Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Utilisation des rôles liés à un service pour Amazon S3 Storage Lens
<a name="using-service-linked-roles"></a>

Pour utiliser Amazon S3 Storage Lens afin de collecter et agréger des mesures sur tous vos comptes dans les AWS Organizations, vous devez d’abord vous assurer que S3 Storage Lens dispose d’un accès fiable activé par le compte de gestion de votre organisation. S3 Storage Lens crée un rôle lié à un service (SLR) pour lui permettre d'obtenir la liste des Comptes AWS membres de votre organisation. Cette liste de comptes est utilisée par S3 Storage Lens pour collecter des mesures des ressources S3 dans tous les comptes membres lorsque le tableau de bord ou les configurations de S3 Storage Lens sont créés ou mis à jour.

Amazon S3 Storage Lens utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM lié directement au S3 Storage Lens. Les rôles liés au service sont prédéfinis par S3 Storage Lens et incluent toutes les autorisations dont le service a besoin pour appeler d'autres personnes en votre Services AWS nom.

Un rôle lié à un service simplifie la configuration de S3 Storage, Lens car vous n’avez pas besoin d’ajouter manuellement les autorisations requises. S3 Storage Lens définit les autorisations de ses rôles liés à un service et, sauf définition contraire, seul S3 Storage Lens peut endosser ses rôles. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.

Vous pouvez supprimer le rôle lié à un service uniquement après avoir supprimé les ressources connexes. Vos ressources relatives au S3 Storage Lens sont ainsi protégées, car vous ne pouvez pas accidentellement supprimer les autorisations d’accès aux ressources.

Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services avec un **Yes** (Oui) dans la colonne **Service-Linked Role** (Rôle lié à un service). Choisissez un **Oui** ayant un lien permettant de consulter la documentation du rôle lié à un service, pour ce service.

## Autorisations de rôle liées au service pour Amazon S3 Storage Lens
<a name="slr-permissions"></a>

S3 Storage Lens utilise le rôle lié au service nommé **AWSServiceRoleForS3 StorageLens**. Cela permet d'accéder aux AWS services et aux ressources utilisés ou gérés par S3 Storage Lens. Cela permet à S3 Storage Lens d'accéder aux AWS Organizations ressources en votre nom.

Le rôle lié à un service S3 Storage Lens approuve le service suivant sur le stockage de votre organisation :
+ `storage-lens.s3.amazonaws.com`

La stratégie d’autorisations liée au rôle permet au S3 Storage Lens de réaliser les actions suivantes :
+ `organizations:DescribeOrganization`

  `organizations:ListAccounts`

  `organizations:ListAWSServiceAccessForOrganization`

  `organizations:ListDelegatedAdministrators`

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.

## Création d’un rôle lié à un service pour S3 Storage Lens
<a name="create-slr"></a>

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous effectuez l'une des tâches suivantes alors que vous êtes connecté aux comptes AWS Organizations de gestion ou d'administrateur délégué, S3 Storage Lens crée le rôle lié au service pour vous :
+ Créez une configuration de tableau de bord S3 Storage Lens pour votre organisation dans la console Amazon S3.
+ `PUT`une configuration S3 Storage Lens pour votre organisation à l'aide de l'API REST, AWS CLI et SDKs.

**Note**  
S3 Storage Lens prend en charge un maximum de cinq administrateurs délégués par organisation.

Si vous supprimez ce rôle lié à un service, les actions précédentes le recréeront si nécessaire.

### Exemple de stratégie pour un rôle lié à un service de S3 Storage Lens
<a name="slr-sample-policy"></a>

**Example Stratégie d’autorisations pour le rôle lié à un service de S3 Storage Lens**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AwsOrgsAccess",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

## Modification d’un rôle lié à un service pour Amazon S3 Storage Lens
<a name="edit-slr"></a>

S3 Storage Lens ne vous permet pas de modifier le rôle lié à un service AWSServiceRoleForS3StorageLens. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *IAM Guide de l’utilisateur*.

## Suppression d’un rôle lié à un service pour Amazon S3 Storage Lens
<a name="delete-slr"></a>

Si vous n’utilisez plus le rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.

**Note**  
Si le service Amazon S3 Storage Lens utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.

Pour supprimer le, AWSServiceRoleForS3StorageLens vous devez supprimer toutes les configurations S3 Storage Lens présentes au niveau de l'organisation à Régions AWS l'aide des comptes de AWS Organizations gestion ou d'administrateur délégué.

Les ressources sont des configurations de S3 Storage Lens au niveau de l’organisation. Utilisez S3 Storage Lens pour nettoyer les ressources, puis utilisez la [console IAM](https://console.aws.amazon.com/iam/), la CLI, l'API REST ou le AWS SDK pour supprimer le rôle. 

Dans les API REST, et AWS CLI SDKs, les configurations S3 Storage Lens peuvent être découvertes `ListStorageLensConfigurations` dans toutes les régions dans lesquelles votre organisation a créé des configurations S3 Storage Lens. Utilisez l’action `DeleteStorageLensConfiguration` pour supprimer ces configurations afin de pouvoir ensuite supprimer le rôle.

**Note**  
Pour supprimer le rôle lié au service, vous devez supprimer toutes les configurations de S3 Storage Lens au niveau de l’organisation dans toutes les Régions où elles existent.

**Pour supprimer les ressources Amazon S3 Storage Lens utilisées par le rôle lié au service AWSServiceRoleForS3StorageLens**

1. Pour obtenir une liste des configurations au niveau de votre organisation, vous devez utiliser `ListStorageLensConfigurations` dans chaque région où vous disposez de configurations S3 Storage Lens. Cette liste peut également être obtenue à partir de la console Amazon S3.

1. Supprimez ces configurations des points de terminaison régionaux appropriés en invoquant l’appel d’API `DeleteStorageLensConfiguration` ou à l’aide de la console Amazon S3. 

**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**

Après avoir supprimé les configurations, supprimez le AWSServiceRoleForS3StorageLens SLR de la [console IAM](https://console.aws.amazon.com/iam/), en appelant l'API IAM ou en utilisant `DeleteServiceLinkedRole` le SDK. AWS CLI AWS Pour plus d’informations, consultez [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.

## Régions supportées pour les rôles liés à un service de S3 Storage Lens
<a name="slr-regions"></a>

S3 Storage Lens prend en charge l'utilisation de rôles liés au service partout Régions AWS où le service est disponible. Pour plus d’informations, consultez [Régions et points de terminaison Amazon S3](https://docs.aws.amazon.com/general/latest/gr/s3.html).