Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation des rôles liés à un service pour le cadre de stockage Amazon S3
Pour utiliser Amazon S3 Storage Lens afin de collecter et agréger des mesures sur tous vos comptes dans les AWS Organizations, vous devez d'abord vous assurer que S3 Storage Lens dispose d'un accès fiable activé par le compte de gestion de votre organisation. S3 Storage Lens crée un rôle lié à un service (SLR) pour lui permettre d'obtenir la liste des Comptes AWS membres de votre organisation. Cette liste de comptes est utilisée par S3 Storage Lens pour collecter des mesures des ressources S3 dans tous les comptes membres lorsque le tableau de bord ou les configurations de S3 Storage Lens sont créés ou mis à jour.
Amazon S3 Storage Lens utilise des AWS Identity and Access Management rôles liés à un service (IAM). Un rôle lié à un service est un type unique de rôle IAM lié directement au S3 Storage Lens. Les rôles liés au service sont prédéfinis par S3 Storage Lens et incluent toutes les autorisations dont le service a besoin pour appeler d'autres personnes en votre Services AWS nom.
Un rôle lié à un service simplifie la configuration de S3 Storage Lens car vous n'avez pas besoin d'ajouter manuellement les autorisations requises. S3 Storage Lens définit les autorisations de ses rôles liés à un service et, sauf définition contraire, seul S3 Storage Lens peut endosser ses rôles. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer le rôle lié à un service uniquement après avoir supprimé les ressources connexes. Vos ressources relatives au S3 Storage Lens sont ainsi protégées, car vous ne pouvez pas accidentellement supprimer les autorisations d'accès aux ressources.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez AWS services that work with IAM (Services AWS fonctionnant avec IAM) et recherchez les services avec un Yes (Oui) dans la colonne Service-Linked Role (Rôle lié à un service). Choisissez un Oui ayant un lien permettant de consulter la documentation du rôle lié à un service, pour ce service.
Autorisations de rôle liées au service pour le cadre de stockage Amazon S3
S3 Storage Lens utilise le rôle lié au service nommé AWSServiceRoleForS3StorageLens— Cela permet d'accéder aux AWS services et aux ressources utilisés ou gérés par S3 Storage Lens. Cela permet à S3 Storage Lens d'accéder aux AWS Organizations ressources en votre nom.
Le rôle lié à un service S3 Storage Lens approuve le service suivant sur le stockage de votre organisation :
-
storage-lens.s3.amazonaws.com
La stratégie d'autorisations liée au rôle permet au S3 Storage Lens de réaliser les actions suivantes :
-
organizations:DescribeOrganizationorganizations:ListAccountsorganizations:ListAWSServiceAccessForOrganizationorganizations:ListDelegatedAdministrators
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez Autorisations de rôles liés à un service dans le Guide de l’utilisateur IAM.
Création d'un rôle lié à un service pour S3 Storage Lens
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous effectuez l'une des tâches suivantes alors que vous êtes connecté aux comptes AWS Organizations de gestion ou d'administrateur délégué, S3 Storage Lens crée le rôle lié au service pour vous :
Créez une configuration de tableau de bord S3 Storage Lens pour votre organisation dans la console Amazon S3.
PUTune configuration S3 Storage Lens pour votre organisation à l'aide de l'API REST AWS CLI et des SDK.
Note
S3 Storage Lens prendra en charge un maximum de cinq administrateurs délégués par organisation.
Si vous supprimez ce rôle lié à un service, les actions précédentes le recréeront si nécessaire.
Exemple de stratégie pour un rôle lié à un service de S3 Storage Lens
Exemple Stratégie d'autorisations pour le rôle lié à un service de S3 Storage Lens
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AwsOrgsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource": [ "*" ] } ] }
Modification d'un rôle lié à un service pour Amazon S3 Storage Lens
S3 Storage Lens ne vous permet pas de modifier le rôle AWSServiceRoleForS3StorageLens lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d'informations, consultez Modification d'un rôle lié à un service dans le IAM Guide de l'utilisateur.
Suppression d'un rôle lié à un service pour Amazon S3 Storage Lens
Si vous n'utilisez plus le rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
Note
Si le service Amazon S3 Storage Lens utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.
Pour supprimer le, AWSServiceRoleForS3StorageLens vous devez supprimer toutes les configurations S3 Storage Lens présentes au niveau de l'organisation à Régions AWS l'aide des comptes de AWS Organizations gestion ou d'administrateur délégué.
Les ressources sont des configurations de S3 Storage Lens au niveau de l'organisation. Utilisez S3 Storage Lens pour nettoyer les ressources, puis utilisez la console IAM
Dans l'API REST et les SDK AWS CLI, les configurations S3 Storage Lens peuvent être découvertes ListStorageLensConfigurations dans toutes les régions dans lesquelles votre organisation a créé des configurations S3 Storage Lens. Utilisez l'action DeleteStorageLensConfiguration pour supprimer ces configurations afin de pouvoir ensuite supprimer le rôle.
Note
Pour supprimer le rôle lié au service, vous devez supprimer toutes les configurations de S3 Storage Lens au niveau de l'organisation dans toutes les Régions où elles existent.
Pour supprimer les ressources Amazon S3 Storage Lens utilisées par le AWSServiceRoleForS3StorageLens SLR
-
Pour obtenir une liste des configurations au niveau de votre organisation, vous devez utiliser le
ListStorageLensConfigurationsdans chaque région dans laquelle vous disposez de configurations S3 Storage Lens. Cette liste peut également être obtenue à partir de la console Amazon S3. -
Supprimez ces configurations des points de terminaison régionaux appropriés en appelant l'appel d'
DeleteStorageLensConfigurationAPI ou en utilisant la console Amazon S3.
Pour supprimer manuellement le rôle lié à un service à l’aide d’IAM
Après avoir supprimé les configurations, supprimez le AWSServiceRoleForS3StorageLens SLR de la console IAMDeleteServiceLinkedRole le SDK. AWS CLI AWS Pour plus d’informations, consultez Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.
Régions supportées pour les rôles liés à un service de S3 Storage Lens
S3 Storage Lens prend en charge l'utilisation de rôles liés au service partout Régions AWS où le service est disponible. Pour plus d'informations, veuillez consulter Régions et points de terminaison Amazon S3.
