioni minime necessarie per l'analisi dei bucket, creare un nuovo criterio con le autorizzazioni elencate in Autorizzazioni minime per i criteri AWS, a seconda che si voglia analizzare un singolo bucket o tutti i bucket nell'account.

    Applicare i nuovi criteri al ruolo invece di AmazonS3ReadOnlyAccess.

  5. Selezionare Avanti: Tag.

  6. Nell'area Aggiungi tag (facoltativo) è possibile scegliere facoltativamente di creare un tag significativo per questo nuovo ruolo. I tag utili consentono di organizzare, tenere traccia e controllare l'accesso per ogni ruolo creato.

    Se si vuole anche essere in grado di applicare i criteri di protezione, aggiungere un tag con la chiave e msftpurview_allowlisted il valore .true

    Immettere una nuova chiave e un nuovo valore per il tag in base alle esigenze. Al termine o se si vuole ignorare questo passaggio, selezionare Avanti: Rivedi per esaminare i dettagli del ruolo e completare la creazione del ruolo.

    Aggiungere un tag significativo per organizzare, tenere traccia o controllare l'accesso per il nuovo ruolo.

  7. Nell'area Revisione eseguire le operazioni seguenti:

    • Nel campo Nome ruolo immettere un nome significativo per il ruolo
    • Nella casella Descrizione ruolo immettere una descrizione facoltativa per identificare lo scopo del ruolo
    • Nella sezione Criteri verificare che i criteri corretti (AmazonS3ReadOnlyAccess) siano collegati al ruolo.

    Selezionare quindi Crea ruolo per completare il processo. Ad esempio:

    Esaminare i dettagli prima di creare il ruolo.

Configurazioni aggiuntive necessarie:

Creare credenziali di Microsoft Purview per l'analisi di AWS S3

Questa procedura descrive come creare una nuova credenziale di Microsoft Purview da usare durante l'analisi dei bucket AWS.

Consiglio

Se si continua direttamente da Creare un nuovo ruolo AWS per Microsoft Purview, è possibile che il riquadro Nuove credenziali sia già aperto in Microsoft Purview.

È anche possibile creare nuove credenziali nel corso del processo, durante la configurazione dell'analisi. In tal caso, nel campo Credenziali selezionare Nuovo.

  1. In Microsoft Purview passare al Centro gestione e in Sicurezza e accesso selezionare Credenziali.

  2. Selezionare Nuovo e nel riquadro Nuove credenziali visualizzato a destra usare i campi seguenti per creare le credenziali di Microsoft Purview:

    Campo Descrizione
    Nome Immettere un nome significativo per questa credenziale.
    Descrizione Immettere una descrizione facoltativa per questa credenziale, ad esempio Used to scan the tutorial S3 buckets
    Metodo di autenticazione Selezionare Role ARN ,poiché si usa un ruolo ARN per accedere al bucket.
    RRN del ruolo Dopo aver creato il ruolo Amazon IAM, passare al ruolo nell'area AWS IAM, copiare il valore role ARN e immetterlo qui. Ad esempio: arn:aws:iam::181328463391:role/S3Role.

    Per altre informazioni, vedere Recuperare il nuovo RRN del ruolo.

    L'ID account Microsoft e i valori ID esterno vengono usati durante la creazione dell'ARN del ruolo in AWS.

  3. Al termine, selezionare Crea per completare la creazione delle credenziali.

Per altre informazioni sulle credenziali di Microsoft Purview, vedere Credenziali per l'autenticazione di origine in Microsoft Purview.

Configurare l'analisi per i bucket Amazon S3 crittografati

I bucket AWS supportano più tipi di crittografia. Per i bucket che usano la crittografia AWS-KMS , è necessaria una configurazione speciale per abilitare l'analisi.

Nota

Per i bucket che non usano crittografia, crittografia AES-256 o AWS-KMS S3, ignorare questa sezione e continuare a recuperare il nome del bucket Amazon S3.

Per controllare il tipo di crittografia usato nei bucket Amazon S3:

  1. In AWS passare a Archiviazione>S3> e selezionare Bucket dal menu a sinistra.

    Selezionare la scheda Bucket di Amazon S3.

