AWS 應用程式成本剖析工具將於 2024 年 9 月 30 日前停止使用,且不再接受新客戶。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 Amazon S3 儲存貯體以適用於應用程式成本檔案器
若要將使用情況數據發送到並接收來自AWS應用程式成本檔案器,您必須至少在您的AWS 帳戶儲存貯體以及一個 S3 儲存貯體以接收報告。
注意
對於AWS Organizations,則 Amazon S3 存儲桶可以位於管理賬户中,也可以位於單個成員帳户中。管理帳户擁有的 S3 存儲桶中的數據可用於為整個組織生成報告。在單個成員帳户中,S3 存儲桶中的數據只能用於生成該成員帳户的報告。
您創建的 S3 存儲桶由AWS 帳戶您在中創建它們。S3 存儲桶按標準 Amazon S3 費率計費。如需如何建立 Amazon S3 儲存貯體的詳細資訊,請參建立儲存貯體中的Amazon Simple Storage Service 用户指南。
若要使應用程式成本檔案器使用 S3 儲存貯體,您必須將政策連接到儲存貯體以授予應用程式成本檔案器讀取和/或寫入儲存貯體的權限。如果您在設置報告後修改策略,則可能會阻止應用程序成本檔案器讀取您的使用情況數據或提供報告。
以下主題演示瞭如何在您創建 Amazon S3 存儲桶後對其設置權限。除了讀取和寫入對象的能力之外,如果您對存儲桶進行了加密,則應用程序成本分析器還必須有權訪問AWS Key Management Service(AWS KMS) 密鑰。
授予應用程序成本分析器訪問您的報告交付 S3 存儲桶的權限
您為應用程序成本概要分析器配置為將報告傳送到的 S3 存儲桶必須附加一個允許應用程序成本分析器創建報表對象的策略。此外,必須將 S3 存儲桶配置為啟用加密。
注意
當您建立儲存貯體時,您必須選擇加密。您可以選擇使用 Amazon S3 託管金鑰 (SSE-S3) 或使用由AWS KMS(小時公裏)。如果您已經創建了沒有加密的存儲桶,則必須編輯您的存儲桶以添加加密。
授予應用程序成本分析器訪問您的報告交付 S3 存儲桶的權限
-
前往Amazon S3 主控台
並登入。 -
選擇儲存貯體,然後在清單上選擇儲存貯體。
-
選擇Permissions (許可)選項卡,然後在儲存貯體政策,選擇Edit (編輯)。
-
在 中政策部分中,插入下列政策。Replace
<bucket_name>取代為儲存貯體的名稱,<AWS 帳戶>取代為您的AWS 帳戶。{ "Version":"2008-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"application-cost-profiler.amazonaws.com" }, "Action":[ "s3:PutObject*", "s3:GetEncryptionConfiguration" ], "Resource": [ "arn:aws:s3:::<bucket-name>", "arn:aws:s3:::<bucket-name>/*" ], "Condition": { "StringEquals": { "aws:SourceAccount": "<AWS 帳戶>" }, "ArnEquals": { "aws:SourceArn": "arn:aws:application-cost-profiler:us-east-1:<AWS 帳戶>:*" } } } ] }在此策略中,您將提供應用程序成本分析器服務主體 (
application-cost-profiler.amazonaws.com) 訪問以將報告交付到指定儲存貯體。它代表您提出要求,並在AWS 帳戶和特定於您的報告傳遞存儲桶的 ARN。為確保應用程序成本檔案器僅在代表您執行操作時訪問您的存儲桶,Condition檢查這些標題。 -
選擇儲存變更以保存您的策略,並附加到您的存儲桶。
如果您使用 SSE-S3 加密創建了存儲桶,則完成了。如果您使用 SSE-KMS 加密,則必須執行以下步驟才能授予應用程序成本分析器訪問您的存儲桶的權限。
-
(選用) 選擇屬性選項卡,在預設加密下,選擇 Amazon Resource Name (ARN)AWS KMS金鑰。此操作將顯示AWS Key Management Service控制台並顯示您的密鑰。
