Utilizzo di Amazon S3 Storage Lens con AWS Organizations - Amazon Simple Storage Service

Utilizzo di Amazon S3 Storage Lens con AWS Organizations

Puoi utilizzare Amazon S3 Storage Lens per raccogliere i parametri di archiviazione e i dati di utilizzo per tutti gli Account AWS che fanno parte della tua gerarchia di AWS Organizations. A tale scopo, è necessario utilizzare AWS Organizations e abilitare l'accesso attendibile di S3 Storage Lens utilizzando l'account di gestione di AWS Organizations.

Dopo aver abilitato l'accesso attendibile, potrai aggiungere l'accesso da amministratore delegato agli account dell'organizzazione. Questi account possono quindi creare configurazioni e pannelli di controllo per S3 Storage Lens che raccolgono parametri di archiviazione a livello di organizzazione e dati utente.

Per maggiori informazioni sull'abilitazione dell'accesso attendibile, consulta Amazon S3 Storage Lens e AWS Organizations nella Guida per l'utente AWS Organizations.

Abilitazione dell'accesso attendibile per S3 Storage Lens

Abilitando l'accesso attendibile, consenti ad Amazon S3 Storage Lens di avere accesso alla tua gerarchia, appartenenza e struttura di AWS Organizations tramite le API AWS Organizations. S3 Storage Lens diventa in questo modo un servizio attendibile per l'intera struttura dell'organizzazione.

Ogni volta che viene creata una configurazione del pannello di controllo, S3 Storage Lens crea ruoli collegati ai servizi nella gestione o negli account di amministratore delegato. Il ruolo collegato ai servizi concede a S3 Storage Lens le autorizzazioni per descrivere le aziende, elencare gli account, verificare un elenco di accesso ai servizi AWS per le organizzazioni e ottenere amministratori delegati per l'azienda. S3 Storage Lens può quindi garantire l'accesso per raccogliere i parametri di utilizzo e attività di archiviazione tra account per gli account delle aziende. Per ulteriori informazioni, consulta la sezione Utilizzo dei ruoli collegati ai servizi per Amazon S3 Storage Lens.

Dopo aver abilitato l'accesso attendibile, potrai assegnare l'accesso da amministratore delegato agli account dell'organizzazione. Quando un account è contrassegnato come amministratore delegato per un servizio, l'account riceve l'autorizzazione ad accedere a tutte le API dell'organizzazione in sola lettura. Ciò fornisce visibilità ai membri e alle strutture dell'organizzazione in modo che possano creare pannelli di controllo di S3 Storage Lens.

Nota

Solo l'account di gestione può abilitare l'accesso attendibile per Amazon S3 Storage Lens.

Disabilitazione dell'accesso attendibile per S3 Storage Lens

Disabilitando l'accesso attendibile, si limita S3 Storage Lens al funzionamento solo a livello di account. Inoltre, ogni titolare dell'account può visualizzare i vantaggi di S3 Storage Lens limitati all'ambito del proprio account e non all'intera organizzazione. Tutti i pannelli di controllo che richiedono un accesso attendibile non saranno più aggiornati, ma conserveranno i dati della cronologia in base ai rispettivi periodi di conservazione per query.

La rimozione di un account come amministratore delegato limiterà l'accesso ai parametri del pannello di controllo di S3 Storage Lens in modo da funzionare solo a livello di account. I pannelli di controllo organizzativi creati non saranno più aggiornati, ma conserveranno i dati della cronologia in base ai rispettivi periodi di conservazione per query.

Nota
  • Questa azione impedisce inoltre automaticamente a tutti i pannelli di controllo a livello di organizzazione di raccogliere e aggregare i parametri di storage.

  • Gli account amministratore e amministratore delegato saranno comunque in grado di visualizzare i dati di cronologia per i pannelli di controllo a livello organizzativo uscenti in base ai rispettivi periodi di conservazione per query.

Registrazione di un amministratore delegato per S3 Storage Lens

È possibile creare pannelli di controllo a livello di organizzazione utilizzando l'account di gestione dell'organizzazione o un account come amministratore delegato. Gli account amministratore delegati consentono ad altri account oltre all'account di gestione di creare pannelli di controllo a livello di organizzazione. Solo l’account di gestione di un'organizzazione può registrare e annullare la registrazione di altri account come amministratori delegati per l'organizzazione.

Per registrare un amministratore delegato utilizzando la console Amazon S3, consulta Registrazione di amministratori delegati per S3 Storage Lens.

Puoi inoltre registrare un amministratore delegato utilizzando l'API REST di AWS Organizations, AWS CLI o gli SDK dall'account di gestione. Per ulteriori informazioni, consulta RegisterDelegatedAdministrator nella Documentazione di riferimento delle API di AWS Organizations.

Nota

Prima di poter designare un amministratore delegato utilizzando l'API REST di AWS Organizations, AWS CLI o gli SDK, è necessario chiamare l'operazione EnableAWSOrganizationsAccess.

Annullamento della registrazione di un amministratore delegato per S3 Storage Lens

Puoi annullare la registrazione di un account amministratore delegato. Gli account amministratore delegati consentono ad altri account oltre all'account di gestione di creare pannelli di controllo a livello di organizzazione. Solo l'account di gestione di un'organizzazione può annullare la registrazione degli account come amministratori delegati per l'organizzazione.

Per annullare la registrazione di un amministratore delegato tramite la console S3, consulta Annullamento della registrazione di amministratori delegati per S3 Storage Lens.

Puoi anche annullare la registrazione di un amministratore delegato utilizzando l'API REST di AWS Organizations, AWS CLI o gli SDK dall'account di gestione. Per ulteriori informazioni, consulta DeregisterDelegatedAdministrator nella Documentazione di riferimento delle API di AWS Organizations.

Nota
  • Questa azione interrompe automaticamente tutti i pannelli di controllo a livello di organizzazione creati dall'amministratore delegato dall'aggregazione di nuovi parametri di archiviazione.

  • Gli account amministratore delegato saranno comunque in grado di visualizzare i dati della cronologica di tali pannelli di controllo mentre i dati sono disponibili per le query.