組織レベルのダッシュボードを作成するための AWS Organizations の使用 - Amazon Simple Storage Service
組織内の S3 Storage Lens に対する、信頼されたアクセスの有効化組織内で S3 Storage Lens の信頼されたアクセスを無効にするS3 Storage Lens のための委任された管理者の登録S3 Storage Lens の委任された管理者の登録解除

組織レベルのダッシュボードを作成するための AWS Organizations の使用

S3 ストレージレンズはメトリクスを集約し、Amazon S3 コンソールの [Buckets] (バケット) ページの [Account snapshot] (アカウントスナップショット) セクションにこの情報を表示します。S3 Storage Lens は、インサイトと傾向を可視化したり、外れ値にフラグ付けしたり、ストレージコストの最適化やデータ保護のベストプラクティスの適用に関するレコメンデーション事項を受け取ったりするために使用できるインタラクティブダッシュボードも提供します。ダッシュボードには、組織、アカウント、AWS リージョン、バケット、オブジェクト、またはプレフィックス、または Storage Lens グループレベルでインサイトを生成して可視化できる、ドリルダウンオプションが用意されています。1 日 1 回のメトリクスのエクスポートを CSV 形式または Parquet 形式で S3 バケットに送信することもできます。

Amazon S3 Storage Lens のデフォルトのダッシュボードは、default-account-dashboard です。このダッシュボードは Amazon S3 によって事前定義されており、無料のメトリクスおよび高度なメトリクスをアカウント全体で集計し、その概要と傾向をコンソール上で可視化するのに役立ちます。デフォルトダッシュボードのスコープ設定を変更することはできませんが、メトリクスの選択を無料メトリクスから有料の高度なメトリクスとレコメンデーションにアップグレードしたり、オプションのメトリクスエクスポートを構成したり、デフォルトダッシュボードを無効にすることは可能です。デフォルトのダッシュボードは削除できません。

また、組織内の特定の AWS リージョン、S3 バケット、他の AWS アカウントなどに対応するための、追加の S3 Storage Lens ダッシュボードを作成することもできます。

S3 Storage Lens ダッシュボードには、ストレージスコープに関する豊富な情報リソースが表示されます。ダッシュボードは 30 を超えるメトリクスを可視化し、これらのメトリクスからは、傾向や情報 (ストレージの概要、コスト効率、データ保護、アクティビティなど) が得られます。

Amazon S3 Storage Lens を使用することで、AWS Organizations の階層に属しているすべてのアカウントから、ストレージのメトリクスと使用状況に関するデータを収集できます。これを行うには、AWS Organizations を使用している必要があります。また、AWS Organizations 管理アカウントを使用して、S3 ストレージレンズに対し、信頼されたアクセスを有効にする必要があります。 

信頼されたアクセスを有効にすると、組織内のアカウントに対し、委任された管理者のアクセス権限を追加できます。これらのアカウントでは、S3 Storage Lens のダッシュボードと設定を、組織の全体に対して作成できます。信頼されたアクセスの有効化の詳細については、AWS Organizations ユーザーガイドAmazon S3 Lens および AWS Organizations を参照してください。

次に示すコンソールコントロールは、AWS Organizations の管理アカウントでのみ使用が可能です。

組織内の S3 Storage Lens に対する、信頼されたアクセスの有効化

信頼されたアクセスが有効化された Amazon S3 ストレージレンズでは、AWS Organizations API オペレーションを通じて、AWS Organizations の階層やメンバーシップ、および構造にアクセスできるようになります。S3 ストレージレンズは、組織全体の構造で信頼されたサービスとして認識されます。ダッシュボードの設定が作成されるたびに、組織内の管理アカウントまたは委任された管理者アカウントのために、サービスにリンクされたロールを作成できます。

サービスにリンクされたロールからは S3 Storage Lens に対し、組織の設定、アカウントの一覧作成、組織のためのサービスアクセスに関する一覧の確認、組織のための委任された管理者の取得などを行う権限が付与されます。これにより S3 ストレージレンズは、組織内のアカウントのダッシュボードのために、ストレージの使用状況とアクティビティに関する、クロスアカウントのメトリクスを収集できるようになります。

詳細については、「Amazon S3 ストレージレンズでのサービスにリンクされたロールの使用」を参照してください。

注記

  • 信頼されたアクセスは、管理アカウントからのみ有効化できます。

  • 組織に対し、S3 Storage Lens ダッシュボードまたは、その設定を作成できるのは、管理アカウントと委任された管理者のみです。

S3 Storage Lens で信頼されたアクセスを有効にするには、

  1. AWS Management Console にサインインし、Amazon S3 コンソール (https://console.aws.amazon.com/s3/) を開きます。

  2. ナビゲーションペインで、[Storage Lens] (ストレージレンズ)、[Organization settings] (組織の設定) の順にクリックします。

  3. [組織のアクセス] で、[編集] をクリックします。

    組織のアクセスページが開きます。このページで、S3 Storage Lens のために、信頼されたアクセスを有効化できます。これを有効化したユーザーと、そのユーザーにより委任された管理者として追加された他のアカウント所有者は、組織内のすべてのアカウントとストレージ用に、ダッシュボードを作成できるようになります。

組織内で S3 Storage Lens の信頼されたアクセスを無効にする

信頼されたアクセスを無効にすると、S3 ストレージレンズの機能が、アカウントレベルのみに制限されます。各アカウント保有者は、自身のアカウントの範囲に限定して S3 Storage Lens が提供する機能にアクセスでき、組織レベルではアクセスできなくなります。信頼されたアクセスを必要とするダッシュボードは更新されなくなりますが、それぞれのデータがクエリで利用可能な期間中はダッシュボードで履歴データをクエリすることができます。

委任された管理者としてのアカウントを削除すると、アカウント所有者の S3 ストレージレンズのダッシュボードによるメトリクスへのアクセスは、アカウントレベルでのみ機能するように制限されます。それまでに作成した、組織レベルのすべてのダッシュボードはもはや更新されなくなります。ただし [the period that it is available for queries] ごとの履歴データはクエリが実行できるようになります。

注記

  • 信頼されたアクセスを無効にすると、組織レベルのダッシュボードもすべて自動的に無効になります。ストレージについてのメトリクスを収集および集計するための、組織アカウントへの信頼されたアクセス権が、S3 Storage Lens からなくなるためです。

  • これらの無効化されたダッシュボードの履歴アカウントはこれらの無効化されたダッシュボードのためのデータを以前見ることができ、また使用可能であればこのデータをクエリできます。

S3 Storage Lens の信頼されたアクセスを無効にするには、

  1. AWS Management Console にサインインし、Amazon S3 コンソール (https://console.aws.amazon.com/s3/) を開きます。

  2. ナビゲーションペインで、[Storage Lens] (ストレージレンズ)、[Organization settings] (組織の設定) の順にクリックします。

  3. [組織のアクセス] で、[編集] をクリックします。

    組織のアクセスページが開きます。このページで、S3 Storage Lens の信頼されたアクセスを無効化できます。

S3 Storage Lens のための委任された管理者の登録

信頼されたアクセスを有効にした後で、組織内のアカウントに対する委任された管理者のアクセス権限を登録できます。アカウントが委任された管理者として登録されると、そのアカウントがら AWS Organizations のすべての読み取り専用 API オペレーションへアクセスすることが承認されます。これにより、ユーザーに代わって S3 Storage Lens ダッシュボードを作成するための可視性が、組織のメンバーと構造に対し提供されます。

S3 Storage Lens のための委任された管理者を登録するには、

  1. AWS Management Console にサインインし、Amazon S3 コンソール (https://console.aws.amazon.com/s3/) を開きます。

  2. ナビゲーションペインで、[Storage Lens] (ストレージレンズ)、[Organization settings] (組織の設定) の順にクリックします。

  3. [委任されたアクセス ] セクションの [アカウント] で、[アカウントの追加] をクリックします。

    委任された管理者のアクセスページが開きます。このページでは、AWS アカウント ID を委任管理者として追加し、組織内のすべてのアカウントとストレージのために組織レベルのダッシュボードを作成することを許可できます。

S3 Storage Lens の委任された管理者の登録解除

組織内のアカウントのための、委任された管理者としてのアクセス権限を、登録解除することができます。アカウントの委任された管理者としての登録が解除されると、そのアカウントは、AWS Organizations の読み取り専用 API オペレーションすべてに対するアクセス権限を失い、組織のメンバーや構造にアクセスできなくなります。

注記

  • 委任された管理者の登録が解除されると、委任された管理者としてそれまでに作成した組織レベルのダッシュボードも、すべて自動的に無効になります。

  • 委任された管理者アカウントは、データがクエリのために利用できるそれぞれの保持期間に従い、これらの無効化されたダッシュボードの履歴データを、引き続き見ることが可能です。

アカウントでの、委任された管理者としてのアクセス権限の登録を解除するには、

  1. AWS Management Console にサインインし、Amazon S3 コンソール (https://console.aws.amazon.com/s3/) を開きます。

  2. ナビゲーションペインで、[Storage Lens] (ストレージレンズ)、[Organization settings] (組織の設定) の順にクリックします。

  3. [アクセスが委任されたアカウント] セクションで、登録を解除するアカウント ID を選択した上で、[削除] をクリックします。