O Amazon S3 Storage Lens e o AWS Organizations - AWS Organizations

O Amazon S3 Storage Lens e o AWS Organizations

Ao conceder ao Amazon S3 Storage Lens acesso confiável à sua organização, você permite que ele colete e agregue métricas em todas as Contas da AWS de sua organização. O S3 Storage Lens faz isso acessando a lista de contas que pertencem à sua organização e coleta e analisa as métricas de armazenamento, uso e atividade de todas elas.

Para obter mais informações, consulte Usar as funções vinculadas a serviços para o Amazon S3 Storage Lens no Guia do usuário do Amazon S3 Storage Lens.

Use as informações a seguir para ajudá-lo a integrar o Amazon S3 Storage Lens ao AWS Organizations.

Função vinculada ao serviço criada quando você habilita a integração

A seguinte função vinculada a serviço é criada automaticamente na conta de administrador encarregada da sua organização quando você habilita o acesso confiável e a configuração do Storage Lens foi aplicada à sua organização. Essa função permite que o Amazon S3 realize as operações suportadas nas contas de sua organização.

Você só pode excluir ou modificar essa função se desabilitar o acesso confiável entre o Amazon S3 Storage Lens e o Organizations, ou se remover a conta-membro da organização.

  • AWSServiceRoleForS3StorageLens

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pelo Amazon S3 Storage Lens concedem acesso às seguintes entidades primárias de serviço:

  • storage-lens.s3.amazonaws.com

Habilitar o acesso confiável no Amazon S3 Storage Lens

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Você pode habilitar o acesso confiável usando o console do Amazon S3 Storage Lens ou o console do AWS Organizations.

Importante

É altamente recomendável, sempre que possível, o uso do console ou das ferramentas do Amazon S3 Storage Lens para habilitar a integração com o Organizations. Isso permite que o Amazon S3 Storage Lens realize qualquer configuração exigida, como a criação dos recursos necessários para o serviço. Continue com estas etapas apenas se você não puder habilitar a integração usando as ferramentas fornecidas pelo Amazon S3 Storage Lens. Para obter mais informações, consulte esta nota.

Se você habilitar o acesso confiável usando o console ou as ferramentas do Amazon S3 Storage Lens, não é necessário concluir estas etapas.

Para habilitar o acesso confiável usando o console do Amazon S3

Consulte Ativando o acesso confiável para a Lente de Armazenamento do S3 no Guia do usuário do Amazon Simple Storage Service.

Você pode habilitar o acesso confiável usando o console do AWS Organizations, executando um comando da AWS CLI ou chamando uma operação da API em um dos AWS SDKs.

AWS Management Console
Para habilitar o acesso ao serviço confiável usando o console do Organizations
  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. No painel de navegação, escolha Serviços.

  3. Escolha Lente de Armazenamento do Amazon S3 na lista de serviços.

  4. Escolha Enable trusted access (Habilitar acesso confiável).

  5. Na caixa de diálogo Enable trusted access for Amazon S3 Storage Lens, digite enable para confirmar e selecione Enable trusted access.

  6. Se você for o administrador apenas do AWS Organizations, informe ao administrador do Amazon S3 Storage Lens que agora ele pode habilitar esse serviço usando seu console para trabalhar com o AWS Organizations.

AWS CLI, AWS API
Para habilitar o acesso ao serviço confiável usando a CLI/SDK do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para habilitar o acesso ao serviço confiável:

  • AWS CLI: enable-aws-service-access

    Você pode executar o comando a seguir para habilitar o Amazon S3 Storage Lens como um serviço confiável com o Organizations.

    $ aws organizations enable-aws-service-access \ --service-principal storage-lens.s3.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: EnableAWSServiceAccess

Desativação do acesso confiável para o Amazon S3 Storage Lens

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

Você pode desabilitar o acesso confiável usando apenas as ferramentas do Amazon S3 Storage Lens.

Você pode desabilitar o acesso confiável usando o console do Amazon S3, a AWS CLI ou qualquer um dos SDKs da AWS.

Para desabilitar o acesso confiável usando o console do Amazon S3

Consulte Desativação do acesso confiável para a Lente de Armazenamento do S3 no Guia do usuário do Amazon Simple Storage Service.

Habilitar uma conta de administrador delegado para o Amazon S3 Storage Lens

Quando você designa uma conta-membro como administrador delegado para a organização, os usuários e funções dessa conta podem executar ações administrativas para o Amazon S3 Storage Lens que, de outra forma, só podem ser executadas por usuários ou funções na conta de gerenciamento da organização. Isso ajuda você a separar o gerenciamento da organização do gerenciamento do Amazon S3 Storage Lens.

Permissões mínimas

Somente um usuário ou perfil na conta de gerenciamento do Organizations com a seguinte permissão pode configurar uma conta-membro como administrador delegado para o Amazon S3 Storage Lens na organização:

organizations:RegisterDelegatedAdministrator

organizations:DeregisterDelegatedAdministrator

O Amazon S3 Storage Lens suporta um máximo de 5 contas de administrador delegado em sua organização.

Para designar uma conta-membro como administrador delegado do Amazon S3 Storage Lens

Você pode registrar um administrador delegado usando o console do Amazon S3, a AWS CLI ou qualquer um dos AWS SDKs. Para registrar uma conta-membro como uma conta de administrador delegado para sua organização usando o console do Amazon S3, consulte Registro de um administrador delegado para a Lente de Armazenamento do S3 no Guia do usuário do Amazon Simple Storage Service.

Para cancelar o registro de um administrador delegado para o Amazon S3 Storage Lens

Você pode cancelar o registro de um administrador delegado usando o console do Amazon S3, a AWS CLI ou qualquer um dos SDKs da AWS. Para cancelar o registro de um administrador delegado usando o console do Amazon S3, consulte Cancelamento do registro de um administrador delegado para a Lente de Armazenamento do S3 no Guia do usuário do Amazon Simple Storage Service.