Usar funções vinculadas a serviços para o Amazon S3 Storage Lens

Para usar o Amazon S3 Storage Lens para coletar e agregar métricas em todas as suas contas no AWS Organizations, primeiro você deve garantir que o S3 Storage Lens tenha acesso confiável habilitado pela conta de gerenciamento em sua organização. A Lente de Armazenamento do S3 cria um perfil vinculado ao serviço (SLR) para permitir que ele obtenha a lista de Contas da AWS pertencentes à sua organização. Essa lista de contas é usada pelo S3 Storage Lens para coletar métricas de recursos do S3 em todas as contas membro quando o painel ou as configurações do S3 Storage Lens são criadas ou atualizadas.

O Amazon S3 Storage Lens usa funções vinculadas a serviços do AWS Identity and Access Management (IAM). Uma função vinculada a serviço é um tipo exclusivo de função do IAM vinculada diretamente ao S3 Storage Lens. Os perfis vinculados ao serviço são predefinidos pela Lente de Armazenamento do S3 e incluem todas as permissões que o serviço exige para chamar outros Serviços da AWS em seu nome.

Uma função vinculada a serviços facilita a configuração do S3 Storage Lens porque você não precisa adicionar as permissões necessárias manualmente. O S3 Storage Lens define as permissões da função vinculada a serviços e, salvo outra definição, somente o S3 Storage Lens pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.

Você pode excluir essa função vinculada a serviços somente após a exclusão dos recursos relacionados. Isso protege seus recursos do S3 Storage Lens, porque você não consegue remover por engano a permissão para acessar os recursos.

Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte Serviços da AWS que funcionam com o IAM e procure serviços que tenham Yes (Sim) na coluna Service-Linked Role (Função vinculada a serviço). Escolha um Sim com um link para visualizar a documentação sobre funções vinculadas ao serviço para esse serviço.

Permissões de funções vinculadas a serviços para o Amazon S3 Storage Lens

O S3 Storage Lens usa a função vinculada a serviços chamada AWSServiceRoleForS3StorageLens. Ela permite o acesso a serviços e recursos da AWS usados ou gerenciados pelo S3 Storage Lens. Isso permite que o S3 Storage Lens acesse recursos da AWS Organizations em seu nome.

A função vinculada a serviços do S3 Storage Lens confia no seguinte serviço no armazenamento da sua organização:

• storage-lens.s3.amazonaws.com

A política de permissões da função permite que o S3 Storage Lens execute as seguintes ações:

• organizations:DescribeOrganization

  organizations:ListAccounts

  organizations:ListAWSServiceAccessForOrganization

  organizations:ListDelegatedAdministrators

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte Service-linked role permissions (Permissões de função vinculada a serviços) no Guia do usuário do IAM.

Criar uma função vinculada a serviços para o S3 Storage Lens

Você não precisa criar manualmente uma função vinculada a serviço. Quando você conclui uma das seguintes tarefas enquanto faz login no gerenciamento do AWS Organizations ou nas contas de administrador delegado, o S3 Storage Lens cria a função vinculada a serviços para você:

• Crie uma configuração de painel do S3 Storage Lens para sua organização no console do Amazon S3.

• Executar o comando PUT de uma configuração do S3 Storage Lens para sua organização usando a API REST, a AWS CLI e os SDKs.

nota

A Lente de Armazenamento do S3 permite no máximo cinco administradores delegados por organização.

Se você excluir essa função vinculada a serviços, as ações anteriores a recriarão conforme necessário.

Exemplo de política para função vinculada a serviços do S3 Storage Lens

exemplo Política de permissões para a função vinculada a serviços do S3 Storage Lens

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AwsOrgsAccess",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Editar uma função vinculada a serviços para o Amazon S3 Storage Lens

A Lente de Armazenamento do S3 não permite que você edite o perfil vinculado ao serviço AWSServiceRoleForS3StorageLens. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluir uma função vinculada a serviços para o Amazon S3 Storage Lens

Se você não precisa mais usar a função vinculada a serviços, recomendamos que a exclua. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de exclui-la manualmente.

nota

Se o serviço Amazon S3 Storage Lens estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir o AWSServiceRoleForS3StorageLens, você deve excluir todas as configurações da Lente de Armazenamento do S3 no nível da organização presentes em todas as Regiões da AWS usando o gerenciamento do AWS Organizations ou as contas de administrador delegadas.

Os recursos são configurações do S3 Storage Lens no nível da organização. Use a Lente de Armazenamento do S3 para limpar os recursos e, depois, use o console do IAM, a CLI, a API REST ou o SDK da AWS para excluir o perfil.

Na API REST, na AWS CLI e nos SDKs, as configurações da Lente de Armazenamento do S3 podem ser descobertas usando ListStorageLensConfigurations em todas as regiões onde sua organização tiver criado configurações da Lente de Armazenamento do S3. Use a ação DeleteStorageLensConfiguration a fim de excluir essas configurações para que você possa excluir a função.

nota

Para excluir a função vinculada a serviços, você deve excluir todas as configurações do S3 Storage Lens no nível da organização em todas as regiões em que elas existem.

Como excluir recursos da Lente de Armazenamento do Amazon S3 usados pelo SLR AWSServiceRoleForS3StorageLens

1. Para obter uma lista de configurações de nível de organização, é necessário usar ListStorageLensConfigurations em todas as regiões em que você tem configurações da Lente de Armazenamento do S3. Essa lista também pode ser encontrada no console do Amazon S3.

2. Exclua essas configurações dos endpoints regionais apropriados invocando a chamada de API DeleteStorageLensConfiguration ou usando o console do Amazon S3.

Como excluir manualmente a função vinculada a serviço usando o IAM

Depois de excluir as configurações, exclua o SLR AWSServiceRoleForS3StorageLens no console do IAM, invocando a API DeleteServiceLinkedRole do IAM ou usando a AWS CLI ou o SDK da AWS. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.

Regiões com suporte para funções vinculadas a serviços do S3 Storage Lens

O S3 Storage Lens é compatível com as funções vinculadas a serviços em todas as Regiões da AWS em que o serviço está disponível. Para obter mais informações, consulte Regiões e endpoints do Amazon S3.