# Usar o Amazon S3 Storage Lens com AWS Organizations
<a name="storage_lens_with_organizations"></a>

A Lente de Armazenamento do Amazon S3 é um recurso de análise de armazenamento em nuvem que você pode usar para obter visibilidade em toda a organização sobre o uso e a atividade do armazenamento de objetos. Use as métricas da Lente de Armazenamento do S3 para gerar insights resumidos, como descobrir quanto armazenamento você tem em toda a organização ou quais são os buckets e prefixos que mais crescem. Você também pode usar a Lente de Armazenamento do Amazon S3 para coletar métricas de armazenamento e dados de uso de todas as Contas da AWS que fazem parte da hierarquia do AWS Organizations. Para fazer isso, use o AWS Organizations e habilite o acesso confiável da Lente de Armazenamento do S3 utilizando sua conta de gerenciamento do AWS Organizations.

Depois de habilitar o acesso confiável, adicione acesso de administrador delegado às contas em sua organização. As contas de administrador delegado são usadas para criar configurações e painéis da Lente de Armazenamento do S3 que coletam métricas de armazenamento e dados de usuários em toda a organização. Para obter mais informações sobre como habilitar o acesso confiável, consulte [Amazon S3 Storage Lens e AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-s3lens.html) no *Guia do usuário do AWS Organizations*.

**Topics**
+ [Ativando acesso confiável para o S3 Storage Lens](storage_lens_with_organizations_enabling_trusted_access.md)
+ [Desativação do acesso confiável para o S3 Storage Lens](storage_lens_with_organizations_disabling_trusted_access.md)
+ [Registro de um administrador delegado para o S3 Storage Lens](storage_lens_with_organizations_registering_delegated_admins.md)
+ [Cancelamento do registro de um administrador delegado para o S3 Storage Lens](storage_lens_with_organizations_deregistering_delegated_admins.md)

# Ativando acesso confiável para o S3 Storage Lens
<a name="storage_lens_with_organizations_enabling_trusted_access"></a>

Ao habilitar o acesso confiável, você permite que a Lente de Armazenamento do Amazon S3 tenha acesso à sua hierarquia do AWS Organizations, associação e estrutura por meio das operações de API do AWS Organizations. A Lente de Armazenamento do S3 se torna um serviço confiável para toda a estrutura de sua organização.

Sempre que uma configuração de painel é criada, a Lente de Armazenamento do S3 cria funções vinculadas a serviços nas contas de gerenciamento ou administrador delegado da sua organização. O perfil vinculado ao serviço concede à Lente de Armazenamento do S3 permissão para realizar as seguintes ações: 
+ Descrever organizações
+ Listar contas
+ Verificar uma lista de acesso AWS service (Serviço da AWS) para as organizações
+ Obter administradores delegados para as organizações



A Lente de Armazenamento do S3 pode garantir que tenha acesso para coletar as métricas entre contas de sua organização. Para obter mais informações, consulte [ Usar funções vinculadas a serviço do Amazon S3 Storage Lens](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-service-linked-roles.html). 

Depois de habilitar o acesso confiável, você pode atribuir acesso de administrador delegado a contas em sua organização. Quando uma conta é marcada como administrador delegado para um serviço, a conta recebe autorização para acessar todas as operações de API da organização somente leitura. Esse acesso oferece a visibilidade de administrador delegado aos membros e estruturas de sua organização para que também possam criar painéis da Lente de Armazenamento do S3.

**nota**  
O acesso confiável só pode ser ativado pela [conta de gerenciamento](https://docs.aws.amazon.com/managedservices/latest/userguide/management-account.html).
 Somente a conta de gerenciamento e os administradores delegados podem criar painéis ou configurações do S3 Storage Lens para sua organização.

# Usar o console do S3
<a name="storage_lens_console_organizations_enabling_trusted_access"></a>

**Como permitir que a Lente de Armazenamento do S3 tenha acesso confiável do AWS Organizations**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. No painel de navegação à esquerda, acesse **Lente de Armazenamento**.

