管理对 Amazon Web Services Support 计划的访问权限
Support Plans 控制台的权限
要访问 Support Plans 控制台,用户必须拥有一组最低权限。这些权限必须允许用户列出和查看有关 Amazon Web Services 账户 中 Support Plans 资源的详细信息。
使用 supportplans 命名空间创建 Amazon Identity and Access Management(IAM)policy。您可以使用此策略来指定操作和资源的权限。
创建策略时,可以指定服务的命名空间来允许或拒绝操作。Support Plans 的命名空间为 supportplans。
您可以使用 Amazon 托管策略并将其附加到您的 IAM 实体。有关更多信息,请参阅适用于 Amazon Web Services Support Plans 的 Amazon 托管策略。
Support Plans 操作
可以在控制台中执行以下 Support Plans 操作。还可以在 IAM policy 中指定这些 Support Plans 操作以允许或拒绝特定操作。
| 操作 | 描述 |
|---|---|
|
|
授予查看有关此 Amazon Web Services 账户 当前 Support Plans 详细信息的权限。 |
|
|
授予查看有关更新 Support Plans 请求状态的详细信息的权限。 |
|
|
授予启动请求以更新此 Amazon Web Services 账户 支持计划的权限。 |
Support Plans 的示例 IAM policy
您可以使用以下示例策略来管理对 Support Plans 的访问。
对 Support Plans 的完全访问
以下策略允许用户对 Support Plans 进行完全访问。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "supportplans:*", "Resource": "*" } ] }
对 Support Plans 的只读访问
以下策略允许用户对 Support Plans 进行只读访问。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "supportplans:Get*", "Resource": "*" } ] }
拒绝对 Support Plans 的访问
以下策略不允许用户访问 Support Plans。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "supportplans:*", "Resource": "*" } ] }
故障排除
请参阅以下主题以管理对 Support 计划的访问。
尝试查看或更改支持计划时,Support 计划控制台显示缺少 GetSupportPlan 权限
IAM 用户必须具有访问 Support 计划控制台所需的权限。您可以更新 IAM policy 以包含缺少的权限,也可以使用 AWSSupportPlansFullAccess 或 AWSSupportPlansReadOnlyAccess 等 Amazon 托管策略。有关更多信息,请参阅适用于 Amazon Web Services Support Plans 的 Amazon 托管策略。
如果您无权更新 IAM policy,请联系 Amazon Web Services 账户管理员。
相关信息
有关更多信息,请参阅 IAM 用户指南中的以下主题:
具有正确的 Support 计划权限,但仍然显示相同的错误信息
如果您的 Amazon Web Services 账户 是属于 Amazon Organizations 的成员账户,则可能需要更新服务控制策略(SCP)。SCP 是一种管理组织权限的策略。
由于 Support 计划是一项全球服务,因此限制 Amazon Web Services 区域的策略可能会阻止成员账户查看或更改其支持计划。要为您的组织允许全球服务,例如 IAM 和 Support 计划,必须将该服务添加到任何适用的 SCP 的排除列表中。这意味组织中的账户可以访问这些服务,即使 SCP 拒绝指定的 Amazon Web Services 区域。
要将 Support 计划添加为例外,请在 SCP 的 "NotAction" 列表中输入 "supportplans:*"。
"supportplans:*",
您的 SCP 可能显示为以下策略代码段。
例 :允许 Support 计划在组织中进行访问的 SCP
{ "Version": "2012-10-17",
"Statement": [
{ "Sid": "GRREGIONDENY",
"Effect": "Deny",
"NotAction": [
"aws-portal:*",
"budgets:*",
"chime:*"
"iam:*",
"supportplans:*",
....如果您有成员账户但无法更新 SCP,请联系 Amazon Web Services 账户 管理员。管理账户可能需要更新 SCP,以便所有成员账户都可以访问 Support 计划。
-
如果您的组织将 Amazon Control Tower 与 SCP 结合使用,则可以更新根据请求的 Amazon Web Services 区域 拒绝访问 Amazon控制(通常称为区域拒绝控制)。
-
如果您将适用于 Amazon Control Tower 的 SCP 更新为允许
supportplans,则修复偏差将删除您对 SCP 的更新。有关更多信息,请参阅检测并解决 Amazon Control Tower 中的偏差。
相关信息
有关更多信息,请参阅以下主题:
-
《Amazon Organizations 用户指南》中的服务控制策略(SCP)。
-
《Amazon Control Tower 用户指南》中的配置区域拒绝控制
-
根据《Amazon Control Tower 用户指南》中要求的 Amazon Web Services 区域 拒绝访问 Amazon