Uso de roles vinculados a servicios para Amazon S3 Storage Lens

Si desea utilizar Amazon S3 Storage Lens para recopilar y agrupar métricas en todas sus cuentas de AWS Organizations, primero debe asegurarse de que S3 Storage Lens tenga el acceso de confianza habilitado por la cuenta de administración de la organización. Lente de almacenamiento de S3 crea un rol vinculado a servicios (SLR) para permitirle que obtenga la lista de Cuentas de AWS que pertenecen a la organización. Esta lista de cuentas la utiliza S3 Storage Lens para recopilar métricas de los recursos de S3 en todas las cuentas de miembros cuando se crean o actualizan el panel o las configuraciones de S3 Storage Lens.

Amazon S3 Storage Lens utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a S3 Storage Lens. Los roles vinculados a servicios están predefinidos por Lente de almacenamiento de S3 e incluyen todos los permisos que el servicio requiere para llamar a otros Servicios de AWS en su nombre.

Un rol vinculado a un servicio simplifica la configuración de S3 Storage Lens porque ya no tendrá que agregar manualmente los permisos necesarios. S3 Storage Lens define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo S3 Storage Lens puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se puede adjuntar a ninguna otra entidad de IAM.

Solo puede eliminar este rol vinculado a servicios después de eliminar los recursos relacionados. De esta forma, se protegen los recursos de S3 Storage Lens, ya que evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Yes (Sí) en la columna Service Linked Role (Rol vinculado a servicios). Seleccione una opción Sí con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Permisos de roles vinculados a servicios para Amazon S3 Storage Lens

S3 Storage Lens utiliza el rol vinculado a servicios denominado AWSServiceRoleForS3StorageLens. Esto permite el acceso a los servicios y los recursos de AWS utilizados o administrados por S3 Storage Lens. Permite que S3 Storage Lens acceda a los recursos de AWS Organizations en su nombre.

El rol vinculado al servicio de S3 Storage Lens confía en el siguiente servicio en el almacenamiento de la organización:

• storage-lens.s3.amazonaws.com

La política de permisos del rol permite que S3 Storage Lens realice las siguientes acciones en los recursos:

• organizations:DescribeOrganization

  organizations:ListAccounts

  organizations:ListAWSServiceAccessForOrganization

  organizations:ListDelegatedAdministrators

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o función) crear, editar o eliminar la descripción de una función vinculada a un servicio. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a un servicio para S3 Storage Lens

No necesita crear manualmente un rol vinculado a un servicio. Cuando completa alguna de las siguientes tareas habiendo iniciado sesión en las cuentas de administración o de administrador delegado de AWS Organizations, S3 Storage Lens crea el rol vinculado a servicios por usted:

• Cree una configuración del panel de S3 Storage Lens para la organización en la consola de Amazon S3.

• Realice una operación PUT de una configuración de S3 Storage Lens para la organización mediante la API de REST, la AWS CLI y los SDK.

nota

Lente de almacenamiento de S3 admitirá un máximo de cinco administradores delegados por organización.

Si elimina este rol vinculado a servicios, las acciones anteriores lo volverán a crear según sea necesario.

Ejemplo de política para el rol vinculado al servicio de S3 Storage Lens

ejemplo Política de permisos para el rol vinculado al servicio de S3 Storage Lens

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AwsOrgsAccess",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Edición de un rol vinculado a servicios para Amazon S3 Storage Lens

Lente de almacenamiento de S3 no le permite editar el rol vinculado al servicio AWSServiceRoleForS3StorageLens. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a servicios para Amazon S3 Storage Lens

Si ya no utiliza el rol vinculado a servicios, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes de eliminarlo manualmente.

nota

Si el servicio de Amazon S3 Storage Lens utiliza el rol cuando intenta eliminar los recursos, es posible que no se pueda borrar. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar AWSServiceRoleForS3StorageLens, debe eliminar todas las configuraciones de Lente de almacenamiento de S3 de la organización presentes en todas las Regiones de AWS mediante las cuentas de administración o de administrador delegado de AWS Organizations.

Los recursos son configuraciones de S3 Storage Lens de organización. Utilice Lente de almacenamiento de S3 para limpiar los recursos y, a continuación, utilice la consola de IAM, la CLI, la API de REST o el AWS SDK para eliminar el rol.

En la API de REST, la AWS CLI y los SDK, se pueden descubrir configuraciones de Lente de almacenamiento de S3 con ListStorageLensConfigurations en todas las regiones en las que la organización haya creado configuraciones de Lente de almacenamiento de S3. Utilice la acción DeleteStorageLensConfiguration para eliminar estas configuraciones de modo que pueda eliminar el rol.

nota

Para eliminar el rol vinculado a servicios, debe eliminar todas las configuraciones de S3 Storage Lens de la organización en todas las regiones donde existan.

Eliminación de los recursos de Lente de almacenamiento de Amazon S3 utilizados por el SLR AWSServiceRoleForS3StorageLens

1. Para obtener una lista de configuraciones en el nivel de la organización, debe usar ListStorageLensConfigurations en cada región que tiene configuraciones de Lente de almacenamiento de S3. Esta lista también se puede obtener en la consola de Amazon S3.

2. Elimine estas configuraciones de los puntos de conexión regionales apropiados al invocar la llamada a la API DeleteStorageLensConfiguration o a través de la consola de Amazon S3.

Eliminación manual del rol vinculado a servicios mediante IAM

Una vez eliminadas las configuraciones, elimine el SLR AWSServiceRoleForS3StorageLens de la consola de IAM o invoque la API de IAM DeleteServiceLinkedRole o use la AWS CLI o el AWS SDK. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones admitidas para roles vinculados a servicios de S3 Storage Lens

S3 Storage Lens admite el uso de roles vinculados a servicios en todas las Regiones de AWS en las que el servicio esté disponible. Para obtener más información, consulte Regiones y puntos de enlace de Amazon S3 Storage Lens.