Utilizzo dei ruoli collegati ai servizi per Amazon S3 Storage Lens

Per utilizzare Amazon S3 Storage Lens per raccogliere e aggregare i parametri su tutti i tuoi account AWS Organizations, devi innanzitutto assicurarti che per S3 Storage Lens sia abilitato l'accesso attendibile all'account di gestione della tua organizzazione. S3 Storage Lens crea un ruolo collegato al servizio (SLR) per consentirgli di ottenere l'elenco di Account AWS appartenente all'organizzazione. Questo elenco di account viene utilizzato da S3 Storage Lens per raccogliere i parametri delle risorse S3 in tutti gli account membri quando il pannello di controllo o le configurazioni dello Storage Lens S3 vengono create o aggiornate.

Amazon S3 Storage Lens utilizza i ruoli collegati ai servizi AWS Identity and Access Management (IAM) Un ruolo collegato ai servizi è un tipo univoco di ruolo IAM collegato direttamente a S3 Storage Lens. I ruoli legati ai servizi sono predefiniti da S3 Storage Lens e includono tutte le autorizzazioni che il servizio richiede per chiamare altri Servizi AWS per conto dell'utente.

Un ruolo collegato ai servizi semplifica la configurazione di S3 Storage Lens perché ti permette di evitare l'aggiunta manuale delle autorizzazioni necessarie. S3 Storage Lens definisce le autorizzazioni dei relativi ruoli associati ai servizi e, salvo diversamente definito, solo S3 Storage Lens potrà assumere i propri ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.

È possibile eliminare il ruolo collegato ai servizi solo dopo avere eliminato le risorse correlate. Questa procedura protegge le risorse di S3 Storage Lens perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta Servizi AWS che funzionano con IAM e cerca i servizi che riportano Sì nella colonna Ruolo collegato al servizio. Scegli un link Yes (Sì) per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni di ruolo collegate ai servizi per Amazon S3 Storage Lens

S3 Storage Lens utilizza il ruolo collegato ai servizi denominato AWSServiceRoleForS3StorageLens, che consente l'accesso ai servizi e alle risorse AWS utilizzati o gestiti da S3 Storage Lens. Ciò consente a S3 Storage Lens di accedere alle risorse AWS Organizations per conto dell'utente.

Il ruolo collegato ai servizi S3 Storage Lens considera attendibile il seguente servizio nello storage dell'organizzazione:

La policy delle autorizzazioni del ruolo consente a S3 Storage Lens di eseguire le seguenti operazioni:

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Creazione di un ruolo collegato ai servizi per S3 Storage Lens

Non devi creare manualmente un ruolo collegato ai servizi. Quando si completa una delle seguenti attività durante l'accesso alla gestione di AWS Organizations o agli account amministratore delegati, S3 Storage Lens crea per te il ruolo collegato ai servizi:

Se si elimina questo ruolo collegato ai servizi, le azioni precedenti lo ricreeranno all'occorrenza.

Esempio di policy per il ruolo collegato ai servizi S3 Storage Lens

Modifica di un ruolo collegato ai servizi per Amazon S3 Storage Lens

S3 Storage Lens non consente di modificare il ruolo collegato al servizio AWSServiceRoleForS3StorageLens. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato ai servizi per Amazon S3 Storage Lens

Se non devi più utilizzare il ruolo collegato ai servizi, è consigliabile eliminarlo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.

Per eliminare AWSServiceRoleForS3StorageLens è necessario eliminare tutte le configurazioni S3 Storage Lens a livello di organizzazione presenti in tutti i siti Regioni AWS utilizzando gli account di gestione AWS Organizations o di amministratore delegato.

Le risorse sono configurazioni S3 Storage Lens a livello di organizzazione. Utilizza S3 Storage Lens per ripulire le risorse e quindi utilizzare la console IAM, la CLI, la REST API o l'SDK AWS per eliminare il ruolo.

Nelle REST API, in AWS CLI e negli SDK, le configurazioni S3 Storage Lens possono essere scoperte utilizzando ListStorageLensConfigurations in tutte le Regioni in cui l'organizzazione ha creato configurazioni S3 Storage Lens. Utilizza l'azione DeleteStorageLensConfiguration per eliminare queste configurazioni in modo che sia possibile eliminare il ruolo.

Per eliminare manualmente il ruolo collegato ai servizi mediante IAM

Dopo aver eliminato le configurazioni, eliminare il SLR AWSServiceRoleForS3StorageLens dalla Console IAM o invocando l'API IAM DeleteServiceLinkedRole, oppure utilizzando l'SDK AWS CLI o AWS. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente IAM.

Regioni supportate per i ruoli collegati ai servizi S3 Storage Lens

S3 Storage Lens supporta l'utilizzo di ruoli collegati ai servizi in tutte le Regioni AWS in cui il servizio è disponibile. Per ulteriori informazioni, consulta la sezione Regioni ed endpoint di Amazon S3.