Funktionsweise von S3-Storage-Lens-Gruppen

Mit Storage-Lens-Gruppen lassen sich Metriken mithilfe benutzerdefinierter Filter auf der Grundlage von Objektmetadaten aggregieren. Wenn Sie einen benutzerdefinierten Filter definieren, können Sie Präfixe, Suffixe, Objekt-Tags, Objektgrößen, Objektalter oder eine Kombination dieser benutzerdefinierten Filter verwenden. Bei der Erstellung einer Storage-Lens-Gruppe können Sie zudem einen einzelnen Filter oder mehrere Filterbedingungen angeben. Zur Angabe mehrerer Filterbedingungen verwenden Sie den logischen Operator And oder Or.

Wenn Sie eine Storage-Lens-Gruppe erstellen und konfigurieren, dient die Storage-Lens-Gruppe selbst als benutzerdefinierter Filter im Dashboard, an das Sie die Gruppe anhängen. Im Dashboard können Sie dann den Storage-Lens-Gruppenfilter verwenden, um Speichermetriken auf Grundlage des benutzerdefinierten Filters abzurufen, den Sie in der Gruppe definiert haben.

Um die Daten für die Storage-Lens-Gruppe im S3-Storage-Lens-Dashboard anzuzeigen, müssen Sie die Gruppe nach der Erstellung an das Dashboard anhängen. Nachdem die Storage-Lens-Gruppe an das Storage-Lens-Dashboard angehängt wurde, erfasst das Dashboard innerhalb von 48 Stunden Metriken zur Speichernutzung. Sie können diese Daten dann im Storage-Lens-Dashboard visualisieren oder sie über einen Metrikexport exportieren. Falls Sie vergessen, eine Storage-Lens-Gruppe an ein Dashboard anzuhängen, werden die Daten der Storage-Lens-Gruppe weder erfasst noch angezeigt.

Anmerkung

• Wenn Sie eine S3-Storage-Lens-Gruppe erstellen, legen Sie eine AWS-Ressource an. Daher hat jede Storage-Lens-Gruppe ihren eigenen Amazon-Ressourcennamen (ARN), den Sie angeben können, wenn Sie sie an ein S3-Storage-Lens-Dashboard anhängen oder daraus ausschließen.

• Wenn eine Storage-Lens-Gruppe nicht an ein Dashboard angehängt ist, fallen für Sie keine zusätzlichen Gebühren für die Erstellung einer Storage-Lens-Gruppe an.

• S3 Storage Lens aggregiert Nutzungsmetriken für ein Objekt aus allen passenden Storage-Lens-Gruppen. Wenn also ein Objekt den Filterbedingungen für zwei oder mehr Storage-Lens-Gruppen entspricht, werden Sie in Ihrer Speichernutzung wiederholte Angaben für dasselbe Objekt sehen.

Sie können eine Storage-Lens-Gruppe auf Kontoebene in einer bestimmten Heimatregion (aus der Liste der unterstützten AWS-Regionen) erstellen. Anschließend können Sie die Storage-Lens-Gruppe mehreren Storage-Lens-Dashboards zuordnen, sofern sich die Dashboards in demselben AWS-Konto und in derselben Heimatregion befinden. Sie sind in der Lage, pro Heimatregion in jedem AWS-Konto bis zu 50 Storage-Lens-Gruppen zu erstellen.

Die Verwaltung und Erstellung von S3-Storage-Lens-Gruppen ist mithilfe der Amazon-S3-Konsole, der AWS Command Line Interface, (AWS CLI), der AWS-SDKs oder der Amazon-S3-REST-API möglich.

Anzeigen aggregierter Metriken von Storage-Lens-Gruppen

Sie können die aggregierten Metriken für Storage-Lens-Gruppen anzeigen, indem Sie die Gruppen an ein Dashboard anhängen. Die anzuhängenden Storage-Lens-Gruppen müssen sich in der angegebenen Heimatregion des Dashboard-Kontos befinden.

