Utilisation des rôles liés à un service pour Amazon S3 Storage Lens

Pour utiliser Amazon S3 Storage Lens afin de collecter et agréger des mesures sur tous vos comptes dans les AWS Organizations, vous devez d’abord vous assurer que S3 Storage Lens dispose d’un accès fiable activé par le compte de gestion de votre organisation. S3 Storage Lens crée un rôle associé au service qui lui permet d’obtenir la liste des Comptes AWS appartenant à votre organisation. Cette liste de comptes est utilisée par S3 Storage Lens pour collecter des mesures des ressources S3 dans tous les comptes membres lorsque le tableau de bord ou les configurations de S3 Storage Lens sont créés ou mis à jour.

Amazon S3 Storage Lens utilise des rôles liés à un service AWS Identity and Access Management (IAM). Un rôle lié à un service est un type unique de rôle IAM lié directement au S3 Storage Lens. Les rôles liés à un service sont prédéfinis par S3 Storage Lens et incluent toutes les autorisations requises par le service pour appeler d’autres Services AWS en votre nom.

Un rôle lié à un service simplifie la configuration de S3 Storage, Lens car vous n’avez pas besoin d’ajouter manuellement les autorisations requises. S3 Storage Lens définit les autorisations de ses rôles liés à un service et, sauf définition contraire, seul S3 Storage Lens peut endosser ses rôles. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.

Vous pouvez supprimer le rôle lié à un service uniquement après avoir supprimé les ressources connexes. Vos ressources relatives au S3 Storage Lens sont ainsi protégées, car vous ne pouvez pas accidentellement supprimer les autorisations d’accès aux ressources.

Pour plus d’informations sur les autres services qui prennent en charge les rôles liés à un service, consultez les services AWS compatibles avec IAM et recherchez ceux pour lesquels la réponse est Oui dans la colonne Rôle lié à un service. Choisissez un Oui ayant un lien permettant de consulter la documentation du rôle lié à un service, pour ce service.

Autorisations de rôle liées au service pour Amazon S3 Storage Lens

S3 Storage Lens utilise le rôle lié à un service appelé AWSServiceRoleForS3StorageLens. Cela permet d’accéder aux services et ressources AWS utilisés ou gérés par S3 Storage Lens. Cela permet à S3 Storage Lens d’accéder aux ressources AWS Organizations en votre nom.

Le rôle lié à un service S3 Storage Lens approuve le service suivant sur le stockage de votre organisation :

La stratégie d’autorisations liée au rôle permet au S3 Storage Lens de réaliser les actions suivantes :

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez Autorisations de rôles liés à un service dans le Guide de l’utilisateur IAM.

Création d’un rôle lié à un service pour S3 Storage Lens

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous effectuez l’une des tâches suivantes en étant connecté à la gestion des AWS Organizations ou aux comptes d’administrateur délégué, S3 Storage Lens crée le rôle lié à un service pour vous :

Si vous supprimez ce rôle lié à un service, les actions précédentes le recréeront si nécessaire.

Exemple de stratégie pour un rôle lié à un service de S3 Storage Lens

Modification d’un rôle lié à un service pour Amazon S3 Storage Lens

S3 Storage Lens ne vous permet pas de modifier le rôle lié à un service AWSServiceRoleForS3StorageLens. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez Modification d’un rôle lié à un service dans le IAM Guide de l’utilisateur.

Suppression d’un rôle lié à un service pour Amazon S3 Storage Lens

Si vous n’utilisez plus le rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.

Pour supprimer le rôle AWSServiceRoleForS3StorageLens, vous devez supprimer toutes les configurations S3 Storage Lens au niveau de l’organisation présentes dans toutes les Régions AWS à l’aide des comptes de gestion AWS Organizations ou d’administrateur délégué.

Les ressources sont des configurations de S3 Storage Lens au niveau de l’organisation. Utilisez S3 Storage Lens pour nettoyer les ressources, puis utilisez la console IAM, l’interface de ligne de commande, l’API REST ou le kit AWS SDK pour supprimer le rôle.

Dans l’API REST, l’AWS CLI et les kits SDK, les configurations S3 Storage Lens peuvent être découvertes à l’aide de ListStorageLensConfigurations dans toutes les régions où votre organisation a créé des configurations S3 Storage Lens. Utilisez l’action DeleteStorageLensConfiguration pour supprimer ces configurations afin de pouvoir ensuite supprimer le rôle.

Pour supprimer manuellement le rôle lié à un service à l’aide d’IAM

Après avoir supprimé les configurations, supprimez le rôle lié au service AWSServiceRoleForS3StorageLens de la console IAM, en invoquant l’API IAM DeleteServiceLinkedRole ou en utilisant l’AWS CLI ou le kit AWS SDK. Pour plus d’informations, consultez Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.

Régions supportées pour les rôles liés à un service de S3 Storage Lens

S3 Storage Lens prend en charge l’utilisation des rôles liés à un service dans toutes les Régions AWS où le service est disponible. Pour plus d’informations, consultez Régions et points de terminaison Amazon S3.