为了从 AWS S3 存储设备收集数据，您必须具备以下信息：

访问密钥由访问密钥 ID（例如，AKIAIOSFODNN7EXAMPLE）和秘密访问密钥（例如，wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY）组成。如果您使用 AWS SDKs、REST 或查询 API 操作，则可以使用访问密钥来签署向 AWS 发出的编程请求。这些密钥是随亚马逊的合同提供的。

根据下表将数据输入数据收集器字段：

访问密钥是 IAM 用户或 AWS 账户根用户的长期凭证。访问密钥用于签署对 AWS CLI 或 AWS API 的编程请求（直接或使用 AWS SDK）。

访问密钥由两部分组成：访问密钥 ID 和秘密访问密钥。当您使用_IAM 访问密钥_身份验证（而不是_IAM 角色_身份验证）时，您必须同时使用访问密钥 ID 和秘密访问密钥来对请求进行身份验证。欲了解更多信息，请参阅亚马逊文档"访问键"。

当使用_IAM 角色_身份验证（而不是 IAM 访问密钥身份验证）时，您必须确保您创建或指定的角色具有访问资源所需的适当权限。

例如，如果您创建一个名为 InstanceS3ReadOnly 的 IAM 角色，则必须设置策略以授予此 IAM 角色对所有 S3 资源的 S3 只读列表访问权限。此外，您必须授予 STS（安全令牌服务）访问权限，以便允许该角色跨账户承担角色。

创建 IAM 角色后，您可以在创建新的 S3 实例或任何现有 S3 实例时附加它。

将 IAM 角色 InstanceS3ReadOnly 附加到 S3 实例后，您将能够通过 IAM 角色名称通过实例元数据检索临时凭证，并使用它来通过在此 S3 实例上运行的任何应用程序访问 AWS 资源。

更多信息请参阅亚马逊文档"IAM 角色"。

注意：仅当采集单元在 AWS 实例中运行时才可使用 IAM 角色。

AWS S3 作为存储数据收集器包含一个选项，允许您使用在 S3 上配置的标签填充Data Infrastructure Insights注释。注释的名称必须与 AWS 标签的名称完全相同。Data Infrastructure Insights将始终填充同名的文本类型注释，并将“尽最大努力”填充其他类型（数字、布尔值等）的注释。如果您的注释属于不同类型并且数据收集器无法填充它，则可能需要删除该注释并将其重新创建为文本类型。

请注意，AWS 区分大小写，而Data Infrastructure Insights不区分大小写。因此，如果您在Data Infrastructure Insights中创建名为“OWNER”的注释，并在 S3 中创建名为“OWNER”、“Owner”和“owner”的标签，则“owner”的所有 S3 变体都将映射到 Cloud Insight 的“OWNER”注释。

Data Infrastructure Insights支持在单个 AWS 数据收集器内收集 AWS 的子账户。此集合的配置在 AWS 环境中执行：

最佳实践：强烈建议将 AWS 预定义的 AmazonS3ReadOnlyAccess 策略分配给 S3 主账户。此外，数据源中配置的用户至少应分配预定义的 AWSOrganizationsReadOnlyAccess 策略，以便查询 AWS。

有关配置环境以允许Data Infrastructure Insights从 AWS 子账户收集信息，请参阅以下内容：

"教程：使用 IAM 角色跨 AWS 账户委托访问权限"

"AWS 设置：向您拥有的另一个 AWS 账户中的 IAM 用户提供访问权限"

"创建角色以将权限委托给 IAM 用户"

关于此数据收集器的更多信息，请参阅"支持"页面或在"数据收集器支持矩阵"。