  2. Selezionare il bucket da controllare. Nella pagina dei dettagli del bucket selezionare la scheda Proprietà e scorrere verso il basso fino all'area Crittografia predefinita .

    • Se il bucket selezionato è configurato solo per la crittografia AWS-KMS , inclusa la crittografia predefinita per il bucket disabilitata, ignorare il resto di questa procedura e continuare con Recuperare il nome del bucket Amazon S3.

    • Se il bucket selezionato è configurato per la crittografia AWS-KMS , continuare come descritto di seguito per aggiungere un nuovo criterio che consente di analizzare un bucket con la crittografia AWS-KMS personalizzata.

    Ad esempio:

    Visualizzare un bucket Amazon S3 configurato con la crittografia AWS-KMS

Per aggiungere un nuovo criterio per consentire l'analisi di un bucket con la crittografia AWS-KMS personalizzata:

  1. In AWS passare a CriteriIAM>dei servizi> e selezionare Crea criterio.

  2. Nella scheda Creaeditor di oggetti visividei> criteri definire i criteri con i valori seguenti:

    Campo Descrizione
    Servizio Immettere e selezionare Servizio di gestione delle chiavi.
    Azioni In Livello di accesso selezionare Scrittura per espandere la sezione Scrittura .
    Una volta espansa, selezionare solo l'opzione Decrittografa .
    Risorse Selezionare una risorsa specifica o Tutte le risorse.

    Al termine, selezionare Rivedi i criteri per continuare.

    Creare un criterio per l'analisi di un bucket con la crittografia AWS-KMS.

  3. Nella pagina Verifica criteri immettere un nome significativo per il criterio e una descrizione facoltativa e quindi selezionare Crea criterio.

    I criteri appena creati vengono aggiunti all'elenco di criteri.

  4. Collegare i nuovi criteri al ruolo aggiunto per l'analisi.

    1. Tornare alla paginaRuoliIAM> e selezionare il ruolo aggiunto in precedenza.

    2. Nella scheda Autorizzazioni selezionare Collega criteri.

      Nella scheda Autorizzazioni del ruolo selezionare Collega criteri.

    3. Nella pagina Allega autorizzazioni cercare e selezionare il nuovo criterio creato in precedenza. Selezionare Collega criterio per collegare i criteri al ruolo.

      La pagina Riepilogo viene aggiornata, con i nuovi criteri collegati al ruolo.

      Visualizzare una pagina di riepilogo aggiornata con i nuovi criteri collegati al ruolo.

Verificare l'accesso ai criteri bucket

Assicurarsi che i criteri del bucket S3 non blocchino la connessione:

  1. In AWS passare al bucket S3 e quindi selezionare la scheda >AutorizzazioniCriteri bucket.
  2. Controllare i dettagli dei criteri per assicurarsi che non blocchi la connessione dal servizio scanner Microsoft Purview.

Verificare l'accesso ai criteri SCP

Assicurarsi che non siano presenti criteri SCP che bloccano la connessione al bucket S3.

Ad esempio, i criteri SCP potrebbero bloccare le chiamate API di lettura all'area AWS in cui è ospitato il bucket S3.

  • Le chiamate API necessarie, che devono essere consentite dai criteri SCP, includono: AssumeRole, , GetObjectGetBucketLocation, , ListBucket, GetBucketPublicAccessBlock.
  • I criteri SCP devono anche consentire le chiamate all'area AWS us-east-1 , ovvero l'area predefinita per le chiamate API. Per altre informazioni, vedere la documentazione di AWS.

Seguire la documentazione di SCP, esaminare i criteri SCP dell'organizzazione e verificare che siano disponibili tutte le autorizzazioni necessarie per lo scanner Microsoft Purview .

Recuperare il nuovo RRN del ruolo

È necessario registrare l'ARN del ruolo AWS e copiarlo in Microsoft Purview quando si crea un'analisi per il bucket Amazon S3.

Per recuperare il ruolo ARN:

  1. Nell'area Ruoli di AWS Identity and Access Management (IAM)> cercare e selezionare il nuovo ruolo creato per Microsoft Purview.

  2. Nella pagina Riepilogo del ruolo selezionare il pulsante Copia negli Appunti a destra del valore role ARN .

    Copiare il valore ARN del ruolo negli Appunti.

