Permissões do Amazon S3 Storage Lens
O Amazon S3 Storage Lens requer novas permissões no AWS Identity and Access Management (IAM) para autorizar o acesso às ações do S3 Storage Lens. Para conceder essas permissões, você pode usar uma política do IAM baseada em identidade. Você pode vincular essa política a usuários, grupos ou funções do IAM para conceder permissões. Essas permissões podem incluir a capacidade de ativar ou desativar a Lente de Armazenamento do S3 ou acessar qualquer painel ou configuração da Lente de Armazenamento do S3.
O usuário ou a função do IAM deve pertencer à conta que criou ou tem o painel ou a configuração, a menos que as duas condições a seguir sejam verdadeiras:
-
Sua conta é membro do AWS Organizations.
-
Você recebeu acesso para criar painéis no nível da organização por sua conta de gerenciamento como administrador delegado.
nota
-
Você não pode usar as credenciais de usuário raiz da sua conta para visualizar os painéis da Lente de Armazenamento do Amazon S3. Para acessar os painéis da Lente de Armazenamento do S3, você deve conceder as permissões do IAM necessárias a um usuário do IAM novo ou existente. Em seguida, faça login com essas credenciais de usuário para acessar os painéis do S3 Storage Lens. Para obter mais informações, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.
-
O uso do S3 Storage Lens no console do Amazon S3 pode exigir várias permissões. Por exemplo; para editar um painel no console, você precisa das seguintes permissões:
-
s3:ListStorageLensConfigurations -
s3:GetStorageLensConfiguration -
s3:PutStorageLensConfiguration
-
Tópicos
Definição de permissões de conta para usar o S3 Storage Lens
Para criar e gerenciar painéis de Lente de Armazenamento do S3 e configurações de painel de Lente de Armazenamento, você deve ter as seguintes permissões, dependendo de quais ações deseja executar:
Permissões do IAM relacionadas ao Amazon S3 Storage Lens | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Ação | Permissões do IAM | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Criar ou atualizar um painel do S3 Storage Lens no console do Amazon S3. |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Obter as etiquetas de um painel da Lente de Armazenamento do S3 no console do Amazon S3. |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Veja um painel do S3 Storage Lens no console do Amazon S3. |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Exclua um painel do S3 Storage Lens no console do Amazon S3. |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Criar ou atualizar uma configuração da Lente de Armazenamento do S3 usando a AWS CLI ou um AWS SDK. |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Obter as etiquetas de uma configuração da Lente de Armazenamento do S3 usando a AWS CLI ou um AWS SDK. |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Visualizar uma configuração da Lente de Armazenamento do S3 usando a AWS CLI ou um AWS SDK. |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Excluir uma configuração da Lente de Armazenamento do S3 usando a AWS CLI ou um AWS SDK. |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
nota
-
Você pode usar tags de recurso em uma política do IAM para gerenciar permissões.
-
Um usuário ou perfil do IAM com essas permissões pode ver métricas de buckets e prefixos dos quais pode não ter permissão direta para ler ou listar objetos.
-
No caso de painéis de Lente de Armazenamento do S3 com métricas em nível de prefixo habilitadas, se um caminho de prefixo selecionado corresponder a uma chave de objeto, o painel poderá exibir a chave de objeto como outro prefixo.
-
Para as exportações de métricas, que são armazenadas em um bucket em sua conta, as permissões são concedidas usando a permissão
s3:GetObjectexistente na política do IAM. Da mesma forma, para uma entidade do AWS Organizations, a conta de gerenciamento da organização ou as contas de administrador delegado podem usar políticas do IAM para gerenciar as permissões de acesso para configurações e painéis no nível da organização.
Definição de permissões de conta para usar a Lente de Armazenamento do S3
Você pode usar grupos de Lente de Armazenamento do S3 para entender a distribuição do seu armazenamento dentro de buckets com base no prefixo, sufixo, tag do objeto, tamanho do objeto ou idade do objeto. Você pode anexar grupos de Lente de Armazenamento aos seus painéis para ver suas métricas agregadas.
Para trabalhar com grupos de Lente de Armazenamento, você precisa de determinadas permissões. Para obter mais informações, consulte Permissões de grupos de Lente de Armazenamento.
Configuração de permissões para usar o Amazon S3 Storage Lens com AWS Organizations
Você pode usar o Amazon S3 Storage Lens para coletar métricas de armazenamento e dados de uso de todas as contas que fazem parte da hierarquia do AWS Organizations. A seguir estão as ações e permissões relacionadas ao uso do S3 Storage Lens com organizações.
AWS OrganizationsPermissões do IAM relacionadas ao para usar o S3 Storage Lens | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Ação | Permissões do IAM | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Habilite o acesso confiável para o S3 Storage Lens para sua organização. |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Desative o acesso confiável para a Lente de Armazenamento do S3 em sua organização. |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Registre um administrador delegado para criar painéis ou configurações do S3 Storage Lens para sua organização. |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Cancele o registro de um administrador delegado para que ele não possa mais criar painéis ou configurações da Lente de Armazenamento do S3 em sua organização. |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Permissões adicionais para criar configurações para toda a organização da Lente de Armazenamento do S3. |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
