Dar acceso a Application Cost Profiler al bucket de entrega de informes S3 Dar acceso a Application Cost Profiler a los datos de uso del bucket S3 Acceso a Application Cost Profiler a depósitos S3 cifrados SSE-KMS

Configuración de buckets de Amazon S3 para Application Cost Profiler

Para enviar datos de uso y recibir informes deAWSApplication Cost Profiler, debe tener al menos un bucket de Amazon Simple Storage Service (Amazon S3) en suCuenta de AWSpara almacenar datos y un bucket de S3 para recibir sus informes.

nota

Para usuarios deAWS Organizations, los depósitos de Amazon S3 pueden estar en la cuenta de administración o en cuentas de miembro individuales. Los datos de los buckets de S3 propiedad de la cuenta de administración se pueden utilizar para generar informes para toda la organización. En cuentas de miembro individuales, los datos de los depósitos de S3 solo se pueden utilizar para generar informes para esa cuenta de miembro.

Los buckets de S3 que crea son propiedad de laCuenta de AWSen la que los creas. Los depósitos de S3 se facturan a las tarifas estándar de Amazon S3. Para obtener más información acerca de cómo crear un bucket de Amazon S3, consulteCrear un bucketen laGuía del usuario de Amazon Simple Storage Service.

Para que Application Cost Profiler use los bucket de S3, debe asociar una política a los bucket que otorgue permisos a Application Cost Profiler para leer y/o escribir en él. Si modifica la política después de configurar los informes, puede impedir que Application Cost Profiler pueda leer sus datos de uso o entregar los informes.

En los siguientes temas se muestra cómo configurar los permisos en los depósitos de Amazon S3 después de haberlos creado. Además de la capacidad de leer y escribir objetos, si ha cifrado los depósitos, Application Cost Profiler debe tener acceso alAWS Key Management Service(AWS KMS) para cada cubo.

Temas

Dar acceso a Application Cost Profiler al bucket de entrega de informes S3
Dar acceso a Application Cost Profiler a los datos de uso del bucket S3
Acceso a Application Cost Profiler a depósitos S3 cifrados SSE-KMS

Dar acceso a Application Cost Profiler al bucket de entrega de informes S3

El bucket de S3 que configura para Application Cost Profiler para entregar los informes debe tener adjunta una directiva que permita a Application Cost Profiler crear los objetos de informe. Además, el bucket de S3 debe configurarse para habilitar el cifrado.

nota

Al crear su bucket, debe optar por cifrar. Puede optar por cifrar su bucket con claves administradas por Amazon S3 (SSE-S3) o con su propia clave administrada porAWS KMS(SSE-KMS). Si ya ha creado el depósito sin cifrado, debe editar el depósito para agregar cifrado.

Para dar acceso a Application Cost Profiler al bucket de entrega de informes S3

Vaya aConsola de Amazon S3e iniciar sesión
SelectBucketsen la navegación de la izquierda y, a continuación, elija su bucket de la lista.
Elija el iconoPermisospestaña y, a continuación, junto aPolítica de bucket, eligeEditar.

En el navegadorPolítica de, inserte la siguiente política de. Reemplazar<bucket_name>por el nombre de su bucket de.<Cuenta de AWS>con el ID de suCuenta de AWS.


{
      "Version":"2008-10-17",
      "Statement":[
        {
          "Effect":"Allow",
          "Principal":{
            "Service":"application-cost-profiler.amazonaws.com"
          },
          "Action":[
            "s3:PutObject*",
            "s3:GetEncryptionConfiguration"
          ],
          "Resource": [
            "arn:aws:s3:::<bucket-name>",
            "arn:aws:s3:::<bucket-name>/*"
          ],
          "Condition": {
            "StringEquals": {
              "aws:SourceAccount": "<Cuenta de AWS>"
            },
            "ArnEquals": {
              "aws:SourceArn": "arn:aws:application-cost-profiler:us-east-1:<Cuenta de AWS>:*"
            }
          }
        }
      ]
    }

En esta política, está asignando el principal servicio Application Cost Profiler (application-cost-profiler.amazonaws.com) para entregar informes al bucket especificado. Lo hace en su nombre e incluye un encabezado con suCuenta de AWSy un ARN específico del depósito de entrega de informes. Para asegurarse de que Application Cost Profiler acceda a su depósito solo cuando actúa en su nombre, elConditioncomprueba esos encabezados.

ElegirGuarde los cambiospara guardar tu póliza, adjunta a tu depósito.