1. Escolha **Configurações do AWS Organizations**. A página **Acesso do AWS Organizations à Lente de Armazenamento** é exibida.

1. Em **Acesso confiável do AWS Organizations**, escolha **Editar**.

   A página de **Acesso do AWS Organizations** é exibida.

1. Selecione **Habilitar** para habilitar o acesso confiável para o painel da Lente de Armazenamento do S3.

1. Escolha **Salvar alterações**.

# Como usar o AWS CLI
<a name="OrganizationsEnableTrustedAccessS3LensCLI"></a>

**Example**  
O exemplo a seguir mostra como habilitar o acesso confiável do AWS Organizations para a Lente de Armazenamento do S3 na AWS CLI.  

```
aws organizations enable-aws-service-access --service-principal storage-lens.s3.amazonaws.com
```

# Usar o AWS SDK para Java
<a name="OrganizationsEnableTrustedAccessS3LensJava"></a>

**Example – Habilitar o acesso confiável do AWS Organizations para a Lente de Armazenamento do S3 usando o SDK para Java**  
O exemplo a seguir mostra como habilitar o acesso confiável para a Lente de Armazenamento do S3 no SDK para Java. Para usar esse exemplo, substitua os `user input placeholders` por suas próprias informações.  

```
import com.amazonaws.AmazonServiceException;
import com.amazonaws.SdkClientException;
import com.amazonaws.auth.profile.ProfileCredentialsProvider;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.organizations.AWSOrganizations;
import com.amazonaws.services.organizations.AWSOrganizationsClient;
import com.amazonaws.services.organizations.model.EnableAWSServiceAccessRequest;

public class EnableOrganizationsTrustedAccess {
	private static final String S3_STORAGE_LENS_SERVICE_PRINCIPAL = "storage-lens.s3.amazonaws.com";

	public static void main(String[] args) {
		try {
            AWSOrganizations organizationsClient = AWSOrganizationsClient.builder()
                .withCredentials(new ProfileCredentialsProvider())
                .withRegion(Regions.US_EAST_1)
                .build();

            organizationsClient.enableAWSServiceAccess(new EnableAWSServiceAccessRequest()
                .withServicePrincipal(S3_STORAGE_LENS_SERVICE_PRINCIPAL));
        } catch (AmazonServiceException e) {
            // The call was transmitted successfully, but AWS Organizations couldn't process
            // it and returned an error response.
            e.printStackTrace();
        } catch (SdkClientException e) {
            // AWS Organizations couldn't be contacted for a response, or the client
            // couldn't parse the response from AWS Organizations.
            e.printStackTrace();
        }
	}
}
```

# Desativação do acesso confiável para o S3 Storage Lens
<a name="storage_lens_with_organizations_disabling_trusted_access"></a>

Remover uma conta como administrador delegado ou desabilitar o acesso confiável limita as métricas do painel da Lente de Armazenamento do S3 do proprietário da conta para funcionar apenas no nível de conta. Assim, cada titular da conta só pode ver os benefícios da Lente de Armazenamento do S3 com base no escopo limitado de sua conta, e não de toda a organização.

Quando você desabilita o acesso confiável na Lente de Armazenamento do S3, todos os painéis que requerem acesso confiável não são mais atualizados. Todos os painéis organizacionais criados também não são mais atualizados. Em vez disso, você só pode consultar [dados históricos para o painel da Lente de Armazenamento do S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage_lens_basics_metrics_recommendations.html#storage_lens_basics_data_queries), enquanto os dados ainda estão disponíveis.

**nota**  
A desativação do acesso confiável para a Lente de Armazenamento do S3 também impede automaticamente que todos os painéis da organização coletem e agreguem métricas de armazenamento. Isso ocorre porque a Lente de Armazenamento do S3 não tem mais acesso confiável às contas da organização.
Suas contas de gerenciamento e de administrador delegado ainda poderão ver os dados históricos de painéis desabilitados. Elas também podem consultar esses dados históricos enquanto eles ainda estão disponíveis. 

