O Amazon S3 Storage Lens e o AWS Organizations - AWS Organizations

O Amazon S3 Storage Lens e o AWS Organizations

Ao conceder ao Amazon S3 Storage Lens acesso confiável à sua organização, você permite que ele colete e agregue métricas em todas as Contas da AWS de sua organização. O S3 Storage Lens faz isso acessando a lista de contas que pertencem à sua organização e coleta e analisa as métricas de armazenamento, uso e atividade de todas elas.

Para obter mais informações, consulte . Para obter mais informações, consulte Usar as funções vinculadas a serviços para o Amazon S3 Storage Lens no Guia do usuário do Amazon S3 Storage Lens.

Use as informações a seguir para ajudá-lo a integrar o Amazon S3 Storage Lens ao AWS Organizations.

Função vinculada ao serviço criada quando você habilita a integração

A seguinte função vinculada a serviço é criada automaticamente na conta de administrador encarregada da sua organização quando você habilita o acesso confiável e a configuração do Storage Lens foi aplicada à sua organização. Essa função permite que o Amazon S3 realize as operações suportadas nas contas de sua organização.

Você só pode excluir ou modificar essa função se desabilitar o acesso confiável entre o Amazon S3 Storage Lens e o Organizations, ou se remover a conta-membro da organização.

  • AWSServiceRoleForS3StorageLens

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pelo Amazon S3 Storage Lens concedem acesso às seguintes entidades primárias de serviço:

  • storage-lens.s3.amazonaws.com

Habilitar o acesso confiável no Amazon S3 Storage Lens

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Você pode habilitar o acesso confiável usando o console do Amazon S3 Storage Lens ou o console do AWS Organizations.

Importante

É altamente recomendável, sempre que possível, o uso do console ou das ferramentas do Amazon S3 Storage Lens para habilitar a integração com o Organizations. Isso permite que o Amazon S3 Storage Lens realize qualquer configuração exigida, como a criação dos recursos necessários para o serviço. Continue com estas etapas apenas se você não puder habilitar a integração usando as ferramentas fornecidas pelo Amazon S3 Storage Lens. Para obter mais informações, consulte esta nota.

Se você habilitar o acesso confiável usando o console ou as ferramentas do Amazon S3 Storage Lens, não é necessário concluir estas etapas.

Para habilitar o acesso confiável usando o console do Amazon S3

Consulte Como habilitar o acesso confiável no Guia do usuário do Amazon Simple Storage Service.

Você pode habilitar o acesso confiável usando o console do AWS Organizations, executando um comando da AWS CLI ou chamando uma operação da API em um dos AWS SDKs.

AWS Management Console

Para habilitar o acesso ao serviço confiável usando o console do Organizations

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Services (Serviços), localize a linha para o Amazon S3 Storage Lens, escolha o nome do serviço e, em seguida, escolha Enable trusted access (Habilitar acesso confiável).

  3. Na caixa de diálogo de confirmação, habilite Show the option to enable trusted access (Mostrar a opção para habilitar acesso confiável), insira enable na caixa e, em seguida, escolha Enable trusted access (Habilitar acesso confiável).

  4. Se você for o administrador apenas do AWS Organizations, informe ao administrador do Amazon S3 Storage Lens que agora ele pode habilitar esse serviço usando seu console para trabalhar com o AWS Organizations.

AWS CLI, AWS API

Para habilitar o acesso ao serviço confiável usando a CLI/SDK do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para habilitar o acesso ao serviço confiável:

  • AWS CLI: enable-aws-service-access

    Você pode executar o comando a seguir para habilitar o Amazon S3 Storage Lens como um serviço confiável com o Organizations.

    $ aws organizations enable-aws-service-access \ --service-principal storage-lens.s3.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: EnableAWSServiceAccess

Desativação do acesso confiável para o Amazon S3 Storage Lens

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

Você pode desabilitar o acesso confiável usando apenas as ferramentas do Amazon S3 Storage Lens.

Você pode desabilitar o acesso confiável usando o console do Amazon S3, a AWS CLI ou qualquer um dos AWS SDKs.

Para desabilitar o acesso confiável usando o console do Amazon S3

Consulte Como desabilitar o acesso confiável no Guia do usuário do Amazon Simple Storage Service.

Habilitar uma conta de administrador delegado para o Amazon S3 Storage Lens

Quando você designa uma conta-membro como administrador delegado para a organização, os usuários e funções dessa conta podem executar ações administrativas para o Amazon S3 Storage Lens que, de outra forma, só podem ser executadas por usuários ou funções na conta de gerenciamento da organização. Isso ajuda você a separar o gerenciamento da organização do gerenciamento do Amazon S3 Storage Lens.

Permissões mínimas

Somente um usuário ou função do IAM na conta de gerenciamento do Organizations com a seguinte permissão pode configurar uma conta-membro como administrador delegado para o Amazon S3 Storage Lens na organização:

organizations:RegisterDelegatedAdministrator

organizations:DeregisterDelegatedAdministrator

O Amazon S3 Storage Lens suporta um máximo de 5 contas de administrador delegado em sua organização.

Para designar uma conta-membro como administrador delegado do Amazon S3 Storage Lens

Você pode registrar um administrador delegado usando o console do Amazon S3, a AWS CLI ou qualquer um dos AWS SDKs. Para registrar uma conta-membro como uma conta de administrador delegado para sua organização usando o console do Amazon S3, consulte Como registrar um administrador delegado no Guia do usuário do Amazon Simple Storage Service.

Para cancelar o registro de um administrador delegado para o Amazon S3 Storage Lens

Você pode cancelar o registro de um administrador delegado usando o console do Amazon S3, a AWS CLI ou qualquer um dos AWS SDKs. Para cancelar o registro de um administrador delegado usando o console do Amazon S3, consulte Como cancelar o registro de um administrador delegado no Guia do usuário do Amazon Simple Storage Service.