In Microsoft Purview è possibile modificare le credenziali per AWS S3 e incollare il ruolo recuperato nel campo Role ARN . Per altre informazioni, vedere Creare un'analisi per uno o più bucket Amazon S3.

Recuperare il nome del bucket Amazon S3

È necessario il nome del bucket Amazon S3 per copiarlo in Microsoft Purview durante la creazione di un'analisi per il bucket Amazon S3

Per recuperare il nome del bucket:

  1. In AWS passare a Archiviazione>S3> e selezionare Bucket dal menu a sinistra.

    Visualizza la scheda Bucket di Amazon S3.

  2. Cercare e selezionare il bucket per visualizzare la pagina dei dettagli del bucket e quindi copiare il nome del bucket negli Appunti.

    Ad esempio:

    Recuperare e copiare l'URL del bucket S3.

    Incollare il nome del bucket in un file sicuro e aggiungervi un s3:// prefisso per creare il valore che sarà necessario immettere quando si configura il bucket come account Microsoft Purview.

    Ad esempio: s3://purview-tutorial-bucket

Consiglio

Solo il livello radice del bucket è supportato come origine dati di Microsoft Purview. Ad esempio, l'URL seguente, che include una sottocartella , non è supportato: s3://purview-tutorial-bucket/view-data

Tuttavia, se si configura un'analisi per un bucket S3 specifico, è possibile selezionare una o più cartelle specifiche per l'analisi. Per altre informazioni, vedere il passaggio per definire l'ambito dell'analisi.

Individuare l'ID dell'account AWS

È necessario l'ID dell'account AWS per registrare l'account AWS come origine dati Microsoft Purview, insieme a tutti i bucket.

L'ID dell'account AWS è l'ID usato per accedere alla console AWS. È anche possibile trovarlo dopo aver eseguito l'accesso al dashboard di IAM, a sinistra sotto le opzioni di spostamento e nella parte superiore, come parte numerica dell'URL di accesso:

Ad esempio:

Recuperare l'ID dell'account AWS.

Aggiungere un singolo bucket Amazon S3 come account Microsoft Purview

Usare questa procedura se si dispone solo di un singolo bucket S3 che si vuole registrare in Microsoft Purview come origine dati o se sono presenti più bucket nell'account AWS, ma non si vuole registrarli tutti in Microsoft Purview.

Per aggiungere il bucket:

  1. In Microsoft Purview passare alla mappa dati e selezionare Origini> datiRegistrare>Amazon S3>Continua.

    Aggiungere un bucket Amazon AWS come origine dati Microsoft Purview.

    Consiglio

    Se si hanno più raccolte e si vuole aggiungere Amazon S3 a una raccolta specifica, selezionare la visualizzazione Mappa in alto a destra e quindi selezionare il pulsante Registraregistra all'interno della raccolta.

  2. Nel riquadro Registra origini (Amazon S3) visualizzato immettere i dettagli seguenti:

    Campo Descrizione
    Nome Immettere un nome significativo o usare il valore predefinito specificato.
    Bucket URL Immettere l'URL del bucket AWS usando la sintassi seguente: s3://<bucketName>

    Nota: assicurarsi di usare solo il livello radice del bucket. Per altre informazioni, vedere Recuperare il nome del bucket Amazon S3.
    Selezionare una raccolta Se si è scelto di registrare un'origine dati dall'interno di una raccolta, tale raccolta è già elencata.

    Selezionare una raccolta diversa in base alle esigenze, Nessuna per assegnare nessuna raccolta o Nuovo per creare una nuova raccolta ora.

    Per altre informazioni sulle raccolte di Microsoft Purview, vedere Gestire le origini dati in Microsoft Purview.

    Al termine, selezionare Fine per completare la registrazione.

Continuare con Creare un'analisi per uno o più bucket Amazon S3.

Aggiungere un account AWS come account Microsoft Purview

Usare questa procedura se si dispone di più bucket S3 nell'account Amazon e si desidera registrarli tutti come origini dati di Microsoft Purview.

Quando si configura l'analisi, sarà possibile selezionare i bucket specifici da analizzare, se non si vuole analizzarli tutti insieme.