Um eine Storage-Lens-Gruppe an ein Dashboard anzuhängen, müssen Sie die Gruppe im Abschnitt Aggregation von Storage-Lens-Gruppen der Dashboard-Konfiguration angeben. Sind mehrere Storage-Lens-Gruppen vorhanden, können Sie die Ergebnisse der Aggregation von Storage-Lens-Gruppen filtern und bestimmte Gruppen ein- oder ausschließen. Weitere Informationen zum Anhängen von Gruppen an Dashboards finden Sie unter Anhängen von S3-Storage-Lens-Gruppen an das Dashboard und Entfernen der Gruppen.

Nachdem Sie die Gruppen angehängt haben, erhalten Sie innerhalb von 48 Stunden die zusätzlichen Aggregationsdaten der Storage-Lens-Gruppen im Dashboard.

Anmerkung

Wenn Sie aggregierte Metriken für die Storage-Lens-Gruppe einsehen möchten, müssen Sie die Gruppe an das S3-Storage-Lens-Dashboard anhängen.

Berechtigungen für Storage-Lens-Gruppen

Storage-Lens-Gruppen erfordern gewisse Berechtigungen in AWS Identity and Access Management (IAM), um den Zugriff auf S3-Storage-Lens-Gruppen-Aktionen zu autorisieren. Zum Erteilen dieser Berechtigungen können Sie eine identitätsbasierte IAM-Richtlinie verwenden. Die Richtlinie lässt sich an IAM-Benutzer, -Gruppen oder -Rollen anhängen, wodurch diese die entsprechenden Berechtigungen erhalten. Solche Berechtigungen können die Fähigkeit beinhalten, Storage-Lens-Gruppen zu erstellen oder zu löschen, ihre Konfigurationen einzusehen oder ihre Tags zu verwalten.

Der IAM-Benutzer oder die IAM-Rolle, dem bzw. der Sie Berechtigungen gewähren, muss zu dem Konto gehören, das die Storage-Lens-Gruppe erstellt hat oder dem diese angehört.

Zur Nutzung von Storage-Lens-Gruppen und zur Anzeige der Metriken von Storage-Lens-Gruppen benötigen Sie zunächst die entsprechenden Berechtigungen für die Verwendung von S3 Storage Lens. Weitere Informationen finden Sie unter Berechtigungen für Amazon S3 Storage Lens.

Für die Erstellung und Verwaltung von S3-Storage-Lens-Gruppen sind je nachdem, welche Aktionen Sie ausführen möchten, die folgenden IAM-Berechtigungen erforderlich:

Aktion	IAM-Berechtigungen
Erstellen einer neuen Storage-Lens-Gruppe	s3:CreateStorageLensGroup
Erstellen einer neuen Storage-Lens-Gruppe	s3:CreateStorageLensGroup, s3:TagResource
Aktualisieren einer vorhandenen Storage-Lens-Gruppe	s3:UpdateStorageLensGroup
Zurückgeben der Konfigurationsdetails einer Storage-Lens-Gruppe	s3:GetStorageLensGroup
Auflisten aller Storage-Lens-Gruppen in der Heimatregion	s3:ListStorageLensGroups
Löschen einer Storage-Lens-Gruppe	s3:DeleteStorageLensGroup
Auflisten der Tags, die der Storage-Lens-Gruppe hinzugefügt wurden	s3:ListTagsForResource
Hinzufügen oder Aktualisieren eines Storage-Lens-Gruppen-Tags für eine vorhandene Storage-Lens-Gruppe	s3:TagResource
Löschen eines Tags aus einer Storage-Lens-Gruppe	s3:UntagResource

Im Folgenden finden Sie ein Beispiel für die Konfiguration der IAM-Richtlinie in dem Konto, in dem die Storage-Lens-Gruppe erstellt wurde. Zur Verwendung dieser Richtlinie ersetzen Sie us-east-1 durch die Heimatregion, in der sich die Storage-Lens-Gruppe befindet. Ersetzen Sie 111122223333 durch Ihre AWS-Konto-ID und example-storage-lens-group durch den Namen der Storage-Lens-Gruppe. Wenn Sie diese Berechtigungen auf alle Storage-Lens-Gruppen anwenden möchten, ersetzen Sie example-storage-lens-group durch ein *.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EXAMPLE-Statement-ID",
            "Effect": "Allow",
            "Action": [
                "s3:CreateStorageLensGroup",
                "s3:UpdateStorageLensGroup",
                "s3:GetStorageLensGroup",
                "s3:ListStorageLensGroups",
                "s3:DeleteStorageLensGroup,
                "s3:TagResource",
                "s3:UntagResource",
                "s3:ListTagsForResource"
                ],
            "Resource": "arn:aws:s3:us-east-1:111122223333:storage-lens-group/example-storage-lens-group"
        }
    ]
}

Weitere Informationen zur Verwendung von S3-Storage-Lens-Berechtigungen finden Sie unter Berechtigungen für Amazon S3 Storage Lens. Weitere Informationen zur IAM-Richtliniensprache finden Sie unter Richtlinien und Berechtigungen in Amazon S3.

Konfiguration von Storage-Lens-Gruppen

Namen von S3-Storage-Lens-Gruppen

Wir empfehlen, Storage-Lens-Gruppen Namen zu geben, die auf ihren Zweck hinweisen. Auf diese Weise können Sie leicht feststellen, an welche Gruppen Dashboards angehängt werden sollen. Um eine Storage-Lens-Gruppe an ein Dashboard anzuhängen, müssen Sie die Gruppe im Abschnitt Aggregation von Storage-Lens-Gruppen der Dashboard-Konfiguration angeben.

Namen von Storage-Lens-Gruppen müssen innerhalb des Kontos eindeutig sein. Sie dürfen nicht länger als 64 Zeichen sein. Nur Buchstaben (a–z, A–Z), Zahlen (0–9), Bindestriche (-) und Unterstriche (_) sind zulässig.

Heimatregion

Die Heimatregion ist die AWS-Region, in der eine Storage-Lens-Gruppe erstellt und verwaltet wird. Eine Storage-Lens-Gruppe wird in derselben Heimatregion wie das Amazon-S3-Storage-Lens-Dashboard erstellt. Die Konfiguration und die Metriken der Storage-Lens-Gruppe werden ebenfalls in dieser Region gespeichert. Sie sind in der Lage, in einer Heimatregion bis zu 50 Storage-Lens-Gruppen zu erstellen.

Nachdem Sie eine Storage-Lens-Gruppe erstellt haben, können Sie die Heimatregion nicht bearbeiten.

Scope

Um Objekte in eine Storage-Lens-Gruppe aufzunehmen, müssen sie sich im Umfang des Amazon-S3-Storage-Lens-Dashboards befinden. Der Umfang des Storage-Lens-Dashboards wird durch die Buckets bestimmt, die Sie in den Dashboard-Umfang der S3-Storage-Lens-Dashboard-Konfiguration aufgenommen haben.

Sie können verschiedene Filter für Ihre Objekte verwenden, um den Umfang einer Storage-Lens-Gruppe zu definieren. Um diese Storage-Lens-Gruppenmetriken im S3-Storage-Lens-Dashboard anzuzeigen, müssen Objekte den Filtern entsprechen, die Sie in die Storage-Lens-Gruppen aufnehmen. Angenommen, in einer Storage-Lens-Gruppe werden Objekte mit dem Präfix marketing und dem Suffix .png berücksichtigt, aber keine Objekte entsprechen diesen Kriterien. In diesem Fall werden in dem täglichen Metrikexport keine Metriken für diese Storage-Lens-Gruppe generiert und im Dashboard sind keine Metriken für diese Gruppe sichtbar.

Filter

Sie können die folgenden Filter in einer S3-Storage-Lens-Gruppe verwenden:

• Präfixe – Gibt das Präfix der berücksichtigten Objekte an. Es handelt sich um eine Zeichenfolge am Anfang des Objektschlüsselnamens. Der Wert images für den Filter Präfixe schließt beispielsweise Objekte mit einem der folgenden Präfixe ein:images/, images-marketing und images/production. Die maximale Länge eines Präfixes beträgt 512 Byte.

