AWS Organizations での Amazon S3 ストレージレンズの使用 - Amazon Simple Storage Service

AWS Organizations での Amazon S3 ストレージレンズの使用

Amazon S3 ストレージレンズは、オブジェクトストレージの使用状況とアクティビティを組織全体で可視化するために使用できるクラウドストレージの分析機能です。S3 ストレージレンズメトリクスを使用することで、組織全体でどれだけのストレージがあるか、または最も急速に成長しているバケットとプレフィックスは何かなどの、要約されたインサイトを生成できます。S3 ストレージレンズメトリクスを使用して、コスト最適化の機会を特定し、データ保護とセキュリティのベストプラクティスを実装し、アプリケーションワークロードのパフォーマンスを向上させることもできます。例えば、S3 ライフサイクルルールがないバケットを特定して、7 日以上経過した未完了のマルチパートアップロードを有効期限切れにできます。また、S3 レプリケーションや S3 バージョニング使用など、データ保護のベストプラクティスに従っていないバケットを特定することもできます。また、S3 Storage Lens は、メトリクスを分析して、ストレージコストを最適化し、データ保護に関するベストプラクティスを適用するために使用できるコンテキストに応じた推奨事項を提供します。

Amazon S3 ストレージレンズを使用することで、AWS Organizations の階層に属しているすべての AWS アカウント から、ストレージのメトリクスと使用状況に関するデータを収集できます。これを行うには、AWS Organizations を使用している必要があります。また、AWS Organizations 管理アカウントを使用して、S3 ストレージレンズに対し、信頼されたアクセスを有効にする必要があります。

信頼されたアクセスを有効にすると、組織内のアカウントに対し、委任管理者の権限を追加できるようになります。これらのアカウントは、組織全体のストレージメトリクスとユーザーデータを収集する S3 ストレージレンズの設定とダッシュボードを作成できます。

信頼されたアクセスの有効化の詳細については、AWS Organizations ユーザーガイドの「Amazon S3 ストレージレンズと AWS Organizations」を参照してください。

S3 ストレージレンズのための信頼されたアクセスを有効にする

信頼されたアクセスが有効化された Amazon S3 ストレージレンズでは、AWS Organizations API オペレーションを通じて、AWS Organizations の階層、メンバーシップ、および構造にアクセスできるようになります。S3 ストレージレンズは、組織全体の構造で信頼されたサービスとして認識されます。

ダッシュボードの設定が作成されるたびに、組織の管理アカウントまたは委任管理者アカウントのために、サービスにリンクされたロールが S3 ストレージレンズにより作成されます。サービスにリンクされたロールにより、S3 Storage Lens が次の操作を実行できます。

  • 組織を説明する

  • アカウントを一覧表示する

  • 組織の AWS サービスアクセスリストを検証する

  • 組織の委任管理者を取得する

S3 ストレージレンズは、組織のアカウントのクロスアカウントストレージ使用状況およびアクティビティメトリクスを収集するためのアクセスを確実に有しているようにできます。詳細については、「Amazon S3 ストレージレンズでのサービスにリンクされたロールの使用」を参照してください。

信頼されたアクセスを有効にしておくと、組織内のアカウントに対し、委任管理者権限を割り当てることができます。サービスに対する委任管理者としてマークされたアカウントには、組織内で、すべての読み取り専用 API オペレーションにアクセスするための承認が与えられます。このアクセス権により、委任管理者には組織のメンバーと構造に対する可視性が提供され、彼らも S3 ストレージレンズダッシュボードを作成できるようになります。

注記

Amazon S3 ストレージレンズに対し信頼されたアクセスを有効にできるのは、管理アカウントのみです。

S3 ストレージレンズのための信頼されたアクセスを無効にする

信頼されたアクセスを無効にすると、S3 ストレージレンズはアカウントレベルでのみ機能するように制限されます。さらに、各アカウント保有者は S3 ストレージレンズの機能に対して、組織全体ではなくアカウントの範囲内に限りアクセスできるようになります。信頼されたアクセスを必要とするダッシュボードは更新されなくなりますが、データがクエリで利用可能な期間中は履歴データは保持されます。

注記
  • また、S3 ストレージレンズの信頼されたアクセスを無効にすると、すべての組織レベルのダッシュボードで、ストレージのメトリクスの収集と集計が自動的に停止されます。

  • 管理者、および委任管理者アカウントは、データがクエリ用に利用可能な期間中、終了した組織レベルのダッシュボードの履歴データを引き続き表示できます。

S3 ストレージレンズでの委任管理者の登録

組織の管理アカウントまたは委任管理者アカウントからは、組織レベルのダッシュボードを作成できます。委任管理者アカウントでは、管理アカウントを除く他のアカウントに対し、組織レベルのダッシュボードの作成を許可できます。他のアカウントを組織の委任管理者として登録および登録解除できるのは、その組織の管理者アカウントのみです。

委任管理者を、Amazon S3 コンソールを使用して登録するには、「S3 Storage Lens のための委任された管理者の登録」を参照してください。

また、委任管理者は、管理アカウントから AWS Organizations の REST API、AWS CLI、または SDK を使用することでも登録できます。詳細については、AWS Organizations API リファレンスの「RegisterDelegatedAdministrator」を参照してください。

注記

AWS Organizations の REST API、AWS CLI、または SDK を使用して委任管理者を指定するには、その前に、EnableAWSOrganizationsAccess オペレーションを呼び出す必要があります。

S3ストレージレンズでの委任管理者の登録を解除する

委任管理者アカウントは、登録を解除することもできます。委任管理者アカウントでは、管理アカウントを除く他のアカウントに対し、組織レベルのダッシュボードの作成を許可できます。組織の管理アカウントのみが、その組織内の委任管理者のアカウントの登録を解除できます。

委任管理者を S3 コンソールを使用して登録解除するには、「S3 Storage Lens の委任された管理者の登録解除」を参照してください。

また、委任管理者は、管理アカウントから AWS Organizations の REST API、AWS CLI、または SDK を使用することでも登録解除できます。詳細については、AWS Organizations API リファレンスの「DeregisterDelegatedAdministrator」を参照してください。

注記
  • また、委任管理者の登録を解除すると、委任管理者によって作成されたすべての組織レベルのダッシュボードで、ストレージのメトリクスの新たな集計が自動的に停止されます。

  • 委任管理者アカウントは、データがクエリに利用できる間は、それらのダッシュボードの履歴データを見ることができます。