Per aggiungere l'account Amazon:

  1. In Microsoft Purview passare alla pagina Mappa dati e selezionare Origini> datiRegistra>account> AmazonContinua.

    Aggiungere un account Amazon come origine dati Microsoft Purview.

    Consiglio

    Se si hanno più raccolte e si vuole aggiungere Amazon S3 a una raccolta specifica, selezionare la visualizzazione Mappa in alto a destra e quindi selezionare il pulsante Registraregistra all'interno della raccolta.

  2. Nel riquadro Registra origini (Amazon S3) visualizzato immettere i dettagli seguenti:

    Campo Descrizione
    Nome Immettere un nome significativo o usare il valore predefinito specificato.
    AWS account ID Immettere l'ID dell'account AWS. Per altre informazioni, vedere Individuare l'ID account AWS
    Selezionare una raccolta Se si è scelto di registrare un'origine dati dall'interno di una raccolta, tale raccolta è già elencata.

    Selezionare una raccolta diversa in base alle esigenze, Nessuna per assegnare nessuna raccolta o Nuovo per creare una nuova raccolta ora.

    Per altre informazioni sulle raccolte di Microsoft Purview, vedere Gestire le origini dati in Microsoft Purview.

    Al termine, selezionare Fine per completare la registrazione.

Continuare con Creare un'analisi per uno o più bucket Amazon S3.

Creare un'analisi per uno o più bucket Amazon S3

Dopo aver aggiunto i bucket come origini dati di Microsoft Purview, è possibile configurare un'analisi per l'esecuzione a intervalli pianificati o immediatamente.

  1. Selezionare la mappa dati nel portale di Microsoft Purview:

    • Nella visualizzazione Mappa selezionare Nuova analisiIcona Nuova analisi. Nella casella origine dati.
    • Nella visualizzazione Elenco passare il puntatore del mouse sulla riga dell'origine dati e selezionare Nuova analisiIcona Nuova analisi.
  2. Nel riquadro Analisi... che si apre a destra definire i campi seguenti e quindi selezionare Continua:

    Campo Descrizione
    Nome Immettere un nome significativo per l'analisi o usare il valore predefinito.
    Tipo Visualizzato solo se è stato aggiunto l'account AWS, con tutti i bucket inclusi.

    Le opzioni correnti includono solo All>Amazon S3. Rimanete ottimizzati per altre opzioni da selezionare con l'espansione della matrice di supporto di Microsoft Purview.
    Credential Selezionare una credenziale di Microsoft Purview con il ruolo ARN.

    Suggerimento: se si vuole creare una nuova credenziale in questo momento, selezionare Nuovo. Per altre informazioni, vedere Creare credenziali di Microsoft Purview per l'analisi dei bucket AWS.
    Amazon S3 Visualizzato solo se è stato aggiunto l'account AWS, con tutti i bucket inclusi.

    Selezionare uno o più bucket da analizzare oppure Selezionare tutto per analizzare tutti i bucket nell'account.

    Microsoft Purview verifica automaticamente che il ruolo ARN sia valido e che i bucket e gli oggetti all'interno dei bucket siano accessibili e quindi continui se la connessione ha esito positivo.

    Consiglio

    Per immettere valori diversi e testare la connessione manualmente prima di continuare, selezionare Test connessione in basso a destra prima di selezionare Continua.

  3. Nel riquadro Ambito analisi selezionare i bucket o le cartelle specifici da includere nell'analisi.

    Quando si crea un'analisi per un intero account AWS, è possibile selezionare bucket specifici da analizzare. Quando si crea un'analisi per un bucket AWS S3 specifico, è possibile selezionare cartelle specifiche da analizzare.

  4. Nel riquadro Selezionare un set di regole di analisi selezionare il set di regole predefinito di AmazonS3 oppure selezionare Nuovo set di regole di analisi per creare un nuovo set di regole personalizzato. Dopo aver selezionato il set di regole, selezionare Continua.

    Se si sceglie di creare un nuovo set di regole di analisi personalizzato, usare la procedura guidata per definire le impostazioni seguenti:

    Lastra Descrizione
    Nuovo set di regole di analisi /
    Descrizione della regola di analisi
    Immettere un nome significativo e una descrizione facoltativa per il set di regole
    Selezionare i tipi di file Selezionare tutti i tipi di file da includere nell'analisi e quindi selezionare Continua.

