View a markdown version of this page

Verwenden von serviceverknüpften Rollen für Amazon S3 Storage Lens - Amazon Simple Storage Service
Service-linked Rollenberechtigungen für Amazon S3 Storage LensErstellen einer serviceverknüpften Rolle für S3 Storage LensBearbeiten einer serviceverknüpften Rolle für Amazon S3 Storage LensLöschen einer serviceverknüpften Rolle für Amazon S3 Storage LensUnterstützte Regionen für serviceverknüpfte Rollen mit S3 Storage Lens

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für Amazon S3 Storage Lens

Um Amazon S3 Storage Lens zum Sammeln und Aggregieren von Metriken für alle Ihre Konten in AWS Organizations-Organisationen zu verwenden, müssen Sie zunächst sicherstellen, dass S3-Storage-Lens über vertrauenswürdigen Zugriff verfügt, der durch das Verwaltungskonto in Ihrer Organisation aktiviert ist. S3 Storage Lens erstellt eine serviceverknüpfte Rolle (SLR), damit es die Liste der Mitglieder Ihrer Organisation AWS-Konten abrufen kann. Diese Liste von Konten wird von S3 Storage Lens verwendet, um Metriken für S3-Ressourcen in allen Mitgliedskonten zu sammeln, wenn das S3-Storage-Lens-Dashboard oder die Konfigurationen erstellt oder aktualisiert werden.

Amazon S3 Storage Lens verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit S3 Storage Lens verknüpft ist. Service-linked Rollen sind von S3 Storage Lens vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere in AWS-Services Ihrem Namen anzurufen.

Eine serviceverknüpfte Rolle vereinfacht das Einrichten von S3 Storage Lens, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. S3 Storage Lens definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern keine andere Konfiguration festgelegt wurde, kann nur S3 Storage Lens die Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.

Sie können diese serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dies schützt Ihre S3-Storage-Lens-Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.

Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter AWS Dienste, die mit IAM funktionieren. Suchen Sie in der Spalte Service-Linked Rolle nach den Diensten, für die Ja steht. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Service-linked Rollenberechtigungen für Amazon S3 Storage Lens

S3 Storage Lens verwendet die serviceverknüpfte Rolle mit dem Namen AWSServiceRoleForS3StorageLens— Diese ermöglicht den Zugriff auf AWS Dienste und Ressourcen, die von S3 Storage Lens verwendet oder verwaltet werden. Dadurch kann S3 Storage Lens in Ihrem Namen auf AWS Organizations Ressourcen zugreifen.

Die serviceverknüpfte Rolle S3 Storage Lens vertraut dem folgenden Service auf dem Speicher Ihres Unternehmens:

  • storage-lens.s3.amazonaws.com

Die Rollenberechtigungsrichtlinie erlaubt S3 Storage Lens die Durchführung der folgenden Aktionen:

  • organizations:DescribeOrganization

    organizations:ListAccounts

    organizations:ListAWSServiceAccessForOrganization

    organizations:ListDelegatedAdministrators

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Service-linked Rollenberechtigungen im IAM-Benutzerhandbuch.

Erstellen einer serviceverknüpften Rolle für S3 Storage Lens

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine der folgenden Aufgaben ausführen, während Sie beim AWS Organizations Management- oder Delegate-Administratorkonto angemeldet sind, erstellt S3 Storage Lens die serviceverknüpfte Rolle für Sie:

  • Erstellen Sie in der Amazon-S3-Konsole eine S3-Storage-Lens-Dashboard-Konfiguration für Ihr Unternehmen.

  • PUTeine S3 Storage Lens-Konfiguration für Ihre Organisation, die die REST-API AWS CLI und SDKs verwendet.

Anmerkung

S3 Storage Lens wird maximal fünf delegierte Administratoren pro Unternehmen unterstützen.

Wenn Sie diese serviceverknüpfte Rolle löschen, werden sie von den vorherigen Aktionen bei Bedarf neu erstellt.

Beispielrichtlinie für die serviceverknüpfte Rolle S3 Storage Lens

Beispiel Berechtigungsrichtlinie für die serviceverknüpfte Rolle S3 Storage Lens
JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AwsOrgsAccess",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Bearbeiten einer serviceverknüpften Rolle für Amazon S3 Storage Lens

S3 Storage Lens lässt die Bearbeitung der serviceverknüpften Rolle AWSServiceRoleForS3StorageLens nicht zu. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer serviceverknüpften Rolle für Amazon S3 Storage Lens

Wenn Sie die serviceverknüpfte Rolle nicht mehr verwenden müssen, empfehlen wir, die Rolle zu löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Anmerkung

Wenn der Amazon-S3-Storage-Lens-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

Um das zu löschen, müssen AWSServiceRoleForS3StorageLens Sie alle S3 Storage Lens-Konfigurationen auf Organisationsebene löschen, die in allen vorhanden sind, AWS-Regionen indem Sie die AWS Organizations Verwaltungs- oder Delegate-Administratorkonten verwenden.

Die Ressourcen sind S3-Storage-Lens-Konfigurationen auf Organisationsebene. Verwenden Sie S3 Storage Lens, um die Ressourcen zu bereinigen, und verwenden Sie dann die IAM-Konsole, CLI, REST-API oder AWS SDK, um die Rolle zu löschen.

In der REST-API und den SDKs können S3-Storage-Lens-Konfigurationen ListStorageLensConfigurations in allen Regionen ermittelt werden, in denen Ihr Unternehmen S3 Storage Lens-Konfigurationen erstellt hat. AWS CLI Verwenden Sie die Aktion DeleteStorageLensConfiguration, um diese Konfigurationen zu löschen, damit Sie die Rolle dann löschen können.

Anmerkung

Um die serviceverknüpfte Rolle zu löschen, müssen Sie alle S3-Storage-Lens-Konfigurationen auf Organisationsebene in allen Regionen löschen, in denen sie existieren.

Um Amazon S3 Storage Lens-Ressourcen zu löschen, die verwendet werden von AWSServiceRoleForS3StorageLens SLR

  1. Um eine Liste Ihrer Konfigurationen auf Organisationsebene zu erhalten, müssen Sie die ListStorageLensConfigurations in jeder Region verwenden, in der Sie S3-Storage-Lens-Konfigurationen haben. Diese Liste kann auch von der Amazon-S3-Konsole bezogen werden.

  2. Löschen Sie diese Konfigurationen von den entsprechenden regionalen Endpunkten, indem Sie den DeleteStorageLensConfiguration-API-Aufruf ausführen oder die Amazon-S3-Konsole verwenden.

So löschen Sie die serviceverknüpfte Rolle mit IAM

Nachdem Sie die Konfigurationen gelöscht haben, löschen Sie die AWSServiceRoleForS3StorageLens Spiegelreflexkamera aus der IAM-Konsole, indem Sie die IAM-API DeleteServiceLinkedRole aufrufen oder das SDK oder verwenden. AWS CLI AWS Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Unterstützte Regionen für serviceverknüpfte Rollen mit S3 Storage Lens

S3 Storage Lens unterstützt die Verwendung von dienstbezogenen Rollen überall dort, AWS-Regionen wo der Service verfügbar ist. Weitere Informationen finden Sie unter Amazon-S3-Regionen und Endpunkte.