# Usar a Lente de Armazenamento do S3 para proteger seus dados
Você pode usar as métricas de proteção de dados da Lente de Armazenamento do Amazon S3 para identificar buckets nos quais as práticas recomendadas de proteção de dados não foram aplicadas. Você pode usar essas métricas para agir e aplicar configurações padrão que se alinham às práticas recomendadas para proteger seus dados em todos os buckets de sua conta ou organização. Por exemplo, você pode usar métricas de proteção de dados para identificar buckets que não usam chaves do AWS Key Management Service (AWS KMS) para criptografia padrão ou solicitações que usam o AWS Signature Version 2 (SigV2).
Os casos de uso a seguir fornecem estratégias para usar o painel da Lente de Armazenamento do S3 para identificar valores discrepantes e aplicar as práticas recomendadas de proteção de dados em seus bucket da Lente de Armazenamento do S3.
**Topics**
+ [Identificar buckets que não usam a criptografia do lado do servidor com AWS KMS como criptografia padrão (SSE-KMS)](#storage-lens-sse-kms)
+ [Identificar buckets com o Versionamento do S3 ativado](#storage-lens-data-protection-versioning)
+ [Identificar solicitações que usam o AWS Signature Version 2 (SigV2)](#storage-lens-data-protection-sigv)
+ [Contar o número total de regras de replicação para cada bucket](#storage-lens-data-protection-replication-rule)
+ [Identificar a porcentagem de bytes do Bloqueio de Objeto](#storage-lens-data-protection-object-lock)
## Identificar buckets que não usam a criptografia do lado do servidor com AWS KMS como criptografia padrão (SSE-KMS)
Com a criptografia padrão do Amazon S3, você pode definir o comportamento de criptografia padrão para um bucket do S3. Para ter mais informações, consulte [Definir o comportamento padrão da criptografia para os buckets do Amazon S3](bucket-encryption.md).
Você pode usar as métricas **SSE-KMS enabled bucket count** (Contagem de buckets habilitados para SSE-KMS) e **% SSE-KMS enabled buckets** (% de buckets habilitados para SSE-KMS) para identificar buckets que usam criptografia do lado do servidor com chaves do AWS KMS (SSE-KMS) como criptografia padrão. A Lente de Armazenamento do S3 também fornece métricas para bytes não criptografados, objetos não criptografados, bytes criptografados e objetos criptografados. Para obter uma lista completa de métricas, consulte [Glossário de métricas de lente de armazenamento do Amazon S3](storage_lens_metrics_glossary.md).
Você pode analisar as métricas de criptografia do SSE-KMS no contexto das métricas gerais de criptografia para identificar buckets que não usam SSE-KMS. Se você quiser usar SSE-KMS para todos os buckets em sua conta ou organização, poderá atualizar as configurações de criptografia padrão desses buckets para usar SSE-KMS. Além de SSE-KMS, você pode usar a criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3) ou chaves fornecidas pelo cliente (SSE-C). Para ter mais informações, consulte [Proteger dados com criptografia](UsingEncryption.md).
### Etapa 1: Identificar quais buckets estão usando SSE-KMS como criptografia padrão
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. No painel de navegação esquerdo, escolha **Storage Lens** (Lente de Armazenamento) e **Dashboards** (Painéis).
1. Na lista **Dashboards** (Painéis), escolha o nome do painel que deseja visualizar.
1. Na seção **Trends and distributions** (Tendências e distribuições), escolha **% SSE-KMS enabled bucket count** (% de contagem de buckets habilitados para SSE-KMS) como métrica primária e **% encrypted bytes** (% de bytes criptografados) como métrica secundária.
O gráfico **Trend for *date*** (Tendências para data) é atualizado para exibir tendências de SSE-KMS e bytes criptografados.
1. Para ver insights mais granulares por bucket para SSE-KMS:
1. Escolha um ponto no gráfico. Uma caixa aparecerá com opções para obter insights mais granulares.
1. Escolha a dimensão **Buckets**. Em seguida, escolha **Aplicar**.
1. No gráfico **Distribution by buckets for *date*** (Distribuição por buckets para data), escolha a métrica **SSE-KMS enabled bucket count** (Contagem de buckets habilitados para SSE-KMS).
1. Agora você pode ver quais buckets têm SSE-KMS habilitada e quais não.
### Etapa 2: Atualizar as configurações de criptografia padrão do bucket
Agora que você determinou quais buckets usam SSE-KMS no contexto de **% encrypted bytes** (% de bytes criptografados), você pode identificar buckets que não usam SSE-KMS. Depois, opcionalmente, você pode navegar até esses buckets no console do S3 e atualizar suas configurações de criptografia padrão para usar SSE-KMS ou SSE-S3. Para ter mais informações, consulte [Configurar a criptografia padrão](default-bucket-encryption.md).
