Amazon S3 Storage Lens 許可 - Amazon Simple Storage Service
設定帳戶許可設定 Storage Lens 群組許可設定 AWS Organizations 權限

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon S3 Storage Lens 許可

Amazon S3 儲存鏡頭需要 AWS Identity and Access Management (IAM) 中的新許可才能授權存取 S3 儲存鏡頭動作。若要授與這些權限,您可以使用以身分識別為基礎IAM的原則。您可以將此原則附加至IAM使用者、群組或角色,以授與使用者權限。此類許可能夠包含啟用或停用 S3 Storage Lens,或存取任何 S3 Storage Lens 儀表板或組態的能力。

IAM使用者或角色必須屬於建立或擁有儀表板或組態的帳戶,除非同時符合下列條件:

  • 您的帳戶是的成員 AWS Organizations。

  • 您有權以委派管理員的身分使用管理帳戶建立組織層級儀表板。

注意

  • 您無法使用帳戶的根使用者憑證,來檢視 Amazon S3 Storage Lens 儀表板。若要存取 S3 Storage Lens 儀表板,您必須將必要的IAM權限授與新使用者或現有IAM使用者。然後,使用這些使用者憑證登入,以存取 S3 Storage Lens 儀表板。如需詳細資訊,請參閱《IAM使用指南》IAM中的「安全性最佳作法」。

  • 在 Amazon S3 主控台上使用 S3 Storage Lens 可能需要多個許可。例如,若要在主控台上編輯儀表板,您需要下列許可:

    • s3:ListStorageLensConfigurations

    • s3:GetStorageLensConfiguration

    • s3:PutStorageLensConfiguration

設定使用 S3 Storage Lens 的帳戶許可

若要建立及管理 S3 Storage Lens 儀表板和 Storage Lens 儀表板組態,您必須具備下列許可 (具體取決於您要執行的動作):

Amazon S3 儲存鏡頭相關IAM許可
動作 IAM權限
在 Amazon S3 主控台中建立或更新 S3 Storage Lens 儀表板。

s3:ListStorageLensConfigurations

s3:GetStorageLensConfiguration

s3:GetStorageLensConfigurationTagging

s3:PutStorageLensConfiguration

s3:PutStorageLensConfigurationTagging
在 Amazon S3 主控台上取得 S3 Storage Lens 儀表板的標籤。

s3:ListStorageLensConfigurations

s3:GetStorageLensConfigurationTagging
在 Amazon S3 主控台上檢視 S3 Storage Lens 儀表板。

s3:ListStorageLensConfigurations

s3:GetStorageLensConfiguration

s3:GetStorageLensDashboard
刪除 Amazon S3 主控台上 S3 Storage Lens 儀表板。

s3:ListStorageLensConfigurations

s3:GetStorageLensConfiguration

s3:DeleteStorageLensConfiguration
使用或建立或更新 S3 儲存鏡頭組態 AWS SDK。 AWS CLI

s3:PutStorageLensConfiguration

s3:PutStorageLensConfigurationTagging
使用或取得 S3 儲存鏡頭組態的 AWS CLI 標籤 AWS SDK。

s3:GetStorageLensConfigurationTagging
使用 AWS CLI 或檢視 S3 儲存鏡頭組態 AWS SDK。

s3:GetStorageLensConfiguration
使用 AWS CLI 或刪除 S3 儲存鏡頭組態 AWS SDK。

s3:DeleteStorageLensConfiguration
注意

  • S3 儲存鏡頭儀表板檢視會 CloudTrail 以事件名稱登入GetStorageLensDashboardDataInternal

  • 您可以在IAM策略中使用資源標籤來管理權限。

  • 具有這些權限的IAM使用者或角色可以查看值區和前置詞的量度,這些指標可能沒有直接讀取或列出物件的權限。

  • 對於已啟用字首層級指標的 S3 Storage Lens 儀表板,如果選取的字首路徑與物件索引鍵相符,儀表板可能會將物件索引鍵顯示為另一個字首。

  • 對於儲存在帳戶儲存貯體中的指標匯出,會使用IAM政策中現有s3:GetObject的權限來授與權限。同樣地,對於 AWS Organizations 實體,組織的管理帳戶或委派的管理員帳戶也可以使用IAM原則來管理組織層級儀表板和組態的存取權限。

設定使用 S3 Storage Lens 群組的帳戶許可

您可以使用 S3 Storage Lens 群組,根據字首、尾碼、物件標籤、物件大小或物件存留期,了解儲存在儲存貯體內的分佈情形。您可以將 Storage Lens 群組連接至儀表板,以檢視其彙總指標。

若要使用 Storage Lens 群組,您需要特定許可。如需詳細資訊,請參閱 Storage Lens 群組許可

設定使用 S3 儲存鏡頭的權限 AWS Organizations

您可以使用 Amazon S3 儲存鏡頭收集屬於 AWS Organizations 階層一部分的所有帳戶的儲存指標和使用情況資料。以下是將 Organizations 與 S3 Storage Lens 搭配使用的相關動作和許可。

AWS Organizations 使用 S3 儲存鏡頭的相關IAM權限
動作 IAM權限
為您的組織啟用 S3 Storage Lens 的受信任存取權。

organizations:EnableAWSServiceAccess
針對組織停用 S3 Storage Lens 的受信任存取權。

organizations:DisableAWSServiceAccess
註冊委派管理員,為您的組織建立 S3 Storage Lens 儀表板或組態。

organizations:RegisterDelegatedAdministrator
取消註冊委派管理員,以便其無法再針對您的組織建立 S3 Storage Lens 儀表板或組態。

organizations:DeregisterDelegatedAdministrator

建立 S3 Storage Lens 全組織組態的額外許可。

organizations:DescribeOrganization

organizations:ListAccounts

organizations:ListAWSServiceAccessForOrganization

organizations:ListDelegatedAdministrators

iam:CreateServiceLinkedRole