# Usar o console do S3
<a name="storage_lens_console_organizations_disabling_trusted_access"></a>

**Para desativar o acesso confiável para o S3 Storage Lens**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. No painel de navegação à esquerda, acesse **Lente de Armazenamento**.

1. Escolha **Configurações do AWS Organizations**. A página **Acesso do AWS Organizations à Lente de Armazenamento** é exibida.

1. Em **Acesso confiável do AWS Organizations**, escolha **Editar**.

   A página de **Acesso do AWS Organizations** é exibida.

1. Selecione **Desabilitar** para desabilitar o acesso confiável para o painel da Lente de Armazenamento do S3.

1. Escolha **Salvar alterações**.

# Como usar o AWS CLI
<a name="OrganizationsDisableTrustedAccessS3LensCLI"></a>

**Example**  
O exemplo a seguir desabilita o acesso confiável para a Lente de Armazenamento do S3 usando a AWS CLI.  

```
aws organizations disable-aws-service-access --service-principal storage-lens.s3.amazonaws.com
```

# Usar o AWS SDK para Java
<a name="OrganizationsDisableTrustedAccessS3LensJava"></a>

**Example – Desabilitar o acesso confiável do AWS Organizations para a Lente de Armazenamento do S3**  
O exemplo a seguir mostra como desabilitar o acesso confiável do AWS Organizations para a Lente de Armazenamento do S3 no SDK para Java. Para usar esse exemplo, substitua os `user input placeholders` por suas próprias informações.  

```
import com.amazonaws.AmazonServiceException;
import com.amazonaws.SdkClientException;
import com.amazonaws.auth.profile.ProfileCredentialsProvider;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.organizations.AWSOrganizations;
import com.amazonaws.services.organizations.AWSOrganizationsClient;
import com.amazonaws.services.organizations.model.DisableAWSServiceAccessRequest;

public class DisableOrganizationsTrustedAccess {
	private static final String S3_STORAGE_LENS_SERVICE_PRINCIPAL = "storage-lens.s3.amazonaws.com";

	public static void main(String[] args) {
		try {
            AWSOrganizations organizationsClient = AWSOrganizationsClient.builder()
                .withCredentials(new ProfileCredentialsProvider())
                .withRegion(Regions.US_EAST_1)
                .build();

            // Make sure to remove any existing delegated administrator for S3 Storage Lens 
            // before disabling access; otherwise, the request will fail.
            organizationsClient.disableAWSServiceAccess(new DisableAWSServiceAccessRequest()
                .withServicePrincipal(S3_STORAGE_LENS_SERVICE_PRINCIPAL));
        } catch (AmazonServiceException e) {
            // The call was transmitted successfully, but AWS Organizations couldn't process
            // it and returned an error response.
            e.printStackTrace();
        } catch (SdkClientException e) {
            // AWS Organizations couldn't be contacted for a response, or the client
            // couldn't parse the response from AWS Organizations.
            e.printStackTrace();
        }
	}
}
```

# Registro de um administrador delegado para o S3 Storage Lens
<a name="storage_lens_with_organizations_registering_delegated_admins"></a>

Você pode criar painéis no nível da organização usando a conta de gerenciamento da sua organização ou uma conta de administrador delegado. As contas de administrador delegado permitem que outras contas além da sua conta de gerenciamento criem painéis no nível da organização. A conta mestre de uma organização pode registrar e cancelar o registro de outras contas como administradores delegados da organização.

Depois de habilitar o acesso confiável, você pode registrar o acesso de administrador delegado às contas em sua organização usando a API REST do AWS Organizations, a AWS CLI ou SDKs da [conta de gerenciamento](https://docs.aws.amazon.com/managedservices/latest/userguide/management-account.html). (Consulte mais informações em [https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html) na *Referência de API do AWS Organizations*.) Quando uma conta é registrada como administrador delegado, ela recebe autorização para acessar todas as operações de API somente leitura do AWS Organizations. Isso fornece visibilidade aos membros e estruturas da sua organização para que eles possam criar painéis do S3 Storage Lens em seu nome.