-
(可選)添加策略以授予應用程序成本概要分析器訪問AWS KMS金鑰。如需添加此政策的説明,請參為應用程序成本分析器提供對 SSE-KMS 加密 S3 存儲桶的訪問權限。
授予應用程序成本分析器訪問您的使用數據 S3 存儲桶
您為應用程序成本概覽器配置為從中讀取使用數據的 S3 存儲桶必須附加一個策略,以允許應用程序成本分析器讀取使用情況數據對象。
注意
通過授予應用程序成本檔案器訪問您的使用數據的訪問權限,即表示您同意我們可以將此類使用數據對象臨時複製到美國東部(弗吉尼亞北部)AWS 區域同時處理報告. 這些資料對象將保存在美國東部 (維吉尼亞北部) 區域,直至月度報告生成完成。
授予應用程序成本分析器訪問您的使用數據 S3 存儲桶的權限
-
前往Amazon S3 主控台
並登入。 -
選擇儲存貯體,然後在清單上選擇儲存貯體。
-
選擇Permissions (許可)選項卡,然後在儲存貯體政策,選擇Edit (編輯)。
-
在 中政策部分中,插入下列政策。Replace
<bucket-name>取代為儲存貯體的名稱,<AWS 帳戶>取代為您的AWS 帳戶。{ "Version":"2008-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"application-cost-profiler.amazonaws.com" }, "Action":[ "s3:GetObject*" ], "Resource": [ "arn:aws:s3:::<bucket-name>", "arn:aws:s3:::<bucket-name>/*" ], "Condition": { "StringEquals": { "aws:SourceAccount": "<AWS 帳戶>" }, "ArnEquals": { "aws:SourceArn": "arn:aws:application-cost-profiler:us-east-1:<AWS 帳戶>:*" } } } ] }在此策略中,您將提供應用程序成本分析器服務主體 (
application-cost-profiler.amazonaws.com) 訪問以取得指定儲存貯體的資料。它代表您提出要求,並在AWS 帳戶和特定於您的使用存儲桶的 ARN。為確保應用程序成本檔案器僅在代表您執行操作時訪問您的存儲桶,Condition檢查這些標題。 -
選擇儲存變更以保存您的策略,並附加到您的存儲桶。
如果您的存儲桶已使用AWS KMS託管密鑰,則必須按照下一節中的步驟授予應用程序成本檔案器對存儲桶的訪問權限。
為應用程序成本分析器提供對 SSE-KMS 加密 S3 存儲桶的訪問權限
如果為應用程序成本概要分析器配置的 S3 存儲桶(報表存儲桶必需)使用存儲在AWS KMS(SSE-KMS),您還必須向應用程序成本分析器授予解密它們的權限。您可以通過授予訪問AWS KMS金鑰用來加密資料。
注意
如果您的存儲桶已使用 Amazon S3 託管密鑰加密,則無需完成此過程。
要授予應用程序成本分析器訪問AWS KMS適用於 SSE-KMS 加密的 S3 儲存貯體
-
前往AWS KMS安慰
並登入。 -
選擇客戶受管金鑰,然後在清單上選擇用來加密儲存貯體的金鑰。
-
選擇切換至政策檢視,然後選擇Edit (編輯)。
-
在 中政策部分中,插入下列政策陳述。
{ "Effect": "Allow", "Principal": { "Service": "application-cost-profiler.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AWS 帳戶>" }, "ArnEquals": { "aws:SourceArn": "arn:aws:application-cost-profiler:us-east-1:<AWS 帳戶>:*" } } -
選擇儲存變更以保存您的策略,並附加到您的密鑰。
-
對於加密應用程序成本分析器需要訪問的 S3 存儲桶的每個密鑰,重複此操作。
注意
導入應用程序成本分析器託管存儲桶(加密)時,數據會從 S3 存儲桶中複製出來。如果您撤消對密鑰的訪問權限,則應用程序成本分析器無法從存儲桶中檢索任何新數據元。但是,所有已導入的數據仍可用於生成報告。
