将 Amazon S3 Storage Lens 与 结合使用Amazon Organizations - Amazon Simple Storage Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

将 Amazon S3 Storage Lens 与 结合使用Amazon Organizations

您可以使用 Amazon S3 Storage Lens 收集属于 Amazon Organizations 层次结构的所有 Amazon Web Services 账户 的存储指标和使用情况数据。为此,您必须使用 Amazon Organizations,并且必须使用您的 Amazon Organizations 管理启用 S3 Storage Lens 可信访问权限。

启用可信访问权限后,您可以添加对组织中账户的委托管理员访问权限。然后,这些账户可以创建 S3 Storage Lens 配置和控制面板,以收集组织范围的存储指标和用户数据。

有关启用可信访问权限的更多信息,请参阅《Amazon Organizations 用户指南》中的 Amazon S3 Storage Lens 和 Amazon Organizations

为 S3 Storage Lens 启用可信访问权限

通过启用可信访问权限,即可允许 Amazon S3 Storage Lens 通过 Amazon Organizations API 访问您的 Amazon Organizations 层次结构、成员资格和结构。然后,S3 Storage Lens 便成为整个组织结构的可信服务。

无论何时创建控制面板配置,S3 Storage Lens 都会在组织的管理或委托管理员账户中创建服务相关角色。服务相关角色向 S3 Storage Lens 授予权限,以描述组织、列出账户、验证组织的 Amazon 服务访问列表以及获取组织的委托管理员权限。随后,S3 Storage Lens 可以确保它能够收集组织中账户的跨账户存储使用情况和活动指标。有关更多信息,请参阅使用面向 Amazon S3 Storage Lens 的服务相关角色

启用可信访问权限后,您可以为组织中的账户分配委托管理员访问权限。当账户被标记为服务的委托管理员时,该账户将获得访问所有只读组织 API 的授权。这就提供了对您组织成员和结构的可见性,以便他们也可以创建 S3 Storage Lens 控制面板。

注意

只有管理账户才能为 Amazon S3 Storage Lens 启用可信访问权限。

为 S3 Storage Lens 禁用可信访问权限

通过禁用可信访问权限,您将 S3 Storage Lens 限制为仅在账户级别工作。此外,每个账户持有人所看到的 S3 Storage Lens 优势仅限于其账户范围,而不是整个组织。任何需要可信访问权限的控制面板都不再更新,但将在其各自的保留期内保留其历史数据。

以委托管理员身份删除账户将限制其 S3 Storage Lens 控制面板指标访问权限仅在账户级别运行。其创建的任何组织控制面板都不再更新,但它们将在各自的保留期内保留其历史数据。

注意
  • 此操作还会自动阻止所有组织级控制面板收集和聚合存储指标。

  • 您的管理和委托管理员账户仍然能够根据各自的保留期限查看已退出的组织级控制面板的历史数据。

为 S3 Storage Lens 注册委托管理员

您可以使用组织的管理账户或委托管理员账户创建组织级控制面板。委托管理员账户允许除管理账户以外的其他账户创建组织级控制面板。只有组织的管理账户才能将其他账户注册为组织的委托管理员以及取消其注册。

要使用 Amazon S3 控制台注册委托管理员,请参阅 为 S3 Storage Lens 注册委托管理员

您还可以使用管理账户中的 Amazon Organizations REST API、Amazon CLI 或开发工具包注册委托管理员。有关更多信息,请参阅《Amazon Organizations API 参考》中的 RegisterDelegatedAdministrator

注意

在使用 Amazon Organizations REST API、Amazon CLI 或开发工具包指定委托管理员之前,必须调用 EnableAWSOrganizationsAccess 操作。

为 S3 Storage Lens 取消注册委托管理员

您还可以取消注册委托管理员账户。委托管理员账户允许除管理账户以外的其他账户创建组织级控制面板。只有组织的管理账户才能以组织的委托管理员身份取消注册账户。

要使用 S3 控制台取消注册委托管理员,请参阅 为 S3 Storage Lens 取消注册委托管理员

您还可以使用 Amazon Organizations REST API、Amazon CLI 或开发工具包从管理账户中取消注册委托管理员。有关更多信息,请参阅《Amazon Organizations API 参考》中的 DeregisterDelegatedAdministrator

注意
  • 此操作还会自动阻止该委托管理员创建的所有组织级控制面板聚合新的存储指标。

  • 委托管理员账户仍然能够根据各自的保留期限查看这些控制面板的历史数据。