Verwenden von serviceverknüpften Rollen für Amazon S3 Storage Lens - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für Amazon S3 Storage Lens

Um Amazon S3 Storage Lens zum Sammeln und Aggregieren von Metriken für alle Ihre Konten in AWS Organizations-Organisationen zu verwenden, müssen Sie zunächst sicherstellen, dass S3-Storage-Lens über vertrauenswürdigen Zugriff verfügt, der durch das Verwaltungskonto in Ihrer Organisation aktiviert ist. S3 Storage Lens erstellt eine dienstbezogene Rolle (SLR), damit es die Liste der AWS-Konten Mitglieder Ihrer Organisation abrufen kann. Diese Liste von Konten wird von S3 Storage Lens verwendet, um Metriken für S3-Ressourcen in allen Mitgliedskonten zu sammeln, wenn das S3-Storage-Lens-Dashboard oder die Konfigurationen erstellt oder aktualisiert werden.

Amazon S3 Storage Lens verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger IAM Rollentyp, der direkt mit S3 Storage Lens verknüpft ist. Dienstbezogene Rollen sind von S3 Storage Lens vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere in AWS-Services Ihrem Namen anzurufen.

Eine serviceverknüpfte Rolle vereinfacht das Einrichten von S3 Storage Lens, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. S3 Storage Lens definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern keine andere Konfiguration festgelegt wurde, kann nur S3 Storage Lens die Rollen übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen IAM Entität zugeordnet werden.

Sie können diese serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dies schützt Ihre S3-Storage-Lens-Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.

Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter AWS Dienste, die mit Dienstverknüpften Rollen funktionieren, IAM und suchen Sie nach Diensten, für die in der Spalte Dienstverknüpfte Rolle die Option Ja steht. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Berechtigungen für serviceverknüpfte Rollen für Amazon S3 Storage Lens

S3 Storage Lens verwendet die dienstgebundene Rolle mit dem Namen AWSServiceRoleForS3StorageLens— Diese ermöglicht den Zugriff auf AWS Dienste und Ressourcen, die von S3 Storage Lens verwendet oder verwaltet werden. Dadurch kann S3 Storage Lens in Ihrem Namen auf AWS Organizations Ressourcen zugreifen.

Die serviceverknüpfte Rolle S3 Storage Lens vertraut dem folgenden Service auf dem Speicher Ihres Unternehmens:

  • storage-lens.s3.amazonaws.com

Die Rollenberechtigungsrichtlinie erlaubt S3 Storage Lens die Durchführung der folgenden Aktionen:

  • organizations:DescribeOrganization

    organizations:ListAccounts

    organizations:ListAWSServiceAccessForOrganization

    organizations:ListDelegatedAdministrators

Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Berechtigungen für dienstbezogene Rollen im IAMBenutzerhandbuch.

Erstellen einer serviceverknüpften Rolle für S3 Storage Lens

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine der folgenden Aufgaben ausführen, während Sie beim AWS Organizations Management- oder Delegate-Administratorkonto angemeldet sind, erstellt S3 Storage Lens die dienstbezogene Rolle für Sie:

  • Erstellen Sie in der Amazon-S3-Konsole eine S3-Storage-Lens-Dashboard-Konfiguration für Ihr Unternehmen.

  • PUTeine S3 Storage Lens-Konfiguration für Ihre Organisation mithilfe von RESTAPI, und AWS CLI . SDKs

Anmerkung

S3 Storage Lens unterstützt maximal fünf delegierte Administratoren pro Organisation.

Wenn Sie diese serviceverknüpfte Rolle löschen, werden sie von den vorherigen Aktionen bei Bedarf neu erstellt.

Beispielrichtlinie für die serviceverknüpfte Rolle S3 Storage Lens

Beispiel Berechtigungsrichtlinie für die serviceverknüpfte Rolle S3 Storage Lens
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AwsOrgsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource": [ "*" ] } ] }

Bearbeiten einer serviceverknüpften Rolle für Amazon S3 Storage Lens

Mit S3 Storage Lens können Sie das nicht bearbeiten AWSServiceRoleForS3StorageLens Rolle, die mit dem Dienst verknüpft ist. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können die Beschreibung der Rolle jedoch mit IAM bearbeiten. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Bearbeiten einer dienstbezogenen Rolle.

Löschen einer serviceverknüpften Rolle für Amazon S3 Storage Lens

Wenn Sie die serviceverknüpfte Rolle nicht mehr verwenden müssen, empfehlen wir, die Rolle zu löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Anmerkung

Wenn der Amazon-S3-Storage-Lens-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

Um das zu löschen AWSServiceRoleForS3StorageLens Sie müssen alle S3 Storage Lens-Konfigurationen auf Organisationsebene löschen, die in allen vorhanden sind, AWS-Regionen indem Sie das AWS Organizations Management- oder das Delegate-Administratorkonto verwenden.

Die Ressourcen sind S3-Storage-Lens-Konfigurationen auf Organisationsebene. Verwenden Sie S3 Storage Lens, um die Ressourcen zu bereinigen, und verwenden Sie dann die IAMKonsole,CLI, oder RESTAPI, AWS SDK um die Rolle zu löschen.

In den Bereichen REST API AWS CLI SDKs, und können S3 Storage Lens-Konfigurationen anhand aller Regionen ermittelt werden, ListStorageLensConfigurations in denen Ihr Unternehmen S3 Storage Lens-Konfigurationen erstellt hat. Verwenden Sie die Aktion DeleteStorageLensConfiguration, um diese Konfigurationen zu löschen, damit Sie die Rolle dann löschen können.

Anmerkung

Um die serviceverknüpfte Rolle zu löschen, müssen Sie alle S3-Storage-Lens-Konfigurationen auf Organisationsebene in allen Regionen löschen, in denen sie existieren.

Um Amazon S3 Storage Lens-Ressourcen zu löschen, die verwendet werden von AWSServiceRoleForS3StorageLens SLR
  1. Um eine Liste Ihrer Konfigurationen auf Organisationsebene zu erhalten, müssen Sie ListStorageLensConfigurations in jeder Region, in der Sie über S3 Storage Lens-Konfigurationen verfügen, die S3 Storage Lens verwenden. Diese Liste kann auch über die Amazon S3 S3-Konsole abgerufen werden.

  2. Löschen Sie diese Konfigurationen von den entsprechenden regionalen Endpunkten, indem DeleteStorageLensConfiguration API Sie den Anruf aufrufen oder die Amazon S3 S3-Konsole verwenden.

Um die mit dem Service verknüpfte Rolle manuell zu löschen, verwenden Sie IAM

Nachdem Sie die Konfigurationen gelöscht haben, löschen Sie die AWSServiceRoleForS3StorageLens SLRvon der IAMKonsole aus oder durch IAM API DeleteServiceLinkedRole Aufrufen von oder mithilfe von AWS CLI oder AWS SDK. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer serviceverknüpften Rolle.

Unterstützte Regionen für serviceverknüpfte Rollen mit S3 Storage Lens

S3 Storage Lens unterstützt die Verwendung von dienstbezogenen Rollen überall dort, AWS-Regionen wo der Dienst verfügbar ist. Weitere Informationen finden Sie unter Amazon-S3-Regionen und Endpunkte.