Amazon S3 Storage Lens-Berechtigungen einrichten - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon S3 Storage Lens-Berechtigungen einrichten

Amazon S3 Storage Lens benötigt neue Berechtigungen in AWS Identity and Access Management (IAM), um den Zugriff auf S3 Storage Lens-Aktionen zu autorisieren. Um diese Berechtigungen zu gewähren, können Sie eine IAM identitätsbasierte Richtlinie verwenden. Sie können diese Richtlinie IAM Benutzern, Gruppen oder Rollen zuordnen, um ihnen Berechtigungen zu erteilen. Diese Berechtigungen können die Fähigkeit beinhalten, S3 Storage Lens zu aktivieren oder zu deaktivieren oder auf ein beliebiges Dashboard oder eine Konfiguration von S3 Storage Lens zuzugreifen.

Der IAM Benutzer oder die Rolle muss zu dem Konto gehören, das das Dashboard oder die Konfiguration erstellt hat oder besitzt, es sei denn, die beiden folgenden Bedingungen sind erfüllt:

  • Ihr Konto ist Mitglied von AWS Organizations.

  • Sie haben über Ihr Verwaltungskonto als delegierter Administrator Zugriff auf die Erstellung von Dashboards auf Organisationsebene erhalten.

Anmerkung
  • Sie können Dashboards von Amazon S3 Storage Lens nicht mithilfe der Root–Benutzer-Anmeldeinformationen Ihres Kontos aufrufen. Um auf die S3 Storage Lens-Dashboards zugreifen zu können, müssen Sie einem neuen oder vorhandenen IAM Benutzer die erforderlichen IAM Berechtigungen erteilen. Anschließend können Sie sich mit diesen Anmeldeinformationen anmelden, um auf S3-Storage-Lens-Dashboards zuzugreifen. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.

  • Die Verwendung von S3 Storage Lens in der Amazon S3-Konsole kann mehrere Berechtigungen erfordern. Zum Bearbeiten eines Dashboards in der Konsole benötigen Sie beispielsweise die folgenden Berechtigungen:

    • s3:ListStorageLensConfigurations

    • s3:GetStorageLensConfiguration

    • s3:PutStorageLensConfiguration

Festlegen von Kontoberechtigungen für die Verwendung von S3 Storage Lens

Zum Erstellen und Verwalten von S3-Storage-Lens-Dashboards und Storage-Lens-Dashboard-Konfigurationen benötigen Sie je nachdem, welche Aktionen Sie ausführen möchten, die folgenden Berechtigungen:

Die folgende Tabelle zeigt die IAM Berechtigungen im Zusammenhang mit Amazon S3 Storage Lens.

Aktion IAMBerechtigungen
Erstellen oder Aktualisieren eines S3-Storage-Lens-Dashboards in der Amazon S3-Konsole.

s3:ListStorageLensConfigurations

s3:GetStorageLensConfiguration

s3:GetStorageLensConfigurationTagging

s3:PutStorageLensConfiguration

s3:PutStorageLensConfigurationTagging

Abrufen der Tags eines S3-Storage-Lens-Dashboards in der Amazon-S3-Konsole.

s3:ListStorageLensConfigurations

s3:GetStorageLensConfigurationTagging

Ansehen eines S3-Storage-Lens-Dashboards in der Amazon S3-Konsole.

s3:ListStorageLensConfigurations

s3:GetStorageLensConfiguration

s3:GetStorageLensDashboard

Löschen eines S3-Storage-Lens-Dashboards in der Amazon S3-Konsole.

s3:ListStorageLensConfigurations

s3:GetStorageLensConfiguration

s3:DeleteStorageLensConfiguration

Erstellen oder aktualisieren Sie eine S3-Storage-Lens-Konfiguration mit dem AWS CLI oder einem AWS SDK.

