Verwenden von serviceverknüpften Rollen für Amazon S3 Storage Lens - Amazon Simple Storage Service
Berechtigungen für serviceverknüpfte Rollen für Amazon S3 Storage LensErstellen einer serviceverknüpften Rolle für S3 Storage LensBearbeiten einer serviceverknüpften Rolle für Amazon S3 Storage LensLöschen einer serviceverknüpften Rolle für Amazon S3 Storage LensUnterstützte Regionen für serviceverknüpfte Rollen mit S3 Storage Lens

Verwenden von serviceverknüpften Rollen für Amazon S3 Storage Lens

Um Amazon S3 Storage Lens zum Sammeln und Aggregieren von Metriken für alle Ihre Konten in AWS Organizations zu verwenden, müssen Sie zunächst sicherstellen, dass S3-Storage-Lens über vertrauenswürdigen Zugriff verfügt, der durch das Verwaltungskonto in Ihrer Organisation aktiviert ist. S3 Storage Lens erstellt eine serviceverknüpfte Rolle (SLR), um die Liste der AWS-Konten, die zu Ihrer Organisation gehören, abzurufen. Diese Liste von Konten wird von S3 Storage Lens verwendet, um Metriken für S3-Ressourcen in allen Mitgliedskonten zu sammeln, wenn das S3-Storage-Lens-Dashboard oder die Konfigurationen erstellt oder aktualisiert werden.

Serviceverknüpfte AWS Identity and Access Management (IAM) Rollen für Amazon S3 Storage Lens Eine serviceverknüpfte Rolle ist ein spezieller Typ von IAM-Rolle, die direkt mit S3 Storage Lens verknüpft ist. Serviceverknüpfte Rollen werden von S3 Storage Lens vordefiniert und schließen alle Berechtigungen ein, die der Service zum Aufrufen anderer AWS-Services in Ihrem Namen erfordert.

Eine serviceverknüpfte Rolle vereinfacht das Einrichten von S3 Storage Lens, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. S3 Storage Lens definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern keine andere Konfiguration festgelegt wurde, kann nur S3 Storage Lens die Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.

Sie können diese serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dies schützt Ihre S3-Storage-Lens-Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.

Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter AWS-Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Ja in der Spalte Serviceverknüpfte Rolle angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Berechtigungen für serviceverknüpfte Rollen für Amazon S3 Storage Lens

S3-Storage-Lens verwendet die serviceverknüpfte Rolle namens AWSServiceRoleForS3StorageLens – Dies ermöglicht den Zugriff auf AWS-Services und Ressourcen, die von S3 Storage Lens verwendet oder verwaltet werden. Dadurch kann S3-Storage-Lens in Ihrem Namen auf AWS Organizations-Ressourcen zugreifen.

Die serviceverknüpfte Rolle S3 Storage Lens vertraut dem folgenden Service auf dem Speicher Ihres Unternehmens:

  • storage-lens.s3.amazonaws.com

Die Rollenberechtigungsrichtlinie erlaubt S3 Storage Lens die Durchführung der folgenden Aktionen:

  • organizations:DescribeOrganization

    organizations:ListAccounts

    organizations:ListAWSServiceAccessForOrganization

    organizations:ListDelegatedAdministrators

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.

Erstellen einer serviceverknüpften Rolle für S3 Storage Lens

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine der folgenden Aufgaben ausführen, während Sie bei der Verwaltung von AWS Organizations oder den Delegate-Administratorkonten angemeldet sind, erstellt S3-Storage-Lens die serviceverknüpfte Rolle für Sie:

  • Erstellen Sie in der Amazon-S3-Konsole eine S3-Storage-Lens-Dashboard-Konfiguration für Ihr Unternehmen.

  • PUT eine S3-Storage-Lens-Konfiguration für Ihr Unternehmen unter Verwendung der REST-API, der AWS CLI und der SDKs.

Anmerkung

S3 Storage Lens wird maximal fünf delegierte Administratoren pro Unternehmen unterstützen.

Wenn Sie diese serviceverknüpfte Rolle löschen, werden sie von den vorherigen Aktionen bei Bedarf neu erstellt.

Beispielrichtlinie für die serviceverknüpfte Rolle S3 Storage Lens

Beispiel Berechtigungsrichtlinie für die serviceverknüpfte Rolle S3 Storage Lens
JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AwsOrgsAccess",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Bearbeiten einer serviceverknüpften Rolle für Amazon S3 Storage Lens

S3 Storage Lens lässt die Bearbeitung der serviceverknüpften Rolle AWSServiceRoleForS3StorageLens nicht zu. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer serviceverknüpften Rolle für Amazon S3 Storage Lens

Wenn Sie die serviceverknüpfte Rolle nicht mehr verwenden müssen, empfehlen wir, die Rolle zu löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Anmerkung

Wenn der Amazon-S3-Storage-Lens-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

Um die AWSServiceRoleForS3StorageLens zu löschen, müssen Sie alle S3-Storage-Lens-Konfigurationen auf Organisationsebene, die in allen AWS-Regionen vorhanden sind, mit der AWS Organizations-Verwaltung oder den delegierten Administratorkonten löschen.

Die Ressourcen sind S3-Storage-Lens-Konfigurationen auf Organisationsebene. Verwenden Sie S3-Storage-Lens, um die Ressourcen zu bereinigen, und verwenden Sie dann die IAM-Konsole, CLI, REST-API oder das AWS SDK, um die Rolle zu löschen.

In der REST-API, AWS CLI und den SDKs können S3-Storage-Lens-Konfigurationen mithilfe von ListStorageLensConfigurations in allen Regionen, in denen Ihr Unternehmen S3-Storage-Lens-Konfigurationen erstellt hat, ermittelt werden. Verwenden Sie die Aktion DeleteStorageLensConfiguration, um diese Konfigurationen zu löschen, damit Sie die Rolle dann löschen können.

Anmerkung

Um die serviceverknüpfte Rolle zu löschen, müssen Sie alle S3-Storage-Lens-Konfigurationen auf Organisationsebene in allen Regionen löschen, in denen sie existieren.

So löschen Sie Amazon-S3-Storage Lens-Ressourcen, die von einer AWSServiceRoleForS3StorageLens-SLR verwendet werden

  1. Um eine Liste Ihrer Konfigurationen auf Organisationsebene zu erhalten, müssen Sie die ListStorageLensConfigurations in jeder Region verwenden, in der Sie S3-Storage-Lens-Konfigurationen haben. Diese Liste kann auch von der Amazon-S3-Konsole bezogen werden.

  2. Löschen Sie diese Konfigurationen von den entsprechenden regionalen Endpunkten, indem Sie den DeleteStorageLensConfiguration-API-Aufruf ausführen oder die Amazon-S3-Konsole verwenden.

So löschen Sie die -servicegebundene Rolle mit IAM

Nachdem Sie die Konfigurationen gelöscht haben, löschen Sie die AWSServiceRoleForS3StorageLens-SLR aus der IAM-Konsole, indem Sie die IAM-API DeleteServiceLinkedRole aufrufen oder die AWS CLI oder das AWS SDK verwenden. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Unterstützte Regionen für serviceverknüpfte Rollen mit S3 Storage Lens

S3-Storage-Lens unterstützt die Verwendung von serviceverknüpften Rollen in allen AWS-Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter Amazon-S3-Regionen und Endpunkte.