本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 安全性 Amazon Web Services 支持 安全性 云安全 Amazon 是重中之重。作为 Amazon 客户,您可以受益于专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构。 安全是双方 Amazon 的共同责任。[责任共担模式](https://www.amazonaws.cn/compliance/shared-responsibility-model/)将其描述为云*的*安全性和云*中*的安全性: + **云安全** — Amazon 负责保护在 Amazon 云中运行 Amazon 服务的基础架构。 Amazon 还为您提供可以安全使用的服务。作为的一部分,第三方审计师定期测试和验证我们安全的有效性。要了解适用的合规计划 Amazon Web Services 支持,请参阅 [vices 按合规计划划分的范围内的服务](https://www.amazonaws.cn/compliance/services-in-scope/)。 + **云端安全** — 您的责任由您 Amazon Web Services 服务 使用的内容决定。您还需要对其他因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。 本文档可帮助您了解在使用时如何应用分担责任模型 Amazon Web Services 支持。以下主题向您介绍如何进行配置 Amazon Web Services 支持 以满足您的安全和合规性目标。您还将学习如何使用其他 Amazon Web Services 来帮助您监控和保护您的 Amazon Web Services 支持 资源。 **Topics** + [ # 中的数据保护 Amazon Web Services 支持 ](data-protection.md) + [ # 为您的手机 Amazon Web Services 支持 壳提供安全保障 ](security-for-support-cases.md) + [ # 的身份和访问管理 Amazon Web Services 支持 ](security-iam.md) + [ # 事件响应 ](incident-response.md) + [ # 登录 Amazon Web Services 支持 和监控 Amazon Trusted Advisor ](monitoring-security.md) + [ # 合规性验证 Amazon Web Services 支持 ](support-compliance.md) + [ # 韧性在 Amazon Web Services 支持 ](disaster-recovery-resiliency.md) + [ # 中的基础设施安全 Amazon Web Services 支持 ](infrastructure-security.md) + [ # 中的配置和漏洞分析 Amazon Web Services 支持 ](vulnerability-analysis-and-management.md) # 中的数据保护 Amazon Web Services 支持 数据保护 分 Amazon [分担责任模型](https://www.amazonaws.cn/compliance/shared-responsibility-model/)适用于中的数据保护 Amazon Web Services 支持。如本模型所述 Amazon ,负责保护运行所有内容的全球基础架构 Amazon Web Services 云。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 Amazon Web Services 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅[数据隐私常见问题](https://www.amazonaws.cn/compliance/data-privacy-faq/)。 出于数据保护目的,我们建议您保护 Amazon Web Services 账户 凭证并使用 Amazon IAM Identity Center 或 Amazon Identity and Access Management (IAM) 设置个人用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据: + 对每个账户使用多重身份验证(MFA)。 + 用于 SSL/TLS 与 Amazon 资源通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。 + 使用设置 API 和用户活动日志 Amazon CloudTrail。有关使用 CloudTrail 跟踪捕获 Amazon 活动的信息,请参阅《*Amazon CloudTrail 用户指南》*中的[使用跟 CloudTrail 踪](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-trails.html)。 + 使用 Amazon 加密解决方案以及其中的所有默认安全控件 Amazon Web Services 服务。 + 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。 + 如果您在 Amazon 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-3 版》[https://www.amazonaws.cn/compliance/fips/](https://www.amazonaws.cn/compliance/fips/)。 强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如**名称**字段)。这包括您使用控制台、API Amazon Web Services 支持 或以其他 Amazon Web Services 服务 方式使用控制台 Amazon CLI、API 或时 Amazon SDKs。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。 **重要** 在通信中,切勿共享敏感信息,例如凭证、信用卡 URLs、签名或个人身份信息。 # 为您的手机 Amazon Web Services 支持 壳提供安全保障 支持案例的安全性 创建支持案例时,您的支持案例中包含的信息归您所有。 Amazon 未经您的许可,不会访问您的 Amazon Web Services 账户 数据。 Amazon 不会与第三方共享您的信息。 创建支持案例时,请注意以下几点: + Amazon Web Services 支持 使用`AWSServiceRoleForSupport`服务相关角色中定义的权限呼叫其他 Amazon Web Services 服务 人为您解决客户问题。有关更多信息,请参阅[使用服务相关角色 Amazon Web Services 支持](https://docs.amazonaws.cn/awssupport/latest/user/using-service-linked-roles-sup.html)和[Amazon 托管策略: AWSSupportServiceRolePolicy](https://docs.amazonaws.cn/awssupport/latest/user/aws-managed-policies-aws-support.html#security-iam-awsmanpol-AWSSupportServiceRolePolicy)。 + 您可以查看在您的中发生 Amazon Web Services 支持 的 API 调用 Amazon Web Services 账户。例如,您的账户中有人创建或解决支持案例时,您可以查看日志信息。有关更多信息,请参阅使用[记录 Amazon Web Services 支持 API 调用 Amazon CloudTrail](https://docs.amazonaws.cn/awssupport/latest/user/logging-using-cloudtrail.html)。 + 您可以使用 Amazon Web Services 支持 API 来调用 `DescribeCases` API。此 API 返回支持案例信息,例如案例 ID、创建和解决日期以及与支持座席的通信信息。在案例创建后,您最多可以查看 24 个月的案例详情。有关更多信息,请参阅《Amazon Web Services 支持 API Reference》**中的 [DescribeCases](https://docs.amazonaws.cn/awssupport/latest/APIReference/API_DescribeCases.html)。 + 您的支持案例遵循 [Amazon Web Services 支持的合规性验证](https://docs.amazonaws.cn/awssupport/latest/user/support-compliance.html)。 + 当您创建支持案例时, Amazon 无法访问您的帐户。如有必要,支持座席使用屏幕共享工具远程查看您的屏幕,同时识别并解决问题。此工具仅用于查看。 Amazon Web Services 支持 在屏幕共享会话期间无法为您执行操作。您必须同意与支持座席共享屏幕。有关更多信息,请参阅[Amazon Web Services 支持 FAQs](https://www.amazonaws.cn/premiumsupport/faqs/)。 + 您可以更改 Amazon Web Services 支持 套餐以获得账户所需的帮助。有关更多信息,请参阅[比较 Amazon Web Services 支持 套餐](https://www.amazonaws.cn/premiumsupport/plans/)和[更改 Amazon Web Services 支持 套餐](https://docs.amazonaws.cn/awssupport/latest/user/changing-support-plans.html)。 # 的身份和访问管理 Amazon Web Services 支持 Identity and access management Amazon Identity and Access Management (IAM) Amazon Web Services 服务 可帮助管理员安全地控制对 Amazon 资源的访问权限。IAM 管理员控制谁可以*进行身份验证*(登录)和*授权*(拥有权限)使用 Amazon Web Services 支持 资源。您可以使用 IAM Amazon Web Services 服务 ,无需支付额外费用。 **Topics** + [ ## 受众 ](#security_iam_audience) + [ ## 使用身份进行身份验证 ](#security_iam_authentication) + [ ## 使用策略管理访问 ](#security_iam_access-manage) + [ # 如何 Amazon Web Services 支持 与 IAM 配合使用 ](security_iam_service-with-iam.md) + [ # Amazon Web Services 支持 基于身份的策略示例 ](security_iam_id-based-policy-examples.md) + [ # 使用服务关联角色 ](using-service-linked-roles-intro.md) + [ # Amazon 的托管策略 Amazon Web Services 支持 ](security-iam-awsmanpol.md) + [ # 管理对 Cent Amazon Web Services 支持 er 的访问权限 ](accessing-support.md) + [ # 管理对 Amazon Web Services 支持 套餐的访问权限 ](security-support-plans.md) + [ # 管理对的访问权限 Amazon Trusted Advisor ](security-trusted-advisor.md) + [ # 的服务控制策略示例 Amazon Trusted Advisor ](example-scps-for-aws-trusted-advisor.md) + [ # 对 Amazon Web Services 支持 身份和访问进行故障排除 ](security_iam_troubleshoot.md) ## 受众 您的使用方式 Amazon Identity and Access Management (IAM) 因您的角色而异: + **服务用户**:如果您无法访问功能,请从管理员处请求权限(请参阅[对 Amazon Web Services 支持 身份和访问进行故障排除](security_iam_troubleshoot.md)) + **服务管理员**:确定用户访问权限并提交权限请求(请参阅[如何 Amazon Web Services 支持 与 IAM 配合使用](security_iam_service-with-iam.md)) + **IAM 管理员**:编写用于管理访问权限的策略(请参阅[Amazon Web Services 支持 基于身份的策略示例](security_iam_id-based-policy-examples.md)) ## 使用身份进行身份验证 身份验证是您 Amazon 使用身份凭证登录的方式。您必须以 IAM 用户身份进行身份验证 Amazon Web Services 账户根用户,或者通过担任 IAM 角色进行身份验证。 对于编程访问, Amazon 提供 SDK 和 CLI 来对请求进行加密签名。有关更多信息,请参阅*《IAM 用户指南》*中的[适用于 API 请求的Amazon 签名版本 4](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_sigv.html)。 ### Amazon 账户 root 用户 创建时 Amazon Web Services 账户,首先会有一个名为 Amazon Web Services 账户 *root 用户的*登录身份,该身份可以完全访问所有资源 Amazon Web Services 服务 和资源。我们强烈建议不要使用根用户进行日常任务。有关要求根用户凭证的任务,请参阅*《IAM 用户指南》*中的[需要根用户凭证的任务](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。 ### IAM 用户和群组 *[IAM 用户](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_users.html)*是对某个人员或应用程序具有特定权限的一个身份。建议使用临时凭证,而非具有长期凭证的 IAM 用户。有关更多信息,请参阅 *IAM 用户指南*[中的要求人类用户使用身份提供商的联合身份验证才能 Amazon 使用临时证书进行访问](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。 [https://docs.amazonaws.cn/IAM/latest/UserGuide/id_groups.html](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_groups.html)指定一组 IAM 用户,便于更轻松地对大量用户进行权限管理。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM 用户使用案例](https://docs.amazonaws.cn/IAM/latest/UserGuide/gs-identities-iam-users.html)。 ### IAM 角色 *[IAM 角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles.html)*是具有特定权限的身份,可提供临时凭证。您可以通过[从用户切换到 IAM 角色(控制台)](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或调用 Amazon CLI 或 Amazon API 操作来代入角色。有关更多信息,请参阅《IAM 用户指南》**中的[担任角色的方法](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_manage-assume.html)。 IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。 ## 使用策略管理访问 您可以 Amazon 通过创建策略并将其附加到 Amazon 身份或资源来控制中的访问权限。策略定义了与身份或资源关联时的权限。 Amazon 在委托人提出请求时评估这些政策。大多数策略都以 JSON 文档的 Amazon 形式存储在中。有关 JSON 策略文档的更多信息,请参阅*《IAM 用户指南》*中的 [JSON 策略概述](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies.html#access_policies-json)。 管理员使用策略,通过定义哪个**主体**可以在什么**条件**下对哪些**资源**执行哪些**操作**来指定谁有权访问什么。 默认情况下,用户和角色没有权限。IAM 管理员创建 IAM 策略并将其添加到角色中,然后用户可以担任这些角色。IAM 策略定义权限,与执行操作所用的方法无关。 ### 基于身份的策略 基于身份的策略是您附加到身份(用户、组或角色)的 JSON 权限策略文档。这些策略控制身份可以执行什么操作、对哪些资源执行以及在什么条件下执行。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_create.html)。 基于身份的策略可以是*内联策略*(直接嵌入到单个身份中)或*托管策略*(附加到多个身份的独立策略)。要了解如何在托管策略和内联策略之间进行选择,请参阅*《IAM 用户指南》*中的[在托管策略与内联策略之间进行选择](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。 ### 其他策略类型 Amazon 支持其他策略类型,这些策略类型可以设置更常见的策略类型授予的最大权限: + **权限边界** – 设置基于身份的策略可以授予 IAM 实体的最大权限。有关更多信息,请参阅《 IAM 用户指南》**中的 [IAM 实体的权限边界](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_boundaries.html)。 + **服务控制策略 (SCPs)**-在中指定组织或组织单位的最大权限 Amazon Organizations。有关更多信息,请参阅《Amazon Organizations 用户指南》**中的[服务控制策略](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_scps.html)。 + **资源控制策略 (RCPs)**-设置账户中资源的最大可用权限。有关更多信息,请参阅《*Amazon Organizations 用户指南》*中的[资源控制策略 (RCPs)](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_rcps.html)。 + **会话策略** – 在为角色或联合用户创建临时会话时,作为参数传递的高级策略。有关更多信息,请参阅《IAM 用户指南》**中的[会话策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies.html#policies_session)。 ### 多个策略类型 当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解在涉及多种策略类型时如何 Amazon 确定是否允许请求,请参阅 *IAM 用户指南*中的[策略评估逻辑](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。 # 如何 Amazon Web Services 支持 与 IAM 配合使用 在使用 IAM 管理访问权限之前 Amazon Web Services 支持,您应该了解哪些可用的 IAM 功能 Amazon Web Services 支持。要全面了解如何 Amazon Web Services 支持 和其他 Amazon 服务与 IAM 配合使用,请参阅 IAM *用户指南中的与 IAM* [配合使用的Amazon 服务](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。 有关如何管理 Amazon Web Services 支持 使用 IAM 的访问权限的信息,请参阅[管理访问权限 Amazon Web Services 支持](https://docs.amazonaws.cn/awssupport/latest/user/accessing-support.html#iam)。 **Topics** + [ ## Amazon Web Services 支持 基于身份的策略 ](#security_iam_service-with-iam-id-based-policies) + [ ## Amazon Web Services 支持 IAM 角色 ](#security_iam_service-with-iam-roles) ## Amazon Web Services 支持 基于身份的策略 使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源,以及指定在什么条件下允许或拒绝操作。 Amazon Web Services 支持 支持特定的操作。要了解您在 JSON 策略中使用的元素,请参阅 *IAM 用户指南* 中的 [IAM JSON 策略元素参考](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements.html)。 ### 操作 管理员可以使用 Amazon JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。 JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。 正在执行的策略操作在操作前 Amazon Web Services 支持 使用以下前缀:`support:`. 例如,要授予某人使用 Amazon EC2 `RunInstances` API 操作运行 Amazon EC2 实例的权限,您应将 `ec2:RunInstances` 操作纳入其策略。策略语句必须包括 `Action` 或 `NotAction` 元素。 Amazon Web Services 支持 定义了自己的一组操作,这些操作描述了可使用该服务执行的任务。 要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示: ``` "Action": [ "ec2:action1", "ec2:action2" ``` 您也可以使用通配符 (\$1) 指定多个操作。例如,要指定以单词 `Describe` 开头的所有操作,包括以下操作: ``` "Action": "ec2:Describe*" ``` 要查看 Amazon Web Services 支持 操作列表,请参阅 *IAM 用户指南 Amazon Web Services 支持*中的[定义操作](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_awssupport.html#awssupport-actions-as-permissions)。 ### 示例 要查看 Amazon Web Services 支持 基于身份的策略的示例,请参阅。[Amazon Web Services 支持 基于身份的策略示例](security_iam_id-based-policy-examples.md) ## Amazon Web Services 支持 IAM 角色 I [AM 角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles.html)是您的 Amazon 账户中具有特定权限的实体。 ### 将临时证书与 Amazon Web Services 支持 可以使用临时凭证进行联合身份验证登录,分派 IAM 角色或分派跨账户角色。您可以通过调用[AssumeRole](https://docs.amazonaws.cn/STS/latest/APIReference/API_AssumeRole.html)或之类的 Amazon STS API 操作来获取临时安全证书[GetFederationToken](https://docs.amazonaws.cn/STS/latest/APIReference/API_GetFederationToken.html)。 Amazon Web Services 支持 支持使用临时证书。 ### 服务关联角色 [服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允许 Amazon 服务访问其他服务中的资源以代表您完成操作。服务关联角色显示在 IAM 账户中,并归该服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。 Amazon Web Services 支持 支持服务相关角色。有关创建或管理 Amazon Web Services 支持 服务相关角色的详细信息,请参阅[将服务相关角色用于 Amazon Web Services 支持](using-service-linked-roles-sup.md)。 ### 服务角色 此功能允许服务代表您担任[服务角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在 IAM 账户中,并归该账户所有。这意味着,IAM 管理员可以更改该角色的权限。但是,这样做可能会中断服务的功能。 Amazon Web Services 支持 支持服务角色。 # Amazon Web Services 支持 基于身份的策略示例 基于身份的策略示例 默认情况下,IAM 用户和角色没有创建或修改 Amazon Web Services 支持 资源的权限。他们也无法使用 Amazon Web Services 管理控制台 Amazon CLI、或 Amazon API 执行任务。IAM 管理员必须创建 IAM 策略,以便为用户和角色授予权限以对所需的指定资源执行特定的 API 操作。然后,管理员必须将这些策略附加到需要这些权限的 IAM 用户或组。 要了解如何使用这些示例 JSON 策略文档创建 IAM 基于身份的策略,请参阅《*IAM 用户指南*》中的[在 JSON 选项卡上创建策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)。 **Topics** + [ ## 策略最佳实践 ](#security_iam_service-with-iam-policy-best-practices) + [ ## 使用控制 Amazon Web Services 支持 台 ](#security_iam_id-based-policy-examples-console) + [ ## 允许用户查看他们自己的权限 ](#security_iam_id-based-policy-examples-view-own-permissions) ## 策略最佳实践 基于身份的策略非常强大。它们决定是否有人可以在您的账户中创建、访问或删除 Amazon Web Services 支持 资源。创建或编辑基于身份的策略时,请遵循以下指南和建议: + **开始使用 Amazon 托管策略** — 要 Amazon Web Services 支持 快速开始使用,请使用 Amazon 托管策略为员工提供所需的权限。这些策略已在您的账户中提供,并由 Amazon维护和更新。有关更多信息,请参阅 *IAM 用户指南*中的[使用 Amazon 托管策略的权限入门](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。 + **授予最低权限**:创建自定义策略时,仅授予执行任务所需的许可。最开始只授予最低权限,然后根据需要授予其它权限。这样做比起一开始就授予过于宽松的权限而后再尝试收紧权限来说更为安全。有关更多信息,请参阅*《IAM 用户指南》*中的[授予最低权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)。 + **为敏感操作启用 MFA** – 为增强安全性,要求 IAM 用户使用多重身份验证 (MFA) 来访问敏感资源或 API 操作。要了解更多信息,请参阅 *IAM 用户指南*中的[在 Amazon中使用多重身份验证 (MFA)](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_mfa.html)。 + **使用策略条件来增强安全性**:在切实可行的范围内,定义基于身份的策略在哪些情况下允许访问资源。例如,您可编写条件来指定请求必须来自允许的 IP 地址范围。您也可以编写条件,以便仅允许指定日期或时间范围内的请求,或者要求使用 SSL 或 MFA。有关更多信息,请参阅 *IAM 用户指南* 中的 [IAM JSON 策略元素:条件](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_condition.html)。 ## 使用控制 Amazon Web Services 支持 台 使用控制台 要访问 Amazon Web Services 支持 控制台,您必须拥有一组最低权限。这些权限必须允许您列出和查看有关您 Amazon 账户中 Amazon Web Services 支持 资源的详细信息。如果您创建的基于身份的策略比所需的最低权限更严格,则无法为具有该策略的实体(IAM 用户或角色)正常运行控制台。 为确保这些实体仍然可以使用 Amazon Web Services 支持 控制台,还要将以下 Amazon 托管策略附加到这些实体。有关更多信息,请参阅 *IAM 用户指南*中的[为用户添加权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console): 对于仅调用 Amazon CLI 或 Amazon API 的用户,您无需为其设置最低控制台权限。相反,只允许访问与您尝试执行的 API 操作相匹配的操作。 ## 允许用户查看他们自己的权限 该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上或使用 Amazon CLI 或 Amazon API 以编程方式完成此操作的权限。 ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] } ``` # 使用服务关联角色 Amazon Web Services 支持 并 Amazon Trusted Advisor 使用 Amazon Identity and Access Management (IAM) [服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是与 Amazon Web Services 支持 和 Trusted Advisor直接关联的独特 IAM 角色。在每个案例中,服务关联角色是预定义的角色。此角色包括代表您调用其他 Amazon 服务 Amazon Web Services 支持 或 Trusted Advisor 需要的所有权限。以下主题说明了服务相关角色的作用以及如何在 Amazon Web Services 支持 和 Trusted Advisor中使用它们。 **Topics** + [ # 将服务相关角色用于 Amazon Web Services 支持 ](using-service-linked-roles-sup.md) + [ # 将服务相关角色用于 Trusted Advisor ](using-service-linked-roles-ta.md) # 将服务相关角色用于 Amazon Web Services 支持 Amazon Web Services 支持 工具通过 API 调用收集有关您的 Amazon 资源的信息,以提供客户服务和技术支持。为了提高支持活动的透明度和可审计性,请 Amazon Web Services 支持 使用 Amazon Identity and Access Management (IAM) [服务相关](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)角色。 `AWSServiceRoleForSupport`服务相关角色是直接链接到 Amazon Web Services 支持的独特 IAM 角色。此服务相关角色是预定义的,它包括代表您调用其他 Amazon 服务 Amazon Web Services 支持 所需的权限。 `AWSServiceRoleForSupport` 服务关联角色信任 `support.amazonaws.com` 服务来代入角色。 为了提供这些服务,角色的预定义权限 Amazon Web Services 支持 允许访问资源元数据,而不是客户数据。只有 Amazon Web Services 支持 工具才能担任此角色,该角色存在于您的 Amazon 账户中。 我们会编辑可能包含客户数据的字段。例如, Amazon Step Functions API 调[GetExecutionHistory](https://docs.amazonaws.cn/step-functions/latest/apireference/API_GetExecutionHistory.html)用的`Input`和`Output`字段对用户不可见 Amazon Web Services 支持。我们使用 Amazon KMS keys 加密敏感字段。这些字段已在 API 响应中被删除, Amazon Web Services 支持 代理不可见。 **注意** Amazon Trusted Advisor 使用单独的 IAM 服务相关角色访问账户的 Amazon 资源,以提供最佳实践建议和检查。有关更多信息,请参阅 [将服务相关角色用于 Trusted Advisor](using-service-linked-roles-ta.md)。 `AWSServiceRoleForSupport`服务相关角色允许客户通过 Amazon CloudTrail查看所有 Amazon Web Services 支持 API 调用。这有助于满足监控和审计要求,因为它提供了一种透明的方式来了解代表您 Amazon Web Services 支持 执行的操作。有关的信息 CloudTrail,请参阅《[Amazon CloudTrail 用户指南》](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/)。 ## 的服务相关角色权限 Amazon Web Services 支持 此角色使用`AWSSupportServiceRolePolicy` Amazon 托管策略。此托管策略已附加到角色,并授予角色代表您完成操作的权限。 这些操作可能包括以下内容: + **账单、管理、支持和其他客户服务** — Amazon 客户服务使用托管策略授予的权限来执行作为支持计划一部分的多项服务。其中包括调查和解答账户和账单问题、为账户提供管理支持、增加服务配额和提供额外的客户支持。 + **处理您 Amazon 账户的服务属性和使用情况数据** — Amazon Web Services 支持 可能会使用托管策略授予的权限来访问您 Amazon 账户的服务属性和使用数据。该政策 Amazon Web Services 支持 允许为您的账户提供账单、管理和技术支持。服务属性包括账户的资源标识符、元数据标签、角色和权限。使用率数据包括使用策略、使用情况统计数据和分析。 + **维护您的账户及其资源的运行状况** —— Amazon Web Services 支持 使用自动化工具执行与运营和技术支持相关的操作。 有关允许的服务和操作的更多信息,请参阅 IAM 控制台中的 [https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor](https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor) 策略。 **注意** Amazon Web Services 支持 每月自动更新一次`AWSSupportServiceRolePolicy`策略以添加新 Amazon 服务和操作的权限。 有关更多信息,请参阅 [Amazon 的托管策略 Amazon Web Services 支持](security-iam-awsmanpol.md)。 ## 为创建服务相关角色 Amazon Web Services 支持 您无需手动创建 `AWSServiceRoleForSupport` 角色。创建 Amazon 账户时,系统会自动为您创建和配置此角色。 **重要** 如果您在开始支持服务相关角色 Amazon Web Services 支持 之前使用该角色,则在您的账户中 Amazon 创建了该`AWSServiceRoleForSupport`角色。有关更多信息,请参阅[我的 IAM 账户中出现新角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。 ## 编辑和删除的服务相关角色 Amazon Web Services 支持 您可以使用 IAM 编辑 `AWSServiceRoleForSupport` 服务关联角色的描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。 该`AWSServiceRoleForSupport`角色是为您的账户 Amazon Web Services 支持 提供管理、运营和技术支持所必需的。因此,无法通过 IAM 控制台、API 或 Amazon Command Line Interface (Amazon CLI) 删除此角色。这将保护您的 Amazon 账户,因为您不会无意中删除管理支持服务所需的权限。 已加入 Amazon Organizations 并拥有企业 Amazon Web Services 支持 套餐的客户可以删除该`AWSServiceRoleForSupport`服务相关角色。删除此角色会限制 Amazon Web Services 支持 工程师访问您的资源,从而限制他们代表您执行操作的能力。有关更多信息,或者如需请求删除 `AWSServiceRoleForSupport` 服务关联角色,请联系您的技术客户经理 (TAM)。 有关 `AWSServiceRoleForSupport` 角色或其使用的更多信息,请联系 [Amazon Web Services 支持](https://www.amazonaws.cn/support)。​ # 将服务相关角色用于 Trusted Advisor 将服务相关角色用于 Trusted Advisor Amazon Trusted Advisor 使用 Amazon Identity and Access Management (IAM) [服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html)。服务相关角色是直接链接到 Amazon Trusted Advisor的唯一 IAM 角色。服务相关角色由预定义 Trusted Advisor,它们包括该服务代表您调用其他 Amazon 服务所需的所有权限。 Trusted Advisor 使用此角色来检查您的使用情况, Amazon 并提供改善 Amazon 环境的建议。例如, Trusted Advisor 分析您的亚马逊弹性计算云 (Amazon EC2) 实例的使用情况,以帮助您降低成本、提高性能、容忍故障和提高安全性。 **注意** Amazon Web Services 支持 使用单独的 IAM 服务相关角色访问您账户的资源,以提供账单、管理和支持服务。有关更多信息,请参阅 [将服务相关角色用于 Amazon Web Services 支持](using-service-linked-roles-sup.md)。 有关支持服务关联角色的其他服务的信息,请参阅[与 IAM 配合使用的Amazon 服务](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。查找在 **Service-linked role**(服务关联角色)列的值为 **Yes**(是)的服务。请选择**是**与查看该服务的服务关联角色文档的链接。 **Topics** + [ ## 的服务相关角色权限 Trusted Advisor ](#service-linked-role-permissions-ta) + [ ## 管理服务关联角色的权限 ](#manage-permissions-for-slr) + [ ## 为创建服务相关角色 Trusted Advisor ](#create-service-linked-role-ta) + [ ## 编辑的服务相关角色 Trusted Advisor ](#edit-service-linked-role-ta) + [ ## 删除的服务相关角色 Trusted Advisor ](#delete-service-linked-role-ta) ## 的服务相关角色权限 Trusted Advisor Trusted Advisor 使用两个与服务相关的角色: + [AWSServiceRoleForTrustedAdvisor](https://console.amazonaws.cn/iam/home?#/roles/AWSServiceRoleForTrustedAdvisor)— 此角色信任 Trusted Advisor 服务代替您访问 Amazon 服务的角色。角色权限策略允许对所有 Amazon 资源进行 Trusted Advisor 只读访问。此角色简化了 Amazon 账户的入门流程,因为您不必为添加必要的权限 Trusted Advisor。当您开设 Amazon 账户时, Trusted Advisor 会为您创建此角色。定义的权限包括信任策略和权限策略。不能将该权限策略附加到任何其他 IAM 实体。 有关附加策略的更多信息,请参阅 [AWSTrustedAdvisorServiceRolePolicy](aws-managed-policies-for-trusted-advisor.md#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy)。 + [https://console.amazonaws.cn/iam/home?#/roles/AWSServiceRoleForTrustedAdvisorReporting](https://console.amazonaws.cn/iam/home?#/roles/AWSServiceRoleForTrustedAdvisorReporting) – 此角色信任 Trusted Advisor 服务来担任组织视图功能的角色。此角色可 Trusted Advisor 作为 Amazon Organizations 组织中的可信服务启用。 Trusted Advisor 启用组织视图时会为您创建此角色。 有关附加策略的更多信息,请参阅 [AWSTrustedAdvisorReportingServiceRolePolicy](aws-managed-policies-for-trusted-advisor.md#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy)。 您可以使用组织视图为组织中的所有账户创建 Trusted Advisor 检查结果报告。有关此特征的更多信息,请参阅[的组织视图 Amazon Trusted Advisor](organizational-view.md)。 ## 管理服务关联角色的权限 您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。以下示例使用 `AWSServiceRoleForTrustedAdvisor` 服务关联角色。 **Example :允许 IAM 实体创建 `AWSServiceRoleForTrustedAdvisor` 服务关联角色** 只有在禁用 Trusted Advisor 帐户、删除服务相关角色并且用户必须重新创建角色才能重新启用时,才需要执行此步骤。 Trusted Advisor 将以下语句添加到 IAM 实体的权限策略可创建服务关联角色。 ``` { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} } ``` **Example :**允许 IAM 实体编辑 `AWSServiceRoleForTrustedAdvisor` 服务关联角色的描述**** 您只能编辑 `AWSServiceRoleForTrustedAdvisor` 角色的描述。您可以将以下语句添加到 IAM 实体的权限策略来编辑服务关联角色的描述。 ``` { "Effect": "Allow", "Action": [ "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} } ``` **Example :允许 IAM 实体删除 `AWSServiceRoleForTrustedAdvisor` 服务关联角色** 您可以将以下语句添加到 IAM 实体的权限策略来删除服务关联角色。 ``` { "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} } ``` 您也可以使用 Amazon 托管策略(例如 [AdministratorAccess](https://console.amazonaws.cn/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess))来提供对的完全访问权限 Trusted Advisor。 ## 为创建服务相关角色 Trusted Advisor 无需手动创建 `AWSServiceRoleForTrustedAdvisor` 服务关联角色。当您开设 Amazon 账户时, Trusted Advisor 会为您创建服务相关角色。 **重要** 如果您在服务开始支持 Trusted Advisor 服务相关角色之前使用该服务,则 Trusted Advisor 已经在您的账户中创建了该`AWSServiceRoleForTrustedAdvisor`角色。要了解更多信息,请参阅 *IAM 用户指南*中的[我的 IAM 账户中出现新角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。 如果您的账户没有 `AWSServiceRoleForTrustedAdvisor` 服务关联角色, Trusted Advisor 将无法按预期工作。如果您的账户中有人将 Trusted Advisor 禁用然后又删除服务关联角色,可能会出现上述情况。在这种情况下,您可以使用 IAM 创建 `AWSServiceRoleForTrustedAdvisor` 服务关联角色,然后重新启用 Trusted Advisor。 **启用 Trusted Advisor (控制台)** 1. 使用 IAM 控制台或 IAM API 为创建服务相关角色。 Amazon CLI Trusted Advisor有关更多信息,请参阅[创建服务关联角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。 1. 登录 Amazon Web Services 管理控制台,然后导航到 Trusted Advisor 控制台,网址为[https://console.amazonaws.cn/trustedadvisor](https://console.amazonaws.cn/trustedadvisor)。 **禁用的 Trusted Advisor** 状态横幅显示在控制台中。 1. 从状态横幅中选择 “**启用 Trusted Advisor 角色**”。如果未检测到所需的 `AWSServiceRoleForTrustedAdvisor`,则已禁用状态横幅仍将显示。 ## 编辑的服务相关角色 Trusted Advisor 由于多个实体可能引用该角色,因此无法更改服务关联角色的名称。但是,您可以使用 IAM 控制台或 IAM API 来编辑角色的描述。 Amazon CLI有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。 ## 删除的服务相关角色 Trusted Advisor 如果您不需要使用的功能或服务 Trusted Advisor,则可以删除该`AWSServiceRoleForTrustedAdvisor`角色。必须 Trusted Advisor 先禁用此服务相关角色,然后才能删除此服务相关角色。这样可以防止您删除 Trusted Advisor 操作所需的权限。禁用后 Trusted Advisor,即禁用所有服务功能,包括离线处理和通知。此外,如果您 Trusted Advisor 为成员账户禁用,则单独的付款人账户也会受到影响,这意味着您将不会收到确定节省成本的方法的 Trusted Advisor 支票。您无法访问 Trusted Advisor 控制台。API 调用 Trusted Advisor 返回拒绝访问错误。 您必须在 `AWSServiceRoleForTrustedAdvisor` 账户中重新创建服务关联角色,然后才能重新启用 Trusted Advisor。 必须先在控制台 Trusted Advisor 中禁用服务相关角色,然后才能删除`AWSServiceRoleForTrustedAdvisor`服务相关角色。 **要禁用 Trusted Advisor** 1. 登录 Amazon Web Services 管理控制台 并导航到 Trusted Advisor 控制台,网址为[https://console.amazonaws.cn/trustedadvisor](https://console.amazonaws.cn/trustedadvisor)。 1. 在导航窗格中,选择**首选项**。 1. 在**服务关联角色权限**部分中,选择**禁用 Trusted Advisor**。 1. 在确认对话框中,通过选择 **OK**(确定)来确认您要禁用 Trusted Advisor。 禁用后 Trusted Advisor,所有 Trusted Advisor 功能都将被禁用,并且 Trusted Advisor 控制台仅显示禁用状态横幅。 然后,您可以使用 IAM 控制台 Amazon CLI、或 IAM API 删除名`AWSServiceRoleForTrustedAdvisor`为的 Trusted Advisor 服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。 # Amazon 的托管策略 Amazon Web Services 支持 Amazon 托管策略 Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。 请记住, Amazon 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。 您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 Amazon 最有可能在启动新的 API 或现有服务可以使用新 Amazon Web Services 服务 的 API 操作时更新 Amazon 托管策略。 有关更多信息,请参阅《IAM 用户指南》**中的 [Amazon 托管式策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。 **Topics** + [ # Amazon 的托管策略 Amazon Web Services 支持 ](aws-managed-policies-aws-support.md) + [ # Amazon Web Services 的托管策略 Amazon Trusted Advisor ](aws-managed-policies-for-trusted-advisor.md) + [ # Amazon Amazon Web Services 支持 套餐的托管策略 ](managed-policies-aws-support-plans.md) + [ # Amazon Amazon 合作伙伴主导的 Support 的托管策略 ](managed-policies-partner-led-support.md) # Amazon 的托管策略 Amazon Web Services 支持 Amazon Web Services 支持 具有以下托管策略。 **Contents** + [ ## Amazon 托管策略:AWSSupportAccess ](#security-iam-awsmanpol-AWSSupportAccess) + [ ## Amazon 托管策略:AWSSupportServiceRolePolicy ](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) + [ ## Amazon Web Services 支持 Amazon 托管策略的更新 ](#security-iam-awsmanpol-updates) + [ # AWSSupportServiceRolePolicy 的权限更改 ](aws-support-service-link-role-updates.md) ## Amazon 托管策略:AWSSupportAccess AWSSupportAccess Amazon Web Services 支持 使用[https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportAccess$jsonEditor](https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportAccess$jsonEditor) Amazon 托管策略。此政策通过 Amazon Web Services 支持 API 管理您的支持案例生命周期。中的增强功能 Amazon Support Center Console 是通过支持控制台 API 服务提供的。您可以将此策略附加到 IAM 实体。有关更多信息,请参阅 [的服务相关角色权限 Amazon Web Services 支持](using-service-linked-roles-sup.md#service-linked-role-permissions)。 要查看此策略的权限,请参阅《Amazon 托管式策略参考》中的 [https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSSupportAccess.html](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSSupportAccess.html)**。 ## Amazon 托管策略:AWSSupportServiceRolePolicy AWSSupportServiceRolePolicy Amazon Web Services 支持 使用[https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor](https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor) Amazon 托管策略。此托管策略附加到 `AWSServiceRoleForSupport` 服务关联角色。该策略允许服务关联角色代表您完成操作。您不能将此策略附加到您的 IAM 实体。有关更多信息,请参阅 [的服务相关角色权限 Amazon Web Services 支持](using-service-linked-roles-sup.md#service-linked-role-permissions)。 要查看此策略的权限,请参阅《Amazon 托管式策略参考》中的 [https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSSupportServiceRolePolicy.html](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSSupportServiceRolePolicy.html)**。 有关对策略的更改列表,请参阅 [Amazon Web Services 支持 Amazon 托管策略的更新](#security-iam-awsmanpol-updates) 和 [AWSSupportServiceRolePolicy 的权限更改](aws-support-service-link-role-updates.md)。 ## Amazon Web Services 支持 Amazon 托管策略的更新 策略更新 查看 Amazon Web Services 支持 自这些服务开始跟踪这些更改以来的 Amazon 托管策略更新的详细信息。要获得有关此页面更改的自动提示,请订阅 [文档历史记录](History.md) 页面上的 RSS 源。 下表描述了自 2022 年 2 月 17 日以来 Amazon Web Services 支持 托管策略的重要更新。 **Amazon Web Services 支持** | 更改 | 描述 | 日期 | | --- | --- | --- | | [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 向以下服务添加了 105 个新权限,用于执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2026 年 1 月 29 日 | | [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 向以下服务添加了 145 个新权限,用于执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2025年12月8日 | | [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 向以下服务添加了 125 个新权限,用于执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2025年9月30日 | | [AWSSupportAccess](#security-iam-awsmanpol-AWSSupportAccess):对现有策略的更新 | 在 AWSSupportAccess 托管策略中添加了支持控制台 API 的权限。 | 2025 年 7 月 18 日 | | [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务增加了 25 项新权限,以执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awssupport/latest/user/aws-managed-policies-aws-support.html) 有关更多信息,请参阅 [AWSSupportServiceRolePolicy 的权限更改](aws-support-service-link-role-updates.md)。 | 2025 年 7 月 15 日 | | [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 向以下服务添加了 257 个新权限,用于执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2025 年 6 月 17 日 | | [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务添加了 88 个新权限,用于执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2024 年 11 月 25 日 | | [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 向以下服务添加了 79 个新权限,用于执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2024 年 10 月 8 日 | | [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 向以下服务添加了 79 个新权限,用于执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2024 年 8 月 5 日 | | [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务添加了 17 个新权限,用于执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2024 年 3 月 22 日 | | [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 向以下服务添加了 63 个新权限,用于执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2024 年 1 月 17 日 | | [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 向以下服务添加了 126 个新权限,用于执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023 年 12 月 6 日 | | [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务增加了 163 项新权限,以执行有助于排查与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023 年 10 月 27 日 | | [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务增加了 176 项新权限,以执行有助于排查与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023 年 8 月 28 日 | | [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务增加了 141 项新权限,以执行有助于排查与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023 年 6 月 26 日 | | [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务增加了 53 项新权限,以执行有助于排查与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023 年 5 月 2 日 | | [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务增加了 52 项新权限,以执行有助于排查与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023 年 3 月 16 日 | | [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务增加了 220 项新权限,以执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023 年 1 月 10 日 | | [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务增加了 47 项新权限,以执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2022 年 10 月 4 日 | | [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务增加了 46 项新权限,以执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2022 年 8 月 17 日 | | [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务增加了新权限,以执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awssupport/latest/user/aws-managed-policies-aws-support.html) 移除了 Amazon 等服务的权限 WorkLink。亚马逊已 WorkLink 于 2022 年 4 月 19 日被弃用。 | 2022 年 6 月 23 日 | | [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务增加了 25 项新权限,以执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2022 年 4 月 27 日 | | [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务添加了 54 项新权限,以执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2022 年 3 月 14 日 | | [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务添加了 74 项新权限,以执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awssupport/latest/user/aws-managed-policies-aws-support.html) 有关更多信息,请参阅 [AWSSupportServiceRolePolicy 的权限更改](aws-support-service-link-role-updates.md)。 | 2022 年 2 月 17 日 | | 已发布的更改日志 | Amazon Web Services 支持 托管策略的更改日志。 | 2022 年 2 月 17 日 | # AWSSupportServiceRolePolicy 的权限更改 添加的大多数权限都是 Amazon Web Services 支持 为了`AWSSupportServiceRolePolicy`允许调用同名的 API 操作。但是,某些 API 操作需要具有不同名称的权限。 下表仅列出了需要具有不同名称的权限的 API 操作。下表介绍了这些从 2022 年 2 月 17 日开始的差异。 [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/awssupport/latest/user/aws-support-service-link-role-updates.html) # Amazon Web Services 的托管策略 Amazon Trusted Advisor Trusted Advisor 具有以下 Amazon Web Services 托管策略。 **Contents** + [ ## Amazon 托管策略:AWSTrustedAdvisorPriorityFullAccess ](#security-iam-support-TA-priority-full-access-policy) + [ ## Amazon 托管策略:AWSTrustedAdvisorPriorityReadOnlyAccess ](#security-iam-support-TA-priority-read-only-policy) + [ ## Amazon 托管策略:AWSTrustedAdvisorServiceRolePolicy ](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) + [ ## Amazon 托管策略:AWSTrustedAdvisorReportingServiceRolePolicy ](#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy) + [ ## Trusted Advisor Amazon 托管策略的更新 ](#security-iam-awsmanpol-updates-trusted-advisor) ## Amazon 托管策略:AWSTrustedAdvisorPriorityFullAccess AWSTrustedAdvisorPriorityFullAccess 该[https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityFullAccess$jsonEditor](https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityFullAccess$jsonEditor)政策授予对 “ Trusted Advisor 优先级” 的完全访问权限。此策略还允许用户添加为可信服务, Amazon Organizations 并允许用户 Trusted Advisor 为 P Trusted Advisor riority 指定委派管理员帐户。 **权限详细信息** 在第一条语句中,此策略包含 `trustedadvisor` 的以下权限: + 描述您的账户和组织。 + 描述 Trusted Advisor 优先级中已识别的风险。这些权限允许您下载和更新风险状态。 + 描述您的 Trusted Advisor 优先电子邮件通知配置。这些权限允许您配置电子邮件通知,并为委派管理员禁用这些通知。 + 进行设置, Trusted Advisor 以便您的账户可以启用 Amazon Organizations。 在第二条语句中,此策略包含 `organizations` 的以下权限: + 描述您的 Trusted Advisor 账户和组织。 + 列出您允许使用 Organizations 的。 Amazon Web Services 服务 在第三条语句中,此策略包含 `organizations` 的以下权限: + 列出 Trusted Advisor 优先级的委派管理员。 + 启用和禁用 Organizations 的受信任访问。 在第四条语句中,此策略包含 `iam` 的以下权限: + 创建 `AWSServiceRoleForTrustedAdvisorReporting` 服务关联角色。 在第五条语句中,此策略包含 `organizations` 的以下权限: + 允许您注册和注销 Trusted Advisor Priority 的委派管理员。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AWSTrustedAdvisorPriorityFullAccess", "Effect": "Allow", "Action": [ "trustedadvisor:DescribeAccount*", "trustedadvisor:DescribeOrganization", "trustedadvisor:DescribeRisk*", "trustedadvisor:DownloadRisk", "trustedadvisor:UpdateRiskStatus", "trustedadvisor:DescribeNotificationConfigurations", "trustedadvisor:UpdateNotificationConfigurations", "trustedadvisor:DeleteNotificationConfigurationForDelegatedAdmin", "trustedadvisor:SetOrganizationAccess" ], "Resource": "*" }, { "Sid": "AllowAccessForOrganization", "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" }, { "Sid": "AllowListDelegatedAdministrators", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "reporting.trustedadvisor.amazonaws.com" ] } } }, { "Sid": "AllowCreateServiceLinkedRole", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting", "Condition": { "StringLike": { "iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com" } } }, { "Sid": "AllowRegisterDelegatedAdministrators", "Effect": "Allow", "Action": [ "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "arn:aws:organizations::*:*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "reporting.trustedadvisor.amazonaws.com" ] } } } ] } ``` ------ ## Amazon 托管策略:AWSTrustedAdvisorPriorityReadOnlyAccess AWSTrustedAdvisorPriorityReadOnlyAccess 该[https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityReadOnlyAccess$jsonEditor](https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityReadOnlyAccess$jsonEditor)策略向 P Trusted Advisor riority 授予只读权限,包括查看委派管理员账户的权限。 **权限详细信息** 在第一条语句中,此策略包含 `trustedadvisor` 的以下权限: + 描述您的 Trusted Advisor 账户和组织。 + 描述从 P Trusted Advisor riority 中识别出的风险并允许您下载它们。 + 描述 Trusted Advisor 优先电子邮件通知的配置。 在第二条和第三条语句中,此策略包含 `organizations` 的以下权限: + 使用 Organizations 描述您的组织。 + 列出您允许使用 Organizations 的。 Amazon Web Services 服务 + 列出 Trusted Advisor 优先级的委派管理员 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AWSTrustedAdvisorPriorityReadOnlyAccess", "Effect": "Allow", "Action": [ "trustedadvisor:DescribeAccount*", "trustedadvisor:DescribeOrganization", "trustedadvisor:DescribeRisk*", "trustedadvisor:DownloadRisk", "trustedadvisor:DescribeNotificationConfigurations" ], "Resource": "*" }, { "Sid": "AllowAccessForOrganization", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" }, { "Sid": "AllowListDelegatedAdministrators", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "reporting.trustedadvisor.amazonaws.com" ] } } } ] } ``` ------ ## Amazon 托管策略:AWSTrustedAdvisorServiceRolePolicy AWSTrustedAdvisorServiceRolePolicy 此策略附加到 `AWSServiceRoleForTrustedAdvisor` 服务关联角色。此角色允许服务关联角色为您执行操作。您不能将 [https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorServiceRolePolicy$jsonEditor](https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorServiceRolePolicy$jsonEditor) 附加到您的 Amazon Identity and Access Management (IAM)实体。有关更多信息,请参阅 [将服务相关角色用于 Trusted Advisor](using-service-linked-roles-ta.md)。 此策略授予管理权限,允许服务关联角色访问 Amazon Web Services 服务。这些权限允许通过检查 Trusted Advisor 来评估您的账户。 **权限详细信息** 该策略包含以下权限。 + `accessanalyzer`— 描述 Amazon Identity and Access Management Access Analyzer 资源 + `Auto Scaling` – 描述 Amazon EC2 Auto Scaling 账户配额和资源 + `cloudformation`— 描述 Amazon CloudFormation (CloudFormation) 账户配额和堆栈 + `cloudfront`— 描述亚马逊的 CloudFront 分布 + `cloudtrail`— 描述 Amazon CloudTrail (CloudTrail) 路径 + `dynamodb` – 描述 Amazon DynamoDB 账户配额和资源 + `dynamodbaccelerator` – 描述 DynamoDB Accelerator 资源 + `ec2` – 描述 Amazon Elastic Compute Cloud (Amazon EC2) 账户配额和资源 + `elasticloadbalancing` - 描述弹性负载均衡(ELB)账户配额和资源 + `iam` – 获取 IAM 资源,如证书、密码策略和证书 + `networkfirewall`— 描述 Amazon Network Firewall 资源 + `kinesis` – 描述 Amazon Kinesis (Kinesis) 账户配额 + `rds` – 描述 Amazon Relational Database Service (Amazon RDS) 资源 + `redshift` – 描述 Amazon Redshift 资源 + `route53` – 描述 Amazon Route 53 账户配额和资源 + `s3` – 描述 Amazon Simple Storage Service (Amazon S3) 资源 + `ses` – 获取 Amazon Simple Email Service (Amazon SES) 发送配额 + `sqs` – 列出 Amazon Simple Queue Service (Amazon SQS) 队列 + `cloudwatch`— 获取 Amazon CloudWatch 事件(CloudWatch 事件)指标统计数据 + `ce` – 获取 Cost Explorer 服务 (Cost Explorer) 建议 + `route53resolver`— 获取 Amazon Route 53 Resolver 解析器端点和资源 + `kafka` – 获取 Amazon Managed Streaming for Apache Kafka 资源 + `ecs` – 获取 Amazon ECS 资源 + `outposts`— 获取 Amazon Outposts 资源 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "TrustedAdvisorServiceRolePermissions", "Effect": "Allow", "Action": [ "access-analyzer:ListAnalyzers", "autoscaling:DescribeAccountLimits", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLaunchConfigurations", "ce:GetReservationPurchaseRecommendation", "ce:GetSavingsPlansPurchaseRecommendation", "cloudformation:DescribeAccountLimits", "cloudformation:DescribeStacks", "cloudformation:ListStacks", "cloudfront:ListDistributions", "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:GetTrail", "cloudtrail:ListTrails", "cloudtrail:GetEventSelectors", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "dax:DescribeClusters", "dynamodb:DescribeLimits", "dynamodb:DescribeTable", "dynamodb:ListTables", "ec2:DescribeAddresses", "ec2:DescribeReservedInstances", "ec2:DescribeInstances", "ec2:DescribeVpcs", "ec2:DescribeInternetGateways", "ec2:DescribeImages", "ec2:DescribeNatGateways", "ec2:DescribeVolumes", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeRegions", "ec2:DescribeReservedInstancesOfferings", "ec2:DescribeRouteTables", "ec2:DescribeSnapshots", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpnConnections", "ec2:DescribeVpnGateways", "ec2:DescribeLaunchTemplateVersions", "ec2:GetManagedPrefixListEntries", "ecs:DescribeTaskDefinition", "ecs:ListTaskDefinitions", "elasticloadbalancing:DescribeAccountLimits", "elasticloadbalancing:DescribeInstanceHealth", "elasticloadbalancing:DescribeLoadBalancerAttributes", "elasticloadbalancing:DescribeLoadBalancerPolicies", "elasticloadbalancing:DescribeLoadBalancerPolicyTypes", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeRules", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTargetHealth", "iam:GenerateCredentialReport", "iam:GetAccountPasswordPolicy", "iam:GetAccountSummary", "iam:GetCredentialReport", "iam:GetServerCertificate", "iam:ListServerCertificates", "iam:ListSAMLProviders", "kinesis:DescribeLimits", "kafka:DescribeClusterV2", "kafka:ListClustersV2", "kafka:ListNodes", "network-firewall:ListFirewalls", "network-firewall:DescribeFirewall", "outposts:GetOutpost", "outposts:ListAssets", "outposts:ListOutposts", "rds:DescribeAccountAttributes", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSnapshots", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultParameters", "rds:DescribeEvents", "rds:DescribeOptionGroupOptions", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribeReservedDBInstances", "rds:DescribeReservedDBInstancesOfferings", "rds:ListTagsForResource", "redshift:DescribeClusters", "redshift:DescribeReservedNodeOfferings", "redshift:DescribeReservedNodes", "route53:GetAccountLimit", "route53:GetHealthCheck", "route53:GetHostedZone", "route53:ListHealthChecks", "route53:ListHostedZones", "route53:ListHostedZonesByName", "route53:ListResourceRecordSets", "route53resolver:ListResolverEndpoints", "route53resolver:ListResolverEndpointIpAddresses", "s3:GetAccountPublicAccessBlock", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "s3:GetBucketLocation", "s3:GetBucketLogging", "s3:GetBucketVersioning", "s3:GetBucketPublicAccessBlock", "s3:GetLifecycleConfiguration", "s3:ListBucket", "s3:ListAllMyBuckets", "ses:GetSendQuota", "sqs:GetQueueAttributes", "sqs:ListQueues" ], "Resource": "*" } ] } ``` ------ ## Amazon 托管策略:AWSTrustedAdvisorReportingServiceRolePolicy AWSTrustedAdvisorReportingServiceRolePolicy 此策略附加到`AWSServiceRoleForTrustedAdvisorReporting`服务相关角色,该角色 Trusted Advisor 允许对组织视图功能执行操作。您不能将 [https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorReportingServiceRolePolicy$jsonEditor](https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorReportingServiceRolePolicy$jsonEditor) 附加到您的 IAM 实体。有关更多信息,请参阅 [将服务相关角色用于 Trusted Advisor](using-service-linked-roles-ta.md)。 此策略授予管理权限,允许服务相关角色执行 Amazon Organizations 操作。 **权限详细信息** 该策略包含以下权限。 + `organizations` – 描述您的组织并列出服务访问权限、账户、父级、子级和组织单位 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListDelegatedAdministrators", "organizations:ListOrganizationalUnitsForParent", "organizations:ListChildren", "organizations:ListParents", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount" ], "Effect": "Allow", "Resource": "*" } ] } ``` ------ ## Trusted Advisor Amazon 托管策略的更新 策略更新 查看有关这些服务开始跟踪这些更改之前 Amazon Web Services 支持 和之 Trusted Advisor 后的 Amazon 托管策略更新的详细信息。要获得有关此页面更改的自动提示,请订阅 [文档历史记录](History.md) 页面上的 RSS 源。 下表描述了自 2021 年 8 月 10 日以来 Trusted Advisor 托管策略的重要更新。 **Trusted Advisor** | 更改 | 描述 | 日期 | | --- | --- | --- | | [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) 更新为现有策略。 | Trusted Advisor 添加了新的操作来授予`elasticloadbalancing:DescribeListeners,`和`elasticloadbalancing:DescribeRules`权限。 | 2024 年 10 月 30 日 | | [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) 更新为现有策略。 | Trusted Advisor 添加了新的操作来授予`access-analyzer:ListAnalyzers``cloudwatch:ListMetrics`、`dax:DescribeClusters`、`ec2:DescribeNatGateways`、`ec2:DescribeRouteTables`、`ec2:DescribeVpcEndpoints`、`ec2:GetManagedPrefixListEntries`、`elasticloadbalancing:DescribeTargetHealth`、`iam:ListSAMLProviders`、`kafka:DescribeClusterV2``network-firewall:ListFirewalls``network-firewall:DescribeFirewall`和`sqs:GetQueueAttributes`权限。 | 2024 年 6 月 11 日 | | [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) 更新为现有策略。 | Trusted Advisor 添加了新的操作来授予`cloudtrail:GetTrail``cloudtrail:ListTrails``cloudtrail:GetEventSelectors``outposts:GetOutpost`、`outposts:ListAssets`和`outposts:ListOutposts`权限。 | 2024 年 1 月 18 日 | | [AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy) 更新为现有策略。 | Trusted Advisor 更新了`AWSTrustedAdvisorPriorityFullAccess` Amazon 托管策略以包含声明 IDs。 | 2023 年 12 月 6 日 | | [AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy) 更新为现有策略。 | Trusted Advisor 更新了`AWSTrustedAdvisorPriorityReadOnlyAccess` Amazon 托管策略以包含声明 IDs。 | 2023 年 12 月 6 日 | | [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy):对现有策略的更新 | Trusted Advisor 添加了新的操作来授予`ec2:DescribeRegions``s3:GetLifecycleConfiguration``ecs:DescribeTaskDefinition`和`ecs:ListTaskDefinitions`权限。 | 2023 年 11 月 9 日 | | [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy):对现有策略的更新 | Trusted Advisor 在加入新的弹性检查中添加了新的 IAM 操作`route53resolver:ListResolverEndpoints``route53resolver:ListResolverEndpointIpAddresses``ec2:DescribeSubnets`、、`kafka:ListClustersV2`和`kafka:ListNodes`。 | 2023 年 9 月 14 日 | | [AWSTrustedAdvisorReportingServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy) 附加到 Trusted Advisor `AWSServiceRoleForTrustedAdvisorReporting`服务相关角色的托管策略的 V2 | 将 Trusted Advisor `AWSServiceRoleForTrustedAdvisorReporting`服务相关角色的 Amazon 托管策略升级到 V2。V2 将再添加一个 IAM 操作 `organizations:ListDelegatedAdministrators` | 2023 年 2 月 28 日 | | [AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy) 和 [AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy) 的新 Amazon 托管策略 Trusted Advisor | Trusted Advisor 添加了两个新的托管策略,您可以使用它们来控制对 Priority 的 Trusted Advisor 访问权限。 | 2022 年 8 月 17 日 | | [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy):对现有策略的更新 | Trusted Advisor 添加了新的操作来授予`DescribeTargetGroups`和`GetAccountPublicAccessBlock`权限。 **Auto Scaling 组运行状况检查**需要 `DescribeTargetGroup` 权限,以检索附加到 Auto Scaling 组的非经典负载均衡器。 **Amazon S3 存储桶权限**检查需要 `GetAccountPublicAccessBlock` 权限以检索 Amazon Web Services 账户的阻止公有访问设置。 | 2021 年 8 月 10 日 | | 已发布的更改日志 | Trusted Advisor 开始跟踪其 Amazon 托管策略的更改。 | 2021 年 8 月 10 日 | # Amazon Amazon Web Services 支持 套餐的托管策略 Amazon Web Services 支持 计划具有以下托管策略。 **Contents** + [ ## Amazon 托管策略:AWSSupportPlansFullAccess ](#support-plan-full-access-managed-policy) + [ ## Amazon 托管策略:AWSSupportPlansReadOnlyAccess ](#support-plan-read-only-access-managed-policy) + [ ## Amazon Web Services 支持 计划对 Amazon 托管策略进行更新 ](#security-iam-awsmanpol-updates-support-plans) ## Amazon 托管策略:AWSSupportPlansFullAccess AWSSupportPlansFullAccess Amazon Web Services 支持 计划使用[https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportPlansFullAccess$jsonEditor](https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportPlansFullAccess$jsonEditor) Amazon 托管策略。IAM 实体使用此策略为您完成以下 Support Plans 操作: + 查看您的支持计划 Amazon Web Services 账户 + 查看有关更改支持计划请求状态的详细信息 + 更改您的支持计划 Amazon Web Services 账户 + 为您制定支持计划时间表 Amazon Web Services 账户 + 查看您的所有支持计划修改器列表 Amazon Web Services 账户 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "supportplans:GetSupportPlan", "supportplans:GetSupportPlanUpdateStatus", "supportplans:StartSupportPlanUpdate", "supportplans:CreateSupportPlanSchedule", "supportplans:ListSupportPlanModifiers" ], "Resource": "*" } ] } ``` ------ 有关策略更改的列表,请参阅 [Amazon Web Services 支持 计划对 Amazon 托管策略进行更新](#security-iam-awsmanpol-updates-support-plans)。 ## Amazon 托管策略:AWSSupportPlansReadOnlyAccess AWSSupportPlansReadOnlyAccess Amazon Web Services 支持 计划使用[https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportPlansReadOnlyAccess$jsonEditor](https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportPlansReadOnlyAccess$jsonEditor) Amazon 托管策略。IAM 实体使用此策略为您完成以下只读 Support Plans 操作: + 查看您的支持计划 Amazon Web Services 账户 + 查看有关更改支持计划请求状态的详细信息 + 查看您的所有支持计划修改器列表 Amazon Web Services 账户 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "supportplans:GetSupportPlan", "supportplans:GetSupportPlanUpdateStatus", "supportplans:ListSupportPlanModifiers" ], "Resource": "*" } ] } ``` ------ 有关策略更改的列表,请参阅 [Amazon Web Services 支持 计划对 Amazon 托管策略进行更新](#security-iam-awsmanpol-updates-support-plans)。 ## Amazon Web Services 支持 计划对 Amazon 托管策略进行更新 策略更新 查看自这些服务开始跟踪这些更改以来,Support Plans Amazon 托管政策更新的详细信息。要获得有关此页面更改的自动提示,请订阅 [文档历史记录](History.md) 页面上的 RSS 源。 下表介绍了自 2022 年 9 月 29 日以来对 Support Plans 托管策略的重要更新。 **Amazon Web Services 支持** | 更改 | 描述 | 日期 | | --- | --- | --- | | [AWSSupportPlansReadOnlyAccess](#support-plan-read-only-access-managed-policy) – 对现有策略的更新 [AWSSupportPlansFullAccess](#support-plan-full-access-managed-policy) – 对现有策略的更新 | 将 ListSupportPlanModifiers 操作添加到 AWSSupportPlansFullAccess 和 AWSSupportPlansReadOnlyAccess 托管策略。 | 2024 年 9 月 9 日 | | [AWSSupportPlansFullAccess](#support-plan-full-access-managed-policy) – 对现有策略的更新 | 将 CreateSupportPlanSchedule 操作添加到 AWSSupportPlansFullAccess 托管策略。 | 2023 年 5 月 8 日 | | 已发布的更改日志 | Support Plans 托管策略的更改日志。 | 2022 年 9 月 29 日 | # Amazon Amazon 合作伙伴主导的 Support 的托管策略 Amazon Amazon 合作伙伴主导的 Support 的托管策略 Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。 请记住, Amazon 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。 您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 Amazon 最有可能在启动新的 API 或现有服务可以使用新 Amazon Web Services 服务 的 API 操作时更新 Amazon 托管策略。 有关更多信息,请参阅《IAM 用户指南》**中的 [Amazon 托管式策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。 ## Amazon 托管策略: AWSPartnerLedSupportReadOnlyAccess AWSPartnerLedSupportReadOnlyAccess 您可以将 `AWSPartnerLedSupportReadOnlyAccess` 附加到您的用户、组和角色。 此政策可用于授予只读访问权限 APIs ,该权限可以读取您 Amazon 账户中服务的服务元数据。您可以使用此政策为合作伙伴主导的 Support P Amazon rogram 中的合作伙伴提供访问以下权限详细信息部分中指定的服务的权限。 **重要** 尽管 AWSPartnerLedSupportReadOnlyAccess 这是由提供的托管策略 Amazon,但您有责任查看策略中包含的服务和权限,以验证它们是否符合您的特定支持要求。不要假设此托管策略会自动包含所有现有策略或新策略 Amazon Web Services 服务。您可能需要创建并维护额外的自定义策略,以涵盖此托管策略范围之外的服务。 **权限详细信息** 该策略包含以下权限。 + `acm` – 允许主体对与 Amazon Certificate Manager相关的技术支持案例进行故障排除。 + `acm-pca` – 允许主体对与 Amazon 私有证书颁发机构相关的技术支持案例进行故障排除。 + `apigateway` – 允许主体对与 Amazon API Gateway 相关的技术支持案例进行故障排除。 + `athena` – 允许主体对与 Amazon Athena 相关的技术支持案例进行故障排除。 + `backup` – 允许主体对与 Amazon Backup相关的技术支持案例进行故障排除。 + `backup-gateway`— 允许委托人对与 B Amazon ackup Gateway 相关的技术支持案例进行故障排除。 + `cloudformation` – 允许主体对与 Amazon CloudFormation相关的技术支持案例进行故障排除。 + `cloudfront`— 允许委托人对与 Amazon CloudFront 相关的技术支持案例进行故障排除。 + `cloudtrail` – 允许主体对与 Amazon CloudTrail相关的技术支持案例进行故障排除。 + `cloudwatch`— 允许委托人对与 Amazon CloudWatch 相关的技术支持案例进行故障排除。 + `codepipeline` – 允许主体对与 Amazon CodePipeline相关的技术支持案例进行故障排除。 + `cognito-identity` – 允许主体对与 Amazon Cognito Identity 相关的技术支持案例进行故障排除。 + `cognito-idp` – 允许主体对与 Amazon Cognito 用户池相关的技术支持案例进行故障排除。 + `cognito-sync` – 允许主体对与 Amazon Cognito Sync 相关的技术支持案例进行故障排除。 + `connect` – 允许主体对与 Amazon Connect 相关的技术支持案例进行故障排除。 + `directconnect` – 允许主体对与 Amazon Direct Connect相关的技术支持案例进行故障排除。 + `dms` – 允许主体对与 Amazon Database Migration Service相关的技术支持案例进行故障排除。 + `ds` – 允许主体对与 Amazon Directory Service相关的技术支持案例进行故障排除。 + `ec2` – 允许主体对与 Amazon Elastic Compute Cloud 相关的技术支持案例进行故障排除。这包括 EC2(Windows 和 Linux)、虚拟私有云(VPC)和 VPC 中的技术支持类别。 + `ecs` – 允许主体对与 Amazon Elastic Container Service 相关的技术支持案例进行故障排除。 + `eks` – 允许主体对与 Amazon Elastic Kubernetes Service 相关的技术支持案例进行故障排除。 + `elasticache`— 允许委托人对与 Amazon ElastiCache 相关的技术支持案例进行故障排除。 + `elasticbeanstalk` – 允许主体对与 Amazon Elastic Beanstalk相关的技术支持案例进行故障排除。 + `elasticfilesystem` – 允许主体对与 Amazon Elastic File System 相关的技术支持案例进行故障排除。 + `elasticloadbalancing` – 允许主体对与 Elastic Load Balancing 相关的技术支持案例进行故障排除。 + `emr-containers` – 允许主体对与 Amazon EMR on EKS 相关的技术支持案例进行故障排除。 + `emr-serverless` – 允许主体对与 Amazon EMR Serverless 相关的技术支持案例进行故障排除。 + `es`— 允许委托人对与 Amazon OpenSearch 服务相关的技术支持案例进行故障排除。这包括技术支持类别,例如 OpenSearch 服务托管群集。 + `events`— 允许委托人对与 Amazon EventBridge 相关的技术支持案例进行故障排除。 + `fsx`— 允许委托人对与 Amazon FSx 相关的技术支持案例进行故障排除。这包括技术支持类别,例如 FSX for Windows File Server。 + `glue` – 允许主体对与 Amazon Glue相关的技术支持案例进行故障排除。 + `guardduty`— 允许委托人对与 Amazon GuardDuty 相关的技术支持案例进行故障排除。 + `iam` – 允许主体对与 Amazon Identity and Access Management相关的技术支持案例进行故障排除。 + `kafka` – 允许主体对与 Amazon Managed Streaming for Apache Kafka 相关的技术支持案例进行故障排除。 + `kafkaconnect` – 允许主体对与 Amazon Managed Streaming for Apache Kafka Connect 相关的技术支持案例进行故障排除。 + `lambda` – 允许主体对与 Amazon Lambda相关的技术支持案例进行故障排除。 + `logs`— 允许委托人对与 Amazon L CloudWatch ogs 相关的技术支持案例进行故障排除。 + `medialive` – 允许主体对与 AWS Elemental MediaLive相关的技术支持案例进行故障排除。 + `mobiletargeting` – 允许主体对与 Amazon Pinpoint 相关的技术支持案例进行故障排除。 + `pipes`— 允许委托人对与 Amazon Pip EventBridge es 相关的技术支持案例进行故障排除。 + `polly` – 允许主体对与 Amazon Polly 相关的技术支持案例进行故障排除。 + `quicksight`— 允许委托人对与 Amazon Quick 相关的技术支持案例进行故障排除。 + `rds` – 允许主体对与 Amazon Relational Database Service 相关的技术支持案例进行故障排除。这包括技术支持类别,例如:关系数据库服务 (Aurora - MySQL-Compat)、关系数据库服务 (Aurora - PostgreSQL-c)、关系数据库服务 (PostgreSQL)、关系数据库服务 (SQL Server)、关系数据库服务 (MySQL) 和关系数据库服务 (Oracle)。 + `redshift` – 允许主体对与 Amazon Redshift 相关的技术支持案例进行故障排除。 + `redshift-data` – 允许主体对与 Amazon Redshift Data API 相关的技术支持案例进行故障排除。 + `redshift-serverless` – 允许主体对与 Amazon Redshift Serverless 相关的技术支持案例进行故障排除。 + `route53` – 允许主体对与 Amazon Route 53 相关的技术支持案例进行故障排除。 + `route53domains` – 允许主体对与 Amazon Route 53 域相关的技术支持案例进行故障排除。 + `route53-recovery-cluster` – 允许主体对与 Amazon Route 53 恢复集群相关的技术支持案例进行故障排除。 + `route53-recovery-control-config` – 允许主体对与 Amazon Route 53 恢复控件相关的技术支持案例进行故障排除。 + `route53-recovery-readiness` – 允许主体对与 Amazon Route 53 恢复就绪相关的技术支持案例进行故障排除。 + `route53resolver` – 允许主体对与 Amazon Route 53 Resolver 相关的技术支持案例进行故障排除。 + `s3` – 允许主体对与 Amazon Simple Storage Service 相关的技术支持案例进行故障排除。 + `s3express` – 允许主体对与 Amazon S3 Express 相关的技术支持案例进行故障排除。 + `sagemaker`— 允许委托人对与 Amazon A SageMaker I 相关的技术支持案例进行故障排除。 + `scheduler`— 允许委托人对与 Amazon S EventBridge cheduler 相关的技术支持案例进行故障排除。 + `servicequotas` – 允许主体对与服务配额相关的技术支持案例进行故障排除。 + `ses` – 允许主体对与 Amazon Simple Email Service 相关的技术支持案例进行故障排除。 + `sns` – 允许主体对与 Amazon Simple Notification Service 相关的技术支持案例进行故障排除。 + `ssm` – 允许主体对与 Amazon Systems Manager相关的技术支持案例进行故障排除。 + `ssm-contacts`— 允许委托人对与 Amazon Systems Manager Incident Manager 联系人相关的技术支持案例进行故障排除。 + `ssm-incidents` – 允许主体对与 Amazon Systems Manager Incident Manager相关的技术支持案例进行故障排除。 + `ssm-sap`— 允许委托人对与 SAP 相关的技术支持案例进行故障排除 Amazon Systems Manager 。 + `swf` – 允许主体对与 Amazon Simple Workflow Service 相关的技术支持案例进行故障排除。 + `vpc-lattice` – 允许主体对与 Amazon VPC Lattice 相关的技术支持案例进行故障排除。这包括技术支持类别,例如 VPC - 中转网关。 + `waf` – 允许主体对与 Amazon WAF相关的技术支持案例进行故障排除。 + `waf-regional`— 允许委托人对与 Amazon WAF 区域相关的技术支持案例进行故障排除。 + `wafv2`— 允许委托人对与 Amazon WAF V2 相关的技术支持案例进行故障排除。 + `workspaces`— 允许委托人对与 Amazon WorkSpaces 相关的技术支持案例进行故障排除。这包括技术支持类别,例如 Workspaces (Windows)。 + `workspaces-web`— 允许委托人对与 Amazon WorkSpaces 安全浏览器相关的技术支持案例进行故障排除。这包括技术支持类别,例如 Workspaces (Windows)。 要查看此策略的权限,请参阅《Amazon 托管式策略参考》中的 [https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSPartnerLedSupportReadOnlyAccess.html](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSPartnerLedSupportReadOnlyAccess.html)**。 ## Amazon Partner-Led Support 更新了托管 Amazon 政策 策略更新 查看自 Amazon Partner-Led Support Amazon 托管政策开始跟踪变更以来该服务更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 P Amazon artner-Led Support 文档历史记录页面上的 RSS feed。 | 更改 | 描述 | 日期 | | --- | --- | --- | | [AWSPartnerLedSupportReadOnlyAccess](#managed-policies-partner-led-support-AWSPartnerLedSupportReadOnlyAccess) - 新策略 | 添加了一个新的 Amazon 托管策略,其中包含可以读取您 Amazon 账户中服务的服务元数据的权限。 | 2024 年 11 月 22 日 | | Amazon Partner-Led Support 开始跟踪更改 | Amazon Partner-Led Support 开始跟踪其 Amazon 托管政策的变更。 | 2024 年 11 月 22 日 | # 管理对 Cent Amazon Web Services 支持 er 的访问权限 您必须具有访问支持中心和[创建支持案例](create-support-case-from-interaction.md)的权限。 您可以使用以下选项之一访问支持中心: + 使用 Amazon Identity and Access Management (IAM)。 + 使用与您的 Amazon 帐户关联的电子邮件地址和密码。此身份称为 Amazon 账户 *root 用户*(不推荐)。 如果您有 B Amazon usiness Support\$1、En Amazon terprise Suppor Amazon t 或 Unified Operations 计划,也可以使用 [Amazon Web Services 支持 API](about-support-api.md) 以编程方式进行访问 Amazon Web Services 支持 和 Trusted Advisor 操作。有关更多信息,请参阅 [Amazon Web Services 支持 API 参考](https://docs.amazonaws.cn/awssupport/latest/APIReference/Welcome.html)。 **注意** 如果无法登录到支持中心,则可以使用 [Contact Us](https://www.amazonaws.cn/contact-us/)(联系我们)页面。您可以使用此页面获取有关账单和账户问题的帮助。 有关 Support Center Console API 操作以及如何将其添加到您的 IAM 策略的信息,请参阅[为支持中心控制台 API 操作添加 IAM 策略](support-console-access-control.md)。 ## Amazon 账户(不推荐) 您可以使用您的 Amazon 账户电子邮件地址 Amazon Web Services 管理控制台 和密码登录并访问 Support Center。此身份称为 Amazon 账户 r *oot 用户*。但是,我们强烈建议您不要使用根用户来执行日常任务,即使是管理任务。相反,我们建议您使用 IAM,它允许您控制哪些人可以在您的账户中执行某些任务。 ## Amazon 支持行动 您可以在控制台中执行以下 Amazon Web Services 支持 操作。您也可以在 IAM 策略中指定这些 Amazon Web Services 支持 操作以允许或拒绝特定操作。 **注意** 若在 IAM 策略中拒绝以下任何操作,则在创建支持案例或与支持案例交互时,可能会导致 Support Center 出现意外行为。 | Action | 说明 | | --- | --- | | `AddAttachmentsToSet` | 授予向附件集添加一个或多个附件的权限。附件集是用于存放您添加到案例或案例通信的附件的临时容器。该附件集在创建后 1 小时内可供使用。响应中返回的 expiryTime 即为该附件集的到期时间。 | | `AddCommunicationToCase` | 授予在 Amazon Web Services 支持 案例中添加其他客户通信的权限,包括一组要在通信中复制的电子邮件地址。 | | `CreateCase` | 授予创建案例的权限。 | | `DescribeAttachment` | 授予检索案例附件的权限。 | | `DescribeCaseAttributes` | 授予允许辅助服务读取 Amazon Web Services 支持 案例属性的权限。**\$1Cent Amazon Web Services 支持 er 内部使用它来获取在你的问题上标记的属性。** | | `DescribeCases` | 授予返回与案例 ID 或 Amazon Web Services 支持 案例匹配的案例列表的权限 IDs。 | | `DescribeCommunication` | 授予获取单个 Amazon Amazon Web Services 支持 案例的单一通信和附件的权限。 | | `DescribeCommunications` | 允许返回一个或多个 Amazon Web Services 支持 案例的通信和附件。 | | `DescribeCreateCaseOptions` | 授予返回 CreateCaseOption 类型列表以及相应的支持时间和语言可用性的权限。 | | `DescribeIssueTypes` | 授予返回 Amazon Web Services 支持 案例问题类型的权限。Cent Amazon Web Services 支持 er 内部使用它来获取您账户的可用问题类型。 | | `DescribeServices` | 授予返回当前服务列表和每项 Amazon 服务的服务类别列表的权限。然后,您可以使用服务名称和类别来创建案例。每项 Amazon 服务都有自己的一组类别。 | | `DescribeSeverityLevels` | 授予返回您可以分配给 Amazon Web Services 支持 案例的严重性级别列表的权限。 | | `DescribeSupportedLanguages` | 授予返回指定 categoryCode、issueType 和 serviceCode 的支持语言列表的权限。 | | `DescribeSupportLevel` | 授予返回 Amazon 账户标识符支持级别的权限。Cent Amazon Web Services 支持 er 内部使用它来确定您的支持级别。 | | `DescribeTrustedAdvisorCheckRefreshStatuses` | 授予返回具有指定 Amazon Trusted Advisor 支票的支票刷新状态的权限 IDs。 | | `DescribeTrustedAdvisorCheckResult` | 授予返回具有指定支票 ID 的 Amazon Trusted Advisor 检查结果的权限。 | | `DescribeTrustedAdvisorChecks` | 授予返回有关所有可用 Amazon Trusted Advisor 支票的信息的权限,包括姓名、ID、类别、描述和元数据。 | | `DescribeTrustedAdvisorCheckSummaries` | 授予返回您指定 Amazon Trusted Advisor 支票的检查摘要结果的权限。 IDs | | `GetInteraction` | 授予通过唯一标识符检索特定交互的详细信息的权限。Cent Amazon Web Services 支持 er 内部使用它来检索个性化推荐。 | | `InitiateCallForCase` | 授予在 Cent Amazon Web Services 支持 er 上发起呼叫的权限。Cent Amazon Web Services 支持 er 内部使用它来代表您发起呼叫。 | | `ListInteractionEntries` | 授予在特定互动中检索条目列表的权限,包括消息、状态更新或其他相关数据点。Cent Amazon Web Services 支持 er 内部使用它来跟踪交互的详细轨迹。 | | `ListInteractions` | 授予检索互动列表的权限,可能使用过滤器或分页。Cent Amazon Web Services 支持 er 内部使用它来管理和概述多个交互。 | | `InitiateChatForCase` | 授予在 Amazon Web Services 支持 Center 上发起聊天的权限。Cent Amazon Web Services 支持 er 内部使用它来代表你开始聊天。 | | `PutCaseAttributes` | 授予允许次要服务将属性附加到 Amazon Web Services 支持 案例的权限。Cent Amazon Web Services 支持 er 内部使用它来为您的 Amazon Web Services 支持 案例添加操作标签。 | | `RateCaseCommunication` | 授予对 Amazon Web Services 支持 案例沟通进行评分的权限。 | | `RefreshTrustedAdvisorCheck` | 授予刷新您使用 Amazon Trusted Advisor 支票 ID 指定的支票的权限。 | | `ResolveCase` | 授予解决 Amazon Web Services 支持 案例的权限。 | | `ResolveInteraction` | 允许使用交互的唯一标识符将交互标记为已解决,表示问题已完全解决,无需采取进一步行动。解决后,互动的状态将设置为 “已关闭”,同一账户中的所有用户都可以访问该交互状态。 | | `SearchForCases` | 授予返回与给定输入相匹配的 Amazon Web Services 支持 案例列表的权限。Cent Amazon Web Services 支持 er 内部使用它来查找搜索到的案例。 | | `StartInteraction` | 授予发起新互动以获取针对账户及技术问题的个性化故障排除帮助的权限。Cent Amazon Web Services 支持 er 内部使用它来启动故障排除流程。 | | `UpdateInteraction` | 授予用另一条消息更新通过唯一标识符指定的特定互动的权限。Cent Amazon Web Services 支持 er 内部使用它来更新故障排除流程。 | ## IAM 默认情况下,IAM 用户无法访问支持中心。您可以使用 IAM 创建各个用户或组。然后,您可以将 IAM 策略附加到这些实体,以便他们有权执行操作和访问资源,例如提交 Support Center 案例和使用 Amazon Web Services 支持 API。 创建 IAM 用户以后,您可以为这些用户提供单独的密码和账户特定的登录页面。然后,他们可以登录您的账户 Amazon Web Services 账户 并在 Support Center 中工作。有权 Amazon Web Services 支持 访问的 IAM 用户可以查看为该账户创建的所有案例。 有关更多信息,请参阅 [IAM 用户*指南中的以 IAM 用户身份*登录](https://docs.amazonaws.cn/IAM/latest/UserGuide/WhatUsersNeedToKnow.html)。 Amazon Web Services 管理控制台 授予权限的最简单方法是将 Amazon 托管策略 A [AWSSupportcces](https://console.amazonaws.cn/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/AWSSupportAccess) s 附加到用户、组或角色。 Amazon Web Services 支持 允许操作级权限来控制对特定 Amazon Web Services 支持 操作的访问权限。 Amazon Web Services 支持 不提供资源级访问权限,因此`Resource`元素始终设置为。`*`您无法允许或拒绝对特定支持案例的访问。 **Example : 允许访问所有 Amazon Web Services 支持 操作** Amazon 托管策略 A [AWSSupportcces](https://console.amazonaws.cn/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/AWSSupportAccess) s 授予 IAM 用户访问权限 Amazon Web Services 支持。拥有此策略的 IAM 用户可以访问所有 Amazon Web Services 支持 操作和资源。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["support:*"], "Resource": "*" } ] } ``` 有关如何将 `AWSSupportAccess` 策略附加到您的实体的更多信息,请参阅 *IAM 用户指南*中的[添加 IAM 身份权限(控制台)](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。 **Example : 允许访问除操作之外的所有 ResolveCase 操作** 您也可以在 IAM 中创建*客户托管策略*来指定允许或拒绝哪些操作。以下政策声明允许 IAM 用户执行 Amazon Web Services 支持 除解决案例之外的所有操作。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "support:*", "Resource": "*" }, { "Effect": "Deny", "Action": "support:ResolveCase", "Resource": "*" }] } ``` 有关如何创建客户托管式 IAM policy 的更多信息,请参阅《IAM 用户指南》中的[创建 IAM policy(控制台)](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_create-console.html)。 如果用户或组已有策略,则可以在该策略中添加 Amazon Web Services 支持特定于该策略的策略声明。 **重要** 如果您无法在支持中心中查看案例,请确保您拥有所需的权限。您可能需要联系您的 IAM 管理员。有关更多信息,请参阅 [的身份和访问管理 Amazon Web Services 支持](security-iam.md)。 ## 访问权限 Amazon Trusted Advisor 在中 Amazon Web Services 管理控制台,单独的 `trustedadvisor` IAM 命名空间控制对的访问权限 Trusted Advisor。在 Amazon Web Services 支持 API 中,`support`IAM 命名空间控制对的访问权限 Trusted Advisor。有关更多信息,请参阅 [管理对的访问权限 Amazon Trusted Advisor](security-trusted-advisor.md)。 # 管理对 Amazon Web Services 支持 套餐的访问权限 **Topics** + [ ## Support Plans 控制台的权限 ](#using-the-trusted-advisor-console) + [ ## Support Plans 操作 ](#support-plans-actions) + [ ## Support Plans 的示例 IAM policy ](#support-plans-policies) + [ ## 问题排查 ](#troubleshooting-changing-support-plans) ## Support Plans 控制台的权限 要访问 Support Plans 控制台,用户必须拥有一组最低权限。这些权限必须允许用户列出和查看有关 Amazon Web Services 账户中 Support Plans 资源的详细信息。 您可以使用`supportplans`命名空间创建 Amazon Identity and Access Management (IAM) 策略。您可以使用此策略来指定操作和资源的权限。 创建策略时,可以指定服务的命名空间来允许或拒绝操作。Support Plans 的命名空间为 `supportplans`。 您可以使用 Amazon 托管策略并将其附加到您的 IAM 实体。有关更多信息,请参阅 [Amazon Amazon Web Services 支持 套餐的托管策略](managed-policies-aws-support-plans.md)。 ## Support Plans 操作 可以在控制台中执行以下 Support Plans 操作。还可以在 IAM policy 中指定这些 Support Plans 操作以允许或拒绝特定操作。 | Action | 说明 | | --- | --- | | `GetSupportPlan` | 授予查看有关此 Amazon Web Services 账户当前 Support Plans 详细信息的权限。 | | `GetSupportPlanUpdateStatus` | 授予查看有关更新 Support Plans 请求状态的详细信息的权限。 | | `StartSupportPlanUpdate` | 授予启动请求以更新此 Amazon Web Services 账户支持计划的权限。 | | `CreateSupportPlanSchedule` | 授予权限以为此 Amazon Web Services 账户创建支持计划时间表。 | | `ListSupportPlanModifiers ` | 授予权限以查看此 Amazon Web Services 账户的所有支持计划修饰符列表。 | ## Support Plans 的示例 IAM policy 您可以使用以下示例策略来管理对 Support Plans 的访问。 ### 对 Support Plans 的完全访问 以下策略允许用户对 Support Plans 进行完全访问。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "supportplans:*", "Resource": "*" } ] } ``` ------ ### 对 Support Plans 的只读访问 以下策略允许用户对 Support Plans 进行只读访问。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "supportplans:Get*", "Resource": "*" }, { "Effect": "Allow", "Action": "supportplans:List*", "Resource": "*" } ] } ``` ------ ### 拒绝对 Support Plans 的访问 以下策略不允许用户访问 Support Plans。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "supportplans:*", "Resource": "*" } ] } ``` ------ ## 问题排查 请参阅以下主题以管理对 Support 计划的访问。 ### 尝试查看或更改支持计划时,Support 计划控制台显示缺少 `GetSupportPlan` 权限 IAM 用户必须具有访问 Support 计划控制台所需的权限。您可以更新 IAM policy 以包含缺少的权限,也可以使用 AWSSupportPlansFullAccess 或 AWSSupportPlansReadOnlyAccess 等 Amazon 托管策略。有关更多信息,请参阅 [Amazon Amazon Web Services 支持 套餐的托管策略](managed-policies-aws-support-plans.md)。 如果您无权更新 IAM policy,请联系 Amazon Web Services 账户 管理员。 #### 相关信息 有关更多信息,请参阅 *IAM 用户指南*中的以下主题: + [使用 IAM policy simulator 测试 IAM policy](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_testing-policies.html) + [排查访问被拒绝错误消息](https://docs.amazonaws.cn/IAM/latest/UserGuide/troubleshoot_access-denied.html) ### 具有正确的 Support 计划权限,但仍然显示相同的错误信息 如果您 Amazon Web Services 账户 是其中的成员账户 Amazon Organizations,则可能需要更新服务控制政策 (SCP)。 SCPs 是一种在组织中管理权限的策略。 由于 Support 计划是一项*全球*服务,因此限制 Amazon Web Services 区域 的策略可能会阻止成员账户查看或更改其支持计划。要为您的组织允许全球服务,例如 IAM 和 Support 计划,必须将该服务添加到任何适用的 SCP 的排除列表中。这意味着组织中的账户可以访问这些服务,即使 SCP 拒绝了指定的 Amazon Web Services 区域服务。 要将 Support 计划添加为例外,请在 SCP 的 `"NotAction"` 列表中输入 `"supportplans:*"`。 ``` "supportplans:*", ``` 您的 SCP 可能显示为以下策略代码段。 **Example :允许 Support 计划在组织中进行访问的 SCP** ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "GRREGIONDENY", "Effect": "Deny", "NotAction": [ "aws-portal:*", "budgets:*", "chime:*" "iam:*", "supportplans:*", .... ``` 如果您有成员账户但无法更新 SCP,请联系 Amazon Web Services 账户 管理员。管理账户可能需要更新 SCP,以便所有成员账户都可以访问 Support 计划。 **的注意事项 Amazon Control Tower** 如果您的组织将 SCP 与一起使用 Amazon Control Tower,则可以** Amazon 根据请求的 Amazon Web Services 区域控件(通常称为区域拒绝控制)将拒绝访问**更新为。 如果您将 SCP 更新 Amazon Control Tower 为允许`supportplans`,则修复偏差将移除您对 SCP 的更新。有关更多信息,请参阅[中的检测和解决偏差 Amazon Control Tower](https://docs.amazonaws.cn/controltower/latest/userguide/drift.html)。 #### 相关信息 有关更多信息,请参阅以下主题: + 《*Amazon Organizations 用户指南》中的@@ [服务控制策略 (SCPs)](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_scps.html)。