将 Amazon S3 Storage Lens 存储统计管理工具与 AWS Organizations 结合使用 - Amazon Simple Storage Service
启用可信访问权限禁用可信访问权限配置委托管理员取消注册委托管理员

将 Amazon S3 Storage Lens 存储统计管理工具与 AWS Organizations 结合使用

Amazon S3 Storage Lens 存储统计管理工具是一项云存储分析功能,您可以使用它在整个组织范围内了解对象存储的使用情况和活动。您可以使用 S3 Storage Lens 存储统计管理工具指标生成摘要见解,例如,了解整个组织中有多少存储空间,或增长最快的桶和前缀是哪些。您还可以使用 S3 Storage Lens 存储统计管理工具指标来识别成本优化机会,实施数据保护和安全最佳实践,并提高应用程序工作负载的性能。例如,您可以识别没有 S3 生命周期规则的桶,使超过 7 天的未完成分段上传过期。您还可以识别未遵循数据保护最佳实践(例如使用 S3 复制或 S3 版本控制)的桶。S3 Storage Lens 存储统计管理工具还分析指标以提供上下文建议,您可以使用这些建议来优化存储成本并应用最佳实践来保护数据。

您可以使用 Amazon S3 Storage Lens 存储统计管理工具收集属于 AWS Organizations 层次结构的所有 AWS 账户 的存储指标和使用情况数据。为此,您必须使用 AWS Organizations,并且必须使用您的 AWS Organizations 管理账户启用 S3 Storage Lens 存储统计管理工具可信访问权限。

启用可信访问权限后,您可以添加对组织中账户的委托管理员访问权限。然后,这些账户可以创建 S3 Storage Lens 存储统计管理工具配置和控制面板,以收集组织范围的存储指标和用户数据。

有关启用可信访问权限的更多信息,请参阅《AWS Organizations 用户指南》中的 Amazon S3 Storage Lens 存储统计管理工具和 AWS Organizations

为 S3 Storage Lens 存储统计管理工具启用可信访问权限

通过启用可信访问权限,即可允许 Amazon S3 Storage Lens 存储统计管理工具通过 AWS Organizations API 操作访问您的 AWS Organizations 层次结构、成员资格和结构。然后,S3 Storage Lens 存储统计管理工具便成为整个组织结构的可信服务。

无论何时创建控制面板配置,S3 Storage Lens 存储统计管理工具都会在组织的管理或委托管理员账户中创建服务相关角色。服务相关角色授予 S3 Storage Lens 存储统计管理工具执行以下操作的权限:

  • 描述组织

  • 列出账户

  • 验证组织的 AWS 服务访问权限列表

  • 为组织获取委托管理员

随后,S3 Storage Lens 存储统计管理工具可以确保它具有访问权限,以收集组织中账户的跨账户指标。有关更多信息,请参阅使用面向 Amazon S3 Storage Lens 存储统计管理工具的服务相关角色

启用可信访问权限后,您可以为组织中的账户分配委托管理员访问权限。当账户被标记为服务的委托管理员时,该账户将获得访问所有只读组织 API 操作的授权。此访问权限向委托管理员提供了对您组织成员和结构的可见性,以便他们也可以创建 S3 Storage Lens 存储统计管理工具控制面板。

注意

只有管理账户才能为 Amazon S3 Storage Lens 存储统计管理工具启用可信访问权限。

为 S3 Storage Lens 存储统计管理工具禁用可信访问权限

通过禁用可信访问权限,您将 S3 Storage Lens 存储统计管理工具限制为仅在账户级别工作。此外,每个账户持有人所看到的 S3 Storage Lens 存储统计管理工具信息仅限于其账户范围,而不是整个组织。任何需要可信访问权限的控制面板将不再更新,但它们将能够在数据可供查询的相应时间段内保留它们的历史数据。

注意

  • 禁用对 S3 Storage Lens 存储统计管理工具的可信访问还会自动阻止所有组织级控制面板收集和聚合存储指标。

  • 在数据可供查询期间,您的管理和委托管理员账户仍然能够看到您现有的组织级控制面板的历史数据。

为 S3 Storage Lens 存储统计管理工具注册委托管理员

您可以使用组织的管理账户或委托管理员账户创建组织级控制面板。委托管理员账户允许除管理账户以外的其他账户创建组织级控制面板。只有组织的管理账户才能将其他账户注册为组织的委托管理员以及取消其注册。

要使用 Amazon S3 控制台注册委托管理员,请参阅为 S3 Storage Lens 存储统计管理工具注册委托管理员

您还可以使用管理账户中的 AWS Organizations REST API、AWS CLI 或 SDK 注册委托管理员。有关更多信息,请参阅《AWS Organizations API 参考》中的 RegisterDelegatedAdministrator

注意

在使用 AWS Organizations REST API、AWS CLI 或 SDK 指定委托管理员之前,必须调用 EnableAWSOrganizationsAccess 操作。

为 S3 Storage Lens 存储统计管理工具取消注册委托管理员

您还可以取消注册委托管理员账户。委托管理员账户允许除管理账户以外的其他账户创建组织级控制面板。只有组织的管理账户才能以组织的委托管理员身份取消注册账户。

要使用 S3 控制台取消注册委托管理员,请参阅为 S3 Storage Lens 存储统计管理工具取消注册委托管理员

您还可以使用管理账户中的 AWS Organizations REST API、AWS CLI 或 SDK 取消注册委托管理员。有关更多信息,请参阅《AWS Organizations API 参考》中的 DeregisterDelegatedAdministrator

注意

  • 取消注册委托管理员还会自动阻止该委托管理员创建的所有组织级控制面板聚合新的存储指标。

  • 当数据可用于查询时,取消注册的委派管理员仍然可以查看他们创建的控制面板的历史数据。