• Suffixe – Gibt das Suffix der berücksichtigten Objekte an (z. B. .png, .jpeg oder .csv). Die maximale Länge eines Suffixes beträgt 1 024 Byte.

• Objekt-Tags – Gibt die Liste der Objekt-Tags an, nach denen gefiltert werden soll. Ein Tag-Schlüssel darf nicht mehr als 128 Unicode-Zeichen beinhalten, ein Tag-Wert maximal 256 Unicode-Zeichen. Beachten Sie, dass S3-Storage-Lens-Gruppen das Objekt nur anderen Objekten zuordnen, die auch leere Tag-Werte haben, wenn das Feld Objekt-Tag-Wert leer gelassen wird.

• Alter – Gibt den Altersbereich der enthaltenen Objekte in Tagen an. Es werden nur Ganzzahlen unterstützt.

• Größe – Gibt den Objektgrößenbereich der berücksichtigten Objekte in Byte an. Es werden nur Ganzzahlen unterstützt. Der maximal zulässige Wert ist 5 TB.

Objekt-Tags von Storage-Lens-Gruppen

Sie können eine Storage-Lens-Gruppe erstellen, die bis zu 10 Objekt-Tag-Filter enthält. Das folgende Beispiel enthält zwei Schlüssel-Wert-Paare für Objekt-Tags als Filter für eine Storage-Lens-Gruppe namens Marketing-Department. Zur Verwendung dieses Beispiels ersetzen Sie Marketing-Department durch den Namen Ihrer Gruppe und object-tag-key-1, object-tag-value-1 usw. durch die Schlüssel-Wert-Paare der Objekt-Tags, nach denen Sie filtern möchten.

{
    "Name": "Marketing-Department",
    "Filter": {
     "MatchAnyTag":[
                {
                    "Key": "object-tag-key-1",
                    "Value": "object-tag-value-1"
                },
                {
                    "Key": "object-tag-key-2",
                    "Value": "object-tag-value-2"
                }
            ]
    }
}

Logische Operatoren (And oder Or)

Um mehrere Filterbedingungen in eine Storage-Lens-Gruppe aufzunehmen, können Sie logische Operatoren (entweder And oder Or) einsetzen. Im folgenden Beispiel besitzt die Storage-Lens-Gruppe Marketing-Department einen And-Operator, der die Filter ObjectSize, Prefix und ObjectAge enthält. Aufgrund des And-Operators werden nur Objekte, die allen Filterbedingungen entsprechen, in den Umfang der Storage-Lens-Gruppe aufgenommen.

Zur Verwendung dieses Beispiels ersetzen Sie die user input placeholders durch die Werte, nach denen Sie filtern möchten.

{
    "Name": "Marketing-Department",
    "Filter": {
        "And": {
            "MatchAnyPrefix": [
                "prefix-1",
                "prefix-2",
                "prefix-3/sub-prefix-1" 
            ],
             "MatchObjectAge": {
                "DaysGreaterThan": 10,
                "DaysLessThan": 60
            },
            "MatchObjectSize": {
                "BytesGreaterThan": 10,
                "BytesLessThan": 60 
            }
        }
    }
}

Anmerkung

Wenn Sie Objekte berücksichtigen möchten, die nur einer Filterbedingung entsprechen, ersetzen Sie in diesem Beispiel den logischen Operator And durch den logischen Operator Or.

AWS-Ressourcen-Tags

Jede S3-Storage-Lens-Gruppe gilt als AWS-Ressource mit eigenem Amazon-Ressourcenname (ARN). Daher können Sie bei der Konfiguration einer Storage-Lens-Gruppe optional AWS-Ressourcen-Tags zur Gruppe hinzufügen. Es ist möglich, für jede Storage-Lens-Gruppe bis zu 50 Tags hinzuzufügen. Zum Erstellen einer Storage-Lens-Gruppe mit Tags benötigen Sie die Berechtigungen s3:TagResource und s3:CreateStorageLensGroup.

