要从AWS S3作为存储设备收集数据、您必须具有以下信息：

访问密钥由一个访问密钥 ID （例如， AKIIOSFODNN7EXAMPLE ）和一个机密访问密钥（例如， wJALRXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY ）组成。如果使用AWS SDK、REST或查询API操作、则可以使用访问密钥对向AWS发出的编程请求进行签名。这些密钥随 Amazon 的合同一起提供。

根据下表在数据收集器字段中输入数据：

访问密钥是 IAM 用户或 AWS 帐户 root 用户的长期凭据。访问密钥用于对指向 AWS 命令行界面或 AWS API 的编程请求进行签名（直接或使用 AWS SDK ）。

访问密钥包括两部分：访问密钥 ID 和机密访问密钥。使用 _IAM 访问密钥 _ 身份验证（与 _IAM 角色 _ 身份验证不同）时，必须同时使用访问密钥 ID 和机密访问密钥来对请求进行身份验证。有关详细信息，请参见上的 Amazon 文档 "访问密钥"。

使用 IAM role 身份验证（与 IAM 访问密钥身份验证不同）时，您必须确保您创建或指定的角色具有访问资源所需的适当权限。

例如、如果您创建了一个名为_InstanceS3ReadOnly"的IAM角色、则必须设置此策略以为此IAM角色向所有S3资源授予S3只读列表访问权限。此外，您还必须授予 STS （安全令牌服务）访问权限，以便允许此角色跨帐户承担角色。

创建IAM角色后、您可以在创建新S3实例或任何现有S3实例时附加此角色。

将IAM角色_InstanceS3ReadOnly"附加到S3实例后、您将能够按IAM角色名称通过实例元数据检索临时凭据、并使用它通过此S3实例上运行的任何应用程序访问AWS资源。

有关详细信息，请参见上的 Amazon 文档 "IAM 角色"。

注意：只有在采集单元在 AWS 实例中运行时，才能使用 IAM 角色。

作为存储数据收集器的AWS S3提供了一个选项、可用于使用S3上配置的标记填充Cloud Insights 标注。标注的名称必须与AWS标记完全相同。Cloud Insights 将始终填充同名文本类型的标注，并 " 尽力 " 填充其他类型（数字，布尔值等）的标注。如果您的标注类型不同，而数据收集器无法填充，则可能需要删除此标注并将其重新创建为文本类型。

请注意， AWS 区分大小写，而 Cloud Insights 不区分大小写。因此、如果您在Cloud Insights 中创建了一个名为"owner"的标注、在S3中创建了名为"owner"、"owner"和"owner"的标记、则所有S3变体"owner"都将映射到Cloud Insight的"owner"标注。

在 AWS Data Collector * 高级配置 * 部分中，您可以设置 * 包括额外区域 * 字段以包括其他区域，以逗号或分号分隔。默认情况下，此字段设置为 * 。 * _ * ，它会在所有美国 AWS 地区收集数据。要在 all 地区收集数据，请将此字段设置为 * 。 * _ * 。如果 * 包括额外区域 * 字段为空，则数据收集器将收集在 * 配置 * 部分中指定的 * AWS 区域 * 字段中指定的资产。

Cloud Insights 支持在一个 AWS 数据收集器中收集 AWS 的子帐户。此收集的配置在 AWS 环境中执行：

最佳实践：强烈建议将AWS预定义的_AmazonS3ReadOnlyAccess_策略分配给S3主帐户。此外，在数据源中配置的用户应至少分配预定义的 AWSOrganizationsReadOnlyAccess 策略，以便查询 AWS 。

有关配置环境以允许 Cloud Insights 从 AWS 子帐户收集数据的信息，请参见以下内容：

"教程：使用 IAM 角色跨 AWS 帐户委派访问"

"AWS 设置：在您拥有的另一个 AWS 帐户中提供对 IAM 用户的访问权限"

"创建角色以将权限委派给 IAM 用户"

可从中找到此数据收集器上的追加信息 "支持" 页面或中的 "数据收集器支持列表"。