Permisos de Amazon S3 Storage Lens

Amazon S3 Storage Lens requiere nuevos permisos en AWS Identity and Access Management (IAM) para autorizar el acceso a las acciones de S3 Storage Lens. Para conceder estos permisos, puede utilizar una política de IAM basada en identidades. Puede asociar esta política a usuarios, grupos o roles de IAM para concederles permisos. Estos permisos pueden incluir la capacidad de habilitar o deshabilitar S3 Storage Lens, o de acceder a cualquier panel o configuración de S3 Storage Lens.

El rol o usuario de IAM debe pertenecer a la cuenta que creó o ser propietario del panel o la configuración, a menos que se cumplan las dos condiciones siguientes:

• Su cuenta es miembro de AWS Organizations.

• Se le concedió permiso para crear paneles de nivel de organización por su cuenta de administración como administrador delegado.

nota

• No puede utilizar las credenciales de usuario raíz de la cuenta para ver los paneles de la Lente de almacenamiento de Amazon S3. Para acceder a los paneles de Lente de almacenamiento de S3, debe conceder los permisos de IAM necesarios a un usuario de IAM nuevo o existente. A continuación, inicie sesión con esas credenciales de usuario para acceder a los paneles de S3 Storage Lens. Para obtener más información, consulte la sección Prácticas recomendadas de IAM en la Guía del usuario de &IAM;.

• El uso de S3 Storage Lens en la consola de Amazon S3 puede requerir varios permisos. Por ejemplo, para editar un panel en la consola, necesita los siguientes permisos:

  • s3:ListStorageLensConfigurations

  • s3:GetStorageLensConfiguration

  • s3:PutStorageLensConfiguration

Configuración de permisos de cuenta para usar S3 Storage Lens

Para crear y administrar los paneles de S3 Storage Lens y las configuraciones de los paneles de Storage Lens, debe tener los siguientes permisos, en función de las acciones que desee realizar:

Permisos de IAM relacionados con Amazon S3 Storage Lens
Acción	Permisos de IAM
Cree o actualice un panel de S3 Storage Lens en la consola de Amazon S3.	s3:ListStorageLensConfigurations s3:GetStorageLensConfiguration s3:GetStorageLensConfigurationTagging s3:PutStorageLensConfiguration s3:PutStorageLensConfigurationTagging
Obtenga las etiquetas de un panel de Lente de almacenamiento de S3 en la consola de Amazon S3.	s3:ListStorageLensConfigurations s3:GetStorageLensConfigurationTagging
Vea un panel de S3 Storage Lens en la consola de Amazon S3.	s3:ListStorageLensConfigurations s3:GetStorageLensConfiguration s3:GetStorageLensDashboard
Eliminar un panel de S3 Storage Lens en la consola de Amazon S3.	s3:ListStorageLensConfigurations s3:GetStorageLensConfiguration s3:DeleteStorageLensConfiguration
Cree o actualice una configuración de Lente de almacenamiento de S3 mediante la AWS CLI o un SDK de AWS.	s3:PutStorageLensConfiguration s3:PutStorageLensConfigurationTagging
Obtenga las etiquetas de una configuración de Lente de almacenamiento de S3 usando la AWS CLI o un SDK de AWS.	s3:GetStorageLensConfigurationTagging
Vea una configuración de Lente de almacenamiento de S3 mediante la AWS CLI o un SDK de AWS.	s3:GetStorageLensConfiguration
Elimine una configuración de Lente de almacenamiento de S3 mediante la AWS CLI o el SDK de AWS.	s3:DeleteStorageLensConfiguration

nota

• Puede utilizar etiquetas de recursos en una política del IAM para administrar permisos.

• Un usuario o rol de IAM con estos permisos puede ver métricas de buckets y prefijos de los que es posible que no tenga permiso directo para leer o mostrar objetos.

• En el caso de los paneles de S3 Storage Lens con las métricas de nivel de prefijo habilitadas, si una ruta de prefijo seleccionada coincide con una clave de objeto, es posible que el panel muestre la clave de objeto como otro prefijo.

• Para las exportaciones de métricas, que se almacenan en un bucket de la cuenta, los permisos se otorgan mediante el permiso s3:GetObject existente en la política de IAM. Del mismo modo, para una entidad de AWS Organizations, la cuenta de administración o de administrador delegado de la organización puede utilizar políticas de IAM para administrar los permisos de acceso para las configuraciones y los paneles en el nivel de la organización.

Configuración de permisos de cuenta para usar grupos de S3 Storage Lens

Puede usar los grupos de S3 Storage Lens para comprender la distribución de su almacenamiento dentro de los buckets en función del prefijo, el sufijo, o la etiqueta, el tamaño o la edad de los objetos. Puede asociar grupos de Storage Lens a sus paneles para ver sus métricas agregadas.

Para trabajar con los grupos de Storage Lens, necesita determinados permisos. Para obtener más información, consulte Permisos de grupos de Storage Lens.

Configuración de permisos para utilizar S3 Storage Lens con AWS Organizations

Puede utilizar Amazon S3 Storage Lens para recopilar métricas de almacenamiento y datos de uso de todas las cuentas que forman parte de la jerarquía de AWS Organizations. Las siguientes son las acciones y permisos relacionados con el uso de S3 Storage Lens con Organizations.

AWS OrganizationsPermisos de IAM relacionados con para el uso de S3 Storage Lens
Acción	Permisos de IAM
Habilite el acceso de confianza para S3 Storage Lens para su organización.	organizations:EnableAWSServiceAccess
Desactive el acceso de confianza para Lente de almacenamiento de S3 para la organización.	organizations:DisableAWSServiceAccess
Registre a un administrador delegado a fin de crear paneles o configuraciones de S3 Storage Lens para su organización.	organizations:RegisterDelegatedAdministrator
Anule el registro de un administrador delegado para que no pueda crear paneles o configuraciones de Lente de almacenamiento de S3 para la organización.	organizations:DeregisterDelegatedAdministrator
Permisos adicionales a fin de crear configuraciones de Lente de almacenamiento de S3 para toda la organización.	organizations:DescribeOrganization organizations:ListAccounts organizations:ListAWSServiceAccessForOrganization organizations:ListDelegatedAdministrators iam:CreateServiceLinkedRole