讓 Amazon S3 Storage Lens 使用服務連結角色 - Amazon Simple Storage Service
Amazon S3 Storage Lens 的服務連結角色許可為 S3 Storage Lens 建立服務連結角色編輯 Amazon S3 Storage Lens 的服務連結角色刪除 Amazon S3 Storage Lens 的服務連結角色支援 S3 Storage Lens 服務連結角色的區域

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

讓 Amazon S3 Storage Lens 使用服務連結角色

若要使用 Amazon S3 Storage Lens 來收集和彙總 AWS Organizations中所有帳戶的指標,您必須首先確保 S3 Storage Lens 具有由組織管理帳戶啟用的受信任存取權。S3 Storage Lens 會建立服務連結角色 (SLR),以允許它取得 AWS 帳戶 屬於您組織的清單。S3 Storage Lens 會在建立或更新 S3 Storage Lens 儀表板或組態時,使用此帳戶清單來收集所有成員帳戶中 S3 資源的指標。

Amazon S3 Storage Lens 使用 AWS Identity and Access Management (IAM) 服務連結角色 。服務連結角色是直接連結至 S3 Storage Lens 的唯一IAM角色類型。服務連結角色是由 S3 Storage Lens 預先定義,並包含服務 AWS 服務 代表您呼叫其他 所需的所有許可。

服務連結角色可讓設定 S3 Storage Lens 更為簡單,因為您不必手動新增必要的許可。S3 Storage Lens 定義其服務連結角色的許可,除非另有定義,否則僅有 S3 Storage Lens 可以擔任其角色。定義的許可包括信任政策和許可政策,該許可政策無法連接到任何其他IAM實體。

您必須先刪除相關的資源,才能刪除服務連結角色。如此可保護您 S3 Storage Lens 的資源,避免您不小心移除資源的存取許可。

如需有關支援服務連結角色的其他 服務的資訊,請參閱服務連結角色欄中AWS 使用 的服務IAM,並尋找具有的服務。選擇具有連結的 Yes (是),以檢視該服務的服務連結角色文件。

Amazon S3 Storage Lens 的服務連結角色許可

S3 Storage Lens 使用名為 的服務連結角色 AWSServiceRoleForS3StorageLens – 這可讓您存取 S3 Storage Lens 使用或管理 AWS 的服務和資源。這可讓 S3 Storage Lens 代表您存取 AWS Organizations 資源。

S3 Storage Lens 服務連結角色信任組織儲存裝置上的下列服務:

  • storage-lens.s3.amazonaws.com

角色許可政策允許 S3 Storage Lens 完成下列動作。

  • organizations:DescribeOrganization

    organizations:ListAccounts

    organizations:ListAWSServiceAccessForOrganization

    organizations:ListDelegatedAdministrators

您必須設定許可,以允許IAM實體 (例如使用者、群組或角色) 建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 IAM 使用者指南 中的服務連結角色許可

為 S3 Storage Lens 建立服務連結角色

您不需要手動建立一個服務連結角色。當您在登入 AWS Organizations 管理或委派管理員帳戶時完成下列其中一項任務時,S3 Storage Lens 會為您建立服務連結角色:

  • 在 Amazon S3 主控台中為組織建立 S3 Storage Lens 儀表板組態。

  • PUT 使用 API、 AWS CLI 和 REST 為組織設定的 S3 Storage Lens 組態SDKs。

注意

S3 Storage Lens 將支援每個組織最多五個委派管理員。

如果您刪除此服務連結角色,上述動作會視需要重新建立該角色。

S3 Storage Lens 服務連結角色的範例政策

範例 S3 Storage Lens 服務連結角色的許可政策
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AwsOrgsAccess",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

編輯 Amazon S3 Storage Lens 的服務連結角色

S3 Storage Lens 不允許您編輯 AWSServiceRoleForS3StorageLens 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。不過,您可以使用 編輯角色的描述IAM。如需詳細資訊,請參閱 IAM 使用者指南 中的編輯服務連結角色

刪除 Amazon S3 Storage Lens 的服務連結角色

如果您不再需要使用服務連結角色,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。

注意

如果 Amazon S3 Storage Lens 服務在您試圖刪除資源時正在使用該角色,刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。

若要刪除 AWSServiceRoleForS3StorageLens 您必須 AWS 區域 使用 AWS Organizations 管理或委派管理員帳戶刪除所有 中存在的所有組織層級 S3 Storage Lens 組態。

這些資源為組織層級 S3 Storage Lens 組態。使用 S3 Storage Lens 清除資源,然後使用IAM主控台 、API、 CLI REST 或 AWS SDK 刪除角色。

在 REST API AWS CLI、 和 ListStorageLensConfigurations中SDKs,可在組織建立 S3 Storage Lens 組態的所有區域中,使用 來探索 S3 Storage Lens 組態。使用動作 DeleteStorageLensConfiguration 刪除這些組態,以便您可以刪除角色。

注意

若要刪除服務連結角色,您必須刪除它們存在的所有區域中的所有組織層級 S3 Storage Lens 組態。

若要刪除 使用的 Amazon S3 Storage Lens 資源 AWSServiceRoleForS3StorageLens SLR

  1. 若要取得組織層級組態的清單,您必須在擁有 S3 Storage Lens 組態ListStorageLensConfigurations的每個區域中使用 。此清單也可以從 Amazon S3 主控台取得。

  2. 透過叫用 DeleteStorageLensConfigurationAPI呼叫或使用 Amazon S3 主控台,從適當的區域端點刪除這些組態。

使用 手動刪除服務連結角色 IAM

刪除組態後,請刪除 AWSServiceRoleForS3StorageLens SLR 從IAM主控台或使用 IAM API 或 叫用 DeleteServiceLinkedRole、 AWS CLI 或 AWS SDK。如需詳細資訊,請參閱 IAM 使用者指南 中的刪除服務連結角色

支援 S3 Storage Lens 服務連結角色的區域

S3 Storage Lens 支援在所有提供服務 AWS 區域 的 中使用服務連結角色。如需詳細資訊,請參閱「Amazon S3 區域和端點」。