本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理对 Amazon Web Services Support 套餐的访问权限
Support Plans 控制台的权限
要访问 Support Plans 控制台,用户必须拥有一组最低权限。这些权限必须允许用户列出和查看有关 Amazon Web Services 账户中 Support Plans 资源的详细信息。
您可以使用supportplans命名空间创建 Amazon Identity and Access Management (IAM) 策略。您可以使用此策略来指定操作和资源的权限。
创建策略时,可以指定服务的命名空间来允许或拒绝操作。Support Plans 的命名空间为 supportplans。
您可以使用 Amazon 托管策略并将其附加到您的 IAM 实体。有关更多信息,请参阅 AmazonAmazon Web Services Support 套餐的托管策略。
Support Plans 操作
可以在控制台中执行以下 Support Plans 操作。还可以在 IAM policy 中指定这些 Support Plans 操作以允许或拒绝特定操作。
| 操作 | 描述 |
|---|---|
|
|
授予查看有关此 Amazon Web Services 账户当前 Support Plans 详细信息的权限。 |
|
|
授予查看有关更新 Support Plans 请求状态的详细信息的权限。 |
|
|
授予启动请求以更新此 Amazon Web Services 账户支持计划的权限。 |
|
|
授予权限以为此 Amazon Web Services 账户创建支持计划时间表。 |
Support Plans 的示例 IAM policy
您可以使用以下示例策略来管理对 Support Plans 的访问。
对 Support Plans 的完全访问
以下策略允许用户对 Support Plans 进行完全访问。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "supportplans:*", "Resource": "*" } ] }
对 Support Plans 的只读访问
以下策略允许用户对 Support Plans 进行只读访问。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "supportplans:Get*", "Resource": "*" } ] }
拒绝对 Support Plans 的访问
以下策略不允许用户访问 Support Plans。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "supportplans:*", "Resource": "*" } ] }
故障排除
请参阅以下主题以管理对 Support 计划的访问。
尝试查看或更改支持计划时,Support 计划控制台显示缺少 GetSupportPlan 权限
IAM 用户必须具有访问 Support 计划控制台所需的权限。您可以更新 IAM policy 以包含缺少的权限,也可以使用 AWSSupportPlansFullAccess 或 AWSSupportPlansReadOnlyAccess 等 Amazon 托管策略。有关更多信息,请参阅 AmazonAmazon Web Services Support 套餐的托管策略。
如果您无权更新 IAM policy,请联系 Amazon Web Services 账户 管理员。
相关信息
有关更多信息,请参阅 IAM 用户指南中的以下主题:
具有正确的 Support 计划权限,但仍然显示相同的错误信息
如果您的账户 Amazon Web Services 账户 是其中的一员 Amazon Organizations,则可能需要更新服务控制政策 (SCP)。SCP 是一种管理组织权限的策略。
由于 Support 计划是一项全球服务,因此限制 Amazon Web Services 区域 的策略可能会阻止成员账户查看或更改其支持计划。要为您的组织允许全球服务,例如 IAM 和 Support 计划,必须将该服务添加到任何适用的 SCP 的排除列表中。这意味着组织中的账户可以访问这些服务,即使 SCP 拒绝了指定的 Amazon Web Services 区域服务。
要将 Support 计划添加为例外,请在 SCP 的 "NotAction" 列表中输入 "supportplans:*"。
"supportplans:*",
您的 SCP 可能显示为以下策略代码段。
例 :允许 Support 计划在组织中进行访问的 SCP
{ "Version": "2012-10-17",
"Statement": [
{ "Sid": "GRREGIONDENY",
"Effect": "Deny",
"NotAction": [
"aws-portal:*",
"budgets:*",
"chime:*"
"iam:*",
"supportplans:*",
....如果您有成员账户但无法更新 SCP,请联系 Amazon Web Services 账户 管理员。管理账户可能需要更新 SCP,以便所有成员账户都可以访问 Support 计划。
的注意事项 Amazon Control Tower
-
如果您的组织将 SCP 与一起使用 Amazon Control Tower,则可以 Amazon 根据请求的 Amazon Web Services 区域控件(通常称为区域拒绝控件)将拒绝访问更新为。
-
如果您将 SCP 更新 Amazon Control Tower 为允许
supportplans,则修复偏差将移除您对 SCP 的更新。有关更多信息,请参阅中的检测和解决偏差 Amazon Control Tower。
相关信息
有关更多信息,请参阅以下主题:
-
《Amazon Organizations 用户指南》中的服务控制策略(SCP)。
-
《Amazon Control Tower 用户指南》中的配置区域拒绝控制
-
Amazon 根据Amazon Control Tower 用户指南 Amazon Web Services 区域中的要求拒绝访问