# Uso de Amazon S3 Storage Lens con AWS Organizations
<a name="storage_lens_with_organizations"></a>

La Lente de almacenamiento de Amazon S3 es una función de análisis de almacenamiento en la nube que puede utilizar para obtener visibilidad en toda la organización sobre el uso y la actividad del almacenamiento de objetos. Puede utilizar las métricas de S3 Storage Lens para generar información resumida, como averiguar cuánto almacenamiento tiene en toda la organización o cuáles son los buckets y los prefijos de crecimiento más rápido. También puede utilizar Lente de almacenamiento de Amazon S3 para recopilar métricas de almacenamiento y datos de uso de todas las Cuentas de AWS que forman parte de la jerarquía de AWS Organizations. Para ello, debe utilizar AWS Organizations y habilitar el acceso de confianza de Lente de almacenamiento de S3 con la cuenta de administración de AWS Organizations.

Después de habilitar el acceso de confianza, agregue el acceso de administrador delegado a las cuentas de la organización. Las cuentas de administrador delegado se utilizan para crear configuraciones y paneles de Lente de almacenamiento de S3 que recopilan métricas de almacenamiento y datos de usuario de toda la organización. Para obtener más información acerca de cómo habilitar el acceso de confianza, consulte [Amazon S3 Storage Lens y AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-s3lens.html) en la *Guía del usuario de AWS Organizations*.

**Topics**
+ [Habilitación del acceso de confianza para S3 Storage Lens](storage_lens_with_organizations_enabling_trusted_access.md)
+ [Deshabilitación del acceso de confianza para S3 Storage Lens](storage_lens_with_organizations_disabling_trusted_access.md)
+ [Registro de un administrador delegado para S3 Storage Lens](storage_lens_with_organizations_registering_delegated_admins.md)
+ [Anulación del registro de un administrador delegado para S3 Storage Lens](storage_lens_with_organizations_deregistering_delegated_admins.md)

# Habilitación del acceso de confianza para S3 Storage Lens
<a name="storage_lens_with_organizations_enabling_trusted_access"></a>

Al habilitar el acceso de confianza, permite que Lente de almacenamiento de Amazon S3 tenga acceso a la jerarquía, la pertenencia y la estructura de AWS Organizations a través de las operaciones de la API de AWS Organizations. Lente de almacenamiento de S3 se convierte entonces en un servicio de confianza para toda la estructura de la organización.

Cada vez que se crea una configuración de panel, Lente de almacenamiento de S3 crea roles vinculados a servicios en las cuentas de administración o administrador delegadas de la organización. El rol vinculado a servicios concede permiso a Lente de almacenamiento de S3 para realizar las siguientes acciones: 
+ Describir organizaciones
+ Enumerar cuentas
+ Comprobar una lista de accesos de Servicio de AWS para las organizaciones
+ Obtener administradores delegados para las organizaciones



Lente de almacenamiento de S3 puede asegurarse de tener acceso para recopilar las métricas entre cuentas para las cuentas en la organización. Para obtener más información, consulte [ Uso de roles vinculados a servicios para Amazon S3 Storage Lens](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-service-linked-roles.html). 

Después de habilitar el acceso de confianza, puede asignar acceso de administrador delegado a cuentas de la organización. Cuando una cuenta se marca como administrador delegado para un servicio, la cuenta recibe autorización para acceder a todas las operaciones de la API de organización de solo lectura. Este acceso proporciona visibilidad de administrador delegado a los miembros y las estructuras de la organización para que también puedan crear paneles de Lente de almacenamiento de S3.

**nota**  
El acceso de confianza solo se puede habilitar mediante la [cuenta de administración](https://docs.aws.amazon.com/managedservices/latest/userguide/management-account.html).
 Solo la cuenta de administración y los administradores delegados pueden crear paneles o configuraciones de S3 Storage Lens para su organización.

# Uso de la consola de S3
<a name="storage_lens_console_organizations_enabling_trusted_access"></a>

**Habilitación de Lente de almacenamiento de S3 para que tenga acceso de confianza de AWS Organizations**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. En el panel de navegación izquierdo, vaya a **Lente de almacenamiento**.