    Per aggiungere un nuovo tipo di file, selezionare Nuovo tipo di file e definire quanto segue:
    - Estensione del file da aggiungere
    - Descrizione facoltativa
    - Indica se il contenuto del file ha un delimitatore personalizzato o è un tipo di file di sistema. Immettere quindi il delimitatore personalizzato o selezionare il tipo di file di sistema.

    Selezionare Crea per creare il tipo di file personalizzato.
    Selezionare le regole di classificazione Passare a e selezionare le regole di classificazione da eseguire nel set di dati.

    Al termine, selezionare Crea per creare il set di regole.

  5. Nel riquadro Imposta trigger di analisi selezionare una delle opzioni seguenti e quindi selezionare Continua:

    • Ricorrente per configurare una pianificazione per un'analisi ricorrente
    • Una volta per configurare un'analisi che viene avviata immediatamente
  6. Nel riquadro Rivedi l'analisi controllare i dettagli dell'analisi per verificare che siano corretti e quindi selezionare Salva o Salva ed esegui se è stata selezionata Una volta nel riquadro precedente.

    Nota

    Dopo l'avvio, il completamento dell'analisi può richiedere fino a 24 ore. Sarà possibile esaminare i report analitici ed eseguire ricerche nel catalogo 24 ore dopo l'avvio di ogni analisi.

Per altre informazioni, vedere Esplorare i risultati dell'analisi di Microsoft Purview.

Esplorare i risultati dell'analisi di Microsoft Purview

Dopo aver completato un'analisi di Microsoft Purview nei bucket di Amazon S3, eseguire il drill-down nell'area Mappa dati di Microsoft Purview per visualizzare la cronologia delle analisi.

Selezionare un'origine dati per visualizzarne i dettagli e quindi selezionare la scheda Analisi per visualizzare le analisi attualmente in esecuzione o completate. Se è stato aggiunto un account AWS con più bucket, la cronologia di analisi per ogni bucket viene visualizzata nell'account.

Ad esempio:

Visualizzare le analisi del bucket AWS S3 nell'origine dell'account AWS.

Usa le altre aree di Microsoft Purview per scoprire i dettagli sul contenuto nel tuo patrimonio dati, inclusi i bucket di Amazon S3:

  • Cercare un bucket specifico nel catalogo dati di Microsoft Purview e filtrare. Ad esempio:

    Cercare asset AWS S3 nel catalogo.

  • Visualizzare i report informazioni dettagliate per visualizzare le statistiche per la classificazione, le etichette di riservatezza, i tipi di file e altri dettagli sul contenuto.

    Tutti i report di Microsoft Purview Insight includono i risultati dell'analisi di Amazon S3, insieme al resto dei risultati delle origini dati di Azure. Se pertinente, è stato aggiunto un altro tipo di asset Amazon S3 alle opzioni di filtro dei report.

    Per altre informazioni, vedere Informazioni su Data Estate Insights in Microsoft Purview.

Autorizzazioni minime per i criteri AWS

La procedura predefinita per la creazione di un ruolo AWS da usare per Microsoft Purview durante l'analisi dei bucket S3 usa i criteri AmazonS3ReadOnlyAccess .

Il criterio AmazonS3ReadOnlyAccess fornisce le autorizzazioni minime necessarie per l'analisi dei bucket S3 e potrebbe includere anche altre autorizzazioni.

Per applicare solo le autorizzazioni minime necessarie per l'analisi dei bucket, creare un nuovo criterio con le autorizzazioni elencate nelle sezioni seguenti, a seconda che si voglia analizzare un singolo bucket o tutti i bucket nell'account.

Applicare i nuovi criteri al ruolo invece di AmazonS3ReadOnlyAccess.

