Configuration d'un compartiment Amazon S3 pour les rapports sur les coûts et l'utilisation - Exportations de données AWS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration d'un compartiment Amazon S3 pour les rapports sur les coûts et l'utilisation

Pour recevoir des rapports de facturation, vous devez disposer d'un compartiment Amazon S3 dans votre AWS compte afin de recevoir et de stocker vos rapports. Lorsque vous créez un rapport sur les coûts et l'utilisation dans la console de facturation, vous pouvez sélectionner un compartiment Amazon S3 existant dont vous êtes le propriétaire ou en créer un nouveau. Dans les deux cas, il vous sera demandé de vérifier et de confirmer l'application de la politique de compartiment par défaut suivante. La modification de cette politique dans la console Amazon S3 ou le changement de propriétaire du compartiment après avoir créé un rapport sur les coûts et l'utilisation AWS empêchera de fournir vos rapports. Le stockage des données des rapports de facturation dans votre compartiment Amazon S3 est facturé aux tarifs standard d'Amazon S3. Pour plus d’informations, consultez Quotas et restrictions.

La politique suivante est appliquée à chaque compartiment lors de la création d'un rapport sur les coûts et l'utilisation :

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "billingreports.amazonaws.com"
            },
            "Action": [
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy"
            ],
            "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cur:us-east-1:${AccountId}:definition/*",
                    "aws:SourceAccount": "${AccountId}"
                }
            }
        },
        {
            "Sid": "Stmt1335892526596",
            "Effect": "Allow",
            "Principal": {
                "Service": "billingreports.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cur:us-east-1:${AccountId}:definition/*",
                    "aws:SourceAccount": "${AccountId}"
                }
            }
        }
    ]
}

Cette politique par défaut permet de garantir que les données du rapport sur les coûts et l'utilisation peuvent être lues par le propriétaire du compartiment et confirme que le compartiment appartient au compte qui a créé le rapport sur les coûts et l'utilisation. En particulier :

  • Chaque fois qu'un rapport sur les coûts et l'utilisation est fourni, vous devez d' AWS abord confirmer si le bucket appartient toujours au compte qui a configuré le rapport. Si le propriétaire du bucket a changé, le rapport ne sera pas livré. Cela permet de garantir la sécurité des données de facturation du compte. Cette politique de bucket permet AWS ("Effect": "Allow") de vérifier à quel compte appartient le bucket ("Action": ["s3:GetBucketAcl", "s3:GetBucketPolicy").

  • Pour envoyer des rapports à votre compartiment Amazon S3, vous devez AWS disposer d'autorisations d'écriture pour ce compartiment. Pour ce faire, la politique du compartiment accorde ("Effect": "Allow") au service AWS Cost and Usage Reports ("Service": "billingreports.amazonaws.com") l'autorisation de fournir ("Action": "s3:PutObject") des rapports au compartiment que vous possédez ("Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*").

    Cette politique de compartiment ne donne pas l' AWS autorisation de lire ou de supprimer les objets de votre compartiment, y compris les rapports sur les coûts et l'utilisation une fois qu'ils ont été livrés.

  • Pour un compartiment Amazon S3 sur lequel l'ACL est activée, applique AWS également une BucketOwnerFullControl ACL aux rapports lors de leur remise. Par défaut, les objets Amazon S3, tels que ces rapports, ne peuvent être lus que par l'utilisateur ou le principal de service qui les a rédigés. Pour que vous ou le propriétaire du bucket puissiez lire les rapports, vous AWS devez appliquer l'BucketOwnerFullControlACL. L'ACL octroie ces rapports Permission.FullControl au propriétaire du compartiment. Cependant, il est recommandé de désactiver l'ACL et d'utiliser une politique de compartiment Amazon S3 pour contrôler l'accès. Notez qu'Amazon S3 a modifié les paramètres par défaut et que, pour les compartiments nouvellement créés, les ACL sont désactivées par défaut. Pour en savoir plus, consultez Contrôle de la propriété des objets et désactivation des listes ACL pour votre compartiment.

Si vous voyez une erreur de compartiment non valide dans votre console de facturation pour le rapport sur les coûts et l'utilisation, vous devez vérifier que cette politique et la propriété du compartiment n'ont pas changé après la configuration du rapport.