Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation des rôles liés à un service pour le cadre de stockage Amazon S3
Pour utiliser Amazon S3 Storage Lens afin de collecter et agréger des mesures sur tous vos comptes dans les AWS Organizations, vous devez d'abord vous assurer que S3 Storage Lens dispose d'un accès fiable activé par le compte de gestion de votre organisation. S3 Storage Lens crée un rôle lié à un service (SLR) pour lui permettre d'obtenir la liste des Comptes AWS membres de votre organisation. Cette liste de comptes est utilisée par S3 Storage Lens pour collecter des mesures des ressources S3 dans tous les comptes membres lorsque le tableau de bord ou les configurations de S3 Storage Lens sont créés ou mis à jour.
Amazon S3 Storage Lens utilise AWS Identity and Access Management (IAM) des rôles liés à un service. Un rôle lié à un service est un type unique de IAM rôle directement lié à S3 Storage Lens. Les rôles liés au service sont prédéfinis par S3 Storage Lens et incluent toutes les autorisations dont le service a besoin pour appeler d'autres personnes en votre services AWS nom.
Un rôle lié à un service simplifie la configuration de S3 Storage Lens car vous n'avez pas besoin d'ajouter manuellement les autorisations requises. S3 Storage Lens définit les autorisations de ses rôles liés à un service et, sauf définition contraire, seul S3 Storage Lens peut endosser ses rôles. Les autorisations définies incluent la politique de confiance et la politique d'autorisations, et cette politique d'autorisations ne peut être attachée à aucune autre IAM entité.
Vous pouvez supprimer le rôle lié à un service uniquement après avoir supprimé les ressources connexes. Vos ressources relatives au S3 Storage Lens sont ainsi protégées, car vous ne pouvez pas accidentellement supprimer les autorisations d'accès aux ressources.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section AWS Services qui fonctionnent avec IAM et recherchez les services dont la valeur est Oui dans la colonne Rôle lié au service. Choisissez un Oui ayant un lien permettant de consulter la documentation du rôle lié à un service, pour ce service.
Autorisations de rôle liées au service pour le cadre de stockage Amazon S3
S3 Storage Lens utilise le rôle lié au service nommé AWSServiceRoleForS3StorageLens— Cela permet d'accéder aux AWS services et aux ressources utilisés ou gérés par S3 Storage Lens. Cela permet à S3 Storage Lens d'accéder aux AWS Organizations ressources en votre nom.
Le rôle lié à un service S3 Storage Lens approuve le service suivant sur le stockage de votre organisation :
-
storage-lens.s3.amazonaws.com
La stratégie d'autorisations liée au rôle permet au S3 Storage Lens de réaliser les actions suivantes :
-
organizations:DescribeOrganizationorganizations:ListAccountsorganizations:ListAWSServiceAccessForOrganizationorganizations:ListDelegatedAdministrators
Vous devez configurer les autorisations pour autoriser une IAM entité (telle qu'un utilisateur, un groupe ou un rôle) à créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez la section Autorisations relatives aux rôles liés à un service dans le Guide de l'IAMutilisateur.
Création d'un rôle lié à un service pour S3 Storage Lens
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous effectuez l'une des tâches suivantes alors que vous êtes connecté aux comptes AWS Organizations de gestion ou d'administrateur délégué, S3 Storage Lens crée le rôle lié au service pour vous :
Créez une configuration de tableau de bord S3 Storage Lens pour votre organisation dans la console Amazon S3.
PUTune configuration S3 Storage Lens pour votre organisation à l'aide du RESTAPI, AWS CLI etSDKs.
Note
S3 Storage Lens prendra en charge un maximum de cinq administrateurs délégués par organisation.
Si vous supprimez ce rôle lié à un service, les actions précédentes le recréeront si nécessaire.
Exemple de stratégie pour un rôle lié à un service de S3 Storage Lens
Exemple Stratégie d'autorisations pour le rôle lié à un service de S3 Storage Lens
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AwsOrgsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource": [ "*" ] } ] }
Modification d'un rôle lié à un service pour Amazon S3 Storage Lens
S3 Storage Lens ne vous permet pas de modifier le rôle AWSServiceRoleForS3StorageLens lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Vous pouvez toutefois modifier la description du rôle à l'aide deIAM. Pour plus d'informations, consultez la section Modification d'un rôle lié à un service dans le Guide de l'IAMutilisateur.
Suppression d'un rôle lié à un service pour Amazon S3 Storage Lens
Si vous n'utilisez plus le rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
Note
Si le service Amazon S3 Storage Lens utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.
Pour supprimer le, AWSServiceRoleForS3StorageLens vous devez supprimer toutes les configurations S3 Storage Lens présentes au niveau de l'organisation à Régions AWS l'aide des comptes de AWS Organizations gestion ou d'administrateur délégué.
Les ressources sont des configurations de S3 Storage Lens au niveau de l'organisation. Utilisez S3 Storage Lens pour nettoyer les ressources, puis utilisez la IAMconsole
Dans les RESTAPI, et AWS CLI SDKs, les configurations S3 Storage Lens peuvent être découvertes ListStorageLensConfigurations à l'aide de toutes les régions dans lesquelles votre organisation a créé des configurations S3 Storage Lens. Utilisez l'action DeleteStorageLensConfiguration pour supprimer ces configurations afin de pouvoir ensuite supprimer le rôle.
Note
Pour supprimer le rôle lié au service, vous devez supprimer toutes les configurations de S3 Storage Lens au niveau de l'organisation dans toutes les Régions où elles existent.
Pour supprimer les ressources Amazon S3 Storage Lens utilisées par AWSServiceRoleForS3StorageLens SLR
-
Pour obtenir une liste des configurations au niveau de votre organisation, vous devez utiliser le
ListStorageLensConfigurationsdans chaque région dans laquelle vous disposez de configurations S3 Storage Lens. Cette liste peut également être obtenue à partir de la console Amazon S3. -
Supprimez ces configurations des points de terminaison régionaux appropriés en appelant l'
DeleteStorageLensConfigurationAPIappel ou en utilisant la console Amazon S3.
Pour supprimer manuellement le rôle lié à un service à l'aide de IAM
Après avoir supprimé les configurations, supprimez-les AWSServiceRoleForS3StorageLens SLR de la IAMconsoleDeleteServiceLinkedRole en utilisant le AWS CLI ou AWS SDK. Pour plus d'informations, voir Supprimer un rôle lié à un service dans le Guide de l'IAMutilisateur.
Régions supportées pour les rôles liés à un service de S3 Storage Lens
S3 Storage Lens prend en charge l'utilisation de rôles liés au service partout Régions AWS où le service est disponible. Pour plus d'informations, veuillez consulter Régions et points de terminaison Amazon S3.
