Amazon S3 Storage Lens 許可 - Amazon Simple Storage Service
設定帳戶許可設定 Storage Lens 群組許可設定 AWS Organizations 許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon S3 Storage Lens 許可

Amazon S3 Storage Lens 需要 AWS Identity and Access Management (IAM) 中的新許可,才能授權對 S3 Storage Lens 的存取權。若要授予這些許可,您可以使用身分型 IAM 政策。您可以將此政策連接至 IAM 使用者、群組或角色,為他們授予許可。此類許可能夠包含啟用或停用 S3 Storage Lens,或存取任何 S3 Storage Lens 儀表板或組態的能力。

IAM 使用者或角色必須屬於建立或擁有儀表板或組態的帳戶,除非以下兩個條件均成立:

  • 您的帳戶是 AWS Organizations 的成員。

  • 您有權以委派管理員的身分使用管理帳戶建立組織層級儀表板。

注意

  • 您無法使用帳戶的根使用者憑證,來檢視 Amazon S3 Storage Lens 儀表板。若要存取 S3 Storage Lens 儀表板,必須將必要的 IAM 許可授予新的或現有的 IAM 使用者。然後,使用這些使用者憑證登入,以存取 S3 Storage Lens 儀表板。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM 中的安全性最佳實務

  • 在 Amazon S3 主控台上使用 S3 Storage Lens 可能需要多個許可。例如,若要在主控台上編輯儀表板,您需要下列許可:

    • s3:ListStorageLensConfigurations

    • s3:GetStorageLensConfiguration

    • s3:PutStorageLensConfiguration

設定使用 S3 Storage Lens 的帳戶許可

若要建立及管理 S3 Storage Lens 儀表板和 Storage Lens 儀表板組態,您必須具備下列許可 (具體取決於您要執行的動作):

Amazon S3 Storage Lens 相關的 IAM 許可
動作 IAM 許可
在 Amazon S3 主控台中建立或更新 S3 Storage Lens 儀表板。

s3:ListStorageLensConfigurations

s3:GetStorageLensConfiguration

s3:GetStorageLensConfigurationTagging

s3:PutStorageLensConfiguration

s3:PutStorageLensConfigurationTagging
在 Amazon S3 主控台上取得 S3 Storage Lens 儀表板的標籤。

s3:ListStorageLensConfigurations

s3:GetStorageLensConfigurationTagging
在 Amazon S3 主控台上檢視 S3 Storage Lens 儀表板。

s3:ListStorageLensConfigurations

s3:GetStorageLensConfiguration

s3:GetStorageLensDashboard
刪除 Amazon S3 主控台上 S3 Storage Lens 儀表板。

s3:ListStorageLensConfigurations

s3:GetStorageLensConfiguration

s3:DeleteStorageLensConfiguration
使用 AWS CLI 或 AWS SDK 建立或更新 S3 Storage Lens 組態。

s3:PutStorageLensConfiguration

s3:PutStorageLensConfigurationTagging
使用 AWS CLI 或 AWS SDK 取得 S3 Storage Lens 組態的標籤。

s3:GetStorageLensConfigurationTagging
使用 AWS CLI 或 AWS SDK 檢視 S3 Storage Lens 組態。

s3:GetStorageLensConfiguration
使用 AWS CLI 或 AWS SDK 刪除 S3 Storage Lens 組態。

s3:DeleteStorageLensConfiguration
注意

  • 您可以在 IAM 政策中使用資源標籤來管理許可。

  • 具有這些許可的 IAM 使用者或角色可以從儲存貯體和字首查看指標,這些 IAM 使用者/角色可能沒有從這些儲存貯體和字首直接讀取或列出物件的許可。

  • 對於已啟用字首層級指標的 S3 Storage Lens 儀表板,如果選取的字首路徑與物件索引鍵相符,儀表板可能會將物件索引鍵顯示為另一個字首。

  • 對於在您帳戶中儲存貯體存放的指標匯出,使用 IAM 政策中現有的 s3:GetObject 許可來授予許可。同樣地,對於 AWS Organizations 實體,組織管理帳戶或委派管理員帳戶可以使用 IAM 政策,來管理組織層級儀表板和組態的存取許可。

設定使用 S3 Storage Lens 群組的帳戶許可

您可以使用 S3 Storage Lens 群組,根據字首、尾碼、物件標籤、物件大小或物件存留期,了解儲存在儲存貯體內的分佈情形。您可以將 Storage Lens 群組連接至儀表板,以檢視其彙總指標。

若要使用 Storage Lens 群組,您需要特定許可。如需詳細資訊,請參閱「Storage Lens 群組許可」。

設定搭配 AWS Organizations 使用 Amazon S3 Storage Lens 的許可

您可以使用 Amazon S3 Storage Lens,收集屬於 AWS Organizations 階層之所有帳戶的儲存指標和用量資料。以下是將 Organizations 與 S3 Storage Lens 搭配使用的相關動作和許可。

使用 S3 Storage Lens 的 AWS Organizations 相關 IAM 許可
動作 IAM 許可
為您的組織啟用 S3 Storage Lens 的受信任存取權。

organizations:EnableAWSServiceAccess
針對組織停用 S3 Storage Lens 的受信任存取權。

organizations:DisableAWSServiceAccess
註冊委派管理員,為您的組織建立 S3 Storage Lens 儀表板或組態。

organizations:RegisterDelegatedAdministrator
取消註冊委派管理員,以便其無法再針對您的組織建立 S3 Storage Lens 儀表板或組態。

organizations:DeregisterDelegatedAdministrator

建立 S3 Storage Lens 全組織組態的額外許可。

organizations:DescribeOrganization

organizations:ListAccounts

organizations:ListAWSServiceAccessForOrganization

organizations:ListDelegatedAdministrators

iam:CreateServiceLinkedRole