管理对 Amazon Web Services Support 计划的访问权限 - Amazon Web Services Support
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

管理对 Amazon Web Services Support 计划的访问权限

Support Plans 控制台的权限

要访问 Support Plans 控制台,用户必须拥有一组最低权限。这些权限必须允许用户列出和查看有关 Amazon Web Services 账户 中 Support Plans 资源的详细信息。

使用 supportplans 命名空间创建 Amazon Identity and Access Management(IAM)policy。您可以使用此策略来指定操作和资源的权限。

创建策略时,可以指定服务的命名空间来允许或拒绝操作。Support Plans 的命名空间为 supportplans

您可以使用 Amazon 托管策略并将其附加到您的 IAM 实体。有关更多信息,请参阅适用于 Amazon Web Services Support Plans 的 Amazon 托管策略

Support Plans 操作

可以在控制台中执行以下 Support Plans 操作。还可以在 IAM policy 中指定这些 Support Plans 操作以允许或拒绝特定操作。

操作 描述

GetSupportPlan

授予查看有关此 Amazon Web Services 账户 当前 Support Plans 详细信息的权限。

GetSupportPlanUpdateStatus

授予查看有关更新 Support Plans 请求状态的详细信息的权限。

StartSupportPlanUpdate

授予启动请求以更新此 Amazon Web Services 账户 支持计划的权限。

Support Plans 的示例 IAM policy

您可以使用以下示例策略来管理对 Support Plans 的访问。

对 Support Plans 的完全访问

以下策略允许用户对 Support Plans 进行完全访问。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "supportplans:*", "Resource": "*" } ] }

对 Support Plans 的只读访问

以下策略允许用户对 Support Plans 进行只读访问。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "supportplans:Get*", "Resource": "*" } ] }

拒绝对 Support Plans 的访问

以下策略不允许用户访问 Support Plans。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "supportplans:*", "Resource": "*" } ] }

故障排除

请参阅以下主题以管理对 Support 计划的访问。

尝试查看或更改支持计划时,Support 计划控制台显示缺少 GetSupportPlan 权限

IAM 用户必须具有访问 Support 计划控制台所需的权限。您可以更新 IAM policy 以包含缺少的权限,也可以使用 AWSSupportPlansFullAccess 或 AWSSupportPlansReadOnlyAccess 等 Amazon 托管策略。有关更多信息,请参阅适用于 Amazon Web Services Support Plans 的 Amazon 托管策略

如果您无权更新 IAM policy,请联系 Amazon Web Services 账户管理员。

有关更多信息,请参阅 IAM 用户指南中的以下主题:

具有正确的 Support 计划权限,但仍然显示相同的错误信息

如果您的 Amazon Web Services 账户 是属于 Amazon Organizations 的成员账户,则可能需要更新服务控制策略(SCP)。SCP 是一种管理组织权限的策略。

由于 Support 计划是一项全球服务,因此限制 Amazon Web Services 区域的策略可能会阻止成员账户查看或更改其支持计划。要为您的组织允许全球服务,例如 IAM 和 Support 计划,必须将该服务添加到任何适用的 SCP 的排除列表中。这意味组织中的账户可以访问这些服务,即使 SCP 拒绝指定的 Amazon Web Services 区域。

要将 Support 计划添加为例外,请在 SCP 的 "NotAction" 列表中输入 "supportplans:*"

"supportplans:*",

您的 SCP 可能显示为以下策略代码段。

例 :允许 Support 计划在组织中进行访问的 SCP
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRREGIONDENY", "Effect": "Deny", "NotAction": [ "aws-portal:*", "budgets:*", "chime:*" "iam:*", "supportplans:*", ....

如果您有成员账户但无法更新 SCP,请联系 Amazon Web Services 账户 管理员。管理账户可能需要更新 SCP,以便所有成员账户都可以访问 Support 计划。

Amazon Control Tower 的注意事项
  • 如果您的组织将 Amazon Control Tower 与 SCP 结合使用,则可以更新根据请求的 Amazon Web Services 区域 拒绝访问 Amazon控制(通常称为区域拒绝控制)。

  • 如果您将适用于 Amazon Control Tower 的 SCP 更新为允许 supportplans,则修复偏差将删除您对 SCP 的更新。有关更多信息,请参阅检测并解决 Amazon Control Tower 中的偏差

有关更多信息,请参阅以下主题: