Configurar um bucket do Amazon S3 para relatórios de custos e uso
Para receber relatórios de faturamento, você precisa ter um bucket do Amazon S3 em sua conta da AWS para armazená-los. Ao criar um relatório de custos e uso no console de faturamento, é possível selecionar um bucket do Amazon S3 de sua propriedade ou criar um bucket. Em ambos os casos, você deverá revisar e confirmar a aplicação da política de bucket padrão a seguir. Editar essa política no console do Amazon S3 ou alterar o proprietário do bucket depois de criar um relatório de custos e uso impedirá a AWS de entregá-lo. O armazenamento de dados dos relatórios de faturamento no bucket do Amazon S3 é cobrado de acordo com as taxas padrão do Amazon S3. Para obter mais informações, consulte Cotas e restrições.
A seguinte política é aplicada a cada bucket ao criar um relatório de custos e uso:
{ "Statement": [ { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": [ "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource":"arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cur:us-east-1:${AccountId}:definition/*", "aws:SourceAccount": "${AccountId}" } } }, { "Sid": "Stmt1335892526596", "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cur:us-east-1:${AccountId}:definition/*", "aws:SourceAccount": "${AccountId}" } } } ] }
Essa política padrão ajuda a garantir que os dados do relatório de custos e uso possam ser lidos pelo proprietário do bucket e confirma que o bucket pertence à conta que criou o relatório. Especificamente:
-
Sempre que um relatório de custos e uso é entregue, a AWS primeiro confirma se o bucket ainda pertence à conta que configurou o relatório. Se a propriedade do bucket tiver sido alterada, o relatório não será entregue. Isso ajuda a garantir a segurança dos dados de faturamento da conta. Essa política de bucket permite que a AWS (
"Effect": "Allow") verifique qual conta é proprietária do bucket ("Action": ["s3:GetBucketAcl", "s3:GetBucketPolicy"). -
Para entregar relatórios para seu bucket do Amazon S3, a AWS precisa dar permissões de gravação para esse bucket. Para fazer isso, a política do bucket concede (
"Effect": "Allow") ao serviço Relatório de Custos e Uso da AWS ("Service": "billingreports.amazonaws.com") permissão para entregar ("Action": "s3:PutObject") relatórios ao bucket que você possui ("Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*").Essa política de bucket não concede permissões à AWS para ler ou excluir qualquer objeto no bucket, incluindo os relatórios de custos e uso após a entrega.
-
Para um bucket do Amazon S3 com ACL habilitada, a AWS aplica também a ACL
BucketOwnerFullControlaos relatórios ao entregá-los. Por padrão, objetos do Amazon S3, como esses relatórios, só podem ser lidos pelo usuário ou entidade principal responsável pelo serviço que os escreveu. Para fornecer a você ou ao proprietário do bucket permissão para ler os relatórios, a AWS precisa aplicar a ACLBucketOwnerFullControl. A ACL concedePermission.FullControlao proprietário do bucket para esses relatórios. No entanto, é recomendável desativar a ACL e usar uma política de bucket do Amazon S3 para controlar o acesso. Observe que o Amazon S3 alterou as configurações padrão e, para buckets recém-criados, as ACLs são desabilitadas por padrão. Para obter mais informações, consulte Controlar a propriedade de objetos e desabilitar ACLs para seu bucket.
Se você vir um erro de bucket inválido em seu console de faturamento para o relatório de custos e uso, verifique se essa política e a propriedade do intervalo não foram alteradas após a configuração do relatório.