Mithilfe von AWS-Ressourcen-Tags lassen sich Ressourcen nach Abteilung, Geschäftsbereich oder Projekt kategorisieren. Dies ist sinnvoll, wenn viele Ressourcen desselben Typs vorliegen. Durch die Anwendung von Tags können Sie eine bestimmte Storage-Lens-Gruppe auf Grundlage der ihr zugewiesenen Tags schnell identifizieren. Sie können Tags auch verwenden, um Ihre Kosten zu kategorisieren und zu verfolgen.

Wenn Sie einer Storage-Lens-Gruppe ein AWS-Ressourcen-Tag hinzufügen, aktivieren Sie außerdem die attributbasierte Zugriffskontrolle (ABAC). ABAC ist eine Autorisierungsstrategie, die Berechtigungen basierend auf Attributen – in diesem Fall Tags – definiert. Sie können auch Bedingungen verwenden, die Ressourcen-Tags in den IAM-Richtlinien für die Steuerung des Zugriffs auf AWS-Ressourcen angeben.

Sie können Tag (Markierung)-Schlüssel und -Werte bearbeiten und Tags (Markierungen) jederzeit von einer Ressource entfernen. Beachten Sie folgende Einschränkungen:

• Bei Tag-Schlüsseln und Tag-Werten muss die Groß- und Kleinschreibung beachtet werden.

• Wenn Sie ein Tag (Markierung) mit demselben Schlüssel wie ein vorhandener Tag (Markierung) für die Ressource hinzufügen, wird der alte Wert mit dem neuen überschrieben.

• Wenn Sie eine Ressource löschen, werden alle Tags (Markierungen) der Ressource ebenfalls gelöscht.

• Fügen Sie keine privaten oder vertraulichen Daten in AWS-Ressourcen-Tags ein.

• Systemtags (oder Tags mit Tag-Schlüsseln, die mit aws: beginnen) werden nicht unterstützt.

• Die einzelnen Tag-Schlüssel dürfen maximal 128 Zeichen lang sein. Die einzelnen Tag-Werte dürfen maximal 256 Zeichen lang sein.

Metrikexport für Storage-Lens-Gruppen

Die Metriken einer S3-Storage-Lens-Gruppe sind im Amazon-S3-Storage-Lens-Metrikexport für das Dashboard enthalten, an das die Storage-Lens-Gruppe angehängt wird. Allgemeine Informationen zur Exportfunktion für Storage-Lens-Metriken finden Sie unter Anzeigen von Amazon S3-Storage-Lens-Metriken mit einem Datenexport.

Der Metrikexport für Storage-Lens-Gruppen umfasst alle S3-Storage-Lens-Metriken, die im Umfang für das Dashboard enthalten sind, an das die Storage-Lens-Gruppe angehängt wurde. Der Export beinhaltet zudem zusätzliche Metrikdaten für Storage-Lens-Gruppen.

Nach Erstellung der Storage-Lens-Gruppe wird der Metrikexport täglich an den Bucket gesendet, den Sie bei der Konfiguration des Metrikexports für das Dashboard ausgewählt haben, an das die Gruppe angehängt wird. Es kann bis zu 48 Stunden dauern, bis Sie den ersten Metrikexport erhalten.

Damit Metriken im täglichen Export generiert werden, müssen Objekte den Filtern entsprechen, die Sie in die Storage-Lens-Gruppen aufnehmen. Wenn den Filtern, die Sie in die Storage-Lens-Gruppe eingebunden haben, keine Objekte entsprechen, werden keine Metriken generiert. Entspricht ein Objekt jedoch zwei oder mehr Storage-Lens-Gruppen, wird das Objekt im Metrikexport für jede Gruppe separat aufgeführt.

Sie können Metriken für Storage-Lens-Gruppen ermitteln, indem Sie in der Spalte record_type des Metrikexports für das Dashboard nach einem der folgenden Werte suchen:

• STORAGE_LENS_GROUP_BUCKET

• STORAGE_LENS_GROUP_ACCOUNT

In der Spalte record_value wird der Ressourcen-ARN für die Storage-Lens-Gruppe angezeigt (z. B. arn:aws:s3:us-east-1:111122223333:storage-lens-group/Marketing-Department).