Festlegen von Kontoberechtigungen Einrichten von Berechtigungen für Storage-Lens-Gruppen AWS Organizations Berechtigungen einrichten

Berechtigungen für Amazon S3 Storage Lens

Amazon S3 Storage Lens benötigt neue Berechtigungen in AWS Identity and Access Management (IAM), um den Zugriff auf S3 Storage Lens-Aktionen zu autorisieren. Um diese Berechtigungen zu gewähren, können Sie eine IAM identitätsbasierte Richtlinie verwenden. Sie können diese Richtlinie IAM Benutzern, Gruppen oder Rollen zuordnen, um ihnen Berechtigungen zu erteilen. Diese Berechtigungen können die Fähigkeit beinhalten, S3 Storage Lens zu aktivieren oder zu deaktivieren oder auf ein beliebiges Dashboard oder eine Konfiguration von S3 Storage Lens zuzugreifen.

Der IAM Benutzer oder die Rolle muss zu dem Konto gehören, das das Dashboard oder die Konfiguration erstellt hat oder besitzt, es sei denn, die beiden folgenden Bedingungen sind erfüllt:

Ihr Konto ist Mitglied von AWS Organizations.
Sie haben über Ihr Verwaltungskonto als delegierter Administrator Zugriff auf die Erstellung von Dashboards auf Organisationsebene erhalten.

Anmerkung

Sie können Dashboards von Amazon S3 Storage Lens nicht mithilfe der Root–Benutzer-Anmeldeinformationen Ihres Kontos aufrufen. Um auf die S3 Storage Lens-Dashboards zugreifen zu können, müssen Sie einem neuen oder vorhandenen IAM Benutzer die erforderlichen IAM Berechtigungen erteilen. Anschließend können Sie sich mit diesen Anmeldeinformationen anmelden, um auf S3-Storage-Lens-Dashboards zuzugreifen. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.
Die Verwendung von S3 Storage Lens in der Amazon S3-Konsole kann mehrere Berechtigungen erfordern. Zum Bearbeiten eines Dashboards in der Konsole benötigen Sie beispielsweise die folgenden Berechtigungen:
- s3:ListStorageLensConfigurations
- s3:GetStorageLensConfiguration
- s3:PutStorageLensConfiguration

Themen

Festlegen von Kontoberechtigungen für die Verwendung von S3 Storage Lens
Festlegen von Kontoberechtigungen für die Verwendung von S3-Storage-Lens-Gruppen
Festlegen von Berechtigungen für die Verwendung von S3 Storage Lens mit AWS Organizations

Festlegen von Kontoberechtigungen für die Verwendung von S3 Storage Lens

Zum Erstellen und Verwalten von S3-Storage-Lens-Dashboards und Storage-Lens-Dashboard-Konfigurationen benötigen Sie je nachdem, welche Aktionen Sie ausführen möchten, die folgenden Berechtigungen:

IAMBerechtigungen im Zusammenhang mit Amazon S3 Storage Lens
Aktion	IAMBerechtigungen
Erstellen oder Aktualisieren eines S3-Storage-Lens-Dashboards in der Amazon S3-Konsole.	`s3:ListStorageLensConfigurations` `s3:GetStorageLensConfiguration` `s3:GetStorageLensConfigurationTagging` `s3:PutStorageLensConfiguration` `s3:PutStorageLensConfigurationTagging`
Abrufen der Tags eines S3-Storage-Lens-Dashboards in der Amazon-S3-Konsole.	`s3:ListStorageLensConfigurations` `s3:GetStorageLensConfigurationTagging`
Ansehen eines S3-Storage-Lens-Dashboards in der Amazon S3-Konsole.	`s3:ListStorageLensConfigurations` `s3:GetStorageLensConfiguration` `s3:GetStorageLensDashboard`
Löschen eines S3-Storage-Lens-Dashboards in der Amazon S3-Konsole.	`s3:ListStorageLensConfigurations` `s3:GetStorageLensConfiguration` `s3:DeleteStorageLensConfiguration`
Erstellen oder aktualisieren Sie eine S3-Storage-Lens-Konfiguration mit dem AWS CLI oder einem AWS SDK.	`s3:PutStorageLensConfiguration` `s3:PutStorageLensConfigurationTagging`
Rufen Sie die Tags einer S3 Storage Lens-Konfiguration ab, indem Sie AWS CLI oder ein verwenden AWS SDK.	`s3:GetStorageLensConfigurationTagging`
Zeigen Sie eine S3-Storage-Lens-Konfiguration an, indem Sie AWS CLI oder ein verwenden AWS SDK.	`s3:GetStorageLensConfiguration`
Löschen Sie eine S3-Storage-Lens-Konfiguration mithilfe von AWS CLI oder AWS SDK.	`s3:DeleteStorageLensConfiguration`

