Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo dei ruoli collegati ai servizi per Amazon S3 Storage Lens
Per utilizzare Amazon S3 Storage Lens per raccogliere e aggregare i parametri su tutti i tuoi account AWS Organizations, devi innanzitutto assicurarti che per S3 Storage Lens sia abilitato l'accesso attendibile all'account di gestione della tua organizzazione. S3 Storage Lens crea un ruolo collegato al servizio per consentirgli di ottenere l'elenco di appartenenza alla tua organizzazione. Account AWS Questo elenco di account viene utilizzato da S3 Storage Lens per raccogliere i parametri delle risorse S3 in tutti gli account membri quando il pannello di controllo o le configurazioni dello Storage Lens S3 vengono create o aggiornate.
Amazon S3 Storage Lens utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM). Un ruolo collegato ai servizi è un tipo univoco di ruolo IAM collegato direttamente a S3 Storage Lens. I ruoli collegati ai servizi sono predefiniti da S3 Storage Lens e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato ai servizi semplifica la configurazione di S3 Storage Lens perché ti permette di evitare l'aggiunta manuale delle autorizzazioni necessarie. S3 Storage Lens definisce le autorizzazioni dei relativi ruoli associati ai servizi e, salvo diversamente definito, solo S3 Storage Lens potrà assumere i propri ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.
È possibile eliminare il ruolo collegato ai servizi solo dopo avere eliminato le risorse correlate. Questa procedura protegge le risorse di S3 Storage Lens perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta Servizi AWS che funzionano con IAM e cerca i servizi che riportano Yes (Sì) nella colonna Service-Linked Role (Ruolo collegato al servizio). Scegli un link Yes (Sì) per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
Autorizzazioni di ruolo collegate ai servizi per Amazon S3 Storage Lens
S3 Storage Lens utilizza il ruolo collegato ai servizi denominato AWSServiceRoleForS3StorageLens: ciò consente l'accesso ai AWS servizi e alle risorse utilizzati o gestiti da S3 Storage Lens. Ciò consente a S3 Storage Lens di accedere alle risorse per tuo conto AWS Organizations .
Il ruolo collegato ai servizi S3 Storage Lens considera attendibile il seguente servizio nello storage dell'organizzazione:
-
storage-lens.s3.amazonaws.com
La policy delle autorizzazioni del ruolo consente a S3 Storage Lens di eseguire le seguenti operazioni:
-
organizations:DescribeOrganizationorganizations:ListAccountsorganizations:ListAWSServiceAccessForOrganizationorganizations:ListDelegatedAdministrators
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.
Creazione di un ruolo collegato ai servizi per S3 Storage Lens
Non devi creare manualmente un ruolo collegato ai servizi. Quando completi una delle seguenti attività mentre sei connesso agli account di AWS Organizations gestione o amministratore delegato, S3 Storage Lens crea automaticamente il ruolo collegato al servizio:
Crea una configurazione del pannello di controllo S3 Storage Lens per la tua organizzazione nella console di Amazon S3.
PUTuna configurazione S3 Storage Lens per la tua organizzazione che utilizza l'API REST e gli SDK. AWS CLI
Nota
S3 Storage Lens supporterà un massimo di cinque amministratori delegati per organizzazione.
Se si elimina questo ruolo collegato ai servizi, le azioni precedenti lo ricreeranno all'occorrenza.
Esempio di policy per il ruolo collegato ai servizi S3 Storage Lens
Esempio Policy di autorizzazione per il ruolo collegato ai servizi S3 Storage Lens
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AwsOrgsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource": [ "*" ] } ] }
Modifica di un ruolo collegato ai servizi per Amazon S3 Storage Lens
S3 Storage Lens non consente di modificare il AWSServiceRoleForS3StorageLens ruolo collegato al servizio. Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.
Eliminazione di un ruolo collegato ai servizi per Amazon S3 Storage Lens
Se non devi più utilizzare il ruolo collegato ai servizi, è consigliabile eliminarlo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
Nota
Se il servizio Amazon S3 Storage Lens utilizza tale ruolo quando tenti di eliminare le risorse, è possibile che l'eliminazione non abbia esito positivo. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.
Per eliminare il, AWSServiceRoleForS3StorageLens è necessario eliminare tutte le configurazioni di S3 Storage Lens a livello di organizzazione presenti in tutte le regioni utilizzando l'account di AWS Organizations gestione o l'account amministratore delegato.
Le risorse sono configurazioni S3 Storage Lens a livello di organizzazione. Usa S3 Storage Lens per pulire le risorse, quindi utilizza la console IAM
Nell'API REST AWS CLI e negli SDK, le configurazioni di S3 Storage Lens possono essere scoperte utilizzando tutte le regioni ListStorageLensConfigurations in cui l'organizzazione ha creato configurazioni S3 Storage Lens. Utilizza l'azione DeleteStorageLensConfiguration per eliminare queste configurazioni in modo che sia possibile eliminare il ruolo.
Nota
Per eliminare il ruolo collegato ai servizi, è necessario eliminare tutte le configurazioni S3 Storage Lens a livello di organizzazione in tutte le regioni in cui esistono.
Per eliminare le risorse di Amazon S3 Storage Lens utilizzate da AWSServiceRoleForS3StorageLens
-
Per ottenere un elenco delle configurazioni a livello di organizzazione, è necessario utilizzare
ListStorageLensConfigurationsin ogni regione in cui si dispone di configurazioni S3 Storage Lens. Questo elenco può essere ottenuto anche dalla console di Amazon S3. Queste configurazioni devono quindi essere eliminate dagli endpoint regionali appropriati effettuando la chiamata API
DeleteStorageLensConfigurationo tramite la console di Amazon S3.
Per eliminare manualmente il ruolo collegato ai servizi mediante IAM
Dopo aver eliminato le configurazioni, eliminale AWSServiceRoleForS3StorageLens dalla console IAMDeleteServiceLinkedRole AWS CLI SDK o. AWS Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente IAM.
Regioni supportate per i ruoli collegati ai servizi S3 Storage Lens
S3 Storage Lens supporta l'utilizzo di ruoli collegati al servizio in tutti i luoghi in cui il Regioni AWS servizio è disponibile. Per ulteriori informazioni, consulta la sezione Regioni ed endpoint di Amazon S3.
