Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von serviceverknüpften Rollen für Amazon S3 Storage Lens
Um Amazon S3 Storage Lens zum Sammeln und Aggregieren von Metriken für alle Ihre Konten in AWS Organizations-Organisationen zu verwenden, müssen Sie zunächst sicherstellen, dass S3-Storage-Lens über vertrauenswürdigen Zugriff verfügt, der durch das Verwaltungskonto in Ihrer Organisation aktiviert ist. S3 Storage Lens erstellt eine serviceverknüpfte Rolle (SLR), damit es die Liste der Mitglieder Ihrer Organisation AWS-Konten abrufen kann. Diese Liste von Konten wird von S3 Storage Lens verwendet, um Metriken für S3-Ressourcen in allen Mitgliedskonten zu sammeln, wenn das S3-Storage-Lens-Dashboard oder die Konfigurationen erstellt oder aktualisiert werden.
Amazon S3 Storage Lens verwendet AWS Identity and Access Management (IAM) service-verknüpfte Rollen. Eine serviceverknüpfte Rolle ist ein spezieller Typ von IAM-Rolle, die direkt mit S3 Storage Lens verknüpft ist. Servicebezogene Rollen sind von S3 Storage Lens vordefiniert und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS-Services in Ihrem Namen anzurufen.
Eine serviceverknüpfte Rolle vereinfacht das Einrichten von S3 Storage Lens, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. S3 Storage Lens definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern keine andere Konfiguration festgelegt wurde, kann nur S3 Storage Lens die Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können diese serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dies schützt Ihre S3-Storage-Lens-Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.
Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter AWS -Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Yes (Ja) in der Spalte Service-Linked Role (Serviceverknüpfte Rolle) angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
Berechtigungen für serviceverknüpfte Rollen für Amazon S3 Storage Lens
S3 Storage Lens verwendet die dienstgebundene Rolle mit dem Namen AWSServiceRoleForS3StorageLens— Diese ermöglicht den Zugriff auf AWS Dienste und Ressourcen, die von S3 Storage Lens verwendet oder verwaltet werden. Dadurch kann S3 Storage Lens in Ihrem Namen auf AWS Organizations Ressourcen zugreifen.
Die serviceverknüpfte Rolle S3 Storage Lens vertraut dem folgenden Service auf dem Speicher Ihres Unternehmens:
-
storage-lens.s3.amazonaws.com
Die Rollenberechtigungsrichtlinie erlaubt S3 Storage Lens die Durchführung der folgenden Aktionen:
-
organizations:DescribeOrganizationorganizations:ListAccountsorganizations:ListAWSServiceAccessForOrganizationorganizations:ListDelegatedAdministrators
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.
Erstellen einer serviceverknüpften Rolle für S3 Storage Lens
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine der folgenden Aufgaben ausführen, während Sie beim AWS Organizations Management- oder Delegate-Administratorkonto angemeldet sind, erstellt S3 Storage Lens die dienstbezogene Rolle für Sie:
Erstellen Sie in der Amazon-S3-Konsole eine S3-Storage-Lens-Dashboard-Konfiguration für Ihr Unternehmen.
PUTeine S3 Storage Lens-Konfiguration für Ihre Organisation, die die REST-API AWS CLI und SDKs verwendet.
Anmerkung
S3 Storage Lens unterstützt maximal fünf delegierte Administratoren pro Organisation.
Wenn Sie diese serviceverknüpfte Rolle löschen, werden sie von den vorherigen Aktionen bei Bedarf neu erstellt.
Beispielrichtlinie für die serviceverknüpfte Rolle S3 Storage Lens
Beispiel Berechtigungsrichtlinie für die serviceverknüpfte Rolle S3 Storage Lens
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AwsOrgsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource": [ "*" ] } ] }
Bearbeiten einer serviceverknüpften Rolle für Amazon S3 Storage Lens
Mit S3 Storage Lens können Sie die mit dem AWSServiceRoleForS3StorageLens Dienst verknüpfte Rolle nicht bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Löschen einer serviceverknüpften Rolle für Amazon S3 Storage Lens
Wenn Sie die serviceverknüpfte Rolle nicht mehr verwenden müssen, empfehlen wir, die Rolle zu löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
Anmerkung
Wenn der Amazon-S3-Storage-Lens-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
Um die zu löschen, müssen AWSServiceRoleForS3StorageLens Sie alle S3 Storage Lens-Konfigurationen auf Organisationsebene löschen, die in allen vorhanden sind, AWS-Regionen indem Sie die AWS Organizations Verwaltungs- oder Delegate-Administratorkonten verwenden.
Die Ressourcen sind S3-Storage-Lens-Konfigurationen auf Organisationsebene. Verwenden Sie S3 Storage Lens, um die Ressourcen zu bereinigen, und verwenden Sie dann die IAM-Konsole
In der REST-API und den SDKs können S3-Storage-Lens-Konfigurationen ListStorageLensConfigurations in allen Regionen ermittelt werden, in denen Ihr Unternehmen S3 Storage Lens-Konfigurationen erstellt hat. AWS CLI Verwenden Sie die Aktion DeleteStorageLensConfiguration, um diese Konfigurationen zu löschen, damit Sie die Rolle dann löschen können.
Anmerkung
Um die serviceverknüpfte Rolle zu löschen, müssen Sie alle S3-Storage-Lens-Konfigurationen auf Organisationsebene in allen Regionen löschen, in denen sie existieren.
Um Amazon S3 Storage Lens-Ressourcen zu löschen, die von der AWSServiceRoleForS3StorageLens Spiegelreflexkamera verwendet werden
-
Um eine Liste Ihrer Konfigurationen auf Organisationsebene zu erhalten, müssen Sie
ListStorageLensConfigurationsin jeder Region, in der Sie über S3 Storage Lens-Konfigurationen verfügen, die S3 Storage Lens verwenden. Diese Liste kann auch über die Amazon S3 S3-Konsole abgerufen werden. -
Löschen Sie diese Konfigurationen von den entsprechenden regionalen Endpunkten, indem Sie den
DeleteStorageLensConfigurationAPI-Aufruf aufrufen oder die Amazon S3 S3-Konsole verwenden.
So löschen Sie die serviceverknüpfte Rolle mit IAM
Nachdem Sie die Konfigurationen gelöscht haben, löschen Sie die AWSServiceRoleForS3StorageLens SLR aus der IAM-KonsoleDeleteServiceLinkedRole aufrufen oder das oder SDK verwenden. AWS CLI AWS Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Unterstützte Regionen für serviceverknüpfte Rollen mit S3 Storage Lens
S3 Storage Lens unterstützt die Verwendung von dienstbezogenen Rollen überall dort, AWS-Regionen wo der Service verfügbar ist. Weitere Informationen finden Sie unter Amazon-S3-Regionen und Endpunkte.