## Identificar buckets com o Versionamento do S3 ativado
Quando habilitado, o recurso de versionamento do S3 retém várias versões do mesmo objeto que podem ser usadas para recuperar dados rapidamente se um objeto for acidentalmente excluído ou substituído. Você pode usar a métrica **Versioning-enabled bucket count** (Contagem de buckets habilitados para Versionamento) para ver quais buckets usam o Versionamento do S3. Depois, você pode usar o console do S3 para ativar o Versionamento do S3 para outros buckets.
### Etapa 1: Identificar buckets com o Versionamento do S3 ativado
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. No painel de navegação, escolha **Storage Lens** (Lente de Armazenamento) e **Dashboards** (Painéis).
1. Na lista **Dashboards** (Painéis), escolha o nome do painel que deseja visualizar.
1. Na seção **Trends and distributions** (Tendências e distribuições), escolha **Versioning-enabled bucket count** (Contagem de buckets habilitados para Versionamento) como métrica primária e **Buckets** como métrica secundária.
O gráfico **Trend for *date*** (Tendência para data) é atualizado para exibir tendências dos buckets com Versionamento do S3 ativado. Logo abaixo da linha de tendências, você pode ver as subseções **Storage class distribution** (Distribuição por classe de armazenamento) e **Region distribution** (Distribuição por região).
1. Para ver informações mais granulares de qualquer um dos buckets exibidos no gráfico **Trend for *date*** (Tendência para data) com o intuito de realizar uma análise mais profunda, faça o seguinte:
1. Escolha um ponto no gráfico. Uma caixa aparecerá com opções para obter insights mais granulares.
1. Escolha uma dimensão para aplicar aos dados para uma análise mais profunda: **Account** (Conta), **Região da AWS**, **Storage class** (Classe de armazenamento) ou **Bucket**. Em seguida, escolha **Aplicar**.
1. Na seção **Análise de bolhas por buckets para *data***, escolha as métricas **Contagem de buckets habilitados para versionamento**, **Buckets** e **Buckets ativos**.
A seção **Bubble analysis by buckets for *date*** (Análise de bolhas por buckets para data) é atualizada para exibir dados das métricas que você selecionou. Você pode usar esses dados para ver quais buckets estão com o Versionamento do S3 ativado no contexto da sua contagem total de buckets. Na seção **Análise de bolhas por buckets para *data***, é possível plotar os buckets em várias dimensões usando três métricas quaisquer para representar o **eixo X**, o **eixo Y** e o **tamanho** da bolha.
### Etapa 2: Habilitar o Versionamento do S3
Depois de identificar os buckets com Versionamento do S3 ativado, você pode identificar os buckets que nunca tiveram o Versionamento do S3 ativado ou que estão com o versionamento suspenso. Depois, opcionalmente, você pode ativar o versionamento para esses buckets no console S3. Para ter mais informações, consulte [Habilitar o versionamento em buckets](manage-versioning-examples.md).
## Identificar solicitações que usam o AWS Signature Version 2 (SigV2)
Você pode usar a métrica **All unsupported signature requests** (Todas as solicitações de assinatura incompatíveis) para identificar solicitações que usam o AWS Signature Version 2 (SigV2). Esses dados podem ajudar você a identificar aplicações específicas que usam o SigV2. Depois, você pode migrar essas aplicações para o AWS Signature Version 4 (SigV4).
O SigV4 é o método de assinatura recomendado para todas as novas aplicações do S3. O SigV4 oferece segurança aprimorada e é compatível com todas as Regiões da AWS. Para obter mais informações, consulte [Atualização do Amazon S3 – Período de defasagem do SigV2 estendido e modificado](https://aws.amazon.com/blogs/aws/amazon-s3-update-sigv2-deprecation-period-extended-modified/).
**Pré-requisito**
Para ver **All unsupported signature requests** (Todas as solicitações de assinatura incompatíveis) no painel da Lente de Armazenamento do S3, você deve ativar a opção **Advanced metrics and recommendations** (Métricas e recomendações avançadas) da Lente de Armazenamento do S3 e selecionar **Advanced data protection metrics** (Métricas avançadas de proteção de dados). Para ter mais informações, consulte [Usar o console do S3](storage_lens_editing.md#storage_lens_console_editing).
### Etapa 1: Examinar as tendências de assinatura do SigV2 por Conta da AWS, região e bucket
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. No painel de navegação esquerdo, escolha **Storage Lens** (Lente de Armazenamento) e **Dashboards** (Painéis).
