搭配 AWS Organizations 使用 Amazon S3 Storage Lens - Amazon Simple Storage Service
啟用受信任的存取權停用受信任存取權註冊委派管理員取消註冊委派管理員

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

搭配 AWS Organizations 使用 Amazon S3 Storage Lens

Amazon S3 Storage Lens 是一種雲端儲存體分析功能,您可以用來了解整個組織使用物件儲存體的情況及其活動情形。您可以使用 S3 Storage Lens 指標產生摘要洞見,例如了解您在整個組織中擁有多少儲存體,或是成長速度最快的儲存貯體和字首有哪些。您也可以使用 S3 Storage Lens 指標,識別成本最佳化機會、實作資料保護和安全最佳實務,以及改善應用程式工作負載的效能。例如,您可以識別沒有 S3 生命週期規則的儲存貯體,這些規則可使超過 7 天未完成的分段上傳過期。您也可以識別未遵循資料保護最佳實務的儲存貯體,例如使用 S3 複寫或 S3 版本控制。S3 Storage Lens 也會分析指標,以提供內容相關建議,您可以用來最佳化儲存成本,並套用最佳實務保護您的資料。

您可以使用 Amazon S3 Storage Lens,收集屬於 AWS Organizations 階層之所有 AWS 帳戶 的儲存指標和用量資料。若要執行此操作,您必須使用 AWS Organizations,而且必須使用 AWS Organizations 管理帳戶啟用 S3 Storage Lens 受信任的存取權。

啟用受信任的存取權之後,您可以將委派的管理員存取權新增至組織中的帳戶。然後,這些帳戶可以建立 S3 Storage Lens 組態和儀表板,以收集整個組織的儲存指標和使用者資料。

如需有關啟用受信任存取權的詳細資訊,請參閱《AWS Organizations 使用者指南》中的 Amazon S3 Storage Lens 和 AWS Organizations

啟用 S3 Storage Lens 的受信任存取權

透過啟用受信任的存取權,您就可以允許 Amazon S3 Storage Lens 透過 AWS Organizations API 操作存取 AWS Organizations 階層、成員資格和結構。然後,S3 Storage Lens 成為整個組織結構的受信任服務。

每當建立儀表板組態時,S3 Storage Lens 會在您組織的管理或委派管理員帳戶中建立服務連結角色。服務連結角色授予 S3 Storage Lens 執行下列動作的許可:

  • 描述組織

  • 列出帳戶

  • 驗證組織的 AWS 服務 存取清單

  • 取得組織的委派管理員

然後,S3 Storage Lens 可以確保其擁有存取權,以收集組織中帳戶的跨帳戶指標。如需詳細資訊,請參閱在 Amazon S3 Storage Lens 使用服務連結角色

啟用受信任存取權之後,您就可以將委派管理員存取權指派給組織中的帳戶。將帳戶標示為服務的委派管理員時,帳戶會收到所有唯讀組織 API 操作的存取授權。此存取權會提供組織成員和結構的委派管理員可見性,讓他們也可以建立 S3 Storage Lens 儀表板。

注意

只有管理帳戶可以啟用 Amazon S3 Storage Lens 的受信任存取權。

停用 S3 Storage Lens 的受信任存取權

停用受信任存取權後,您可以限制 S3 Storage Lens 只能在帳戶層級上運作。此外,每個帳戶持有人只能看到其帳戶範圍內 (而不是整個組織) 的 S3 Storage Lens。任何需要受信任存取權的儀表板都不會再更新,但會保留其歷史資料,直到資料可用於查詢的期間結束。

注意

  • 停用 S3 Storage Lens 的受信任存取權也會使所有組織層級儀表板自動停止收集和彙總儲存空間指標。

  • 您的管理和委派管理員帳戶仍然可以在資料可用於查詢時段期間,查看現有組織層級儀表板的歷史資料。

註冊 S3 Storage Lens 的委派管理員

您可以使用組織的管理帳戶或委派管理員帳戶,來建立組織層級儀表板。委派管理員帳戶允許管理帳戶以外的其他帳戶建立組織層級儀表板。僅組織的管理帳戶可以將其他帳戶註冊為組織的委派管理員,以及取消註冊委派管理員。

若要使用 Amazon S3 主控台註冊委派管理員,請參閱 正在註冊 S3 Storage Lens 的委派管理員

您也可以使用 AWS Organizations REST API、AWS CLI 或 SDK,透過管理帳戶註冊委派管理員。如需詳細資訊,請參閱《AWS Organizations API 參考》 中的 RegisterDelegatedAdministrator

注意

在您可以使用 AWS Organizations REST API、AWS CLI 或 SDK,指定委派管理員之前,您必須先呼叫 EnableAWSOrganizationsAccess 操作。

取消註冊 S3 Storage Lens 的委派管理員

您也可以取消註冊委派管理員帳戶。委派管理員帳戶允許管理帳戶以外的其他帳戶建立組織層級儀表板。只有組織的管理帳戶可以透過組織委派管理員的身分取消註冊帳戶。

若要使用 S3 主控台取消註冊委派管理員,請參閱 正在取消註冊 S3 Storage Lens 的委派管理員

您也可以使用 AWS Organizations REST API、AWS CLI 或 SDK,透過管理帳戶取消註冊委派管理員。如需詳細資訊,請參閱《AWS Organizations API 參考》 中的 DeregisterDelegatedAdministrator

注意

  • 取消註冊委派管理員也會自動防止透過該委派管理員建立的所有組織層級儀表板彙總新的儲存指標。

  • 已取消註冊的委派管理員帳戶仍然可以查看在資料可用於查詢時所建立的儀表板歷史資料。