**nota**  
Antes de designar um administrador delegado usando a API REST do AWS Organizations, a AWS CLI ou SDKs, você deve chamar a operação [https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html).

# Usar o console do S3
<a name="storage_lens_console_organizations_registering_delegated_admins"></a>

**Para registrar administradores delegados para o S3 Storage Lens**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. No painel de navegação à esquerda, acesse **Lente de Armazenamento**.

1.  Escolha **Configurações do AWS Organizations**.

1. Em **Administradores delegados**, escolha **Registrar conta**.

1. Adicione um ID de Conta da AWS para registrar a conta como administrador delegado. O administrador delegado pode criar painéis no nível da organização para todas as contas e armazenamentos em sua organização.

1. Escolha **Registrar conta**.

# Como usar o AWS CLI
<a name="OrganizationsRegisterDelegatedAdministratorS3LensCLI"></a>

**Example**  
O exemplo a seguir mostra como registrar os administradores delegados do Organizations para a Lente de Armazenamento do S3 usando a AWS CLI. Para usar esse exemplo, substitua os `user input placeholders` por suas próprias informações.  

```
aws organizations register-delegated-administrator --service-principal storage-lens.s3.amazonaws.com --account-id 111122223333
```

# Usar o AWS SDK para Java
<a name="OrganizationsRegisterDelegatedAdministratorS3LensJava"></a>

**Example – Registrar administradores delegados do Organizations para a Lente de Armazenamento do S3**  
O exemplo a seguir mostra como registrar os administradores delegados do AWS Organizations para a Lente de Armazenamento do S3 no SDK para Java. Para usar esse exemplo, substitua os `user input placeholders` por suas próprias informações.  

```
import com.amazonaws.AmazonServiceException;
import com.amazonaws.SdkClientException;
import com.amazonaws.auth.profile.ProfileCredentialsProvider;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.organizations.AWSOrganizations;
import com.amazonaws.services.organizations.AWSOrganizationsClient;
import com.amazonaws.services.organizations.model.RegisterDelegatedAdministratorRequest;

public class RegisterOrganizationsDelegatedAdministrator {
	private static final String S3_STORAGE_LENS_SERVICE_PRINCIPAL = "storage-lens.s3.amazonaws.com";

	public static void main(String[] args) {
		try {
            String delegatedAdminAccountId = "111122223333"; // Account Id for the delegated administrator.
            AWSOrganizations organizationsClient = AWSOrganizationsClient.builder()
                .withCredentials(new ProfileCredentialsProvider())
                .withRegion(Regions.US_EAST_1)
                .build();

            organizationsClient.registerDelegatedAdministrator(new RegisterDelegatedAdministratorRequest()
                .withAccountId(delegatedAdminAccountId)
                .withServicePrincipal(S3_STORAGE_LENS_SERVICE_PRINCIPAL));
        } catch (AmazonServiceException e) {
            // The call was transmitted successfully, but AWS Organizations couldn't process
            // it and returned an error response.
            e.printStackTrace();
        } catch (SdkClientException e) {
            // AWS Organizations couldn't be contacted for a response, or the client
            // couldn't parse the response from AWS Organizations.
            e.printStackTrace();
        }
	}
}
```

# Cancelamento do registro de um administrador delegado para o S3 Storage Lens
<a name="storage_lens_with_organizations_deregistering_delegated_admins"></a>

Depois de habilitar o acesso confiável, você também pode cancelar o registro do acesso de administrador delegado às contas em sua organização. As contas de administrador delegado permitem que outras contas além da sua [conta de gerenciamento](https://docs.aws.amazon.com/managedservices/latest/userguide/management-account.html) criem painéis no nível da organização. Somente a conta de gerenciamento de uma organização pode cancelar o registro de contas como administradores delegados para a organização.

