Usar o Amazon S3 Storage Lens com AWS Organizations - Amazon Simple Storage Service
Como habilitar o acesso confiávelDesativação do acesso confiávelRegistro de um administrador delegadoCancelar o registro de um administrador delegado

Usar o Amazon S3 Storage Lens com AWS Organizations

A Lente de Armazenamento do Amazon S3 é um recurso de análise de armazenamento em nuvem que você pode usar para obter visibilidade em toda a organização sobre o uso e a atividade do armazenamento de objetos. Use as métricas da Lente de Armazenamento do S3 para gerar insights resumidos, como descobrir quanto armazenamento você tem em toda a organização ou quais são os buckets e prefixos que mais crescem. Você também pode usar as métricas da Lente de Armazenamento do S3 para identificar oportunidades de otimização de custos, implementar práticas recomendadas de proteção e segurança de dados, e melhorar a performance das workloads de aplicações. Por exemplo, você pode identificar buckets que não têm regras de Ciclo de Vida do S3 para expirar multipart uploads incompletos com mais de 7 dias. Você também pode identificar buckets que não estão seguindo as práticas recomendadas de proteção de dados, como usar a Replicação do S3 ou o Versionamento do S3. A Lente de Armazenamento do S3 também analisa as métricas para fornecer recomendações contextuais que você pode usar para otimizar os custos de armazenamento e aplicar as práticas recomendadas de proteção de dados.

Você pode usar o Amazon S3 Storage Lens para coletar métricas de armazenamento e dados de uso de todas as Contas da AWS que fazem parte da hierarquia do AWS Organizations. Para fazer isso, use o AWS Organizations e habilite o acesso confiável da Lente de Armazenamento do S3 utilizando sua conta de gerenciamento do AWS Organizations.

Depois de habilitar o acesso confiável, você pode adicionar acesso de administrador delegado às contas em sua organização. Essas contas podem então criar configurações e painéis do S3 Storage Lens que coletam métricas de armazenamento e dados do usuário em toda a organização.

Para obter mais informações sobre como habilitar o acesso confiável, consulte Amazon S3 Storage Lens e AWS Organizations no Guia do usuário do AWS Organizations.

Ativando acesso confiável para o S3 Storage Lens

Ao habilitar o acesso confiável, você permite que a Lente de Armazenamento do Amazon S3 tenha acesso à sua hierarquia do AWS Organizations, associação e estrutura por meio das operações de API do AWS Organizations. A Lente de Armazenamento do S3 se torna um serviço confiável para toda a estrutura de sua organização.

Sempre que uma configuração de painel é criada, a Lente de Armazenamento do S3 cria funções vinculadas a serviços nas contas de gerenciamento ou administrador delegado da sua organização. A função vinculada ao serviço concede permissão à de Lente de Armazenamento do S3 para:

  • Descrever organizações

  • Listar contas

  • Verificar uma lista de acesso AWS service (Serviço da AWS) para as organizações

  • Obter administradores delegados para as organizações

A Lente de Armazenamento do S3 pode garantir que tenha acesso para coletar as métricas entre contas de suas organizações. Para obter mais informações, consulte Usar funções vinculadas a serviço do Amazon S3 Storage Lens.

Depois de habilitar o acesso confiável, você pode atribuir acesso de administrador delegado a contas em sua organização. Quando uma conta é marcada como administrador delegado para um serviço, a conta recebe autorização para acessar todas as operações de API da organização somente leitura. Esse acesso oferece a visibilidade de administrador delegado aos membros e estruturas de sua organização para que também possam criar painéis da Lente de Armazenamento do S3.

nota

Somente a conta de gerenciamento pode habilitar o acesso confiável para o Amazon S3 Storage Lens.

Desativação do acesso confiável para o S3 Storage Lens

Ao desativar o acesso confiável, você limita o S3 Storage Lens a trabalhar apenas em nível de conta. Além disso, cada titular de conta pode ver apenas as informações da Lente de Armazenamento do S3 para o escopo de sua conta e não para a organização inteira. Os painéis que exigem acesso confiável não são mais atualizados, mas reterão seus dados históricos de acordo com o período de disponibilidade dos dados para consulta.

nota

  • A desativação do acesso confiável para a Lente de Armazenamento do S3 também impede automaticamente que todos os painéis da organização coletem e agreguem métricas de armazenamento.

  • Suas contas de gerenciamento e administrador delegado ainda poderão ver os dados históricos dos painéis da organização durante o período de disponibilidade dos dados para consulta.

Registro de um administrador delegado para o S3 Storage Lens

Você pode criar painéis no nível da organização usando a conta de gerenciamento da sua organização ou uma conta de administrador delegado. As contas de administrador delegado permitem que outras contas além da sua conta de gerenciamento criem painéis no nível da organização. A conta mestre de uma organização pode registrar e cancelar o registro de outras contas como administradores delegados da organização.

Para registrar um administrador delegado usando o console do Amazon S3, consulte Registro de administradores delegados para o S3 Storage Lens.

Você também pode registrar um administrador delegado usando a API REST do AWS Organizations, a AWS CLI ou SDKs da conta de gerenciamento. Para obter mais informações, consulte RegisterDelegatedAdministrator na Referência da API do AWS Organizations.

nota

Antes de designar um administrador delegado usando a API REST do AWS Organizations, a AWS CLI ou SDKs, você deve chamar a operação EnableAWSOrganizationsAccess.

Cancelamento do registro de um administrador delegado para o S3 Storage Lens

Você também pode cancelar o registro de uma conta de administrador delegado. As contas de administrador delegado permitem que outras contas além da sua conta de gerenciamento criem painéis no nível da organização. Somente a conta de gerenciamento de uma organização pode cancelar o registro de contas como administradores delegados para a organização.

Para cancelar o registro de um administrador delegado usando o console do S3, consulte Cancelamento do registro de administradores delegados para o S3 Storage Lens.

Você também pode cancelar o registro de um administrador delegado usando a API REST do AWS Organizations, a AWS CLI ou SDKs da conta de gerenciamento. Para obter mais informações, consulte DeregisterDelegatedAdministrator na Referência da API do AWS Organizations.

nota

  • O cancelamento do registro de um administrador delegado também impede automaticamente que todos os painéis da organização criados por esse administrador delegado agreguem novas métricas de armazenamento.

  • O administrador delegado que tiver o registro cancelado ainda poderá visualizar os dados históricos desses painéis enquanto os dados estiverem disponíveis para consultas.