本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 Amazon S3 Storage Lens 許可
<a name="storage_lens_iam_permissions"></a>

Amazon S3 Storage Lens 需要 AWS Identity and Access Management (IAM) 中的新許可，才能授權存取 S3 Storage Lens 動作。若要授予這些許可，您可以使用身分型 IAM 政策。您可以將此政策連接至 IAM 使用者、群組或角色，為他們授予許可。此類許可能夠包含啟用或停用 S3 Storage Lens，或存取任何 S3 Storage Lens 儀表板或組態的能力。

IAM 使用者或角色必須屬於建立或擁有儀表板或組態的帳戶，除非以下兩個條件均成立：
+ 您的帳戶是 的成員 AWS Organizations。
+ 您有權以委派管理員的身分使用管理帳戶建立組織層級儀表板。



**注意**  
您無法使用帳戶的根使用者憑證，來檢視 Amazon S3 Storage Lens 儀表板。若要存取 S3 Storage Lens 儀表板，必須將必要的 IAM 許可授予新的或現有的 IAM 使用者。然後，使用這些使用者憑證登入，以存取 S3 Storage Lens 儀表板。如需詳細資訊，請參閱《IAM 使用者指南》**中的 [IAM 中的安全性最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
在 Amazon S3 主控台上使用 S3 Storage Lens 可能需要多個許可。例如，若要在主控台上編輯儀表板，您需要下列許可：  
`s3:ListStorageLensConfigurations`
`s3:GetStorageLensConfiguration`
`s3:PutStorageLensConfiguration`

**Topics**
+ [設定使用 S3 Storage Lens 的帳戶許可](#storage_lens_iam_permissions_account)
+ [設定使用 S3 Storage Lens 群組的帳戶許可](#storage_lens_groups_permissions)
+ [設定許可以搭配 使用 S3 Storage Lens AWS Organizations](#storage_lens_iam_permissions_organizations)

## 設定使用 S3 Storage Lens 的帳戶許可
<a name="storage_lens_iam_permissions_account"></a>

若要建立及管理 S3 Storage Lens 儀表板和 Storage Lens 儀表板組態，您必須具備下列許可 (具體取決於您要執行的動作)：

 下表顯示 Amazon S3 Storage Lens 的相關 IAM 許可。


| Action | IAM 許可 | 
| --- | --- | 
| 在 Amazon S3 主控台中建立或更新 S3 Storage Lens 儀表板。 |  `s3:ListStorageLensConfigurations` `s3:GetStorageLensConfiguration` `s3:GetStorageLensConfigurationTagging` `s3:PutStorageLensConfiguration` `s3:PutStorageLensConfigurationTagging`  | 
| 在 Amazon S3 主控台上取得 S3 Storage Lens 儀表板的標籤。 |  `s3:ListStorageLensConfigurations` `s3:GetStorageLensConfigurationTagging`  | 
| 在 Amazon S3 主控台上檢視 S3 Storage Lens 儀表板。 |  `s3:ListStorageLensConfigurations` `s3:GetStorageLensConfiguration` `s3:GetStorageLensDashboard`  | 
| 刪除 Amazon S3 主控台上 S3 Storage Lens 儀表板。 |  `s3:ListStorageLensConfigurations` `s3:GetStorageLensConfiguration` `s3:DeleteStorageLensConfiguration`  | 
| 使用 或 SDK 建立 AWS CLI 或更新 S3 Storage Lens AWS 組態。 |  `s3:PutStorageLensConfiguration` `s3:PutStorageLensConfigurationTagging`  | 
| 使用 AWS CLI 或 SDK 取得 S3 Storage Lens 組態的 AWS 標籤。 |  `s3:GetStorageLensConfigurationTagging`  | 
| 使用 AWS CLI 或 AWS SDK 檢視 S3 Storage Lens 組態。 |  `s3:GetStorageLensConfiguration`  | 
| 使用 AWS CLI 或 AWS SDK 刪除 S3 Storage Lens 組態。 |  `s3:DeleteStorageLensConfiguration`  | 

**注意**  
您可以在 IAM 政策中使用資源標籤來管理許可。
具有這些許可的 IAM 使用者或角色可以從儲存貯體和字首查看指標，這些 IAM 使用者/角色可能沒有從這些儲存貯體和字首直接讀取或列出物件的許可。
對於已啟用字首層級指標的 S3 Storage Lens 儀表板，如果選取的字首路徑與物件索引鍵相符，儀表板可能會將物件索引鍵顯示為另一個字首。
對於在您帳戶中儲存貯體存放的指標匯出，使用 IAM 政策中現有的 `s3:GetObject` 許可來授予許可。同樣地，對於 AWS Organizations 實體，組織的管理帳戶或委派管理員帳戶可以使用 IAM 政策來管理組織層級儀表板和組態的存取許可。

## 設定使用 S3 Storage Lens 群組的帳戶許可
<a name="storage_lens_groups_permissions"></a>

您可以使用 S3 Storage Lens 群組，根據字首、尾碼、物件標籤、物件大小或物件存留期，了解儲存在儲存貯體內的分佈情形。您可以將 Storage Lens 群組連接至儀表板，以檢視其彙總指標。

若要使用 Storage Lens 群組，您需要特定許可。如需詳細資訊，請參閱[Storage Lens 群組許可](storage-lens-groups.md#storage-lens-group-permissions)。



## 設定許可以搭配 使用 S3 Storage Lens AWS Organizations
<a name="storage_lens_iam_permissions_organizations"></a>

您可以使用 Amazon S3 Storage Lens 來收集 AWS Organizations 階層中所有帳戶的儲存指標和用量資料。下表顯示搭配 Organizations 使用 S3 Storage Lens 時的相關動作和許可。


| Action | IAM 許可 | 
| --- | --- | 
| 為您的組織啟用 S3 Storage Lens 的受信任存取權。 |  `organizations:EnableAWSServiceAccess`  | 
| 針對組織停用 S3 Storage Lens 的受信任存取權。 |  `organizations:DisableAWSServiceAccess`  | 
| 註冊委派管理員，為您的組織建立 S3 Storage Lens 儀表板或組態。 |  `organizations:RegisterDelegatedAdministrator`  | 
| 取消註冊委派管理員，以便其無法再針對您的組織建立 S3 Storage Lens 儀表板或組態。 |  `organizations:DeregisterDelegatedAdministrator`  | 
|  建立 S3 Storage Lens 全組織組態的額外許可。  |  `organizations:DescribeOrganization` `organizations:ListAccounts` `organizations:ListAWSServiceAccessForOrganization` `organizations:ListDelegatedAdministrators` `iam:CreateServiceLinkedRole`  |