1. Na lista **Dashboards** (Painéis), escolha o nome do painel que deseja visualizar.
1. Para identificar buckets, contas e regiões específicos com solicitações que usam SigV2:
1. Em **Top N overview for *date*** (Visão geral dos N principais para data), em **Top N** (N principais), insira o número de buckets para os quais deseja ver dados.
1. Em **Metric** (Métrica), escolha **All unsupported signature requests** (Todas as solicitações de assinatura incompatíveis) na categoria **Data protection** (Proteção de dados).
A seção **Top N overview for *date*** (Visão geral dos N principais para data) é atualizada para exibir dados de solicitações SigV2 por conta, Região da AWS e bucket. A seção **Top N overview for *date*** (Visão geral dos N principais para data) também mostra a variação percentual em relação ao dia ou semana anterior e uma linha em spark para visualizar a tendência. Essa tendência é de 14 dias para métricas gratuitas e 30 dias para métricas e recomendações avançadas.
**nota**
Com métricas e recomendações avançadas da Lente de Armazenamento do S3, as métricas ficam disponíveis para consultas por 15 meses. Para ter mais informações, consulte [Seleção de métricas](storage_lens_basics_metrics_recommendations.md#storage_lens_basics_metrics_selection).
### Etapa 2: Identificar buckets que são acessados por aplicações por meio de solicitações SigV2
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. No painel de navegação esquerdo, escolha **Storage Lens** (Lente de Armazenamento) e **Dashboards** (Painéis).
1. Na lista **Dashboards** (Painéis), escolha o nome do painel que deseja visualizar.
1. No painel da Lente de Armazenamento, escolha a guia **Bucket**.
1. Role para baixo até a seção **Buckets**. Em **Metrics categories** (Categorias de métricas), escolha **Data protection** (Proteção de dados). Depois, desmarque **Summary** (Resumo).
A lista **Buckets** é atualizada para exibir todas as métricas de **Data protection** (Proteção de dados) disponíveis para os buckets mostrados.
1. Para filtrar a lista **Buckets** a fim de exibir somente métricas específicas de proteção de dados, escolha o ícone de preferências ().
1. Desmarque todas as métricas de proteção de dados, exceto:
+ **All unsupported signature requests (Todas as solicitações de assinatura incompatíveis**
+ **% all unsupported signature requests (% de todas as solicitações de assinatura incompatíveis**
1. (Opcional) Em **Page size** (Tamanho da página), escolha o número de buckets a serem exibidos na lista.
1. Escolha **Confirmar**.
A lista **Buckets** é atualizada para exibir métricas por bucket para solicitações SigV2. Você pode usar esses dados para identificar buckets específicos que têm solicitações SigV2. Depois, você pode usar essas informações para migrar aplicações para SigV4. Para obter mais informações, consulte [Autenticação de solicitações (AWS Signature Version 4))](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) na *Referência de APIs do Amazon Simple Storage Service*.
## Contar o número total de regras de replicação para cada bucket
A Replicação do S3 permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3. Os buckets configurados para replicação de objetos podem pertencer à mesma conta da Conta da AWS ou a contas diferentes. Para ter mais informações, consulte [Replicar objetos dentro de uma região e entre regiões](replication.md).
Você pode usar as métricas de contagem de regras de replicação da Lente de Armazenamento do S3 para obter informações detalhadas por bucket sobre os buckets que estão configurados para replicação. Essas informações incluem regras de replicação dentro e entre buckets e regiões.
**Pré-requisito**
Para ver as métricas de contagem de regras de replicação no painel da Lente de Armazenamento do S3, você deve ativar a opção **Advanced metrics and recommendations** (Métricas e recomendações avançadas) da Lente de Armazenamento do S3 e selecionar **Advanced data protection metrics** (Métricas avançadas de proteção de dados). Para ter mais informações, consulte [Usar o console do S3](storage_lens_editing.md#storage_lens_console_editing).
### Etapa 1: Contar o número total de regras de replicação para cada bucket
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. No painel de navegação esquerdo, escolha **Storage Lens** (Lente de Armazenamento) e **Dashboards** (Painéis).
1. Na lista **Dashboards** (Painéis), escolha o nome do painel que deseja visualizar.
1. No painel da Lente de Armazenamento, escolha a guia **Bucket**.
1. Role para baixo até a seção **Buckets**. Em **Metrics categories** (Categorias de métricas), escolha **Data protection** (Proteção de dados). Depois, desmarque **Summary** (Resumo).
1. Para filtrar a lista **Buckets** para exibir somente métricas de contagem de regras de replicação, escolha o ícone de preferências ().