1. Elija **Configuración de AWS Organizations**. Aparece la página **Acceso de AWS Organizations para Lente de almacenamiento**.

1. En **Acceso de confianza de AWS Organizations**, elija **Editar**.

   Aparece la página **Acceso de AWS Organizations**.

1. Elija **Habilitar** para habilitar el acceso de confianza para el panel de Lente de almacenamiento de S3.

1. Elija **Save changes (Guardar cambios)**.

# Mediante AWS CLI
<a name="OrganizationsEnableTrustedAccessS3LensCLI"></a>

**Example**  
En el siguiente ejemplo, se muestra cómo habilitar el acceso de confianza de AWS Organizations para Lente de almacenamiento de S3 en AWS CLI.  

```
aws organizations enable-aws-service-access --service-principal storage-lens.s3.amazonaws.com
```

# Uso de AWS SDK para Java
<a name="OrganizationsEnableTrustedAccessS3LensJava"></a>

**Example — Habilitación del acceso de confianza de AWS Organizations para Lente de almacenamiento de S3 mediante SDK para Java**  
En el siguiente ejemplo, se muestra cómo habilitar el acceso de confianza de Lente de almacenamiento de S3 en SDK para Java. Para utilizar este ejemplo, sustituya `user input placeholders` por su propia información.  

```
import com.amazonaws.AmazonServiceException;
import com.amazonaws.SdkClientException;
import com.amazonaws.auth.profile.ProfileCredentialsProvider;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.organizations.AWSOrganizations;
import com.amazonaws.services.organizations.AWSOrganizationsClient;
import com.amazonaws.services.organizations.model.EnableAWSServiceAccessRequest;

public class EnableOrganizationsTrustedAccess {
	private static final String S3_STORAGE_LENS_SERVICE_PRINCIPAL = "storage-lens.s3.amazonaws.com";

	public static void main(String[] args) {
		try {
            AWSOrganizations organizationsClient = AWSOrganizationsClient.builder()
                .withCredentials(new ProfileCredentialsProvider())
                .withRegion(Regions.US_EAST_1)
                .build();

            organizationsClient.enableAWSServiceAccess(new EnableAWSServiceAccessRequest()
                .withServicePrincipal(S3_STORAGE_LENS_SERVICE_PRINCIPAL));
        } catch (AmazonServiceException e) {
            // The call was transmitted successfully, but AWS Organizations couldn't process
            // it and returned an error response.
            e.printStackTrace();
        } catch (SdkClientException e) {
            // AWS Organizations couldn't be contacted for a response, or the client
            // couldn't parse the response from AWS Organizations.
            e.printStackTrace();
        }
	}
}
```

# Deshabilitación del acceso de confianza para S3 Storage Lens
<a name="storage_lens_with_organizations_disabling_trusted_access"></a>

La eliminación de una cuenta como administrador delegado o la deshabilitación del acceso de confianza limita las métricas del panel de Lente de almacenamiento de S3 del propietario para que solo funcionen en la cuenta. Cada titular de la cuenta solo podrá ver los beneficios de Lente de almacenamiento de S3 según el alcance limitado de su cuenta y no en toda su organización.

Cuando deshabilita el acceso de confianza en Lente de almacenamiento de S3, los paneles que requieran acceso de confianza ya no se actualizarán. Los paneles de la organización que se creen tampoco se actualizan. En su lugar, solo podrá consultar los [datos históricos del panel de Lente de almacenamiento de S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage_lens_basics_metrics_recommendations.html#storage_lens_basics_data_queries) mientras los datos estén disponibles.

**nota**  
La desactivación del acceso de confianza para Lente de almacenamiento de S3 impide automáticamente que todos los paneles en el nivel de organización recopilen y agreguen métricas de almacenamiento. Esto se debe a que Lente de almacenamiento de S3 ya no tiene acceso fiable a las cuentas de la organización.
Sus cuentas de administración y administrador delegado todavía pueden ver los datos históricos de cualquier panel deshabilitado. También pueden consultar estos datos históricos mientras sigan estando disponibles. 

