Configurar buckets do Amazon S3 para o Application Cost Profiler - Descreve o Profiler

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar buckets do Amazon S3 para o Application Cost Profiler

Para enviar dados de uso e receber relatórios deAWSApplication Cost Profiler, você deve ter pelo menos um bucket do Amazon Simple Storage Service (Amazon S3) em seuConta da AWSPara armazenar dados e um bucket do S3 para receber seus relatórios.

nota

Para usuários deAWS Organizations, os buckets do Amazon S3 podem estar na conta de gerenciamento ou em contas de membros individuais. Os dados em buckets do S3 pertencentes à conta de gerenciamento podem ser usados para gerar relatórios para toda a organização. Em contas de membro individuais, os dados nos buckets do S3 só podem ser usados para gerar relatórios para essa conta de membro.

Os buckets do S3 que você cria pertencem aoConta da AWSem que você os cria. Os buckets do S3 são cobrados de acordo com as taxas padrão do Amazon S3. Para obter mais informações sobre como criar um bucket do Amazon S3, consulteCriação de um bucketnoGuia do usuário do Amazon Simple Storage Service.

Para que o Application Cost Profiler use os buckets do S3, você deve anexar uma política aos buckets que dão permissões do Application Cost Profiler para ler e/ou gravações no bucket. Se você modificar a política após a configuração dos relatórios, poderá impedir que o Application Cost Profiler possa ler seus dados de uso ou entregar seus relatórios.

Os tópicos a seguir mostram como configurar permissões em seus buckets do Amazon S3 depois de criá-los. Além da capacidade de ler e gravar objetos, se você criptografou os buckets, o Application Cost Profiler deverá ter acesso aoAWS Key Management Service(AWS KMS) chave para cada balde.

Dando acesso ao Application Cost Profiler ao bucket S3 de entrega de relatórios

O bucket do S3 que você configura para o Application Cost Profiler para entregar seus relatórios deve ter uma política anexada que permita que o Application Cost Profiler crie os objetos de relatório. Além disso, o bucket do S3 deve ser configurado para habilitar a criptografia.

nota

Ao criar seu bucket, você deve optar por criptografá-lo. Você pode optar por criptografar seu bucket com chaves gerenciadas pelo Amazon S3 (SSE-S3) ou com sua própria chave gerenciada peloAWS KMS(SSE-KMS). Se você já criou seu bucket sem criptografia, você deve editar seu bucket para adicionar criptografia.

Para dar acesso ao Application Cost Profiler ao bucket S3 de entrega de relatórios

  1. Acesse oConsole do Amazon S3e faça login.

  2. SelectBucketsNa navegação à esquerda e escolha seu bucket na lista.

  3. Selecione oPermissõesguia, em seguida, ao lado dePolítica de bucket, escolhaEdite.

  4. NoPolíticaseção, insira a seguinte política. Substituir<bucket_name>pelo nome do bucket do.<Conta da AWS>pelo ID doConta da AWS.

    { "Version":"2008-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"application-cost-profiler.amazonaws.com" }, "Action":[ "s3:PutObject*", "s3:GetEncryptionConfiguration" ], "Resource": [ "arn:aws:s3:::<bucket-name>", "arn:aws:s3:::<bucket-name>/*" ], "Condition": { "StringEquals": { "aws:SourceAccount": "<Conta da AWS>" }, "ArnEquals": { "aws:SourceArn": "arn:aws:application-cost-profiler:us-east-1:<Conta da AWS>:*" } } } ] }

    Nesta política, você está fornecendo o principal de serviço Application Cost Profiler (application-cost-profiler.amazonaws.com) acesso para entregar relatórios ao bucket especificado. Ele faz isso em seu nome e inclui um cabeçalho com seuConta da AWSe um ARN específico para o intervalo de entrega do relatório. Para garantir que o Application Cost Profiler esteja acessando seu bucket somente ao agir em seu nome, oConditionverifica esses cabeçalhos.

  5. SelecioneSalve as alteraçõespara salvar sua política, anexada ao seu bucket.

    Se você criou seu bucket usando criptografia SSE-S3, então você está pronto. Se você usou a criptografia SSE-KMS, as etapas a seguir serão necessárias para dar acesso ao Application Cost Profiler ao seu bucket.

  6. (Opcional) Escolha oPropertiesguia do bucket do.Criptografia padrão, selecione o Nome de recurso da Amazon (ARN) do seuAWS KMSchave. Esta ação exibe oAWS Key Management Serviceconsole e mostra sua chave.

