Définition d’autorisations Amazon S3 Storage Lens
Amazon S3 Storage Lens nécessite de nouvelles autorisations dans AWS Identity and Access Management (IAM) pour autoriser l’accès aux actions S3 Storage Lens. Pour accorder ces autorisations, vous pouvez utiliser une politique IAM basée sur l’identité. Vous pouvez attacher cette politique aux utilisateurs, groupes ou rôles IAM pour leur accorder des autorisations. Ces autorisations peuvent inclure la possibilité d’activer ou de désactiver S3 Storage Lens ou d’accéder à n’importe quel tableau de bord ou n’importe quelle configuration S3 Storage Lens.
L’utilisateur ou le rôle IAM doit appartenir au compte qui a créé ou qui détient le tableau de bord ou la configuration, sauf si les deux conditions suivantes sont remplies :
-
Votre compte est membre d’AWS Organizations.
-
Vous avez été autorisé à créer des tableaux de bord au niveau de l’organisation par votre compte de gestion en tant qu’administrateur délégué.
Note
-
Vous ne pouvez pas utiliser les informations d’identification de l’utilisateur root de votre compte pour afficher les tableaux de bord Amazon S3 Storage Lens. Pour accéder aux tableaux de bord S3 Storage Lens, vous devez accorder les autorisations IAM requises à un utilisateur IAM nouveau ou existant. Connectez-vous ensuite à l’aide de ces informations d’identification utilisateur pour accéder aux tableaux de bord S3 Storage Lens. Pour plus d’informations, consultez Bonnes pratiques de sécurité dans IAM dans le Guide de l’utilisateur IAM.
-
L’utilisation de S3 Storage Lens sur la console Amazon S3 peut nécessiter plusieurs autorisations. Par exemple, pour modifier un tableau de bord sur la console, vous devez disposer des autorisations suivantes :
-
s3:ListStorageLensConfigurations -
s3:GetStorageLensConfiguration -
s3:PutStorageLensConfiguration
-
Rubriques
Définir des autorisations de compte pour utiliser S3 Storage Lens
Pour créer et gérer des tableaux de bord S3 Storage Lens et des configurations de tableau de bord Storage Lens, vous devez disposer des autorisations suivantes, en fonction des opérations que vous souhaitez effectuer :
Le tableau suivant présente les autorisations IAM liées à Amazon S3 Storage Lens.
| Action | Autorisations IAM |
|---|---|
| Créez ou mettez à jour un tableau de bord S3 Storage Lens dans la console Amazon S3. |
|
| Obtenez les étiquettes d’un tableau de bord S3 Storage Lens sur la console Amazon S3. |
|
| Affichez un tableau de bord S3 Storage Lens sur la console Amazon S3. |
|
| Supprimez un tableau de bord S3 Storage Lens sur la console Amazon S3. |
|
| Créez ou mettez à jour une configuration S3 Storage Lens en utilisant AWS CLI ou un kit AWS SDK. |
|
| Obtenez les étiquettes d’une configuration S3 Storage Lens en utilisant AWS CLI ou un kit AWS SDK. |
|
| Affichez une configuration S3 Storage Lens en utilisant AWS CLI ou un kit AWS SDK. |
|
| Supprimez une configuration S3 Storage Lens en utilisant AWS CLI ou un kit AWS SDK. |
|
Note
-
Vous pouvez utiliser des balises de ressources dans une politique IAM pour gérer les autorisations.
-
Un rôle ou un utilisateur IAM disposant de ces autorisations peut voir des métriques à partir de compartiments et de préfixes pour lesquels il peut ne pas avoir d’autorisation directe pour lire ou répertorier les objets.
-
Pour les tableaux de bord S3 Storage Lens sur lesquels les métriques au niveau du préfixe sont activées, si le chemin d’un préfixe sélectionné correspond à une clé d’objet, le tableau de bord peut afficher la clé d’objet sous la forme d’un autre préfixe.
-
Pour les exportations de métriques, qui sont stockées dans un compartiment de votre compte, les autorisations sont accordées à l’aide de l’autorisation
s3:GetObjectexistante dans la politique IAM. De même, pour une entité AWS Organizations, le compte de gestion ou les comptes d’administrateur délégué de l’organisation peuvent utiliser des politiques IAM pour gérer les autorisations d’accès pour le tableau de bord et les configurations au niveau de l’organisation.
Définition d’autorisations de compte pour utiliser des groupes S3 Storage Lens
Vous pouvez utiliser les groupes S3 Storage Lens pour comprendre la distribution de votre espace de stockage au sein des compartiments en fonction du préfixe, du suffixe, de la balise d’objet, de la taille de l’objet ou de l’âge de l’objet. Vous pouvez attacher des groupes Storage Lens à vos tableaux de bord pour consulter leurs métriques agrégées.
Pour utiliser des groupes Storage Lens, vous devez disposer de certaines autorisations. Pour en savoir plus, consultez Autorisations pour les groupes Storage Lens.
Définir des autorisations pour S3 Storage Lens à l’aide d AWS Organizations
Vous pouvez utiliser Amazon S3 Storage Lens pour collecter des métriques de stockage et des données d’utilisation pour tous les comptes qui font partie de votre hiérarchie AWS Organizations. Le tableau suivant présente les actions et les autorisations liées à l’utilisation de S3 Storage Lens avec Organizations.
| Action | Autorisations IAM |
|---|---|
| Activez l’accès sécurisé de S3 Storage Lens à votre organisation. |
|
| Désactivez l’accès approuvé pour S3 Storage Lens pour votre organisation. |
|
| Enregistrez un administrateur délégué pour créer des tableaux de bord ou des configurations S3 Storage Lens pour votre organisation. |
|
| Désinscrivez un administrateur délégué afin qu’il ne puisse plus créer de tableaux de bord ni de configurations S3 Storage Lens pour votre organisation. |
|
|
Autorisations supplémentaires pour créer des configurations S3 Storage Lens à l’échelle de l’organisation. |
|
