使用 Amazon Simple Storage Service (S3) 作为 Enterprise Vault 的主存储

Last Published:
Product(s): Enterprise Vault (14.4)

添加使用 STS Assume 角色身份验证的新 Amazon S3 分区

在使用 AWS STS Assume 角色身份验证配置主分区的 Amazon S3 之前,请完成以下步骤:

  • 确保已使用 AWS 创建需要配置主分区的 AWS S3 存储桶,并且您知道存储桶的名称。

  • 确保已为您的 AWS S3 存储桶定义 IAM 角色及其受管策略,并且您知道角色的 Amazon 资源名称 (ARN)。

有关 Amazon STS (Security Token Service) 的更多信息,请参见 AWS 文档

使用 AWS 管理控制台,创建 IAM 用户可以扮演的角色

  1. 在控制台的 IAM 角色窗格中,单击“用户”,然后单击“添加用户”。此用户将用于在本地环境中扮演角色。
  2. 创建将附加到上述步骤中添加的用户的 IAM 角色用户策略。

    它允许 IAM 用户列出和扮演角色。以下 JSON 文档介绍了 IAM 策略。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "sts:AssumeRole"
            ],
            "Resource": "*"
        }
    ]
}
  3. 将策略附加到 IAM 用户。
  4. 已创建允许其扮演角色的 IAM 用户。在创建角色之前,创建将附加到角色的 IAM 策略。
  5. 为 Amazon S3 创建 AWS IAM 角色策略,其对 S3 具有以下访问级别权限:
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject",
                "s3:GetBucketLocation",
                "s3:ListBucket",
                "s3:GetBucketObjectLockConfiguration"
            ],
            "Resource": "*"
        }
    ]
}

    默认情况下,分区是在非 WORM 模式下创建的,您可以使用上述策略。

    如果选择在 WORM 模式下创建分区,则需要为 STS Assume 角色身份验证方法设置其他权限。在这种情况下,请为 Amazon S3 创建并附加 AWS IAM 角色策略,其具有以下访问级别权限:

    {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:PutObjectRetention",
"s3:GetBucketObjectLockConfiguration",
"s3:GetObjectVersion",
"s3:ListBucketVersions",
"s3:DeleteObjectVersion",
"s3:GetObjectRetention"
],
"Resource": "*"
}
]
}
  6. 要创建 IAM 角色,在控制台的 IAM 角色窗格中,单击“角色”,然后选择“创建角色”
  7. 选择可信身份的“另一个 AWS 帐户”角色类型。
  8. 提供在步骤 a 中创建的 IAM 用户的“帐户 ID”
  9. 关联步骤 e 中创建的策略。
  10. 对于“角色名称”,键入角色的名称。
  11. 查看角色,然后单击“创建角色”

添加使用访问密钥身份验证的新 Amazon S3 分区

  1. 在管理控制台的左窗格中,展开保管库存储组容器以查看现有保管库存储组。
  2. 展开包含要为其创建分区的保管库存储的保管库存储组。
  3. 展开要在其中创建分区的保管库存储。
  4. 右键单击“分区”容器,然后单击“新建”>“分区”。将启动“新建分区”向导。
  5. 单击“下一步”
  6. 输入新保管库存储分区的所有详细信息,然后单击“下一步”
  7. “存储类型”列表中,选择 Amazon Simple Storage Service。
  8. 如果要在 WORM 模式下存储数据,请选择“使用 S3 对象锁定在 WORM 模式下存储数据”。默认情况下将清除此选项,这样数据会在非 WORM 模式下存储。

    注意:

    确保 AWS S3 存储桶的 S3 对象锁定的保留模式配置为“遵从”模式。

    如果 Enterprise Vault 服务器上的时钟落后于同一时区的通用时钟,在 WORM 模式下为 AWS S3 创建的分区的测试功能会失败。由于从 AWS S3 服务收到“保留截止日期必须为将来的日期”错误,因此测试功能有时无法上传对象。必须将 Enterprise Vault 服务器上的时钟与通用时钟同步。或者,可以将 RetentionPeriodForTestInSecs 注册表配置为适当的值。请参考《Enterprise Vault™ 注册表值指南》。

  9. 选择“STS Assume 角色”选项,以使用 Amazon S3 进行身份验证。
  10. 提供 Amazon S3 连接设置:

    设置

    描述

    AWS PrivateLink

    选择“是”以使用专用接口 S3 端点,或选择“否”以使用公用 S3 端点。

    默认情况下,公用 S3 端点用于与 S3 通信并将已归档文件存储在指定的存储桶中。如果选择“是”,请确保已在“S3 端点”设置中提供专用接口 S3 端点。

    注意:

