Amazon S3 Storage Lens と AWS Organizations - AWS Organizations

Amazon S3 Storage Lens と AWS Organizations

Amazon S3 Storage Lens に組織への信頼されたアクセスを付与することで、組織内のすべての AWS アカウント からメトリクスを収集、集計できます。S3 Storage Lens は、これを実行するにあたり、組織に属するアカウントのリストにアクセスします。そして、すべてのアカウントのストレージ、使用状況、アクティビティのメトリクスを収集して分析します。

詳細については、「」を参照してください。詳細については、Amazon S3 Storage Lens ユーザーガイドAmazon S3 Storage Lens でのサービスにリンクされたロールの使用を参照してください。

Amazon S3 Storage Lens と AWS Organizations の統合には、次の情報を参考にしてください。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にし、Storage Lens の設定が組織に適用されていると、以下のサービスにリンクされたロールが組織の代理管理者アカウントに自動的に作成されます。このロールにより、Amazon S3 Storage Lens はサポートされているオペレーションを組織内のアカウントで実行できます。

このロールを削除または変更できるのは、Amazon S3 Storage Lens と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

  • AWSServiceRoleForS3StorageLens

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Amazon S3 Storage Lens によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

  • storage-lens.s3.amazonaws.com

Amazon S3 Storage Lens との信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

Amazon S3 Storage Lens コンソールまたは AWS Organizations コンソールを使用して、信頼されたアクセスを有効にできます。

重要

Organizations との統合の有効化には、可能な場合は常に Amazon S3 Storage Lens のコンソールまたはツールを使用することを強くお勧めします。そうすることで、サービスに必要なリソースの作成など、必要な構成が Amazon S3 Storage Lens で実行可能になります。ここに示す手順は、統合の有効化に Amazon S3 Storage Lens が提供するツールを使用できない場合にのみ実施してください。詳細については、こちらの注意事項を参照してください。詳細については、この注意を参照してください。

Amazon S3 Storage Lens のコンソールまたはツールを使用して信頼されたアクセスを有効にする場合、これらのステップを実施する必要はありません。

Amazon S3 コンソールを使用して信頼されたアクセスを有効にするには

Amazon Simple Storage Service ユーザーガイドの「信頼されたアクセスの有効化」を参照してください。

信頼されたアクセスの有効化には、AWS Organizations コンソールを使用する方法、AWS CLI コマンドを実行する方法、いずれかの AWS SDK で API オペレーションを呼び出す方法があります。

AWS Management Console

Organizations コンソールを使用して信頼されたアクセスを有効にするには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. サービスページで、Amazon S3 Storage Lens の行を探し、サービスの名前を選択してから、[Enable trusted access] (信頼されたアクセスを有効にする) を選択します。

  3. 確認ダイアログボックスで、[Show the option to enable trusted access] (信頼されたアクセスを有効にするオプションを表示する) を有効にし、ボックスに「enable」と入力してから、[Enable trusted access] (信頼されたアクセスを有効にする) を選択します。

  4. AWS Organizations だけの管理者である場合は、Amazon S3 Storage Lens の管理者に、コンソールを使用してそのサービスを有効にし、AWS Organizations と連携させて使用できるようになったことを知らせます。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには

信頼されたサービスのアクセスを有効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

  • AWS CLI: enable-aws-service-access

    次のコマンドを実行し、Amazon S3 Storage Lens を Organizations で信頼できるサービスとして有効にすることができます。

    $ aws organizations enable-aws-service-access \ --service-principal storage-lens.s3.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: EnableAWSServiceAccess

Amazon S3 Storage Lens との信頼されたアクセスの無効化

信頼されたアクセスの無効化に必要なアクセス許可に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

Amazon S3 Storage Lens ツールだけで、信頼されたアクセスを無効にできます。

信頼されたアクセスの無効化には、Amazon S3 コンソール、AWS CLI、いずれかの AWS SDK を使用できます。

Amazon S3 コンソールを使用して信頼されたアクセスを無効にするには

Amazon Simple Storage Service ユーザーガイドの「信頼されたアクセスを無効にする」を参照してください。

Amazon S3 Storage Lens 用の代理管理者アカウントの有効化

メンバーアカウントを組織の代理管理者として指定すると、そのアカウントのユーザーおよびロールは、 Amazon S3 Storage Lens の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、組織の管理から Amazon S3 Storage Lens の管理を分離するのに有効です。

最小限必要なアクセス権限

組織内で Amazon S3 Storage Lens の代理管理者としてメンバーアカウントを設定できるのは、次のアクセス許可を持つ Organizations 管理アカウントの IAM ユーザーまたはロールだけです。

organizations:RegisterDelegatedAdministrator

organizations:DeregisterDelegatedAdministrator

Amazon S3 Storage Lens は、組織内の代理管理者アカウントを最大で 5 つまでサポートしています。

Amazon S3 Storage Lens の代理管理者としてメンバーアカウントを指定するには

代理管理者の登録には、Amazon S3 コンソール、AWS CLI、いずれかの AWS SDK が使用できます。Amazon S3 コンソールを使用して、組織の代理管理者アカウントとしてメンバーアカウントを登録するには、Amazon Simple Storage Service ユーザーガイドの「委任された管理者の登録」を参照してください。

Amazon S3 Storage Lens の代理管理者の登録を解除するには

代理管理者の登録解除には、Amazon S3 コンソール、AWS CLI、いずれかの AWS SDK が使用できます。Amazon S3 コンソールを使用して代理管理者の登録を解除するには、Amazon Simple Storage Service ユーザーガイドの「委任された管理者の登録解除」を参照してください。