Utilizzo dei ruoli collegati ai servizi per Amazon S3 Storage Lens - Amazon Simple Storage Service

Utilizzo dei ruoli collegati ai servizi per Amazon S3 Storage Lens

Per utilizzare Amazon S3 Storage Lens per raccogliere e aggregare i parametri su tutti i tuoi account AWS Organizations, devi innanzitutto assicurarti che per S3 Storage Lens sia abilitato l'accesso attendibile all'account di gestione della tua organizzazione. S3 Storage Lens crea un ruolo collegato ai servizi per consentirgli di ottenere l'elenco degli Account AWS appartenenti alla tua organizzazione. Questo elenco di account viene utilizzato da S3 Storage Lens per raccogliere i parametri delle risorse S3 in tutti gli account membri quando il pannello di controllo o le configurazioni dello Storage Lens S3 vengono create o aggiornate.

Amazon S3 Storage Lens utilizza i ruoli collegati ai servizi AWS Identity and Access Management (IAM) Un ruolo collegato ai servizi è un tipo univoco di ruolo IAM collegato direttamente a S3 Storage Lens. I ruoli collegati ai servizi sono definiti automaticamente da S3 Storage Lens e includono tutte le autorizzazioni richieste dal servizio per eseguire chiamate agli altri servizi AWS per tuo conto.

Un ruolo collegato ai servizi semplifica la configurazione di S3 Storage Lens perché ti permette di evitare l'aggiunta manuale delle autorizzazioni necessarie. S3 Storage Lens definisce le autorizzazioni dei relativi ruoli associati ai servizi e, salvo diversamente definito, solo S3 Storage Lens potrà assumere i propri ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.

È possibile eliminare il ruolo collegato ai servizi solo dopo avere eliminato le risorse correlate. Questa procedura protegge le risorse di S3 Storage Lens perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta Servizi AWS che funzionano con IAM e cerca i servizi che riportano Yes (Sì) nella colonna Service-Linked Role (Ruolo collegato al servizio). Scegli un link Yes (Sì) per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni di ruolo collegate ai servizi per Amazon S3 Storage Lens

S3 Storage Lens utilizza il ruolo collegato ai servizi denominato AWSServiceRoleForS3StorageLens, che consente l'accesso ai servizi e alle risorse AWS utilizzati o gestiti da S3 Storage Lens. Ciò consente a S3 Storage Lens di accedere alle risorse AWS Organizations per conto dell'utente.

Il ruolo collegato ai servizi S3 Storage Lens considera attendibile il seguente servizio nello storage dell'organizzazione:

  • storage-lens.s3.amazonaws.com

La policy delle autorizzazioni del ruolo consente a S3 Storage Lens di eseguire le seguenti operazioni:

  • organizations:DescribeOrganization

    organizations:ListAccounts

    organizations:ListAWSServiceAccessForOrganization

    organizations:ListDelegatedAdministrators

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Creazione di un ruolo collegato ai servizi per S3 Storage Lens

Non devi creare manualmente un ruolo collegato ai servizi. Quando si completa una delle seguenti attività durante l'accesso alla gestione di AWS Organizations o agli account amministratore delegati, S3 Storage Lens crea per te il ruolo collegato ai servizi:

  • Crea una configurazione del pannello di controllo S3 Storage Lens per la tua organizzazione nella console Amazon S3.

  • PUT una configurazione S3 Storage Lens per l'organizzazione utilizzando REST API, la AWS CLI e gli SDK.

Nota

S3 Storage Lens supporterà un massimo di cinque amministratori delegati per organizzazione.

Se si elimina questo ruolo collegato ai servizi, le azioni precedenti lo ricreeranno all'occorrenza.

Esempio di policy per il ruolo collegato ai servizi S3 Storage Lens

Esempio Policy di autorizzazione per il ruolo collegato ai servizi S3 Storage Lens
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AwsOrgsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource": [ "*" ] } ] }

Modifica di un ruolo collegato ai servizi per Amazon S3 Storage Lens

S3 Storage Lens non consente di modificare il ruolo collegato ai servizi AWSServiceRoleFors3StorageLens. Dopo aver creato un ruolo collegato ai servizi, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato ai servizi per Amazon S3 Storage Lens

Se non devi più utilizzare il ruolo collegato ai servizi, è consigliabile eliminarlo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.

Nota

Se il servizio Amazon S3 Storage Lens utilizza tale ruolo quando tenti di eliminare le risorse, è possibile che l'eliminazione non abbia esito positivo. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.

Per eliminare AWSServiceRoleForS3StorageLens, è necessario eliminare tutte le configurazioni S3 Storage Lens a livello di organizzazione presenti in tutte le Regioni utilizzando la gestione di AWS Organizations o gli account amministratore delegati.

Le risorse sono configurazioni S3 Storage Lens a livello di organizzazione. Utilizza S3 Storage Lens per pulire le risorse e quindi utilizza la console IAM, la CLI, REST API o l'SDK AWS per eliminare il ruolo.

In REST API, nella AWS CLI e negli SDK è possibile scoprire le configurazioni S3 Storage Lens utilizzando ListStorageLensConfigurations in tutte le regioni in cui l'organizzazione ha creato configurazioni S3 Storage Lens. Utilizza l'azione DeleteStorageLensConfiguration per eliminare queste configurazioni in modo che sia possibile eliminare il ruolo.

Nota

Per eliminare il ruolo collegato ai servizi, è necessario eliminare tutte le configurazioni S3 Storage Lens a livello di organizzazione in tutte le regioni in cui esistono.

Per eliminare le risorse Amazon S3 Storage Lens utilizzate da AWSServiceLeFors3StorageLens
  1. Per ottenere un elenco delle configurazioni a livello di organizzazione, è necessario utilizzare ListStorageLensConfigurations in ogni regione in cui si dispone di configurazioni S3 Storage Lens. Questo elenco può essere ottenuto anche dalla console Amazon S3.

  2. Queste configurazioni devono quindi essere eliminate dagli endpoint regionali appropriati effettuando la chiamata API DeleteStorageLensConfiguration o tramite la console Amazon S3.

Per eliminare manualmente il ruolo collegato ai servizi utilizzando IAM

Dopo avere eliminato le configurazioni, AWSServiceRoleForS3StorageLens può essere eliminato dalla console IAM, effettuando la chiamata API IAM DeleteServiceLinkedRole, con la AWS CLI o l'SDK AWS. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente IAM.

Regioni supportate per i ruoli collegati ai servizi S3 Storage Lens

S3 Storage Lens supporta l'utilizzo di ruoli collegati ai servizi in tutte le Regioni AWS in cui il servizio è disponibile. Per ulteriori informazioni, consulta la sezione Regioni ed endpoint di Amazon S3.