Configuração de buckets do Amazon S3 para o Application Cost Profiler - Application Cost Profiler
Fornecendo ao Application Cost Profiler acesso ao bucket S3 de entrega de relatóriosFornecendo ao Application Cost Profiler acesso ao bucket S3 de entrega de relatóriosFornecendo ao Application Cost Profiler acesso a buckets S3 criptografados com SSE-KMS

O Application Cost Profiler da AWS será descontinuado até 30 de setembro de 2024 e não está mais aceitando novos clientes.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configuração de buckets do Amazon S3 para o Application Cost Profiler

Para enviar dados de uso e receber relatórios do Application Cost Profiler da AWS, você deve ter pelo menos um bucket do Amazon Simple Storage Service (Amazon S3) no bucket da Conta da AWS para armazenar dados e um bucket S3 para receber os relatórios.

nota

Para usuários do AWS Organizations, os buckets do Amazon S3 podem estar na conta de gerenciamento ou em contas de membros individuais. Os dados nos buckets do S3 de propriedade da conta de gerenciamento podem ser usados para gerar relatórios para toda a organização. Em contas de membros individuais, os dados nos buckets do S3 só podem ser usados para gerar relatórios para essa conta membro.

Os buckets do S3 que você cria são de propriedade da Conta da AWS em que eles foram criados. Os buckets S3 são cobrados de acordo com as tarifas padrão do Amazon S3. Para obter mais informações sobre como criar um bucket do Amazon S3, consulte Criação de um bucket, no Guia do usuário do Amazon Simple Storage Service.

Para que o Application Cost Profiler use os buckets do S3, anexe uma política aos buckets que dá ao Application Cost Profiler permissões de leitura e/ou gravação no bucket. Se você modificar a política após a configuração dos relatórios, poderá impedir que o Application Cost Profiler possa ler os dados de uso ou entregar seus relatórios.

Os tópicos a seguir mostram como configurar permissões nos buckets do Amazon S3 depois de criá-los. Além da capacidade de ler e gravar objetos, se você criptografou os buckets, o Application Cost Profiler deverá ter acesso à chave AWS Key Management Service (AWS KMS) de cada bucket.

Fornecendo ao Application Cost Profiler acesso ao bucket S3 de entrega de relatórios

O bucket do S3 que você configura para que o Application Cost Profiler entregue os relatórios deve ter uma política anexada que permita que o Application Cost Profiler crie os objetos do relatório. Além disso, o bucket do S3 deve ser configurado para habilitar a criptografia.

nota

Ao criar o bucket, você deve optar por criptografá-lo. Você pode optar por criptografar o bucket com chaves gerenciadas pelo Amazon S3 (SSE-S3) ou com sua chave gerenciada pelo (SSE-KMS). AWS KMS Se você já criou o bucket sem criptografia, você deve editar o bucket para adicionar a criptografia.

Fornecendo ao Application Cost Profiler acesso ao bucket S3 de entrega de relatórios

  1. Faça login no console do Amazon S3.

  2. Selecione Buckets no painel de navegação à esquerda e escolha o bucket na lista.

  3. Escolha Permissões e, em seguida, escolha Política de bucket e Editar.

  4. Na seção Política, insira a política a seguir. Substitua <bucket_name> pelo nome do bucket e <Conta da AWS> pelo ID do seu Conta da AWS.

    {
      "Version":"2008-10-17",
      "Statement":[
        {
          "Effect":"Allow",
          "Principal":{
            "Service":"application-cost-profiler.amazonaws.com"
          },
          "Action":[
            "s3:PutObject*",
            "s3:GetEncryptionConfiguration"
          ],
          "Resource": [
            "arn:aws:s3:::<bucket-name>",
            "arn:aws:s3:::<bucket-name>/*"
          ],
          "Condition": {
            "StringEquals": {
              "aws:SourceAccount": "<Conta da AWS>"
            },
            "ArnEquals": {
              "aws:SourceArn": "arn:aws:application-cost-profiler:us-east-1:<Conta da AWS>:*"
            }
          }
        }
      ]
    }

    Nessa política, você concede ao serviço principal (application-cost-profiler.amazonaws.com) do Application Cost Profiler acesso para entregar relatórios ao bucket especificado. Ele faz isso em seu nome e inclui um cabeçalho com a Conta da AWS e um ARN específico para o bucket de entrega de relatórios. Para garantir que o Application Cost Profiler esteja acessando o bucket somente quando estiver agindo em seu nome, a Condition verifica esses cabeçalhos.

  5. Escolha Salvar alterações para salvar a política anexada ao seu bucket.

    Se você criou o bucket usando a criptografia SSE-S3, ele está pronto. Se usou a criptografia SSE-KMS, as etapas a seguir são necessárias para oferecer ao Application Cost Profiler acesso ao bucket.

