讓 Amazon S3 Storage Lens 使用服務連結角色 - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

讓 Amazon S3 Storage Lens 使用服務連結角色

若要使用 Amazon S3 Storage Lens 來收集和彙總 AWS Organizations中所有帳戶的指標,您必須首先確保 S3 Storage Lens 具有由組織管理帳戶啟用的受信任存取權。S3 儲存鏡頭會建立服務連結角色 (SLR),讓其取得 AWS 帳戶 屬於您組織的清單。S3 Storage Lens 會在建立或更新 S3 Storage Lens 儀表板或組態時,使用此帳戶清單來收集所有成員帳戶中 S3 資源的指標。

Amazon S3 儲存透鏡使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是特殊類型的 IAM 角色,此角色可直接連結到 S3 Storage Lens。S3 Storage Lens 預先定義服務連結角色,並包含服務代表您呼叫其他人所需 AWS 服務 的所有許可。

服務連結角色可讓設定 S3 Storage Lens 更為簡單,因為您不必手動新增必要的許可。S3 Storage Lens 定義其服務連結角色的許可,除非另有定義,否則僅有 S3 Storage Lens 可以擔任其角色。定義的許可包括信任政策和許可政策,並且該許可政策不能連接到任何其他 IAM 實體。

您必須先刪除相關的資源,才能刪除服務連結角色。如此可保護您 S3 Storage Lens 的資源,避免您不小心移除資源的存取許可。

如需關於支援服務連結角色的其他服務資訊,請參閱《可搭配 IAM 運作的AWS 服務》,尋找 Service-linked roles (服務連結角色) 欄中顯示為 Yes (是) 的服務。選擇具有連結的 Yes (是),以檢視該服務的服務連結角色文件。

Amazon S3 Storage Lens 的服務連結角色許可

S3 儲存鏡頭使用名為的服務連結角色 AWSServiceRoleForS3StorageLens— 這可讓您存取 S3 儲存鏡頭所使用或管理的 AWS 服務和資源。這可讓 S3 儲存鏡頭代表您存取 AWS Organizations 資源。

S3 Storage Lens 服務連結角色信任組織儲存裝置上的下列服務:

  • storage-lens.s3.amazonaws.com

角色許可政策允許 S3 Storage Lens 完成下列動作。

  • organizations:DescribeOrganization

    organizations:ListAccounts

    organizations:ListAWSServiceAccessForOrganization

    organizations:ListDelegatedAdministrators

您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的服務連結角色許可

為 S3 Storage Lens 建立服務連結角色

您不需要手動建立一個服務連結角色。當您在登入 AWS Organizations 管理或委派管理員帳戶的同時完成下列其中一項工作時,S3 Storage Lens 會為您建立服務連結角色:

  • 在 Amazon S3 主控台中為組織建立 S3 Storage Lens 儀表板組態。

  • PUT您組織使用 REST API AWS CLI 和開發套件的 S3 儲存鏡頭組態。

注意

S3 儲存鏡頭每個組織最多可支援五個委派管理員。

如果您刪除此服務連結角色,上述動作會視需要重新建立該角色。

S3 Storage Lens 服務連結角色的範例政策

範例 S3 Storage Lens 服務連結角色的許可政策
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AwsOrgsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource": [ "*" ] } ] }

編輯 Amazon S3 Storage Lens 的服務連結角色

S3 儲存鏡頭不允許您編輯AWSServiceRoleForS3StorageLens服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《IAM 使用者指南》中的編輯服務連結角色

刪除 Amazon S3 Storage Lens 的服務連結角色

如果您不再需要使用服務連結角色,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。

注意

如果 Amazon S3 Storage Lens 服務在您試圖刪除資源時正在使用該角色,刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。

若要刪除,AWSServiceRoleForS3StorageLens您必須 AWS 區域 使用 AWS Organizations 管理或委派管理員帳戶刪除所有組織層級 S3 Storage Lens 組態。

這些資源為組織層級 S3 Storage Lens 組態。使用 S3 儲存鏡頭清理資源,然後使用 IAM 主控台、CLI、REST API 或 AWS 開發套件刪除角色。

在 REST API 和開發套件中,您可以在組織建立 S3 儲存鏡頭組態的所有區域ListStorageLensConfigurations中探索 S3 儲存鏡頭組態。 AWS CLI使用動作 DeleteStorageLensConfiguration 刪除這些組態,以便您可以刪除角色。

注意

若要刪除服務連結角色,您必須刪除它們存在的所有區域中的所有組織層級 S3 Storage Lens 組態。

若要刪除AWSServiceRoleForS3StorageLens單反相機使用的 Amazon S3 儲存鏡頭資源
  1. 若要取得組織層級組態的清單,您必須ListStorageLensConfigurations在具有 S3 儲存鏡頭組態的每個區域中使用。您也可以從 Amazon S3 主控台取得此清單。

  2. 呼叫 DeleteStorageLensConfiguration API 呼叫或使用 Amazon S3 主控台,從適當的區域端點刪除這些組態。

使用 IAM 手動刪除服務連結角色

刪除設定之後,請從 IAM 主控台或叫用 IAM API DeleteServiceLinkedRole 或使用或 SDK 刪除AWSServiceRoleForS3StorageLens單鏡反光相機。 AWS CLI AWS 如需詳細資訊,請參閱《IAM 使用者指南》中的刪除服務連結角色

支援 S3 Storage Lens 服務連結角色的區域

S3 儲存鏡頭支援在所有可用服務的 AWS 區域 地方使用服務連結角色。如需詳細資訊,請參閱「Amazon S3 區域和端點」。