# Uso de la consola de S3
<a name="storage_lens_console_organizations_disabling_trusted_access"></a>

**Para deshabilitar el acceso de confianza para S3 Storage Lens**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. En el panel de navegación izquierdo, vaya a **Lente de almacenamiento**.

1. Elija **Configuración de AWS Organizations**. Aparece la página **Acceso de AWS Organizations para Lente de almacenamiento**.

1. En **Acceso de confianza de AWS Organizations**, elija **Editar**.

   Aparece la página **Acceso de AWS Organizations**.

1. Elija **Deshabilitar** para deshabilitar el acceso de confianza para el panel de Lente de almacenamiento de S3.

1. Elija **Save changes (Guardar cambios)**.

# Mediante AWS CLI
<a name="OrganizationsDisableTrustedAccessS3LensCLI"></a>

**Example**  
En el siguiente ejemplo se deshabilita el acceso de confianza para Lente de almacenamiento de S3 mediante la AWS CLI.  

```
aws organizations disable-aws-service-access --service-principal storage-lens.s3.amazonaws.com
```

# Uso de AWS SDK para Java
<a name="OrganizationsDisableTrustedAccessS3LensJava"></a>

**Example – Deshabilitación del acceso de confianza de AWS Organizations para Lente de almacenamiento de S3**  
En el siguiente ejemplo, se muestra cómo deshabilitar el acceso de confianza de AWS Organizations para Lente de almacenamiento de S3 en SDK para Java. Para utilizar este ejemplo, sustituya `user input placeholders` por su propia información.  

```
import com.amazonaws.AmazonServiceException;
import com.amazonaws.SdkClientException;
import com.amazonaws.auth.profile.ProfileCredentialsProvider;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.organizations.AWSOrganizations;
import com.amazonaws.services.organizations.AWSOrganizationsClient;
import com.amazonaws.services.organizations.model.DisableAWSServiceAccessRequest;

public class DisableOrganizationsTrustedAccess {
	private static final String S3_STORAGE_LENS_SERVICE_PRINCIPAL = "storage-lens.s3.amazonaws.com";

	public static void main(String[] args) {
		try {
            AWSOrganizations organizationsClient = AWSOrganizationsClient.builder()
                .withCredentials(new ProfileCredentialsProvider())
                .withRegion(Regions.US_EAST_1)
                .build();

            // Make sure to remove any existing delegated administrator for S3 Storage Lens 
            // before disabling access; otherwise, the request will fail.
            organizationsClient.disableAWSServiceAccess(new DisableAWSServiceAccessRequest()
                .withServicePrincipal(S3_STORAGE_LENS_SERVICE_PRINCIPAL));
        } catch (AmazonServiceException e) {
            // The call was transmitted successfully, but AWS Organizations couldn't process
            // it and returned an error response.
            e.printStackTrace();
        } catch (SdkClientException e) {
            // AWS Organizations couldn't be contacted for a response, or the client
            // couldn't parse the response from AWS Organizations.
            e.printStackTrace();
        }
	}
}
```

# Registro de un administrador delegado para S3 Storage Lens
<a name="storage_lens_with_organizations_registering_delegated_admins"></a>

Puede crear paneles de nivel de organización con la cuenta de administración o las cuentas de administrador delegado de la organización. Las cuentas de administrador delegado permiten a otras cuentas, además de su cuenta de administración, crear paneles de nivel de organización. Solo la cuenta de administración de una organización puede registrar y anular el registro de otras cuentas como administradores delegados para la organización.

Después de habilitar el acceso de confianza, puede registrar el acceso del administrador delegado a cuentas de su organización mediante la API de REST de AWS Organizations, la AWS CLI, o los SDK de la [cuenta de administración](https://docs.aws.amazon.com/managedservices/latest/userguide/management-account.html). (Para obtener más información, consulte [https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html) en la *AWS Organizations API Reference*.) Cuando se registra una cuenta como administrador delegado, la cuenta recibe autorización para acceder a todas las operaciones de la API de AWS Organizations de solo lectura. Esto proporciona visibilidad a los miembros y estructuras de su organización para que puedan crear paneles de S3 Storage Lens en su nombre.

