# Amazon S3 ストレージレンズアクセス許可の設定
<a name="storage_lens_iam_permissions"></a>

Amazon S3 ストレージレンズでは、S3 ストレージレンズの各アクションへのアクセスを許可するために、AWS Identity and Access Management (IAM) の新しいアクセス許可が必要となります。これらのアクセス許可を付与するには、アイデンティティベースの IAM ポリシーを使用できます。このポリシーを、IAM ユーザー、グループ、またはロールにアタッチして、アクセス許可を付与することができます。このようなアクセス許可には、S3 Storage Lens の有効化または無効化や、S3 Storage Lens ダッシュボードや設定へのアクセスなどが含まれます。

これらの IAM ユーザーまたはロールは、以下の条件の両方に当てはまる場合を除き、ダッシュボードまたはその設定を作成または所有しているアカウントに属している必要があります。
+ アカウントが AWS Organizations のメンバーです。
+ 委任管理者として管理アカウントによって、組織レベルのダッシュボードを作成するアクセスを付与されています。



**注記**  
Amazon S3 ストレージレンズダッシュボードを表示するために、アカウントのルートユーザーの認証情報を使用することはできません。S3 ストレージレンズダッシュボードにアクセスするには、新規または既存の IAM ユーザーに対し、必要な IAM アクセス許可を付与する必要があります。その後、それらのユーザーの認証情報によりサインインを行い、S3 Storage Lens ダッシュボードにアクセスします。詳細については、「*IAM ユーザーガイド*」の「[IAM でのセキュリティベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。
Amazon S3 コンソールで S3 ストレージレンズを使用するには、複数のアクセス許可が必要になることがあります。例えば、コンソールでダッシュボードを編集するには、次の許可が必要です。  
`s3:ListStorageLensConfigurations`
`s3:GetStorageLensConfiguration`
`s3:PutStorageLensConfiguration`

**Topics**
+ [アカウントで S3 ストレージレンズを使用するためのアクセス許可の設定](#storage_lens_iam_permissions_account)
+ [アカウントで S3 Storage Lens グループを使用するためのアクセス許可の設定](#storage_lens_groups_permissions)
+ [AWS Organizations を使用した S3 ストレージレンズを使用するための許可の設定](#storage_lens_iam_permissions_organizations)

## アカウントで S3 ストレージレンズを使用するためのアクセス許可の設定
<a name="storage_lens_iam_permissions_account"></a>

S3 Storage Lens ダッシュボードと Storage Lens ダッシュボード設定を作成して管理するには、実行するアクションに応じて次の権限が必要です。

 次の表は、Amazon S3 ストレージレンズに関連する IAM アクセス許可を示しています。


| Action | IAM アクセス許可 | 
| --- | --- | 
| Amazon S3 コンソールで S3 ストレージレンズダッシュボードを作成または更新します。 |  `s3:ListStorageLensConfigurations` `s3:GetStorageLensConfiguration` `s3:GetStorageLensConfigurationTagging` `s3:PutStorageLensConfiguration` `s3:PutStorageLensConfigurationTagging`  | 
| Amazon S3 コンソールで S3 ストレージレンズダッシュボードのタグを取得します。 |  `s3:ListStorageLensConfigurations` `s3:GetStorageLensConfigurationTagging`  | 
| Amazon S3 コンソールに S3 ストレージレンズダッシュボードを表示します。 |  `s3:ListStorageLensConfigurations` `s3:GetStorageLensConfiguration` `s3:GetStorageLensDashboard`  | 
| Amazon S3 コンソールで S3 ストレージレンズダッシュボードを削除します。 |  `s3:ListStorageLensConfigurations` `s3:GetStorageLensConfiguration` `s3:DeleteStorageLensConfiguration`  | 
| AWS CLI または AWS SDK により S3 ストレージレンズの設定を作成または更新します。 |  `s3:PutStorageLensConfiguration` `s3:PutStorageLensConfigurationTagging`  | 
| AWS CLI または AWS SDK により S3 ストレージレンズの設定のタグを取得します。 |  `s3:GetStorageLensConfigurationTagging`  | 
| AWS CLI または AWS SDK により S3 ストレージレンズの設定を表示します。 |  `s3:GetStorageLensConfiguration`  | 
| AWS CLI または AWS SDK により S3 ストレージレンズの設定を削除します。 |  `s3:DeleteStorageLensConfiguration`  | 

**注記**  
IAM ポリシーでリソースタグを使用すると、アクセス許可を管理できます。
これらのアクセス許可を持つ IAM ユーザーまたはロールは、バケットおよびプレフィックスからのメトリクスを参照できます。ただし、オブジェクトの読み出しまたは一覧表示のための、直接的なアクセス許可がない場合があります。
プレフィックスレベルのメトリクスが有効になっている S3 Storage Lens ダッシュボードでは、選択したプレフィックスパスがオブジェクトキーと一致すると、ダッシュボードにそのオブジェクトキーが別のプレフィックスとして表示されることがあります。
ご自身のアカウントのバケットに保存されているメトリクスをエクスポートする場合は、IAM ポリシー内の既存の `s3:GetObject` アクセス許可により権限が付与されます。これと同様に、AWS Organizations エンティティであれば、組織の管理アカウントまたは委任管理者アカウントとして IAM ポリシーを使用することで、組織レベルのダッシュボードと設定への許可を管理できます。

## アカウントで S3 Storage Lens グループを使用するためのアクセス許可の設定
<a name="storage_lens_groups_permissions"></a>

S3 Storage Lens グループを使用すると、プレフィックス、サフィックス、オブジェクトタグ、オブジェクトサイズ、またはオブジェクト経過時間に基づいてバケット内のストレージの分布を把握できます。Storage Lens グループをダッシュボードにアタッチすると、集約されたメトリクスを表示できます。

Storage Lens グループを操作するには、特定の権限が必要です。詳細については、「[Storage Lens グループのアクセス許可。](storage-lens-groups.md#storage-lens-group-permissions)」を参照してください。



## AWS Organizations を使用した S3 ストレージレンズを使用するための許可の設定
<a name="storage_lens_iam_permissions_organizations"></a>

Amazon S3 ストレージレンズを使用することで、AWS Organizations の階層に属しているすべてのアカウントから、ストレージのメトリクスと使用状況に関するデータを収集できます。次の表は、Organizations での S3 ストレージレンズの使用に関連する、アクションとアクセス許可を示しています。


| Action | IAM アクセス許可 | 
| --- | --- | 
| S3ストレージレンズのために、信頼されたアクセスを組織内で有効にします。 |  `organizations:EnableAWSServiceAccess`  | 
| 組織内で、S3 ストレージレンズのために信頼されたアクセスを無効にします。 |  `organizations:DisableAWSServiceAccess`  | 
| 組織内で、S3 ストレージレンズダッシュボードまたはその設定を作成するために、委任管理者を登録します。 |  `organizations:RegisterDelegatedAdministrator`  | 
| 委任管理者の登録を解除して、組織の S3 ストレージレンズダッシュボードまたは設定を作成できないようにします。 |  `organizations:DeregisterDelegatedAdministrator`  | 
|  組織全体のために S3 ストレージレンズの設定を作成するための追加のアクセス許可  |  `organizations:DescribeOrganization` `organizations:ListAccounts` `organizations:ListAWSServiceAccessForOrganization` `organizations:ListDelegatedAdministrators` `iam:CreateServiceLinkedRole`  |