Définir des autorisations de compte Définition d'autorisations pour les groupes Storage Lens Configuration des AWS Organizations autorisations

Autorisations Amazon S3 Storage Lens

Amazon S3 Storage Lens nécessite de nouvelles autorisations dans AWS Identity and Access Management (IAM) pour autoriser l'accès aux actions S3 Storage Lens. Pour accorder ces autorisations, vous pouvez utiliser une politique basée sur l'identitéIAM. Vous pouvez associer cette politique aux IAM utilisateurs, aux groupes ou aux rôles pour leur accorder des autorisations. Ces autorisations peuvent inclure la possibilité d'activer ou de désactiver S3 Storage Lens ou d'accéder à n'importe quel tableau de bord ou n'importe quelle configuration S3 Storage Lens.

L'IAMutilisateur ou le rôle doit appartenir au compte qui a créé ou possède le tableau de bord ou la configuration, sauf si les deux conditions suivantes sont remplies :

Votre compte est membre de AWS Organizations.
Vous avez été autorisé à créer des tableaux de bord au niveau de l'organisation par votre compte de gestion en tant qu'administrateur délégué.

Note

Vous ne pouvez pas utiliser les informations d'identification de l'utilisateur root de votre compte pour afficher les tableaux de bord Amazon S3 Storage Lens. Pour accéder aux tableaux de bord de S3 Storage Lens, vous devez accorder les IAM autorisations requises à un IAM utilisateur nouveau ou existant. Connectez-vous ensuite à l'aide de ces informations d'identification utilisateur pour accéder aux tableaux de bord S3 Storage Lens. Pour plus d'informations, consultez la section Bonnes pratiques en matière de sécurité IAM dans le guide de IAM l'utilisateur.
L'utilisation de S3 Storage Lens sur la console Amazon S3 peut nécessiter plusieurs autorisations. Par exemple, pour modifier un tableau de bord sur la console, vous devez disposer des autorisations suivantes :
- s3:ListStorageLensConfigurations
- s3:GetStorageLensConfiguration
- s3:PutStorageLensConfiguration

Rubriques

Définir des autorisations de compte pour utiliser S3 Storage Lens
Définition d'autorisations de compte pour utiliser des groupes S3 Storage Lens
Configuration des autorisations pour utiliser S3 Storage Lens avec AWS Organizations

Définir des autorisations de compte pour utiliser S3 Storage Lens

Pour créer et gérer des tableaux de bord S3 Storage Lens et des configurations de tableau de bord Storage Lens, vous devez disposer des autorisations suivantes, en fonction des opérations que vous souhaitez effectuer :

IAMAutorisations associées à Amazon S3 Storage Lens
Action	IAMautorisations
Créez ou mettez à jour un tableau de bord S3 Storage Lens dans la console Amazon S3.	`s3:ListStorageLensConfigurations` `s3:GetStorageLensConfiguration` `s3:GetStorageLensConfigurationTagging` `s3:PutStorageLensConfiguration` `s3:PutStorageLensConfigurationTagging`
Obtenez les étiquettes d'un tableau de bord S3 Storage Lens sur la console Amazon S3.	`s3:ListStorageLensConfigurations` `s3:GetStorageLensConfigurationTagging`
Affichez un tableau de bord S3 Storage Lens sur la console Amazon S3.	`s3:ListStorageLensConfigurations` `s3:GetStorageLensConfiguration` `s3:GetStorageLensDashboard`
Supprimez un tableau de bord S3 Storage Lens sur la console Amazon S3.	`s3:ListStorageLensConfigurations` `s3:GetStorageLensConfiguration` `s3:DeleteStorageLensConfiguration`
Créez ou mettez à jour une configuration S3 Storage Lens à l'aide du AWS CLI ou d'un AWS SDK.	`s3:PutStorageLensConfiguration` `s3:PutStorageLensConfigurationTagging`
Obtenez les balises d'une configuration S3 Storage Lens en utilisant le AWS CLI ou un AWS SDK.	`s3:GetStorageLensConfigurationTagging`
Affichez une configuration S3 Storage Lens à l'aide du AWS CLI ou d'un AWS SDK.	`s3:GetStorageLensConfiguration`
Supprimez une configuration S3 Storage Lens à l'aide du AWS CLI ou AWS SDK.	`s3:DeleteStorageLensConfiguration`

Note

Les vues du tableau de bord de S3 Storage Lens sont enregistrées CloudTrail avec le nom de l'événementGetStorageLensDashboardDataInternal.
Vous pouvez utiliser des balises de ressources dans une IAM politique pour gérer les autorisations.
Un IAM utilisateur ou un rôle disposant de ces autorisations peut consulter les métriques des compartiments et des préfixes dont il n'est peut-être pas directement autorisé à lire ou à répertorier des objets.
Pour les tableaux de bord S3 Storage Lens sur lesquels les métriques au niveau du préfixe sont activées, si le chemin d'un préfixe sélectionné correspond à une clé d'objet, le tableau de bord peut afficher la clé d'objet sous la forme d'un autre préfixe.
Pour les exportations de statistiques, qui sont stockées dans un compartiment de votre compte, les autorisations sont accordées en utilisant l's3:GetObjectautorisation existante dans la IAM politique. De même, pour une AWS Organizations entité, le compte de gestion de l'organisation ou les comptes d'administrateur délégué peuvent utiliser des IAM politiques pour gérer les autorisations d'accès pour le tableau de bord et les configurations au niveau de l'organisation.

Définition d'autorisations de compte pour utiliser des groupes S3 Storage Lens

Vous pouvez utiliser les groupes S3 Storage Lens pour comprendre la distribution de votre espace de stockage au sein des compartiments en fonction du préfixe, du suffixe, de la balise d'objet, de la taille de l'objet ou de l'âge de l'objet. Vous pouvez attacher des groupes Storage Lens à vos tableaux de bord pour consulter leurs métriques agrégées.

Pour utiliser des groupes Storage Lens, vous devez disposer de certaines autorisations. Pour plus d’informations, consultez Autorisations pour les groupes Storage Lens.

Configuration des autorisations pour utiliser S3 Storage Lens avec AWS Organizations

Vous pouvez utiliser Amazon S3 Storage Lens pour collecter des métriques de stockage et des données d'utilisation pour tous les comptes qui font partie de votre AWS Organizations hiérarchie. Voici les actions et autorisations liées à l'utilisation de S3 Storage Lens avec Organizations.

AWS Organizations IAMautorisations associées pour l'utilisation de S3 Storage Lens
Action	IAMAutorisations
Activez l'accès sécurisé de S3 Storage Lens à votre organisation.	`organizations:EnableAWSServiceAccess`
Désactivez l'accès approuvé pour S3 Storage Lens pour votre organisation.	`organizations:DisableAWSServiceAccess`
Enregistrez un administrateur délégué pour créer des tableaux de bord ou des configurations S3 Storage Lens pour votre organisation.	`organizations:RegisterDelegatedAdministrator`
Désinscrivez un administrateur délégué afin qu'il ne puisse plus créer de tableaux de bord ni de configurations S3 Storage Lens pour votre organisation.	`organizations:DeregisterDelegatedAdministrator`
Autorisations supplémentaires pour créer des configurations S3 Storage Lens à l'échelle de l'organisation	`organizations:DescribeOrganization` `organizations:ListAccounts` `organizations:ListAWSServiceAccessForOrganization` `organizations:ListDelegatedAdministrators` `iam:CreateServiceLinkedRole`

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisation d'Organizations

Afficher les métriques de stockage