**nota**  
Antes de poder designar a un administrador delegado con la API de REST de AWS Organizations, la AWS CLI o los SDK, debe llamar a la operación [https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html).

# Uso de la consola de S3
<a name="storage_lens_console_organizations_registering_delegated_admins"></a>

**A fin de registrar administradores delegados para S3 Storage Lens**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. En el panel de navegación izquierdo, vaya a **Lente de almacenamiento**.

1.  Elija **Configuración de AWS Organizations**.

1. En **Administrador delegado**, elija **Registrar cuenta**.

1. Agregue un ID de Cuenta de AWS para la cuenta como administrador delegado. El administrador delegado puede crear paneles de nivel de organización para todas las cuentas y el almacenamiento de su organización.

1. Elija **Registrar cuenta**.

# Uso de AWS CLI
<a name="OrganizationsRegisterDelegatedAdministratorS3LensCLI"></a>

**Example**  
El siguiente ejemplo muestra cómo registrar administradores delegados de Organizations para Lente de almacenamiento de S3 mediante la AWS CLI. Para utilizar este ejemplo, sustituya `user input placeholders` por su propia información.  

```
aws organizations register-delegated-administrator --service-principal storage-lens.s3.amazonaws.com --account-id 111122223333
```

# Uso de AWS SDK para Java
<a name="OrganizationsRegisterDelegatedAdministratorS3LensJava"></a>

**Example – Registro de administradores delegados de Organizations para Lente de almacenamiento de S3**  
El siguiente ejemplo muestra cómo registrar administradores delegados de AWS Organizations para Lente de almacenamiento de S3 mediante SDK para Java. Para utilizar este ejemplo, sustituya `user input placeholders` por su propia información.  

```
import com.amazonaws.AmazonServiceException;
import com.amazonaws.SdkClientException;
import com.amazonaws.auth.profile.ProfileCredentialsProvider;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.organizations.AWSOrganizations;
import com.amazonaws.services.organizations.AWSOrganizationsClient;
import com.amazonaws.services.organizations.model.RegisterDelegatedAdministratorRequest;

public class RegisterOrganizationsDelegatedAdministrator {
	private static final String S3_STORAGE_LENS_SERVICE_PRINCIPAL = "storage-lens.s3.amazonaws.com";

	public static void main(String[] args) {
		try {
            String delegatedAdminAccountId = "111122223333"; // Account Id for the delegated administrator.
            AWSOrganizations organizationsClient = AWSOrganizationsClient.builder()
                .withCredentials(new ProfileCredentialsProvider())
                .withRegion(Regions.US_EAST_1)
                .build();

            organizationsClient.registerDelegatedAdministrator(new RegisterDelegatedAdministratorRequest()
                .withAccountId(delegatedAdminAccountId)
                .withServicePrincipal(S3_STORAGE_LENS_SERVICE_PRINCIPAL));
        } catch (AmazonServiceException e) {
            // The call was transmitted successfully, but AWS Organizations couldn't process
            // it and returned an error response.
            e.printStackTrace();
        } catch (SdkClientException e) {
            // AWS Organizations couldn't be contacted for a response, or the client
            // couldn't parse the response from AWS Organizations.
            e.printStackTrace();
        }
	}
}
```

# Anulación del registro de un administrador delegado para S3 Storage Lens
<a name="storage_lens_with_organizations_deregistering_delegated_admins"></a>

Después de habilitar el acceso de confianza, puede registrar el acceso del administrador delegado a cuentas de su organización. Las cuentas de administrador delegado permiten a otras cuentas, además de a su [cuenta de administración](https://docs.aws.amazon.com/managedservices/latest/userguide/management-account.html), crear paneles de nivel de organización. Solo la cuenta de administración de una organización puede anular el registro de cuentas como administradores delegados para la organización.

