Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von serviceverknüpften Rollen für Amazon S3 Storage Lens
Um Amazon S3 Storage Lens zum Sammeln und Aggregieren von Metriken für alle Ihre Konten in AWS Organizations-Organisationen zu verwenden, müssen Sie zunächst sicherstellen, dass S3-Storage-Lens über vertrauenswürdigen Zugriff verfügt, der durch das Verwaltungskonto in Ihrer Organisation aktiviert ist. S3 Storage Lens erstellt eine serviceverknüpfte Rolle (SLR), damit es die Liste der Mitglieder Ihrer Organisation AWS-Konten abrufen kann. Diese Liste von Konten wird von S3 Storage Lens verwendet, um Metriken für S3-Ressourcen in allen Mitgliedskonten zu sammeln, wenn das S3-Storage-Lens-Dashboard oder die Konfigurationen erstellt oder aktualisiert werden.
Amazon S3 Storage Lens verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist ein spezieller Typ von IAM-Rolle, die direkt mit S3 Storage Lens verknüpft ist. Servicebezogene Rollen sind von S3 Storage Lens vordefiniert und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS-Services in Ihrem Namen anzurufen.
Eine serviceverknüpfte Rolle vereinfacht das Einrichten von S3 Storage Lens, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. S3 Storage Lens definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern keine andere Konfiguration festgelegt wurde, kann nur S3 Storage Lens die Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können diese serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dies schützt Ihre S3-Storage-Lens-Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.
Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter AWS -Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Yes (Ja) in der Spalte Service-Linked Role (Serviceverknüpfte Rolle) angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
Berechtigungen für serviceverknüpfte Rollen für Amazon S3 Storage Lens
S3 Storage Lens verwendet die serviceverknüpfte Rolle mit dem Namen AWSServiceRoleForS3. StorageLens Dadurch wird der Zugriff auf AWS Dienste und Ressourcen ermöglicht, die von S3 Storage Lens verwendet oder verwaltet werden. Dadurch kann S3 Storage Lens in Ihrem Namen auf AWS Organizations Ressourcen zugreifen.
Die serviceverknüpfte Rolle S3 Storage Lens vertraut dem folgenden Service auf dem Speicher Ihres Unternehmens:
-
storage-lens.s3.amazonaws.com
Die Rollenberechtigungsrichtlinie erlaubt S3 Storage Lens die Durchführung der folgenden Aktionen:
-
organizations:DescribeOrganizationorganizations:ListAccountsorganizations:ListAWSServiceAccessForOrganizationorganizations:ListDelegatedAdministrators
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.
Erstellen einer serviceverknüpften Rolle für S3 Storage Lens
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine der folgenden Aufgaben ausführen, während Sie beim AWS Organizations Management- oder Delegate-Administratorkonto angemeldet sind, erstellt S3 Storage Lens die dienstbezogene Rolle für Sie:
Erstellen Sie in der Amazon-S3-Konsole eine S3-Storage-Lens-Dashboard-Konfiguration für Ihr Unternehmen.
PUTeine S3 Storage Lens-Konfiguration für Ihre Organisation, die die REST-API verwendet, und AWS CLI . SDKs
Anmerkung
S3 Storage Lens wird maximal fünf delegierte Administratoren pro Unternehmen unterstützen.
Wenn Sie diese serviceverknüpfte Rolle löschen, werden sie von den vorherigen Aktionen bei Bedarf neu erstellt.
Beispielrichtlinie für die serviceverknüpfte Rolle S3 Storage Lens
Beispiel Berechtigungsrichtlinie für die serviceverknüpfte Rolle S3 Storage Lens
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AwsOrgsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource": [ "*" ] } ] }
Bearbeiten einer serviceverknüpften Rolle für Amazon S3 Storage Lens
Mit S3 Storage Lens können Sie das nicht bearbeiten AWSServiceRoleForS3StorageLens Rolle, die mit dem Dienst verknüpft ist. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Löschen einer serviceverknüpften Rolle für Amazon S3 Storage Lens
Wenn Sie die serviceverknüpfte Rolle nicht mehr verwenden müssen, empfehlen wir, die Rolle zu löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
Anmerkung
Wenn der Amazon-S3-Storage-Lens-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
Um das zu löschen AWSServiceRoleForS3StorageLens Sie müssen alle S3 Storage Lens-Konfigurationen auf Organisationsebene löschen, die in allen vorhanden sind, AWS-Regionen indem Sie das AWS Organizations Management- oder das Delegate-Administratorkonto verwenden.
Die Ressourcen sind S3-Storage-Lens-Konfigurationen auf Organisationsebene. Verwenden Sie S3 Storage Lens, um die Ressourcen zu bereinigen, und verwenden Sie dann die IAM-Konsole
In der REST-API AWS CLI SDKs, und können S3 Storage Lens-Konfigurationen ListStorageLensConfigurations in allen Regionen ermittelt werden, in denen Ihre Organisation S3 Storage Lens-Konfigurationen erstellt hat. Verwenden Sie die Aktion DeleteStorageLensConfiguration, um diese Konfigurationen zu löschen, damit Sie die Rolle dann löschen können.
Anmerkung
Um die serviceverknüpfte Rolle zu löschen, müssen Sie alle S3-Storage-Lens-Konfigurationen auf Organisationsebene in allen Regionen löschen, in denen sie existieren.
Um Amazon S3 Storage Lens-Ressourcen zu löschen, die verwendet werden von AWSServiceRoleForS3StorageLens SLR
-
Um eine Liste Ihrer Konfigurationen auf Organisationsebene zu erhalten, müssen Sie die
ListStorageLensConfigurationsin jeder Region verwenden, in der Sie S3-Storage-Lens-Konfigurationen haben. Diese Liste kann auch von der Amazon-S3-Konsole bezogen werden. -
Löschen Sie diese Konfigurationen von den entsprechenden regionalen Endpunkten, indem Sie den
DeleteStorageLensConfiguration-API-Aufruf ausführen oder die Amazon-S3-Konsole verwenden.
So löschen Sie die serviceverknüpfte Rolle mit IAM
Nachdem Sie die Konfigurationen gelöscht haben, löschen Sie die AWSServiceRoleForS3StorageLens SLR von der IAM-KonsoleDeleteServiceLinkedRole SDK oder. AWS CLI AWS Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Unterstützte Regionen für serviceverknüpfte Rollen mit S3 Storage Lens
S3 Storage Lens unterstützt die Verwendung von serviceverknüpften Rollen überall dort, AWS-Regionen wo der Service verfügbar ist. Weitere Informationen finden Sie unter Amazon-S3-Regionen und Endpunkte.