    此设置在 Enterprise Vault 14.3 及更高版本中可用。

    S3 端点

    指定 AWS S3 端点的 URL。

    默认情况下,使用公用 AWS S3 端点 URL https://s3.amazonaws.com。如果已为 AWS PrivateLink 设置选择“是”,请指定专用接口 S3 端点。

    注意:

    此设置在 Enterprise Vault 14.3 及更高版本中可用。

    访问密钥 ID

    指定 Amazon 提供的访问密钥 ID。

    机密访问密钥

    指定 Amazon 提供的机密访问密钥。

    IAM 角色的 ARN

    为指定 IAM 用户担任的 IAM 角色指定 Amazon 资源名称。

    STS 端点

    根据您的 Enterprise Vault 版本,执行以下操作之一:

    • 如果您使用的是 Enterprise Vault 14.3 及更高版本,请输入 AWS S3 存储桶所在的同一区域的 STS 端点。

    • 如果您使用的 Enterprise Vault 版本低于 14.3,请选择 AWS S3 存储桶所在的同一区域的 STS 端点。

    注意:

    Enterprise Vault 建议使用 AWS S3 存储桶所在区域的 STS 端点,以减少延迟并缩短响应时间。

    如果将 AWS PrivateLink 设置设为“是”,请指定专用接口 STS 端点 URL;否则,请指定公用 STS 端点 URL,网址如下:

    https://docs.aws.amazon.com/general/latest/gr/sts.html

    存储桶名称

    指定 AWS S3 存储桶的名称。

    注意:

    在创建分区后,无法修改存储桶名称。

    在创建分区后,务必不要删除该存储桶。如果出于某些原因需要删除该存储桶,则必须创建一个新的分区。

    存储桶区域

    输入 S3 存储桶(在“存储桶名称”设置中指定)所在区域的代码。有关区域代码的更多信息,请参见 https://docs.aws.amazon.com/general/latest/gr/rande.html。确保已指定正确的区域代码来创建分区。

    注意:

    此设置在 Enterprise Vault 14.3 及更高版本中可用。

    存储类

    指定用于将对象存储到 AWS S3 存储桶的存储类。

    • S3 标准 - 存储经常访问的数据。

    • S3 标准 IA - 存储不经常访问、但要求在需要时能够快速访问的数据。数据存储在至少三个可用区 (AZ) 中。

    • S3 单区 IA - 将不经常访问的数据存储在单个可用区中。

    • S3 智能分层 - 将数据转移到最具成本效益的访问层。

    • S3 Glacier Instant Retrieval - 存储很少访问且需要以最低成本在几毫秒内检索的长期保留的数据。

    有关更多信息,请参见 https://aws.amazon.com/s3/storage-classes

    加密

    指定是否对存储桶中存储的归档文件进行加密的加密设置。

    选择“SSE-S3”,以使用具有 Amazon S3 管理的加密密钥的服务器端加密对归档文件进行加密。

    默认情况下,将选择“无”,而不使用加密。

    日志级别

    指定 AWS SDK 日志的日志记录级别。

    • 无日志记录 - Enterprise Vault 不记录任何 AWS SDK 日志。

    • 致命 - 仅记录致命错误。

    • 错误 - 记录所有错误。

    • 警告 - 记录警告和错误。

    • 信息 - 记录每条信息,包括警告和错误。

    • 调试 - 记录调试消息,包括信息、警告和错误。

    • 所有内容 - 记录所有内容。

    注意:

    DTrace 日志将包含 AWS SDK 日志语句,可以很容易地通过前缀 AwsSdk: 找到。

    写入缓冲区大小 (MB)

    指定写入缓冲区大小(范围从 5 MB 到 200 MB),以便以块为单位上传数据。

    读取缓冲区大小 (MB)

    指定读取缓冲区大小(范围从 1 MB 到 1024 MB),以便以块为单位下载数据。

  11. 单击“下一步”
  12. “复制”页面上,选择相应的选项:“当归档文件位于云存储上时”“当归档文件复制到云存储上时”

    有关详细信息,请参见管理控制台帮助页面。

  13. 选择扫描间隔以检查文件是否存在于云端。支持的扫描间隔为 0 到 1440 分钟。默认情况下,Enterprise Vault 每 60 分钟根据上述选项检查归档数据是否已复制或是存在于云端。如果需要,您可以更改扫描间隔。如果将扫描间隔设置为 0 分钟,则只有在从保管库存储清除备份模式以及启动存储服务时,才会检查分区。
  14. 单击“下一步”
  15. 摘要页面提供新创建的 Amazon S3 分区的信息。