También puede anular el registro de un administrador delegado con la Consola de administración de AWS de AWS Organizations, la API de REST, la AWS CLI o los AWS SDK de la cuenta de administración. Para obtener más información, consulte [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) en la *Referencia de la API de AWS Organizations*.

Cuando se anula el registro de una cuenta como administrador delegado, la cuenta pierde el acceso a lo siguiente:
+ Todas las operaciones de la API de AWS Organizations de solo lectura que proporcionan visibilidad a los miembros y las estructuras de su organización.
+ Todos los paneles del nivel de organización creados por el administrador delegado. La anulación del registro de un administrador delegado también impide automáticamente que todos los paneles de nivel de organización que haya creado ese administrador delegado agreguen nuevas métricas de almacenamiento.
**nota**  
El administrador delegado sin registro todavía podrá ver los datos históricos de los paneles deshabilitados que han creado si los datos siguen disponibles para consultas.

# Uso de la consola de S3
<a name="storage_lens_console_organizations_deregistering_delegated_admins"></a>

**Anulación del registro de administradores delegados para Lente de almacenamiento de S3**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. En el panel de navegación izquierdo, vaya a **Lente de almacenamiento**.

1.  Elija **Configuración de AWS Organizations**.

1. En **Administradores delegados**, seleccione la cuenta cuyo registro quiera anular.

1. Elija **Anular el registro de cuenta**. La cuenta cuyo registro se ha anulado ya no es un administrador delegado y ya no puede crear paneles en la organización para todas las cuentas y el almacenamiento de la organización.

1. Elija **Registrar cuenta**.

# Uso de AWS CLI
<a name="OrganizationsDeregisterDelegatedAdministratorS3LensCLI"></a>

**Example**  
El siguiente ejemplo muestra cómo anular el registro de administradores delegados de Organizations para Lente de almacenamiento de S3 mediante la AWS CLI. Para utilizar este ejemplo, sustituya `111122223333` por el ID de su Cuenta de AWS.  

```
aws organizations deregister-delegated-administrator --service-principal storage-lens.s3.amazonaws.com --account-id 111122223333
```

# Uso de AWS SDK para Java
<a name="OrganizationsDeregisterDelegatedAdministratorS3LensJava"></a>

**Example – Anulación del registro de administradores delegados de Organizations para Lente de almacenamiento de S3**  
El siguiente ejemplo muestra cómo anular el registro de administradores delegados de Organizations para Lente de almacenamiento de S3 mediante SDK para Java. Para utilizar este ejemplo, sustituya `user input placeholders` por su propia información.  

```
import com.amazonaws.AmazonServiceException;
import com.amazonaws.SdkClientException;
import com.amazonaws.auth.profile.ProfileCredentialsProvider;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.organizations.AWSOrganizations;
import com.amazonaws.services.organizations.AWSOrganizationsClient;
import com.amazonaws.services.organizations.model.DeregisterDelegatedAdministratorRequest;

public class DeregisterOrganizationsDelegatedAdministrator {
	private static final String S3_STORAGE_LENS_SERVICE_PRINCIPAL = "storage-lens.s3.amazonaws.com";

	public static void main(String[] args) {
		try {
            String delegatedAdminAccountId = "111122223333"; // Account Id for the delegated administrator.
            AWSOrganizations organizationsClient = AWSOrganizationsClient.builder()
                .withCredentials(new ProfileCredentialsProvider())
                .withRegion(Regions.US_EAST_1)
                .build();

            organizationsClient.deregisterDelegatedAdministrator(new DeregisterDelegatedAdministratorRequest()
                .withAccountId(delegatedAdminAccountId)
                .withServicePrincipal(S3_STORAGE_LENS_SERVICE_PRINCIPAL));
        } catch (AmazonServiceException e) {
            // The call was transmitted successfully, but AWS Organizations couldn't process
            // it and returned an error response.
            e.printStackTrace();
        } catch (SdkClientException e) {
            // AWS Organizations couldn't be contacted for a response, or the client
            // couldn't parse the response from AWS Organizations.
            e.printStackTrace();
        }
	}
}
```