Configuración de permisos de Lente de almacenamiento de Amazon S3
Amazon S3 Storage Lens requiere nuevos permisos en AWS Identity and Access Management (IAM) para autorizar el acceso a las acciones de S3 Storage Lens. Para conceder estos permisos, puede utilizar una política de IAM basada en identidades. Puede asociar esta política a usuarios, grupos o roles de IAM para concederles permisos. Estos permisos pueden incluir la capacidad de habilitar o deshabilitar Lente de almacenamiento de S3, o de acceder a cualquier panel o configuración de Lente de almacenamiento de S3.
El rol o usuario de IAM debe pertenecer a la cuenta creadora o propietaria del panel o la configuración, a menos que se cumplan las dos condiciones siguientes:
-
Su cuenta es miembro de AWS Organizations.
-
Se le concedió permiso para crear paneles de nivel de organización por su cuenta de administración como administrador delegado.
nota
-
No puede utilizar las credenciales de usuario raíz de la cuenta para ver los paneles de la Lente de almacenamiento de Amazon S3. Para acceder a los paneles de Lente de almacenamiento de S3, debe conceder los permisos de IAM necesarios a un usuario de IAM nuevo o existente. A continuación, inicie sesión con esas credenciales de usuario para acceder a los paneles de S3 Storage Lens. Para más información, consulte Prácticas recomendadas de seguridad en IAM en la Guía del usuario de IAM.
-
El uso de S3 Storage Lens en la consola de Amazon S3 puede requerir varios permisos. Por ejemplo, para editar un panel en la consola, necesita los siguientes permisos:
-
s3:ListStorageLensConfigurations -
s3:GetStorageLensConfiguration -
s3:PutStorageLensConfiguration
-
Temas
Configuración de permisos de cuenta para usar S3 Storage Lens
Para crear y administrar los paneles de Lente de almacenamiento de S3 y las configuraciones de los paneles de Lente de almacenamiento, debe tener los siguientes permisos, en función de las acciones que desee realizar:
La siguiente tabla muestra permisos de IAM relacionados con la lente de almacenamiento de Amazon S3.
| Acción | Permisos de IAM |
|---|---|
| Cree o actualice un panel de S3 Storage Lens en la consola de Amazon S3. |
|
| Obtenga las etiquetas de un panel de Lente de almacenamiento de S3 en la consola de Amazon S3. |
|
| Vea un panel de S3 Storage Lens en la consola de Amazon S3. |
|
| Eliminar un panel de S3 Storage Lens en la consola de Amazon S3. |
|
| Cree o actualice una configuración de Lente de almacenamiento de S3 mediante la AWS CLI o un SDK de AWS. |
|
| Obtenga las etiquetas de una configuración de Lente de almacenamiento de S3 usando la AWS CLI o un SDK de AWS. |
|
| Vea una configuración de Lente de almacenamiento de S3 mediante la AWS CLI o un SDK de AWS. |
|
| Elimine una configuración de Lente de almacenamiento de S3 mediante la AWS CLI o el SDK de AWS. |
|
nota
-
Puede utilizar etiquetas de recursos en una política del IAM para administrar permisos.
-
Un usuario o rol de IAM con estos permisos puede ver métricas de buckets y prefijos de los que es posible que no tenga permiso directo para leer o mostrar objetos.
-
En el caso de los paneles de Lente de almacenamiento de S3 con las métricas a nivel de prefijo habilitadas, si una ruta de prefijo seleccionada coincide con una clave de objeto, es posible que el panel muestre la clave de objeto como otro prefijo.
-
Para las exportaciones de métricas, que se almacenan en un bucket de la cuenta, los permisos se otorgan mediante el permiso
s3:GetObjectexistente en la política de IAM. Del mismo modo, para una entidad de AWS Organizations, la cuenta de administración o de administrador delegado de la organización puede utilizar políticas de IAM para administrar los permisos de acceso para las configuraciones y los paneles en el nivel de la organización.
Configuración de permisos de cuenta para usar grupos de S3 Storage Lens
Puede usar los grupos de Lente de almacenamiento de S3 para comprender la distribución de su almacenamiento dentro de los buckets en función del prefijo, el sufijo, o la etiqueta, el tamaño o la antigüedad de los objetos. Puede asociar grupos de Lente de almacenamiento a sus paneles para ver sus métricas agregadas.
Para trabajar con los grupos de Lente de almacenamiento, necesita determinados permisos. Para obtener más información, consulte Permisos de grupos de Storage Lens.
Configuración de permisos para utilizar S3 Storage Lens con AWS Organizations
Puede utilizar Amazon S3 Storage Lens para recopilar métricas de almacenamiento y datos de uso de todas las cuentas que forman parte de la jerarquía de AWS Organizations. La siguiente tabla muestra las acciones y los permisos relacionados con el uso de S3 Storage Lens con Organizations.
| Acción | Permisos de IAM |
|---|---|
| Habilite el acceso de confianza para S3 Storage Lens para su organización. |
|
| Desactive el acceso de confianza para Lente de almacenamiento de S3 para la organización. |
|
| Registre a un administrador delegado a fin de crear paneles o configuraciones de S3 Storage Lens para su organización. |
|
| Anule el registro de un administrador delegado para que no pueda crear paneles o configuraciones de Lente de almacenamiento de S3 para la organización. |
|
|
Permisos adicionales a fin de crear configuraciones de Lente de almacenamiento de S3 para toda la organización. |
|
