Uso de Amazon S3 Storage Lens con AWS Organizations - Amazon Simple Storage Service
Habilitación del acceso de confianzaDeshabilitación del acceso de confianzaRegistro de un administrador delegadoAnulación del registro de un administrador delegado

Uso de Amazon S3 Storage Lens con AWS Organizations

La Lente de almacenamiento de Amazon S3 es una función de análisis de almacenamiento en la nube que puede utilizar para obtener visibilidad en toda la organización sobre el uso y la actividad del almacenamiento de objetos. Puede utilizar las métricas de Lente de almacenamiento de S3 para generar información resumida, como averiguar cuánto almacenamiento tiene en toda la organización o cuáles son los buckets y los prefijos de crecimiento más rápido. También puede utilizar las métricas de Lente de almacenamiento de S3 para identificar oportunidades de optimización de costos, implementar las prácticas recomendadas de protección y seguridad de los datos y mejorar el rendimiento de las cargas de trabajo de las aplicaciones. Por ejemplo, puede identificar los buckets que no tienen reglas del ciclo de vida de S3 para que hagan vencer las cargas multipartes incompletas que tengan más de 7 días de antigüedad. También puede identificar los buckets que no siguen las prácticas recomendadas de protección de datos, como el uso de la Replicación de S3 o el control de versiones de S3. Lente de almacenamiento de S3 analiza también las métricas para ofrecer recomendaciones contextuales que puede usar para optimizar los costos de almacenamiento y aplicar las prácticas recomendadas para proteger los datos.

Puede utilizar Amazon S3 Storage Lens para recopilar métricas de almacenamiento y datos de uso de todas las Cuentas de AWS que forman parte de la jerarquía de AWS Organizations. Para ello, debe utilizar AWS Organizations y habilitar el acceso de confianza de Lente de almacenamiento de S3 con la cuenta de administración de AWS Organizations.

Después de habilitar el acceso de confianza, puede agregar acceso de administrador delegado a las cuentas de la organización. Estas cuentas pueden crear configuraciones y paneles de S3 Storage Lens que recopilen métricas de almacenamiento y datos de usuario de toda la organización.

Para obtener más información acerca de cómo habilitar el acceso de confianza, consulte Amazon S3 Storage Lens y AWS Organizations en la Guía del usuario de AWS Organizations.

Habilitación del acceso de confianza para S3 Storage Lens

Si habilita el acceso de confianza, permitirá que la Lente de almacenamiento de Amazon S3 tenga acceso a la jerarquía, la pertenencia y la estructura de AWS Organizations a través de las operaciones de la API de AWS Organizations. Lente de almacenamiento de S3 se convierte entonces en un servicio de confianza para toda la estructura de la organización.

Cada vez que se crea una configuración de panel, Lente de almacenamiento de S3 crea roles vinculados a servicios en las cuentas de administración o administrador delegadas de la organización. El rol vinculado a servicios concede permiso a S3 Storage Lens para hacer lo siguiente:

  • Describir organizaciones

  • Enumerar cuentas

  • Comprobar una lista de accesos de Servicio de AWS para las organizaciones

  • Obtener administradores delegados para las organizaciones

Así, Lente de almacenamiento de S3 puede asegurarse de tener acceso para recopilar las métricas entre cuentas para las cuentas en las organizaciones. Para obtener más información, consulte Uso de roles vinculados a servicios para Amazon S3 Storage Lens.

Después de habilitar el acceso de confianza, puede asignar acceso de administrador delegado a cuentas de la organización. Cuando una cuenta se marca como administrador delegado para un servicio, la cuenta recibe autorización para acceder a todas las operaciones de la API de organización de solo lectura. Este acceso proporciona visibilidad de administrador delegado a los miembros y las estructuras de la organización para que también puedan crear paneles de Lente de almacenamiento de S3.

nota

Solo la cuenta de administración puede habilitar el acceso de confianza para Amazon S3 Storage Lens.

Deshabilitación del acceso de confianza para S3 Storage Lens

Con la deshabilitación del acceso de confianza, limita a S3 Storage Lens a trabajar solo en el nivel de cuenta. Además, cada titular de la cuenta solo puede ver la información de Lente de almacenamiento de S3 para el alcance de la cuenta y no toda la organización. Los paneles que requieren acceso de confianza ya no se actualizarán, pero retendrán los datos históricos para el periodo en el que los datos están disponibles para consultas.

nota

  • La desactivación del acceso de confianza para Lente de almacenamiento de S3 impide automáticamente que todos los paneles en el nivel de organización recopilen y agreguen métricas de almacenamiento.

  • Sus cuentas de administración y administrador delegado podrán ver los datos históricos de los paneles de nivel de organización existentes durante el periodo en el que los datos están disponibles para consultas.

Registro de un administrador delegado para S3 Storage Lens

Puede crear paneles de nivel de organización con la cuenta de administración o las cuentas de administrador delegado de la organización. Las cuentas de administrador delegado permiten a otras cuentas, además de su cuenta de administración, crear paneles de nivel de organización. Solo la cuenta de administración de una organización puede registrar y anular el registro de otras cuentas como administradores delegados para la organización.

Para registrar un administrador delegado mediante la consola de Amazon S3, consulte Registro de administradores delegados para S3 Storage Lens.

También puede registrar a un administrador delegado con la API de REST de AWS Organizations, la AWS CLI o los SDK de la cuenta de administración. Para obtener más información, consulte RegisterDelegatedAdministrator en la Referencia de la API de AWS Organizations.

nota

Antes de poder designar a un administrador delegado con la API de REST de AWS Organizations, la AWS CLI o los SDK, debe llamar a la operación EnableAWSOrganizationsAccess.

Anulación del registro de un administrador delegado para S3 Storage Lens

También puede anular el registro de una cuenta de administrador delegado. Las cuentas de administrador delegado permiten a otras cuentas, además de su cuenta de administración, crear paneles de nivel de organización. Solo la cuenta de administración de una organización puede anular el registro de cuentas como administradores delegados para la organización.

Para anular el registro de un administrador delegado mediante la consola de S3, consulte Anular el registro de administradores delegados para S3 Storage Lens.

También puede anular el registro de un administrador delegado con la API de REST de AWS Organizations, la AWS CLI o los SDK de la cuenta de administración. Para obtener más información, consulte DeregisterDelegatedAdministrator en la Referencia de la API de AWS Organizations.

nota

  • La anulación del registro de un administrador delegado también impide automáticamente que todos los paneles de nivel de organización que haya creado ese administrador delegado agreguen nuevas métricas de almacenamiento.

  • El administrador delegado sin registro todavía podrá ver los datos históricos de los paneles que ha creado mientras los datos estén disponibles para consultas.