讓 Amazon S3 Storage Lens 使用服務連結角色 - Amazon Simple Storage Service
Amazon S3 Storage Lens 的服務連結角色許可為 S3 Storage Lens 建立服務連結角色編輯 Amazon S3 Storage Lens 的服務連結角色刪除 Amazon S3 Storage Lens 的服務連結角色支援 S3 Storage Lens 服務連結角色的區域

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

讓 Amazon S3 Storage Lens 使用服務連結角色

若要使用 Amazon S3 Storage Lens 來收集和彙總 AWS Organizations中所有帳戶的指標,您必須首先確保 S3 Storage Lens 具有由組織管理帳戶啟用的受信任存取權。S3 Storage Lens 會建立服務連結角色 (SLR),以允許它取得 AWS 帳戶 屬於您組織的清單。S3 Storage Lens 會在建立或更新 S3 Storage Lens 儀表板或組態時,使用此帳戶清單來收集所有成員帳戶中 S3 資源的指標。

Amazon S3 Storage Lens 使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是特殊類型的 IAM 角色,此角色可直接連結到 S3 Storage Lens。服務連結角色由 S3 Storage Lens 預先定義,並包含服務 AWS 服務 代表您呼叫其他 所需的所有許可。

服務連結角色可讓設定 S3 Storage Lens 更為簡單,因為您不必手動新增必要的許可。S3 Storage Lens 定義其服務連結角色的許可,除非另有定義,否則僅有 S3 Storage Lens 可以擔任其角色。定義的許可包括信任政策和許可政策,並且該許可政策不能連接到任何其他 IAM 實體。

您必須先刪除相關的資源,才能刪除服務連結角色。如此可保護您 S3 Storage Lens 的資源,避免您不小心移除資源的存取許可。

如需關於支援服務連結角色的其他服務資訊,請參閱《可搭配 IAM 運作的AWS 服務》,尋找 Service-linked roles (服務連結角色) 欄中顯示為 Yes (是) 的服務。選擇具有連結的 Yes (是),以檢視該服務的服務連結角色文件。

Amazon S3 Storage Lens 的服務連結角色許可

S3 Storage Lens 使用名為 AWSServiceRoleForS3StorageLens 的服務連結角色 – 這可讓您存取 S3 Storage Lens 使用或管理 AWS 的服務和資源。這可讓 S3 Storage Lens 代表您存取 AWS Organizations 資源。

S3 Storage Lens 服務連結角色信任組織儲存裝置上的下列服務:

  • storage-lens.s3.amazonaws.com

角色許可政策允許 S3 Storage Lens 完成下列動作。

  • organizations:DescribeOrganization

    organizations:ListAccounts

    organizations:ListAWSServiceAccessForOrganization

    organizations:ListDelegatedAdministrators

您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的服務連結角色許可

為 S3 Storage Lens 建立服務連結角色

您不需要手動建立一個服務連結角色。當您在登入 AWS Organizations 管理或委派管理員帳戶時完成下列其中一項任務時,S3 Storage Lens 會為您建立服務連結角色:

  • 在 Amazon S3 主控台中為組織建立 S3 Storage Lens 儀表板組態。

  • PUT 您的組織使用 REST API AWS CLI 和 SDKs 的 S3 Storage Lens 組態。

注意

S3 Storage Lens 每個組織最多可支援五位委派的管理員。

如果您刪除此服務連結角色,上述動作會視需要重新建立該角色。

S3 Storage Lens 服務連結角色的範例政策

範例 S3 Storage Lens 服務連結角色的許可政策
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AwsOrgsAccess",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

編輯 Amazon S3 Storage Lens 的服務連結角色

S3 Storage Lens 不允許您編輯 AWSServiceRoleForS3StorageLens 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《IAM 使用者指南》中的編輯服務連結角色

刪除 Amazon S3 Storage Lens 的服務連結角色

如果您不再需要使用服務連結角色,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。

注意

如果 Amazon S3 Storage Lens 服務在您試圖刪除資源時正在使用該角色,刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。

若要刪除 AWSServiceRoleForS3StorageLens,您必須 AWS 區域 使用 AWS Organizations 管理或委派管理員帳戶刪除所有 中存在的所有組織層級 S3 Storage Lens 組態。

這些資源為組織層級 S3 Storage Lens 組態。使用 S3 Storage Lens 清除資源,然後使用 IAM 主控台、CLI、REST API 或 AWS SDK 刪除角色。

在 REST API AWS CLI和 SDKs ListStorageLensConfigurations中,可在組織建立 S3 Storage Lens 組態的所有區域中,使用 探索 S3 Storage Lens 組態。使用動作 DeleteStorageLensConfiguration 刪除這些組態,以便您可以刪除角色。

注意

若要刪除服務連結角色,您必須刪除它們存在的所有區域中的所有組織層級 S3 Storage Lens 組態。

刪除 AWSServiceRoleForS3StorageLens SLR 使用的 Amazon S3 Storage Lens 資源

  1. 若要取得組織層級組態清單,您必須在擁有 S3 Storage Lens 組態的每個區域中使用 ListStorageLensConfigurations。此清單也可以從 Amazon S3 主控台取得。

  2. 透過調用 DeleteStorageLensConfiguration API 呼叫或透過使用 Amazon S3 主控台,從適當的地區端點中刪除這些組態。

使用 IAM 手動刪除服務連結角色

刪除組態後,請從 IAM 主控台或使用 或 AWS CLI AWS SDK 叫用 IAM API DeleteServiceLinkedRole,以刪除 AWSServiceRoleForS3StorageLens SLR。如需詳細資訊,請參閱《IAM 使用者指南》中的刪除服務連結角色

支援 S3 Storage Lens 服務連結角色的區域

S3 Storage Lens 支援 AWS 區域 在提供服務的所有 中使用服務連結角色。如需詳細資訊,請參閱「Amazon S3 區域和端點」。