  6. (Opcional) Escolha a guia Propriedades do bucket e, em Criptografia padrão, selecione o nome do recurso da Amazon (ARN) para a chave do AWS KMS. Essa ação exibe o console do AWS Key Management Service e mostra sua chave.

  7. (Opcional) Adicione a política para dar ao Application Cost Profiler acesso à chave do AWS KMS. Para obter instruções sobre como adicionar esse certificado, consulte Fornecendo ao Application Cost Profiler acesso a buckets S3 criptografados com SSE-KMS.

Fornecendo ao Application Cost Profiler acesso ao bucket S3 de entrega de relatórios

O bucket do S3 configurado para que o Application Cost Profiler entregue os relatórios deve ter uma política anexada que permita que o Application Cost Profiler crie os objetos do relatório.

nota

Ao conceder ao Application Cost Profiler acesso aos dados de uso, você concorda que podemos copiar temporariamente esses objetos de dados de uso para a Região da AWS Leste dos EUA (Norte da Virgínia) enquanto processamos relatórios. Esses objetos de dados serão mantidos na região Leste dos EUA (Norte da Virgínia) até que a geração do relatório mensal seja concluída.

Fornecendo ao Application Cost Profiler acesso ao bucket S3 de entrega de relatórios

  1. Faça login no console do Amazon S3.

  2. Selecione Buckets no painel de navegação à esquerda e escolha o bucket na lista.

  3. Escolha Permissões e, em seguida, escolha Política de bucket e Editar.

  4. Na seção Política, insira a política a seguir. Substitua <bucket-name> pelo nome do bucket e <Conta da AWS> pelo ID do seu Conta da AWS.

    {
      "Version":"2008-10-17",
      "Statement":[
        {
          "Effect":"Allow",
          "Principal":{
            "Service":"application-cost-profiler.amazonaws.com"
          },
          "Action":[
            "s3:GetObject*"
          ],
          "Resource": [
            "arn:aws:s3:::<bucket-name>",
            "arn:aws:s3:::<bucket-name>/*"
          ],
          "Condition": {
            "StringEquals": {
              "aws:SourceAccount": "<Conta da AWS>"
            },
            "ArnEquals": {
              "aws:SourceArn": "arn:aws:application-cost-profiler:us-east-1:<Conta da AWS>:*"
            }
          }
        }
      ]
    }

    Nessa política, você concede ao serviço principal (application-cost-profiler.amazonaws.com) do Application Cost Profiler acesso para entregar relatórios ao bucket especificado. Ele faz isso em seu nome e inclui um cabeçalho com a Conta da AWS e um ARN específico para o bucket de uso. Para garantir que o Application Cost Profiler esteja acessando o bucket somente quando estiver agindo em seu nome, a Condition verifica esses cabeçalhos.

  5. Escolha Salvar alterações para salvar a política anexada ao seu bucket.

Se o bucket estiver criptografado com chaves gerenciadas do AWS KMS, você deverá conceder ao Application Cost Profiler acesso ao bucket seguindo o procedimento na próxima seção.

Fornecendo ao Application Cost Profiler acesso a buckets S3 criptografados com SSE-KMS

Se você criptografar os buckets do S3 configurados para o Application Cost Profiler (necessários para buckets de relatórios) com as chaves armazenadas no AWS KMS (SSE-KMS), conceda permissões também ao Application Cost Profiler para descriptografá-los. Você faz isso dando acesso às chaves do AWS KMS usadas para criptografar os dados.

nota

Se o bucket estiver criptografado com chaves gerenciadas do Amazon S3, você não precisará concluir esse procedimento.

Fornecendo ao Application Cost Profiler acesso ao AWS KMS para buckets S3 criptografados com SSE-KMS

  1. Acesse o console do AWS KMS para entrar.

  2. Selecione Chaves gerenciadas pelo cliente no painel de navegação à esquerda e, em seguida, escolha a chave usada para criptografar o bucket na lista.

  3. Selecione Alternar para exibição de política e, em seguida, escolha Editar.

  4. Na seção Política, insira a instrução de política a seguir.

      {
    "Effect": "Allow",
    "Principal": {
        "Service": "application-cost-profiler.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
          "Condition": {
            "StringEquals": {
              "aws:SourceAccount": "<Conta da AWS>"
            },
            "ArnEquals": {
              "aws:SourceArn": "arn:aws:application-cost-profiler:us-east-1:<Conta da AWS>:*"
            }
  }

  5. Escolha Salvar alterações para salvar a política anexada à chave.

  6. Repita o procedimento para cada chave que criptografa um bucket do S3 que o Application Cost Profiler precisa acessar.

nota

Os dados são copiados do bucket do S3 na importação para os buckets gerenciados do Application Cost Profiler (que são criptografados). Se revogar o acesso às chaves, o Application Cost Profiler não poderá recuperar nenhum objeto novo do bucket. No entanto, todos os dados já importados ainda podem ser usados para gerar relatórios.