Si ha creado su bucket utilizando el cifrado SSE-S3, ya está listo. Si ha utilizado el cifrado SSE-KMS, se necesitan los siguientes pasos para dar acceso a Application Cost Profiler a su bucket.
(Opcional) Seleccione elPropiedadespara su bucket y debajo deCifrado predeterminado, seleccione el Nombre de recurso de Amazon (ARN) para suAWS KMSClave. Esta acción muestra elAWS Key Management Serviceconsola y muestra tu llave.
(Opcional) Añada la política para dar acceso a Application Cost Profiler alAWS KMSClave. Para obtener instrucciones sobre cómo agregar esta política, consulteAcceso a Application Cost Profiler a depósitos S3 cifrados SSE-KMS.

Dar acceso a Application Cost Profiler a los datos de uso del bucket S3

El bucket de S3 que configura para que Application Cost Profiler lea los datos de uso debe tener una directiva asociada para permitir que Application Cost Profiler lea los objetos de datos de uso.

nota

Al otorgar a Application Cost Profiler acceso a sus datos de uso, acepta que podamos copiar temporalmente dichos objetos de datos de uso en EE. UU. Este (N. Virginia)Región de AWSmientras se procesan los informes. Estos objetos de datos se conservarán en la región US East (N. Virginia) hasta que se complete la generación mensual de informes.

Para dar acceso a Application Cost Profiler a los datos de uso del bucket S3

Vaya aConsola de Amazon S3e iniciar sesión
SelectBucketsen la navegación de la izquierda y, a continuación, elija su bucket de la lista.
Elija el iconoPermisospestaña y, a continuación, junto aPolítica de bucket, eligeEditar.

En el navegadorPolítica de, inserte la siguiente política de. Reemplazar<bucket-name>por el nombre de su bucket de.<Cuenta de AWS>con el ID de suCuenta de AWS.


{
      "Version":"2008-10-17",
      "Statement":[
        {
          "Effect":"Allow",
          "Principal":{
            "Service":"application-cost-profiler.amazonaws.com"
          },
          "Action":[
            "s3:GetObject*"
          ],
          "Resource": [
            "arn:aws:s3:::<bucket-name>",
            "arn:aws:s3:::<bucket-name>/*"
          ],
          "Condition": {
            "StringEquals": {
              "aws:SourceAccount": "<Cuenta de AWS>"
            },
            "ArnEquals": {
              "aws:SourceArn": "arn:aws:application-cost-profiler:us-east-1:<Cuenta de AWS>:*"
            }
          }
        }
      ]
    }

En esta política, está asignando el principal servicio Application Cost Profiler (application-cost-profiler.amazonaws.com) para obtener datos del bucket especificado. Lo hace en su nombre e incluye un encabezado con suCuenta de AWSy un ARN específico de su depósito de uso. Para asegurarse de que Application Cost Profiler acceda a su depósito solo cuando actúa en su nombre, elConditioncomprueba esos encabezados.

ElegirGuarde los cambiospara guardar tu póliza, adjunta a tu depósito.

Si tu depósito está encriptado conAWS KMSclaves administradas y, a continuación, debe dar acceso a Application Cost Profiler a su bucket siguiendo el procedimiento de la siguiente sección.

Acceso a Application Cost Profiler a depósitos S3 cifrados SSE-KMS

Si cifra los buckets de S3 que configura para Application Cost Profiler (necesario para los depósitos de informes) con claves almacenadas enAWS KMS(SSE-KMS), también debe otorgar permisos a Application Cost Profiler para descifrarlos. Esto lo hace dando acceso a laAWS KMSclaves utilizadas para cifrar los datos.

nota

Si el bucket está cifrado con claves administradas de Amazon S3, no es necesario que complete este procedimiento.

Para dar acceso a Application Cost Profiler aAWS KMSpara bucket de S3 cifrados por SSE-KMS

Vaya aAWS KMSconsolae iniciar sesión
SelectClaves administradas por el clienteen la navegación de la izquierda y, a continuación, elija la clave que se utiliza para cifrar el bucket de la lista.
SelectCambiar a la vista de políticasy, a continuación, elijaEditar.

En el navegadorPolítica de, inserte la siguiente instrucción de política.


  {
    "Effect": "Allow",
    "Principal": {
        "Service": "application-cost-profiler.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
          "Condition": {
            "StringEquals": {
              "aws:SourceAccount": "<Cuenta de AWS>"
            },
            "ArnEquals": {
              "aws:SourceArn": "arn:aws:application-cost-profiler:us-east-1:<Cuenta de AWS>:*"
            }
  }

ElegirGuarde los cambiospara guardar tu póliza, adjunta a tu clave.
Repita el procedimiento para cada clave que cifra un bucket de S3 al que necesita acceder Application Cost Profiler.

nota

Los datos se copian del bucket de S3 al importarlos a los depósitos administrados de Application Cost Profiler (que están cifrados). Si revoca el acceso a las claves, Application Cost Profiler no puede recuperar ningún objeto nuevo del depósito. Sin embargo, los datos ya importados se pueden utilizar para generar informes.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Introducción

Crear su informe