Amazon S3 Storage Lens와 AWS Organizations

Amazon S3 Storage Lens에 신뢰할 수 있는 액세스 권한을 조직에 제공하면 조직 AWS 계정 내 모든 영역에서 지표를 수집하고 집계할 수 있습니다. 이를 위해 S3 Storage Lens는 조직에 속한 계정 목록에 액세스하여 모든 계정의 스토리지, 사용량 및 활동 지표를 수집하고 분석합니다.

자세한 내용은 Amazon S3 Storage Lens 사용 설명서의 Amazon S3 Storage Lens에 대한 서비스 연결 역할 사용을 참조하세요.

다음 정보를 사용하면 Amazon S3 스토리지 렌즈를 통합하는 데 도움이 AWS Organizations됩니다.

통합 활성화 시 서비스 연결 역할 생성

신뢰할 수 있는 액세스를 활성화하고 Storange Lens 구성이 조직에 적용되면 다음 서비스 연결 역할이 조직의 위임된 관리자 계정에 자동으로 생성됩니다. 이 역할을 통해 Amazon S3 Storage Lens는 조직의 계정 내에서 지원되는 작업을 수행할 수 있습니다.

Amazon S3 Storage Lens와 Organizations 간의 신뢰할 수 있는 액세스를 비활성화하거나 조직에서 멤버 계정을 제거한 경우에만 이 역할을 삭제하거나 수정할 수 있습니다.

• AWSServiceRoleForS3StorageLens

서비스 연결 역할이 사용하는 서비스 보안 주체

앞 부분에서 다룬 서비스 연결 역할은 역할에 대해 정의된 신뢰 관계에 의해 권한이 부여되는 서비스 보안 주체만 맡을 수 있습니다. Amazon S3 Storage Lens가 사용하는 서비스 연결 역할은 다음 서비스 보안 주체에 대한 액세스 권한을 부여합니다.

• storage-lens.s3.amazonaws.com

Amazon S3 Storage Lens와 상호 신뢰할 수 있는 액세스 활성화

신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한에 관한 내용은 신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한 단원을 참조하세요.

Amazon S3 Storage Lens 콘솔 또는 AWS Organizations 콘솔을 사용하여 신뢰할 수 있는 액세스를 활성화할 수 있습니다.

중요

가능하면 항상 Amazon S3 Storage Lens 콘솔 또는 도구를 사용하여 Organizations 통합을 활성화할 것을 적극 권장합니다. 이렇게 하면 Amazon S3 Storage Lens가 서비스에 필요한 리소스 생성 등 모든 필수 구성을 수행합니다. Amazon S3 Storage Lens에서 제공하는 도구를 사용하여 통합을 활성화할 수 없는 경우에만 이 단계를 진행합니다. 자세한 내용은 이 메모를 참조하십시오.

Amazon S3 Storage Lens 콘솔 또는 도구를 사용하여 신뢰할 수 있는 액세스를 활성화할 수 있다면 이 단계를 완료할 필요가 없습니다.

Amazon S3 콘솔을 사용하여 신뢰할 수 있는 액세스를 활성화하려면

Amazon 심플 스토리지 서비스 사용 설명서의 S3 Storage Lens에 대한 신뢰할 수 있는 액세스 활성화를 참조하십시오.

AWS Organizations 콘솔을 사용하거나, AWS CLI 명령을 실행하거나, AWS SDK 중 하나에서 API 작업을 호출하여 신뢰할 수 있는 액세스를 활성화할 수 있습니다.

AWS Management Console

Organizations 콘솔을 사용하여 신뢰할 수 있는 서비스 액세스를 활성화하려면

1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

2. 탐색 창에서 서비스를 선택합니다.

3. 서비스 목록에서 Amazon S3 스토리지 렌즈를 선택합니다.

4. 신뢰할 수 있는 액세스 활성화를 선택합니다.

