Einrichtung eines Amazon S3 S3-Buckets für Kosten- und Nutzungsberichte - AWS Data Exports

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichtung eines Amazon S3 S3-Buckets für Kosten- und Nutzungsberichte

Um Abrechnungsberichte zu erhalten, müssen Sie einen Amazon S3 S3-Bucket in Ihrem AWS Konto haben, um Ihre Berichte empfangen und speichern zu können. Wenn Sie in der Abrechnungskonsole einen Kosten- und Nutzungsbericht erstellen, können Sie einen vorhandenen Amazon S3 S3-Bucket auswählen, den Sie besitzen, oder einen neuen Bucket erstellen. In beiden Fällen werden Sie aufgefordert, die Anwendung der folgenden Standard-Bucket-Richtlinie zu überprüfen und zu bestätigen. Wenn Sie diese Richtlinie in der Amazon S3 S3-Konsole bearbeiten oder den Bucket-Besitzer ändern, nachdem Sie einen Kosten- und Nutzungsbericht erstellt haben, können Sie Ihre Berichte nicht mehr bereitstellen. AWS Das Speichern der Daten der Abrechnungsberichte in Ihrem Amazon S3 S3-Bucket wird zu den Amazon S3 S3-Standardtarifen abgerechnet. Weitere Informationen finden Sie unter Kontingente und Einschränkungen.

Bei der Erstellung eines Kosten- und Nutzungsberichts wird auf jeden Bucket die folgende Richtlinie angewendet:

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "billingreports.amazonaws.com"
            },
            "Action": [
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy"
            ],
            "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cur:us-east-1:${AccountId}:definition/*",
                    "aws:SourceAccount": "${AccountId}"
                }
            }
        },
        {
            "Sid": "Stmt1335892526596",
            "Effect": "Allow",
            "Principal": {
                "Service": "billingreports.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cur:us-east-1:${AccountId}:definition/*",
                    "aws:SourceAccount": "${AccountId}"
                }
            }
        }
    ]
}

Mit dieser Standardrichtlinie wird sichergestellt, dass die Daten des Kosten- und Nutzungsberichts vom Bucket-Besitzer gelesen werden können. Außerdem wird bestätigt, dass der Bucket dem Konto gehört, das den Kosten- und Nutzungsbericht erstellt hat. Das heißt:

  • Jedes Mal, wenn ein Kosten- und Nutzungsbericht zugestellt wird, wird AWS zunächst bestätigt, ob der Bucket immer noch dem Konto gehört, das den Bericht erstellt hat. Wenn sich der Besitzer des Buckets geändert hat, wird der Bericht nicht zugestellt. Dies trägt dazu bei, die Sicherheit der Rechnungsdaten des Kontos zu gewährleisten. Diese Bucket-Richtlinie ermöglicht es AWS ("Effect": "Allow") zu überprüfen, welchem Konto der Bucket ("Action": ["s3:GetBucketAcl", "s3:GetBucketPolicy") gehört.

  • Um Berichte an Ihren Amazon S3 S3-Bucket zu senden, AWS sind Schreibberechtigungen für diesen Bucket erforderlich. Zu diesem Zweck erteilt die Bucket-Richtlinie ("Effect": "Allow") dem Service AWS für Kosten- und Nutzungsberichte ("Service": "billingreports.amazonaws.com") die Erlaubnis, Berichte an den Bucket zu senden, den Sie besitzen ("Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"). "Action": "s3:PutObject"

    Diese Bucket-Richtlinie gewährt keine AWS Berechtigungen zum Lesen oder Löschen von Objekten in Ihrem Bucket, einschließlich der Kosten- und Nutzungsberichte, nachdem diese zugestellt wurden.

  • Wendet bei einem Amazon S3-Bucket, für den ACL aktiviert ist, bei der Übermittlung der Berichte AWS zusätzlich eine BucketOwnerFullControl ACL an. Standardmäßig können Amazon S3 S3-Objekte, wie diese Berichte, nur von dem Benutzer oder Service Principal gelesen werden, der sie geschrieben hat. Um Ihnen oder dem Bucket-Besitzer die Erlaubnis zum Lesen der Berichte zu erteilen, AWS müssen Sie die BucketOwnerFullControl ACL anwenden. Die ACL erteilt dem Bucket-Besitzer Permission.FullControl die Rechte an diesen Berichten. Es wird jedoch empfohlen, ACL zu deaktivieren und eine Amazon S3 S3-Bucket-Richtlinie zur Zugriffskontrolle zu verwenden. Beachten Sie, dass Amazon S3 die Standardeinstellungen geändert hat und ACLs für neu erstellte Buckets standardmäßig deaktiviert sind. Weitere Informationen finden Sie unter Steuern des Eigentums an Objekten und Deaktivieren von ACLs für Ihren Bucket.

Wenn Sie in Ihrer Abrechnungskonsole für den Kosten- und Nutzungsbericht die Fehlermeldung „Ungültiger Bucket“ sehen, sollten Sie überprüfen, ob sich diese Richtlinie und die Inhaberschaft des Buckets nach der Einrichtung des Berichts nicht geändert haben.