Anmerkung

Die Dashboard-Ansichten von S3 Storage Lens werden CloudTrail mit dem Namen des Ereignisses angemeldetGetStorageLensDashboardDataInternal.
Sie können Ressourcen-Tags in einer IAM Richtlinie verwenden, um Berechtigungen zu verwalten.
Ein IAM Benutzer oder eine Rolle mit diesen Berechtigungen kann Metriken aus Buckets und Präfixen sehen, für die er möglicherweise keine direkte Berechtigung hat, Objekte zu lesen oder aufzulisten.
Wenn bei S3-Storage-Lens-Dashboards mit aktivierten Metriken auf Präfixebene ein ausgewählter Präfixpfad mit einem Objektschlüssel übereinstimmt, zeigt das Dashboard den Objektschlüssel möglicherweise als anderes Präfix an.
Für Metrikexporte, die in einem Bucket in Ihrem Konto gespeichert sind, werden Berechtigungen mithilfe der in der IAM Richtlinie vorhandenen s3:GetObject Berechtigungen erteilt. Ähnlich können bei einer AWS Organizations Entität das Verwaltungskonto der Organisation oder delegierte Administratorkonten IAM Richtlinien verwenden, um Zugriffsberechtigungen für Dashboards und Konfigurationen auf Organisationsebene zu verwalten.

Festlegen von Kontoberechtigungen für die Verwendung von S3-Storage-Lens-Gruppen

Mithilfe von S3-Storage-Lens-Gruppen können Sie die Speicherverteilung innerhalb von Buckets anhand von Präfix, Suffix, Objekt-Tag, Objektgröße oder Objektalter nachvollziehen. Sie können Storage-Lens-Gruppe an Dashboards anhängen, um ihre aggregierten Metriken anzuzeigen.

Für die Verwendung von Storage-Lens-Gruppen benötigen Sie bestimmte Berechtigungen. Weitere Informationen finden Sie unter Berechtigungen für Storage-Lens-Gruppen.

Festlegen von Berechtigungen für die Verwendung von S3 Storage Lens mit AWS Organizations

Sie können Amazon S3 Storage Lens verwenden, um Speichermetriken und Nutzungsdaten für alle Konten zu sammeln, die Teil Ihrer AWS Organizations Hierarchie sind. Im Folgenden finden Sie die Aktionen und Berechtigungen für die Verwendung von S3 Storage Lens mit Organizations.

AWS Organizations verwandte IAM Berechtigungen für die Verwendung von S3 Storage Lens
Aktion	IAMBerechtigungen
Aktivieren des vertrauenswürdigen Zugriffs für S3 Storage Lens für Ihre Organisation.	`organizations:EnableAWSServiceAccess`
Deaktivieren des vertrauenswürdigen Zugriffs für S3 Storage Lens für Ihre Organisation.	`organizations:DisableAWSServiceAccess`
Registrieren eines delegierten Administrators für die Erstellung von S3-Storage-Lens-Dashboards oder -Konfigurationen für Ihre Organisation.	`organizations:RegisterDelegatedAdministrator`
Abmelden eines delegierten Administrators, damit dieser keine S3 Storage Lens-Dashboards oder -Konfigurationen mehr für Ihre Organisation erstellen kann.	`organizations:DeregisterDelegatedAdministrator`
Zusätzliche Berechtigungen zum Erstellen von organisationsweiten S3-Storage-Lens-Konfigurationen	`organizations:DescribeOrganization` `organizations:ListAccounts` `organizations:ListAWSServiceAccessForOrganization` `organizations:ListDelegatedAdministrators` `iam:CreateServiceLinkedRole`

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Arbeiten mit Organisationen

Anzeigen von Speichermetriken