5. Amazon S3 Storage Lens의 신뢰할 수 있는 액세스 활성화 대화 상자에서 enable을 입력하여 확인한 다음 신뢰할 수 있는 액세스 활성화를 선택합니다.

6. 전용 AWS Organizations관리자인 경우 Amazon S3 Storage Lens 관리자에게 이제 콘솔을 사용하여 해당 서비스를 사용할 수 있도록 설정할 수 있다고 알려주십시오 AWS Organizations.

AWS CLI, AWS API

Organizations CLI/SDK를 사용하여 신뢰할 수 있는 서비스 액세스를 활성화하려면

다음 AWS CLI 명령 또는 API 작업을 사용하여 신뢰할 수 있는 서비스 액세스를 활성화할 수 있습니다.

• AWS CLI: enable-aws-service-access

  다음 명령을 실행하면 Organizations와 상호 신뢰할 수 있는 서비스로 Amazon S3 Storage Lens를 활성화할 수 있습니다.

  $ aws organizations enable-aws-service-access \ 
      --service-principal storage-lens.s3.amazonaws.com

  이 명령은 성공 시 출력을 생성하지 않습니다.

• AWS API: 활성화 AWSServiceAccess

Amazon S3 Storage Lens와 상호 신뢰할 수 있는 액세스 비활성화

신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한에 관한 내용은 신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한 단원을 참조하세요.

신뢰할 수 있는 액세스는 Amazon S3 Storage Lens 도구로만 비활성화할 수 있습니다.

Amazon S3 콘솔, AWS CLI 또는 AWS SDK를 사용하여 신뢰할 수 있는 액세스를 비활성화할 수 있습니다.

Amazon S3 콘솔을 사용하여 신뢰할 수 있는 액세스를 비활성화하려면

Amazon 심플 스토리지 서비스 사용 설명서의 S3 Storage Lens에 대한 신뢰할 수 있는 액세스 비활성화를 참조하십시오.

Amazon S3 Storage Lens에 대한 위임된 관리자 활성화

멤버 계정을 조직의 위임된 관리자로 지정하면 해당 계정의 사용자 및 역할이 Amazon S3 Storage Lens에 대한 관리 작업을 수행할 수 있습니다. 그렇지 않은 경우 조직의 관리 계정에 속한 사용자 또는 역할만 관리 작업을 수행할 수 있습니다. 이는 Amazon S3 Storage Lens 관리와 조직 관리를 분리하는 데 도움을 줍니다.

최소 권한

다음 권한이 있는 Organizations 관리 계정의 사용자 또는 역할만 멤버 계정을 조직의 Amazon S3 스토리지 렌즈에 대한 위임된 관리자로 구성할 수 있습니다.

organizations:RegisterDelegatedAdministrator

organizations:DeregisterDelegatedAdministrator

Amazon S3 Storage Lens는 조직 내에서 위임된 관리자 계정을 최대 5개까지 지원합니다.

멤버 계정을 Amazon S3 Storage Lens에 대한 위임된 관리자로 지정하려면

Amazon S3 콘솔, AWS CLI 또는 AWS SDK를 사용하여 위임된 관리자를 등록할 수 있습니다. Amazon S3 콘솔을 사용하여 멤버 계정을 조직의 위임 관리자 계정으로 등록하려면 Amazon Simple Storage Service 사용 설명서의 S3 Storage Lens에 위임 관리자 등록을 참조하십시오.

Amazon S3 Storage Lens에 대한 위임된 관리자의 등록을 취소하려면

Amazon S3 콘솔, AWS CLI 또는 SDK를 사용하여 위임된 관리자의 등록을 취소할 수 있습니다. AWS Amazon S3 콘솔을 사용하여 위임된 관리자의 등록을 취소하려면 Amazon Simple Storage 서비스 사용 설명서의 S3 Storage Lens에 대한 위임 관리자 등록 취소를 참조하십시오.