Singoli bucket

Durante l'analisi di singoli bucket S3, le autorizzazioni AWS minime includono:

  • GetBucketLocation
  • GetBucketPublicAccessBlock
  • GetObject
  • ListBucket

Assicurarsi di definire la risorsa con il nome del bucket specifico. Ad esempio:

{
"Version": "2012-10-17",
"Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::<bucketname>"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3::: <bucketname>/*"
        }
    ]
}

Tutti i bucket nell'account

Quando si analizzano tutti i bucket nell'account AWS, le autorizzazioni AWS minime includono:

  • GetBucketLocation
  • GetBucketPublicAccessBlock
  • GetObject
  • ListAllMyBuckets
  • ListBucket.

Assicurarsi di definire la risorsa con un carattere jolly. Ad esempio:

{
"Version": "2012-10-17",
"Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetBucketPublicAccessBlock",
                "s3:GetObject",
                "s3:ListAllMyBuckets",
                "s3:ListBucket"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "*"
        }
    ]
}

Risoluzione dei problemi

L'analisi delle risorse di Amazon S3 richiede la creazione di un ruolo in AWS IAM per consentire al servizio scanner Microsoft Purview in esecuzione in un account Microsoft in AWS di leggere i dati.

Gli errori di configurazione nel ruolo possono causare errori di connessione. Questa sezione descrive alcuni esempi di errori di connessione che potrebbero verificarsi durante la configurazione dell'analisi e le linee guida per la risoluzione dei problemi per ogni caso.

Se tutti gli elementi descritti nelle sezioni seguenti sono configurati correttamente e l'analisi dei bucket S3 continua a non riuscire con errori, contattare il supporto tecnico Microsoft.

Nota

Per problemi di accesso ai criteri, assicurarsi che né i criteri bucket né i criteri SCP blocchino l'accesso al bucket S3 da Microsoft Purview.

Per altre informazioni, vedere Confermare l'accesso ai criteri bucket e Confermare l'accesso ai criteri SCP.

Il bucket è crittografato con il Servizio di gestione delle chiavi

Assicurarsi che il ruolo AWS disponga delle autorizzazioni di decrittografia del Servizio di gestione delle chiavi. Per altre informazioni, vedere Configurare l'analisi per i bucket Amazon S3 crittografati.

Al ruolo AWS manca un ID esterno

Assicurarsi che il ruolo AWS abbia l'ID esterno corretto:

  1. Nell'area AWS IAM selezionare la scheda Relazioni di trust del ruolo>.
  2. Seguire i passaggi descritti in Creare un nuovo ruolo AWS per Microsoft Purview per verificare i dettagli.

Errore riscontrato con il ruolo ARN

Si tratta di un errore generale che indica un problema quando si usa l'ARN del ruolo. Ad esempio, è possibile risolvere i problemi come indicato di seguito:

  • Assicurarsi che il ruolo AWS disponga delle autorizzazioni necessarie per leggere il bucket S3 selezionato. Le autorizzazioni necessarie includono AmazonS3ReadOnlyAccess o le autorizzazioni di lettura minime e KMS Decrypt per i bucket crittografati.

  • Assicurarsi che il ruolo AWS abbia l'ID account Microsoft corretto. Nell'area AWS IAM selezionare la scheda Relazioni di trust del ruolo > e quindi seguire di nuovo i passaggi descritti in Creare un nuovo ruolo AWS per Microsoft Purview per verificare i dettagli.

Per altre informazioni, vedere Impossibile trovare il bucket specificato.

Non è possibile trovare il bucket specificato

Assicurarsi che l'URL del bucket S3 sia definito correttamente:

  1. In AWS passare al bucket S3 e copiare il nome del bucket.
  2. In Microsoft Purview modificare l'origine dati di Amazon S3 e aggiornare l'URL del bucket in modo da includere il nome del bucket copiato, usando la sintassi seguente: s3://<BucketName>

Criteri di protezione

I criteri di controllo di accesso di protezione (criteri di protezione) consentono alle organizzazioni di proteggere automaticamente i dati sensibili tra le origini dati. Microsoft Purview analizza già gli asset di dati e identifica gli elementi di dati sensibili e questa nuova funzionalità consente di limitare automaticamente l'accesso a tali dati usando etichette di riservatezza provenienti da Microsoft Purview Information Protection.

Per configurare i criteri di protezione per le origini Amazon S3, vedere: Come creare criteri di protezione per Amazon S3.

Passaggi successivi

Altre informazioni sui report di Microsoft Purview Insight: