Amazon S3 ストレージレンズアクセス許可 - Amazon Simple Storage Service

Amazon S3 ストレージレンズアクセス許可

Amazon S3 ストレージレンズでは、S3 ストレージレンズの各アクションへのアクセスを許可するために、AWS Identity and Access Management (IAM) の新しいアクセス許可が必要となります。これらのアクセス許可を付与するには、アイデンティティベースの IAM ポリシーを使用できます。このポリシーを、IAM ユーザー、グループ、またはロールにアタッチして、アクセス許可を付与することができます。このようなアクセス許可には、S3 Storage Lens の有効化または無効化や、S3 Storage Lens ダッシュボードや設定へのアクセスなどが含まれます。

これらの IAM ユーザーまたはロールは、以下の条件の両方に当てはまる場合を除き、ダッシュボードまたはその設定を作成または所有しているアカウントに属している必要があります。

  • アカウントが AWS Organizations のメンバーです。

  • 委任管理者として管理アカウントによって、組織レベルのダッシュボードを作成するアクセスを付与されています。

注記
  • Amazon S3 ストレージレンズダッシュボードを表示するために、アカウントのルートユーザーの認証情報を使用することはできません。S3 ストレージレンズダッシュボードにアクセスするには、新規または既存の IAM ユーザーに対し、必要な IAM アクセス許可を付与する必要があります。その後、それらのユーザーの認証情報によりサインインを行い、S3 Storage Lens ダッシュボードにアクセスします。詳細については、「IAM ユーザーガイド」の「IAM でのセキュリティベストプラクティス」を参照してください。

  • Amazon S3 コンソールで S3 ストレージレンズを使用するには、複数のアクセス許可が必要になることがあります。例えば、コンソールでダッシュボードを編集するには、次の許可が必要です。

    • s3:ListStorageLensConfigurations

    • s3:GetStorageLensConfiguration

    • s3:PutStorageLensConfiguration

アカウントで S3 ストレージレンズを使用するためのアクセス許可の設定

S3 Storage Lens ダッシュボードと Storage Lens ダッシュボード設定を作成して管理するには、実行するアクションに応じて次の権限が必要です。

Amazon S3 ストレージレンズ関連の IAM アクセス許可
アクション IAM アクセス許可
Amazon S3 コンソールで S3 ストレージレンズダッシュボードを作成または更新します。

s3:ListStorageLensConfigurations

s3:GetStorageLensConfiguration

s3:GetStorageLensConfigurationTagging

s3:PutStorageLensConfiguration

s3:PutStorageLensConfigurationTagging

Amazon S3 コンソールで S3 ストレージレンズダッシュボードのタグを取得します。

s3:ListStorageLensConfigurations

s3:GetStorageLensConfigurationTagging

Amazon S3 コンソールに S3 ストレージレンズダッシュボードを表示します。

s3:ListStorageLensConfigurations

s3:GetStorageLensConfiguration

s3:GetStorageLensDashboard

Amazon S3 コンソールで S3 ストレージレンズダッシュボードを削除します。

s3:ListStorageLensConfigurations

s3:GetStorageLensConfiguration

s3:DeleteStorageLensConfiguration

AWS CLI または AWS SDK により S3 ストレージレンズの設定を作成または更新します。

s3:PutStorageLensConfiguration

s3:PutStorageLensConfigurationTagging

AWS CLI または AWS SDK により S3 ストレージレンズの設定のタグを取得します。

s3:GetStorageLensConfigurationTagging

AWS CLI または AWS SDK により S3 ストレージレンズの設定を表示します。

s3:GetStorageLensConfiguration

AWS CLI または AWS SDK により S3 ストレージレンズの設定を削除します。

s3:DeleteStorageLensConfiguration

注記
  • S3 Storage Lens ダッシュボードビューは、イベント名 GetStorageLensDashboardDataInternal で CloudTrail にログ記録されます。

  • IAM ポリシーでリソースタグを使用すると、アクセス許可を管理できます。

  • これらのアクセス許可を持つ IAM ユーザーまたはロールは、バケットおよびプレフィックスからのメトリクスを参照できます。ただし、オブジェクトの読み出しまたは一覧表示のための、直接的なアクセス許可がない場合があります。

  • プレフィックスレベルのメトリクスが有効になっている S3 Storage Lens ダッシュボードでは、選択したプレフィックスパスがオブジェクトキーと一致すると、ダッシュボードにそのオブジェクトキーが別のプレフィックスとして表示されることがあります。

  • ご自身のアカウントのバケットに保存されているメトリクスをエクスポートする場合は、IAM ポリシー内の既存の s3:GetObject アクセス許可により権限が付与されます。これと同様に、AWS Organizations エンティティであれば、組織の管理アカウントまたは委任管理者アカウントとして IAM ポリシーを使用することで、組織レベルのダッシュボードと設定への許可を管理できます。

アカウントで S3 Storage Lens グループを使用するためのアクセス許可の設定

S3 Storage Lens グループを使用すると、プレフィックス、サフィックス、オブジェクトタグ、オブジェクトサイズ、またはオブジェクト経過時間に基づいてバケット内のストレージの分布を把握できます。Storage Lens グループをダッシュボードにアタッチすると、集約されたメトリクスを表示できます。

Storage Lens グループを操作するには、特定の権限が必要です。詳細については、「Storage Lens グループのアクセス許可。」を参照してください。

AWS Organizations を使用した S3 ストレージレンズを使用するための許可の設定

Amazon S3 ストレージレンズを使用することで、AWS Organizations の階層に属しているすべてのアカウントから、ストレージのメトリクスと使用状況に関するデータを収集できます。Organizations での S3 ストレージレンズの使用に関連する、アクションとアクセス許可を次に示します。

S3 ストレージレンズを使用するための AWS Organizations 関連 IAM 許可
アクション IAM アクセス許可
S3ストレージレンズのために、信頼されたアクセスを組織内で有効にします。

organizations:EnableAWSServiceAccess

組織内で、S3 ストレージレンズのために信頼されたアクセスを無効にします。

organizations:DisableAWSServiceAccess

組織内で、S3 ストレージレンズダッシュボードまたはその設定を作成するために、委任管理者を登録します。

organizations:RegisterDelegatedAdministrator

委任管理者の登録を解除して、組織の S3 ストレージレンズダッシュボードまたは設定を作成できないようにします。

organizations:DeregisterDelegatedAdministrator

組織全体のために S3 ストレージレンズの設定を作成するための追加のアクセス許可

organizations:DescribeOrganization

organizations:ListAccounts

organizations:ListAWSServiceAccessForOrganization

organizations:ListDelegatedAdministrators

iam:CreateServiceLinkedRole