  7. (Opcional) Adicione a política para dar acesso ao Application Cost Profiler aoAWS KMSchave. Para obter instruções sobre como adicionar essa política, consulteDando acesso ao Application Cost Profiler a buckets S3 criptografados pelo SSE-.

Dando acesso ao Application Cost Profiler aos dados de uso do bucket S3

O bucket do S3 que você configura para o Application Cost Profiler para ler seus dados de uso deve ter uma política anexada para permitir que o Application Cost Profiler leia os objetos de dados de uso.

nota

Ao dar acesso ao Application Cost Profiler aos seus dados de uso, você concorda que podemos copiar temporariamente esses objetos de dados de uso para o Leste dos EUA (Norte da Virgínia)Região da AWSdurante o processamento de relatórios. Esses objetos de dados serão mantidos na região Leste dos EUA (Norte da Virgínia) até que a geração de relatórios mensais seja concluída.

Para dar acesso ao Application Cost Profiler aos dados de uso do bucket S3

  1. Acesse oConsole do Amazon S3e faça login.

  2. SelectBucketsNa navegação à esquerda e escolha seu bucket na lista.

  3. Selecione oPermissõesguia, em seguida, ao lado dePolítica de bucket, escolhaEdite.

  4. NoPolíticaseção, insira a seguinte política. Substituir<bucket-name>pelo nome do bucket do.<Conta da AWS>pelo ID doConta da AWS.

    { "Version":"2008-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"application-cost-profiler.amazonaws.com" }, "Action":[ "s3:GetObject*" ], "Resource": [ "arn:aws:s3:::<bucket-name>", "arn:aws:s3:::<bucket-name>/*" ], "Condition": { "StringEquals": { "aws:SourceAccount": "<Conta da AWS>" }, "ArnEquals": { "aws:SourceArn": "arn:aws:application-cost-profiler:us-east-1:<Conta da AWS>:*" } } } ] }

    Nesta política, você está fornecendo o principal de serviço Application Cost Profiler (application-cost-profiler.amazonaws.com) acesso para obter dados do bucket especificado. Ele faz isso em seu nome e inclui um cabeçalho com seuConta da AWSe um ARN específico para seu intervalo de uso. Para garantir que o Application Cost Profiler esteja acessando seu bucket somente ao agir em seu nome, oConditionverifica esses cabeçalhos.

  5. SelecioneSalve as alteraçõespara salvar sua política, anexada ao seu bucket.

Se o bucket estiver criptografado comAWS KMSchaves gerenciadas, então você deve dar acesso ao Application Cost Profiler ao seu bucket seguindo o procedimento na próxima seção.

Dando acesso ao Application Cost Profiler a buckets S3 criptografados pelo SSE-

Se você criptografar os buckets do S3 configurados para o Application Cost Profiler (necessário para buckets de relatório) com chaves armazenadas emAWS KMS(SSE-KMS), você também deve conceder permissões ao Application Cost Profiler para descriptografá-los. Você faz isso dando acesso aoAWS KMSchaves usadas para criptografar os dados.

nota

Se o bucket estiver criptografado com chaves gerenciadas do Amazon S3, você não precisará concluir esse procedimento.

Para dar acesso ao Application Cost Profiler aoAWS KMSPara buckets S3 criptografados pelo SSE-KMS

  1. Acesse oAWS KMSconsolee faça login.

  2. SelectChaves gerenciadas pelo clienteNa navegação à esquerda e escolha a chave que é usada para criptografar seu bucket na lista.

  3. SelectAlternar para visualização de políticaEm seguida, escolhaEdite.

  4. NoPolíticaseção, insira a seguinte declaração de política.

    { "Effect": "Allow", "Principal": { "Service": "application-cost-profiler.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<Conta da AWS>" }, "ArnEquals": { "aws:SourceArn": "arn:aws:application-cost-profiler:us-east-1:<Conta da AWS>:*" } }
  5. SelecioneSalve as alteraçõespara salvar sua política, anexada à sua chave.

  6. Repita para cada chave que criptografa um bucket do S3 que o Application Cost Profiler precisa acessar.

nota

Os dados são copiados do bucket do S3 na importação para buckets gerenciados do Application Cost Profiler (criptografados). Se você revogar o acesso às chaves, o Application Cost Profiler não poderá recuperar nenhum objeto novo do bucket. No entanto, todos os dados já importados ainda podem ser usados para gerar relatórios.