s3:PutStorageLensConfiguration

s3:PutStorageLensConfigurationTagging

Rufen Sie die Tags einer S3 Storage Lens-Konfiguration ab, indem Sie AWS CLI oder ein verwenden AWS SDK.

s3:GetStorageLensConfigurationTagging

Zeigen Sie eine S3-Storage-Lens-Konfiguration an, indem Sie AWS CLI oder ein verwenden AWS SDK.

s3:GetStorageLensConfiguration

Löschen Sie eine S3-Storage-Lens-Konfiguration mithilfe von AWS CLI oder AWS SDK.

s3:DeleteStorageLensConfiguration

Anmerkung
  • Sie können Ressourcen-Tags in einer IAM Richtlinie verwenden, um Berechtigungen zu verwalten.

  • Ein IAM Benutzer oder eine Rolle mit diesen Berechtigungen kann Metriken aus Buckets und Präfixen sehen, für die er möglicherweise keine direkte Berechtigung hat, Objekte zu lesen oder aufzulisten.

  • Wenn bei S3-Storage-Lens-Dashboards mit aktivierten Metriken auf Präfixebene ein ausgewählter Präfixpfad mit einem Objektschlüssel übereinstimmt, zeigt das Dashboard den Objektschlüssel möglicherweise als anderes Präfix an.

  • Für Metrikexporte, die in einem Bucket in Ihrem Konto gespeichert sind, werden Berechtigungen mithilfe der in der IAM Richtlinie vorhandenen s3:GetObject Berechtigungen erteilt. Ähnlich können bei einer AWS Organizations Entität das Verwaltungskonto der Organisation oder delegierte Administratorkonten IAM Richtlinien verwenden, um Zugriffsberechtigungen für Dashboards und Konfigurationen auf Organisationsebene zu verwalten.

Festlegen von Kontoberechtigungen für die Verwendung von S3-Storage-Lens-Gruppen

Mithilfe von S3-Storage-Lens-Gruppen können Sie die Speicherverteilung innerhalb von Buckets anhand von Präfix, Suffix, Objekt-Tag, Objektgröße oder Objektalter nachvollziehen. Sie können Storage-Lens-Gruppe an Dashboards anhängen, um ihre aggregierten Metriken anzuzeigen.

Für die Verwendung von Storage-Lens-Gruppen benötigen Sie bestimmte Berechtigungen. Weitere Informationen finden Sie unter Berechtigungen für Storage-Lens-Gruppen.

Festlegen von Berechtigungen für die Verwendung von S3 Storage Lens mit AWS Organizations

Sie können Amazon S3 Storage Lens verwenden, um Speichermetriken und Nutzungsdaten für alle Konten zu sammeln, die Teil Ihrer AWS Organizations Hierarchie sind. Die folgende Tabelle zeigt die Aktionen und Berechtigungen im Zusammenhang mit der Verwendung von S3 Storage Lens mit Organizations.

Aktion IAMBerechtigungen
Aktivieren des vertrauenswürdigen Zugriffs für S3 Storage Lens für Ihre Organisation.

organizations:EnableAWSServiceAccess

Deaktivieren des vertrauenswürdigen Zugriffs für S3 Storage Lens für Ihre Organisation.

organizations:DisableAWSServiceAccess

Registrieren eines delegierten Administrators für die Erstellung von S3-Storage-Lens-Dashboards oder -Konfigurationen für Ihre Organisation.

organizations:RegisterDelegatedAdministrator

Abmelden eines delegierten Administrators, damit dieser keine S3 Storage Lens-Dashboards oder -Konfigurationen mehr für Ihre Organisation erstellen kann.

organizations:DeregisterDelegatedAdministrator

Zusätzliche Berechtigungen zum Erstellen von organisationsweiten S3-Storage-Lens-Konfigurationen

organizations:DescribeOrganization

organizations:ListAccounts

organizations:ListAWSServiceAccessForOrganization

organizations:ListDelegatedAdministrators

iam:CreateServiceLinkedRole