S3 ストレージレンズのための信頼されたアクセスを無効にする - Amazon Simple Storage Service

S3 ストレージレンズのための信頼されたアクセスを無効にする

委任された管理者としてのアカウントを削除するか、信頼されたアクセスを無効化すると、アカウント所有者の S3 ストレージレンズダッシュボードのメトリクスは、アカウントレベルでのみ機能するように制限されます。そのため、各アカウント保有者は、自身のアカウントの範囲に限定して S3 ストレージレンズが提供する機能にアクセスでき、組織全体へのアクセスはできなくなります。

S3 ストレージレンズで信頼されたアクセスを無効にすると、信頼されたアクセスを必要とするダッシュボードは更新されなくなります。作成された組織ダッシュボードも更新されなくなります。代わりに、S3 ストレージレンズダッシュボードの履歴データをクエリできるのは、データが引き続き利用可能である間のみです。

注記

  • また、S3 ストレージレンズの信頼されたアクセスを無効にすると、すべての組織レベルのダッシュボードで、ストレージのメトリクスの収集と集計が自動的に停止されます。これは、S3 ストレージレンズが組織アカウントへの信頼されたアクセスを失ったためです。

  • 管理アカウントと委任管理者アカウントは、無効化されたダッシュボードの履歴データを引き続き表示することができます。また、この履歴データは、利用可能である間は引き続きクエリできます。

S3 Storage Lens の信頼されたアクセスを無効にするには、

  1. AWS Management Console にサインインし、Amazon S3 コンソール (https://console.aws.amazon.com/s3/) を開きます。

  2. 左側のナビゲーションペインで、[ストレージレンズ] に移動します。

  3. [AWS Organizations 設定] を選択します。[ストレージレンズへの AWS Organizations アクセス] ページが表示されます。

  4. [AWS Organizations 信頼されたアクセス] で、[編集] を選択します。

    [AWS Organizations アクセス] ページが表示されます。

  5. [無効化] を選択して、S3 ストレージレンズダッシュボードの信頼されたアクセスを無効にします。

  6. [Save changes] (変更の保存) をクリックします。

次の例では、AWS CLI を使用して S3 ストレージレンズの信頼されたアクセスを無効にします。

aws organizations disable-aws-service-access --service-principal storage-lens.s3.amazonaws.com
例 – S3 ストレージレンズの AWS Organizations での信頼されたアクセスを無効にします。

次の例は、SDK for Java で S3 ストレージレンズの AWS Organizations での信頼されたアクセスを無効にする方法を示しています。この例を実行するには、user input placeholders をユーザー自身の情報に置き換えます。

import com.amazonaws.AmazonServiceException;
import com.amazonaws.SdkClientException;
import com.amazonaws.auth.profile.ProfileCredentialsProvider;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.organizations.AWSOrganizations;
import com.amazonaws.services.organizations.AWSOrganizationsClient;
import com.amazonaws.services.organizations.model.DisableAWSServiceAccessRequest;

public class DisableOrganizationsTrustedAccess {
	private static final String S3_STORAGE_LENS_SERVICE_PRINCIPAL = "storage-lens.s3.amazonaws.com";

	public static void main(String[] args) {
		try {
            AWSOrganizations organizationsClient = AWSOrganizationsClient.builder()
                .withCredentials(new ProfileCredentialsProvider())
                .withRegion(Regions.US_EAST_1)
                .build();

            // Make sure to remove any existing delegated administrator for S3 Storage Lens 
            // before disabling access; otherwise, the request will fail.
            organizationsClient.disableAWSServiceAccess(new DisableAWSServiceAccessRequest()
                .withServicePrincipal(S3_STORAGE_LENS_SERVICE_PRINCIPAL));
        } catch (AmazonServiceException e) {
            // The call was transmitted successfully, but AWS Organizations couldn't process
            // it and returned an error response.
            e.printStackTrace();
        } catch (SdkClientException e) {
            // AWS Organizations couldn't be contacted for a response, or the client
            // couldn't parse the response from AWS Organizations.
            e.printStackTrace();
        }
	}
}