É possível cancelar o registro de um administrador delegado usando o Console de gerenciamento da AWS do AWS Organizations, a API REST, a AWS CLI ou SDKs da AWS da conta de gerenciamento. Para obter mais informações, consulte [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) na *Referência de APIs do AWS Organizations*.

Quando uma conta tem o registro do administrador delegado cancelado, ela perde o acesso a:
+ Todas as operações de API somente leitura do AWS Organizations que fornecem visibilidade aos membros e estruturas da organização.
+ Todos os painéis no nível da organização criados pelo administrador delegado. O cancelamento do registro de um administrador delegado também impede automaticamente que todos os painéis da organização criados por esse administrador delegado agreguem novas métricas de armazenamento.
**nota**  
O administrador delegado que tiver o registro cancelado ainda poderá ver os dados históricos dos painéis desabilitados que foram criados se os dados ainda estiverem disponíveis para consulta.

# Usar o console do S3
<a name="storage_lens_console_organizations_deregistering_delegated_admins"></a>

**Como cancelar o registro de administradores delegados para a Lente de Armazenamento do S3**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. No painel de navegação à esquerda, acesse **Lente de Armazenamento**.

1.  Escolha **Configurações do AWS Organizations**.

1. Em **Administradores delegados**, selecione a conta da qual deseja cancelar o registro.

1. Escolha **Cancelar o registro da conta**. A conta com o registro cancelado não é mais um administrador delegado e agora não pode criar painéis no nível da organização para todas as contas e armazenamentos na organização.

1. Escolha **Registrar conta**.

# Como usar o AWS CLI
<a name="OrganizationsDeregisterDelegatedAdministratorS3LensCLI"></a>

**Example**  
O exemplo a seguir mostra como cancelar o registro dos administradores delegados do Organizations para a Lente de Armazenamento do S3 usando a AWS CLI. Para usar esse exemplo, substitua `111122223333` pelo ID de sua Conta da AWS.  

```
aws organizations deregister-delegated-administrator --service-principal storage-lens.s3.amazonaws.com --account-id 111122223333
```

# Usar o AWS SDK para Java
<a name="OrganizationsDeregisterDelegatedAdministratorS3LensJava"></a>

**Example – Cancelar o registro de administradores delegados do Organizations para a Lente de Armazenamento do S3**  
O exemplo a seguir mostra como cancelar o registro dos administradores delegados do Organizations para a Lente de Armazenamento do S3 usando o SDK para Java. Para usar esse exemplo, substitua os `user input placeholders` por suas próprias informações.  

```
import com.amazonaws.AmazonServiceException;
import com.amazonaws.SdkClientException;
import com.amazonaws.auth.profile.ProfileCredentialsProvider;
import com.amazonaws.regions.Regions;
import com.amazonaws.services.organizations.AWSOrganizations;
import com.amazonaws.services.organizations.AWSOrganizationsClient;
import com.amazonaws.services.organizations.model.DeregisterDelegatedAdministratorRequest;

public class DeregisterOrganizationsDelegatedAdministrator {
	private static final String S3_STORAGE_LENS_SERVICE_PRINCIPAL = "storage-lens.s3.amazonaws.com";

	public static void main(String[] args) {
		try {
            String delegatedAdminAccountId = "111122223333"; // Account Id for the delegated administrator.
            AWSOrganizations organizationsClient = AWSOrganizationsClient.builder()
                .withCredentials(new ProfileCredentialsProvider())
                .withRegion(Regions.US_EAST_1)
                .build();

            organizationsClient.deregisterDelegatedAdministrator(new DeregisterDelegatedAdministratorRequest()
                .withAccountId(delegatedAdminAccountId)
                .withServicePrincipal(S3_STORAGE_LENS_SERVICE_PRINCIPAL));
        } catch (AmazonServiceException e) {
            // The call was transmitted successfully, but AWS Organizations couldn't process
            // it and returned an error response.
            e.printStackTrace();
        } catch (SdkClientException e) {
            // AWS Organizations couldn't be contacted for a response, or the client
            // couldn't parse the response from AWS Organizations.
            e.printStackTrace();
        }
	}
}
```