# 设置 Amazon S3 Storage Lens 存储统计管理工具权限
Amazon S3 Storage Lens 存储统计管理工具需要 Amazon Identity and Access Management(IAM)中的新权限才能授权访问 S3 Storage Lens 存储统计管理工具操作。要授予这些权限,您可以使用基于身份的 IAM policy。您可以将此策略附加到 IAM 用户、组或角色,以授予其权限。此类权限可能包括启用或禁用 S3 Storage Lens 存储统计管理工具或访问任何 S3 Storage Lens 存储统计管理工具控制面板或配置。
除非同时满足以下两个条件,否则 IAM 用户或角色必须属于创建或拥有控制面板或配置的账户:
+ 您的账户是 Amazon Organizations 的成员。
+ 您获得了相关访问权限,可以使用您的管理账户作为委托管理员,创建组织级别的控制面板。
**注意**
您不能使用账户的根用户凭证查看 Amazon S3 Storage Lens 存储统计管理工具控制面板。要访问 S3 Storage Lens 存储统计管理工具控制面板,您必须向新的或现有的 IAM 用户授予所需的 IAM 权限。然后,使用这些用户凭证登录以访问 S3 Storage Lens 存储统计管理工具控制面板。有关更多信息,请参阅《[IAM 用户指南](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html)》中的 *IAM 安全最佳实践*。
在 Amazon S3 控制台上使用 S3 Storage Lens 存储统计管理工具可能需要多个权限。例如,要在控制台上编辑控制面板,您需要以下权限:
`s3:ListStorageLensConfigurations`
`s3:GetStorageLensConfiguration`
`s3:PutStorageLensConfiguration`
**Topics**
+ [设置账户权限以使用 S3 Storage Lens 存储统计管理工具](#storage_lens_iam_permissions_account)
+ [设置账户权限以使用 S3 Storage Lens 组](#storage_lens_groups_permissions)
+ [设置将 S3 Storage Lens 存储统计管理工具与 Amazon Organizations 结合使用的权限](#storage_lens_iam_permissions_organizations)
## 设置账户权限以使用 S3 Storage Lens 存储统计管理工具
要创建和管理 S3 Storage Lens 存储统计管理工具控制面板和 Storage Lens 存储统计管理工具控制面板配置,您必须拥有以下权限,具体取决于您要执行的操作:
下表显示 Amazon S3 Storage Lens 存储统计管理工具相关的 IAM 权限。
| Action | IAM 权限 |
| --- | --- |
| 在 Amazon S3 控制台中创建或更新 S3 Storage Lens 存储统计管理工具控制面板。 | `s3:ListStorageLensConfigurations` `s3:GetStorageLensConfiguration` `s3:GetStorageLensConfigurationTagging` `s3:PutStorageLensConfiguration` `s3:PutStorageLensConfigurationTagging` |
| 在 Amazon S3 控制台上获取 S3 Storage Lens 存储统计管理工具控制面板的标签。 | `s3:ListStorageLensConfigurations` `s3:GetStorageLensConfigurationTagging` |
| 在 Amazon S3 控制台上查看 S3 Storage Lens 存储统计管理工具控制面板。 | `s3:ListStorageLensConfigurations` `s3:GetStorageLensConfiguration` `s3:GetStorageLensDashboard` |
| 在 Amazon S3 控制台上删除 S3 Storage Lens 存储统计管理工具控制面板。 | `s3:ListStorageLensConfigurations` `s3:GetStorageLensConfiguration` `s3:DeleteStorageLensConfiguration` |
| 在 Amazon CLI 或 Amazon SDK 中创建或更新 S3 Storage Lens 存储统计管理工具配置。 | `s3:PutStorageLensConfiguration` `s3:PutStorageLensConfigurationTagging` |
| 使用 Amazon CLI 或 Amazon SDK 获取 S3 Storage Lens 存储统计管理工具配置的标签。 | `s3:GetStorageLensConfigurationTagging` |
| 使用 Amazon CLI 或 Amazon SDK 查看 S3 Storage Lens 存储统计管理工具配置。 | `s3:GetStorageLensConfiguration` |
| 使用 Amazon CLI 或 Amazon SDK 删除 S3 Storage Lens 存储统计管理工具配置。 | `s3:DeleteStorageLensConfiguration` |
**注意**
您可以使用 IAM policy 中的资源标签来管理权限。
具有这些权限的 IAM 用户或角色可以查看他们可能不具备从中读取或列出对象的直接权限的桶和前缀中的指标。
对于启用了前缀级别指标的 S3 Storage Lens 存储统计管理工具控制面板,如果选定的前缀路径与某个对象键相匹配,则控制面板可能会将该对象键显示为另一个前缀。
对于存储在账户的桶中的指标导出,使用 IAM policy 中的现有 `s3:GetObject` 权限进行权限授权。同样,对于 Amazon Organizations 实体,组织的管理账户或委托管理员账户可以使用 IAM policy 来管理组织级控制面板和配置的访问权限。
## 设置账户权限以使用 S3 Storage Lens 组
您可以使用 S3 Storage Lens 组,根据前缀、后缀、对象标签、对象大小或对象期龄来了解桶内的存储分布。您可以将 Storage Lens 组附加到控制面板以查看其聚合指标。
要使用 Storage Lens 组,你需要具备某些权限。有关更多信息,请参阅 [Storage Lens 组权限](storage-lens-groups.md#storage-lens-group-permissions)。
## 设置将 S3 Storage Lens 存储统计管理工具与 Amazon Organizations 结合使用的权限
您可以使用 Amazon S3 Storage Lens 存储统计管理工具收集属于 Amazon Organizations 层次结构的所有账户的存储指标和使用情况数据。下表显示了与在组织中使用 S3 Storage Lens 存储统计管理工具相关的操作和权限。
| Action | IAM 权限 |
| --- | --- |
| 为您的组织启用 S3 Storage Lens 存储统计管理工具的可信访问权限。 | `organizations:EnableAWSServiceAccess` |
| 为您的组织禁用 S3 Storage Lens 存储统计管理工具的可信访问权限。 | `organizations:DisableAWSServiceAccess` |
| 注册委托管理员,为您的组织创建 S3 Storage Lens 存储统计管理工具控制面板或配置。 | `organizations:RegisterDelegatedAdministrator` |
| 取消注册委托管理员,这样他们就无法再为您的组织创建 S3 Storage Lens 存储统计管理工具控制面板或配置。 | `organizations:DeregisterDelegatedAdministrator` |
| 创建 S3 Storage Lens 存储统计管理工具组织范围配置的其他权限。 | `organizations:DescribeOrganization` `organizations:ListAccounts` `organizations:ListAWSServiceAccessForOrganization` `organizations:ListDelegatedAdministrators` `iam:CreateServiceLinkedRole` |