Usar funções vinculadas a serviços para o Amazon S3 Storage Lens - Amazon Simple Storage Service

Usar funções vinculadas a serviços para o Amazon S3 Storage Lens

Para usar o Amazon S3 Storage Lens para coletar e agregar métricas em todas as suas contas no AWS Organizations, primeiro você deve garantir que o S3 Storage Lens tenha acesso confiável habilitado pela conta de gerenciamento em sua organização. O S3 Storage Lens cria uma função vinculada a serviços para permitir que ele obtenha a lista de Contas da AWS pertencentes à sua organização. Essa lista de contas é usada pelo S3 Storage Lens para coletar métricas de recursos do S3 em todas as contas membro quando o painel ou as configurações do S3 Storage Lens são criadas ou atualizadas.

O Amazon S3 Storage Lens usa funções vinculadas a serviços do AWS Identity and Access Management (IAM). Uma função vinculada a serviço é um tipo exclusivo de função do IAM vinculada diretamente ao S3 Storage Lens. As funções vinculadas a serviços são predefinidas pelo S3 Storage Lens e incluem todas as permissões que o serviço requer para chamar outros produtos da AWS em seu nome.

Uma função vinculada a serviços facilita a configuração do S3 Storage Lens porque você não precisa adicionar as permissões necessárias manualmente. O S3 Storage Lens define as permissões da função vinculada a serviços e, salvo outra definição, somente o S3 Storage Lens pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política não pode ser anexada a nenhuma outra entidade do IAM.

Você pode excluir essa função vinculada a serviços somente após a exclusão dos recursos relacionados. Isso protege seus recursos do S3 Storage Lens, porque você não consegue remover por engano a permissão para acessar os recursos.

Para obter informações sobre outros produtos que são compatíveis com as funções vinculadas a serviços, consulte Serviços da AWS compatíveis com o IAM e procure os serviços que contêm Yes (Sim) na coluna Service-Linked Role (Função vinculada a serviço). Escolha um Sim com um link para visualizar a documentação sobre funções vinculadas ao serviço para esse serviço.

Permissões de funções vinculadas a serviços para o Amazon S3 Storage Lens

O S3 Storage Lens usa a função vinculada a serviços chamada AWSServiceRoleForS3StorageLens. Ela permite o acesso a serviços e recursos da AWS usados ou gerenciados pelo S3 Storage Lens. Isso permite que o S3 Storage Lens acesse recursos da AWS Organizations em seu nome.

A função vinculada a serviços do S3 Storage Lens confia no seguinte serviço no armazenamento da sua organização:

  • storage-lens.s3.amazonaws.com

A política de permissões da função permite que o S3 Storage Lens execute as seguintes ações:

  • organizations:DescribeOrganization

    organizations:ListAccounts

    organizations:ListAWSServiceAccessForOrganization

    organizations:ListDelegatedAdministrators

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte Service-linked role permissions (Permissões de função vinculada a serviços) no Guia do usuário do IAM.

Criar uma função vinculada a serviços para o S3 Storage Lens

Você não precisa criar manualmente uma função vinculada a serviço. Quando você conclui uma das seguintes tarefas enquanto faz login no gerenciamento do AWS Organizations ou nas contas de administrador delegado, o S3 Storage Lens cria a função vinculada a serviços para você:

  • Crie uma configuração de painel do S3 Storage Lens para sua organização no console do Amazon S3.

  • Executar o comando PUT de uma configuração do S3 Storage Lens para sua organização usando a API REST, a AWS CLI e os SDKs.

nota

O S3 Storage Lens suportará no máximo cinco administradores delegados por organização.

Se você excluir essa função vinculada a serviços, as ações anteriores a recriarão conforme necessário.

Exemplo de política para função vinculada a serviços do S3 Storage Lens

exemplo Política de permissões para a função vinculada a serviços do S3 Storage Lens

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AwsOrgsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource": [ "*" ] } ] }

Editar uma função vinculada a serviços para o Amazon S3 Storage Lens

O S3 Storage Lens não permite que você edite a função vinculada a serviços AWSServiceRoleFors3StorageLens. Depois que criar uma função vinculada ao serviço, você não poderá alterar o nome da função, pois várias entidades podem fazer referência a ela. No entanto, será possível editar a descrição da função usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluir uma função vinculada a serviços para o Amazon S3 Storage Lens

Se você não precisa mais usar a função vinculada a serviços, recomendamos que a exclua. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de exclui-la manualmente.

nota

Se o serviço Amazon S3 Storage Lens estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir AWSServiceRoleForS3StorageLens, você deve excluir todas as configurações do S3 Storage Lens de nível da organização presentes em todas as regiões usando o AWS Organizations Management ou as contas de administrador delegadas.

Os recursos são configurações do S3 Storage Lens no nível da organização. Use o S3 Storage Lens para limpar os recursos e, em seguida, use o console do IAM, a CLI, a API REST ou o AWS SDK para excluir a função.

Na API REST, na AWS CLI e nos SDKs, as configurações do S3 Storage Lens podem ser descobertas usando ListStorageLensConfigurations em todas as regiões onde sua organização tiver criado configurações do S3 Storage Lens. Use a ação DeleteStorageLensConfiguration a fim de excluir essas configurações para que você possa excluir a função.

nota

Para excluir a função vinculada a serviços, você deve excluir todas as configurações do S3 Storage Lens no nível da organização em todas as regiões em que elas existem.

Para excluir recursos do Amazon S3 Storage Lens usados por AWSServiceRoleFors3StorageLens

  1. Você deve usar ListStorageLensConfigurations em todas as regiões em que você tem configurações do S3 Storage Lens para obter uma lista de configurações de nível de organização. Essa lista também pode ser obtida no console do Amazon S3.

  2. Essas configurações devem ser excluídas dos endpoints regionais apropriados invocando a chamada de API DeleteStorageLensConfiguration ou pelo console do Amazon S3.

Como excluir manualmente a função vinculada ao serviço usando o IAM

Depois que as configurações forem excluídas, o AWSServiceRoleForS3StorageLens poderá ser excluído pelo console do IAM ou invocando a API DeleteServiceLinkedRole do IAM, a AWS CLI ou o AWS SDK. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.

Regiões com suporte para funções vinculadas a serviços do S3 Storage Lens

O S3 Storage Lens é compatível com as funções vinculadas a serviços em todas as Regiões da AWS em que o serviço está disponível. Para obter mais informações, consulte Regiões e endpoints do Amazon S3.