1. Desmarque todas as métricas de proteção de dados, exceto as métricas de contagem de regras de replicação:
+ **Same-Region Replication rule count (Contagem de regras de replicação na mesma região**
+ **Cross-Region Replication rule count (Contagem de regras de replicação entre regiões**
+ **Same-account replication rule count (Contagem de regras de replicação na mesma conta**
+ **Cross-account replication rule count (Contagem de regras de replicação entre contas**
+ **Total replication rule count (Contagem total de regras de replicação**
1. (Opcional) Em **Page size** (Tamanho da página), escolha o número de buckets a serem exibidos na lista.
1. Escolha **Confirmar**.
### Etapa 2: Adicionar regras de replicação
Depois de ter a contagem de regras de replicação por bucket, você pode, opcionalmente, criar regras de replicação adicionais. Para ter mais informações, consulte [Exemplos para configurar a replicação em tempo real](replication-example-walkthroughs.md).
## Identificar a porcentagem de bytes do Bloqueio de Objeto
Com o Bloqueio de Objeto do S3, é possível armazenar objetos usando um modelo *gravar uma vez, ler muitas* (WORM). Use o Bloqueio de Objeto para ajudar a evitar que um objeto seja excluído ou substituído por um período fixo ou indefinidamente. Só é possível ativar o Bloqueio de Objeto ao criar um bucket e ao ativar o Versionamento do S3. No entanto, você pode editar o período de retenção para versões individuais de objetos ou aplicar retenções legais para buckets com o Bloqueio de Objeto ativado. Para ter mais informações, consulte [Bloquear objetos com o Bloqueio de Objetos](object-lock.md).
Você pode usar as métricas do Bloqueio de Objeto na Lente de Armazenamento do S3 para ver a métrica **% Object Lock bytes** (% de bytes do Bloqueio de Objeto) para sua conta ou organização. Você pode usar essas informações para identificar buckets em sua conta ou organização que não estejam seguindo as práticas recomendadas de proteção de dados.
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. No painel de navegação esquerdo, escolha **Storage Lens** (Lente de Armazenamento) e **Dashboards** (Painéis).
1. Na lista **Dashboards** (Painéis), escolha o nome do painel que deseja visualizar.
1. Na seção **Snapshot**, em **Metrics categories** (Categorias de métricas), escolha **Data protection** (Proteção de dados).
A seção **Snapshot** é atualizada para exibir as métricas de proteção de dados, incluindo a métrica **% Object Lock bytes** (% de bytes do Bloqueio de Objeto). Você pode ver a porcentagem geral de bytes do Bloqueio de Objeto para sua conta ou organização.
1. Para ver a métrica **% Object Lock bytes** (% de bytes do Bloqueio de Objeto) por bucket, role para baixo até a seção **Top N overview** (Visão geral dos N principais).
Para obter dados por objeto para o Bloqueio de Objeto, você também pode usar as métricas **Object Lock object count** (Contagem de objetos do Bloqueio de Objeto) e **% Object Lock objects** (% de objetos do Bloqueio de Objeto).
1. Em **Metric** (Métrica), escolha **% Object Lock bytes** (% de bytes do Bloqueio de Objeto) na categoria **Data protection** (Proteção de dados).
Por padrão, a seção **Top N overview for *date*** (Visão geral dos N principais para data) exibe métricas para os 3 principais buckets. No campo **Top N** (N principais), você pode aumentar o número de buckets. A seção **Top N overview for *date*** (Visão geral dos N principais para data) também mostra a variação percentual em relação ao dia ou semana anterior e uma linha em spark para visualizar a tendência. Essa tendência é de 14 dias para métricas gratuitas e 30 dias para métricas e recomendações avançadas.
**nota**
Com métricas e recomendações avançadas da Lente de Armazenamento do S3, as métricas ficam disponíveis para consultas por 15 meses. Para ter mais informações, consulte [Seleção de métricas](storage_lens_basics_metrics_recommendations.md#storage_lens_basics_metrics_selection).
1. Revise os seguintes dados para **% Object Lock bytes** (% de bytes do Bloqueio de Objeto):
+ **Top *number* accounts** (Número contas principais): veja quais contas têm o maior e o menor valor para **% Object Lock bytes** (% de bytes do Bloqueio de Objeto).
+ **Top *number* Regions** (Número regiões principais): veja um detalhamento de **% Object Lock bytes** (% de bytes do Bloqueio de Objeto) por região.
+ **Top *number* buckets** (Número buckets principais): veja quais buckets têm o maior e o menor valor para **% Object Lock bytes** (% de bytes do Bloqueio de Objeto).