* + **《Amazon Control Tower 用户指南》中的[配置区域拒绝控制](https://docs.amazonaws.cn/controltower/latest/userguide/region-deny.html) + [Amazon 根据*Amazon Control Tower 用户指南 Amazon Web Services 区域*中的要求拒绝访问](https://docs.amazonaws.cn/controltower/latest/userguide/data-residency-controls.html#primary-region-deny-policy) # 管理对的访问权限 Amazon Trusted Advisor 您可以 Amazon Trusted Advisor 从中访问 Amazon Web Services 管理控制台。所有 Amazon Web Services 账户 人都可以访问精选的核心[Trusted Advisor 支票](https://www.amazonaws.cn//premiumsupport/faqs/#TaFree)。如果您有 B Amazon usiness Support\$1、En Amazon terprise Support 或 Amazon Unified Operations 计划,则可以访问所有支票。有关更多信息,请参阅。[Amazon Trusted Advisor 查看参考资料](trusted-advisor-check-reference.md) 您可以使用 Amazon Identity and Access Management (IAM) 来控制对的访问权限 Trusted Advisor。 **Topics** + [ ## Trusted Advisor 控制台的权限 ](#using-the-trusted-advisor-console) + [ ## Trusted Advisor 行动 ](#trusted-advisor-operations) + [ ## IAM 策略示例 ](#iam-policy-examples-trusted-advisor) + [ ## 另请参阅 ](#see-also-security-trusted-advisor) ## Trusted Advisor 控制台的权限 要访问 Trusted Advisor 控制台,用户必须拥有一组最低权限。这些权限必须允许用户列出和查看有关您的 Trusted Advisor 资源的详细信息 Amazon Web Services 账户。 可以使用以下选项来控制对 Trusted Advisor的访问: + 使用 Trusted Advisor 控制台的标签筛选功能。用户或角色必须具有与标签关联的权限。 您可以使用 Amazon 托管策略或自定义策略按标签分配权限。有关更多信息,请参阅 [使用标签控制对 IAM 用户和角色的访问](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_iam-tags.html)。 + 使用 `trustedadvisor` 命名空间创建 IAM policy。您可以使用此策略来指定操作和资源的权限。 创建策略时,可以指定服务的命名空间来允许或拒绝操作。的命名空间 Trusted Advisor 是`trustedadvisor`。但是,您不能使用`trustedadvisor`命名空间来允许或拒绝 Trusted Advisor API 中的 Amazon Web Services 支持 API 操作。相反,您必须使用 Amazon Web Services 支持 的 `support` 命名空间。 **注意** 如果您拥有[Amazon Web Services 支持](https://docs.amazonaws.cn/awssupport/latest/APIReference/)该 API 的权限,则中的 Trusted Advisor 微件会 Amazon Web Services 管理控制台 显示 Trusted Advisor 结果的摘要视图。要在 Trusted Advisor 控制台中查看结果,您必须拥有`trustedadvisor`命名空间的权限。 ## Trusted Advisor 行动 您可以在控制台中执行以下 Trusted Advisor 操作。您也可以在 IAM 策略中指定这些 Trusted Advisor 操作以允许或拒绝特定操作。 | Action | 说明 | | --- | --- | | `DescribeAccount` | 授予查看 Amazon Web Services 支持 计划和各种 Trusted Advisor 首选项的权限。 | | `DescribeAccountAccess` | 授予查看是 Amazon Web Services 账户 启用还是禁用的权限 Trusted Advisor。 | | `DescribeCheckItems` | 授予权限以查看检查项目的详细信息。 | | `DescribeCheckRefreshStatuses` | 授予权限以查看 Trusted Advisor 检查的刷新状态。 | | `DescribeCheckSummaries` | 授予 Trusted Advisor 查看支票摘要的权限。 | | `DescribeChecks` | 授予查看 Trusted Advisor 支票详细信息的权限。 | | `DescribeNotificationPreferences` | 授予权限以查看 Amazon 账户的通知首选项。 | | `ExcludeCheckItems` | 授予权限以排除 Trusted Advisor 检查的建议。 | | `IncludeCheckItems` | 授予权限以包含 Trusted Advisor 检查的建议。 | | `RefreshCheck` | 授予刷新 Trusted Advisor 支票的权限。 | | `SetAccountAccess` | 授予账户启用或禁 Trusted Advisor 用的权限。 | | `UpdateNotificationPreferences` | 授予权限以更新 Trusted Advisor的通知首选项。 | | `DescribeCheckStatusHistoryChanges` | 授予查看过去 30 天内检查的结果和更改状态的权限。 | ### Trusted Advisor 组织视图的操作 以下 Trusted Advisor 操作适用于组织视图功能。有关更多信息,请参阅 [的组织视图 Amazon Trusted Advisor](organizational-view.md)。 | Action | 说明 | | --- | --- | | `DescribeOrganization` | 授予查看是否 Amazon Web Services 账户 满足启用组织视图功能的要求的权限。 | | `DescribeOrganizationAccounts` | 授予查看组织中关联 Amazon 账户的权限。 | | `DescribeReports` | 授予权限以查看组织视图报告的详细信息(例如,报告名称、运行时间、创建日期、状态和格式)。 | | `DescribeServiceMetadata` | 授予查看组织视图报告相关信息的权限,例如支票类别、支票名称和资源状态。 Amazon Web Services 区域 | | `GenerateReport` | 授予在组织中创建 Trusted Advisor 支票报告的权限。 | | `ListAccountsForParent` | 授予在 Trusted Advisor 控制台中查看组织中由根或 Amazon 组织单位 (OU) 包含的所有账户的权限。 | | `ListOrganizationalUnitsForParent` | 授予在 Trusted Advisor 控制台中查看上级组织单位或根目录中所有组织单位 (OUs) 的权限。 | | `ListRoots` | 授予在 Trusted Advisor 控制台中查看 Amazon 组织中定义的所有根目录的权限。 | | `SetOrganizationAccess` | 授予启用组织视图功能的权限 Trusted Advisor。 | ### Trusted Advisor 优先行动 如果您为账户启用了 Trusted Advisor 优先级,则可以在控制台中执行以下 Trusted Advisor 操作。还可以在 IAM policy 中添加这些 Trusted Advisor 操作以允许或拒绝特定操作。有关更多信息,请参阅 [Trusted Advisor 优先级的 IAM 策略示例](#trusted-advisor-priority-policies)。 **注意** Trusted Advisor 优先级中显示的风险是您的技术客户经理 (TAM) 为您的账户确定的建议。系统会自动为您创建来自服务的推荐,例如 Trusted Advisor 支票。来自 TAM 的建议是手动为您创建的。接下来,您的 TAM 会发送这些推荐,使其显示在您账户的 “ Trusted Advisor 优先级” 中。 有关更多信息,请参阅 [开始使用 P Amazon Trusted Advisor riority](trusted-advisor-priority.md)。 | Action | 说明 | | --- | --- | | `DescribeRisks` | 授予按 Trusted Advisor 优先级查看风险的权限。 | | `DescribeRisk` | 授予按 Trusted Advisor 优先级查看风险详细信息的权限。 | | `DescribeRiskResources` | 授予权限以查看 Trusted Advisor Priority 中受影响的风险资源。 | | `DownloadRisk` | 授予下载包含 Trusted Advisor 优先级风险详细信息的文件的权限。 | | `UpdateRiskStatus` | 授予权限以更新 Trusted Advisor Priority 中的风险状态。 | | `DescribeNotificationConfigurations` | 授予获取 “ Trusted Advisor 优先级” 电子邮件通知首选项的权限。 | | `UpdateNotificationConfigurations` | 授予权限以创建或更新 Trusted Advisor Priority 的电子邮件通知首选项。 | | `DeleteNotificationConfigurationForDelegatedAdmin` | 向组织管理账户授予权限,允许其从 Priority 的委托管理员账户中删除电子邮件通知首选项。 Trusted Advisor | ## IAM 策略示例 以下策略介绍如何允许和拒绝对 Trusted Advisor的访问。您可以使用下面的策略之一来在 IAM 控制台中创建*客户托管策略*。例如,您可以复制示例策略,然后将其粘贴到 IAM 控制台的 [JSON 选项卡](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor)中。然后,将策略附加您的 IAM 用户、组或角色。 有关如何创建 IAM policy 的更多信息,请参阅 *IAM 用户指南*中的[创建 IAM policy(控制台)](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_create-console.html)。 **Topics** + [ ### 完全访问权限 Trusted Advisor ](#full-access-trusted-advisor) + [ ### 只读访问权限 Trusted Advisor ](#read-only-access-trusted-advisor) + [ ### 拒绝访问 Trusted Advisor ](#no-access-trusted-advisor) + [ ### 允许和拒绝特定操作 ](#allow-specific-actions-trusted-advisor) + [ ### 控制对 Amazon Web Services 支持 API 操作的访问权限 Trusted Advisor ](#control-access-to-trusted-advisor-deny-support) + [ ### Trusted Advisor 优先级的 IAM 策略示例 ](#trusted-advisor-priority-policies) ### 完全访问权限 Trusted Advisor 以下策略允许用户在 Trusted Advisor 控制台中查看所有 Trusted Advisor 检查并对其执行所有操作。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:*", "Resource": "*" } ] } ``` ------ ### 只读访问权限 Trusted Advisor 以下策略允许用户对 Trusted Advisor 控制台进行只读访问。用户无法进行任何更改,例如刷新检查或更改通知首选项。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "trustedadvisor:Describe*", "trustedadvisor:Get*", "trustedadvisor:List*" ], "Resource": "*" } ] } ``` ------ ### 拒绝访问 Trusted Advisor 以下政策不允许用户在 Trusted Advisor 控制台中查看 Trusted Advisor 支票或对其执行操作。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "trustedadvisor:*", "Resource": "*" } ] } ``` ------ ### 允许和拒绝特定操作 以下策略允许用户在 Trusted Advisor 控制台中查看所有 Trusted Advisor 支票,但不允许他们刷新任何支票。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "trustedadvisor:*", "Resource": "*" }, { "Effect": "Deny", "Action": "trustedadvisor:RefreshCheck", "Resource": "*" } ] } ``` ------ ### 控制对 Amazon Web Services 支持 API 操作的访问权限 Trusted Advisor 在中 Amazon Web Services 管理控制台,单独的 `trustedadvisor` IAM 命名空间控制对的访问权限 Trusted Advisor。您不能使用`trustedadvisor`命名空间来允许或拒绝 Trusted Advisor API 中的 Amazon Web Services 支持 API 操作。相反,可以使用 `support` 命名空间。您必须拥有 Amazon Web Services 支持 API 权限才能以 Trusted Advisor 编程方式调用。 例如,如果要调用该[RefreshTrustedAdvisorCheck](https://docs.amazonaws.cn/awssupport/latest/APIReference/API_RefreshTrustedAdvisorCheck.html)操作,则必须在策略中拥有执行此操作的权限。 **Example : 仅允许 Trusted Advisor API 操作** 以下策略允许用户访问其他 Amazon Web Services 支持 API 操作的 API 操作 Trusted Advisor,但不允许访问其他 Amazon Web Services 支持 API 操作。例如,用户可以使用 API 查看和刷新检查。他们无法创建、查看、更新或解决 Amazon Web Services 支持 案例。 您可以使用此策略以编程方式调用 Trusted Advisor API 操作,但不能使用此策略在 Trusted Advisor 控制台中查看或刷新检查。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "support:DescribeTrustedAdvisorCheckRefreshStatuses", "support:DescribeTrustedAdvisorCheckResult", "support:DescribeTrustedAdvisorChecks", "support:DescribeTrustedAdvisorCheckSummaries", "support:RefreshTrustedAdvisorCheck", "trustedadvisor:Describe*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "support:AddAttachmentsToSet", "support:AddCommunicationToCase", "support:CreateCase", "support:DescribeAttachment", "support:DescribeCases", "support:DescribeCommunications", "support:DescribeServices", "support:DescribeSeverityLevels", "support:ResolveCase" ], "Resource": "*" } ] } ``` 有关 IAM 如何与 Amazon Web Services 支持 和配合使用的更多信息 Trusted Advisor,请参阅[操作](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions)。 ### Trusted Advisor 优先级的 IAM 策略示例 您可以使用以下 Amazon 托管策略来控制对 Priority 的 Trusted Advisor 访问权限。有关更多信息,请参阅[Amazon Web Services 的托管策略 Amazon Trusted Advisor](aws-managed-policies-for-trusted-advisor.md)和[开始使用 P Amazon Trusted Advisor riority](trusted-advisor-priority.md)。 ## 另请参阅 有关 Trusted Advisor 权限的更多信息,请参阅以下资源: + *IAM 用户指南*中的[由 Amazon Trusted Advisor定义的操作](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_awstrustedadvisor.html#awstrustedadvisor-actions-as-permissions)。 + [控制对 Trusted Advisor 控制台的访问](https://www.amazonaws.cn/premiumsupport/ta-iam/) # 的服务控制策略示例 Amazon Trusted Advisor Amazon Trusted Advisor 支持服务控制策略 (SCPs)。 SCPs 是您附加到组织中元素的策略,用于管理该组织内的权限。SCP 适用于[您附加 SCP 的元素下](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html)的所有 Amazon Web Services 账户。 SCPs 集中控制组织中所有账户的最大可用权限。它们可以帮助您确保您的 Amazon Web Services 帐户符合组织的访问控制准则。有关更多信息,请参阅《Amazon Organizations 用户指南》**中的[服务控制策略](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_scps.html)。 **Topics** + [ ## 先决条件 ](#prerequisites-trusted-advisor-scps) + [ ## 示例服务控制策略 ](#example-service-control-policies) ## 先决条件 要使用 SCPs,必须先执行以下操作: + 启用组织中的所有功能。有关更多信息,请参阅《Amazon Organizations 用户指南》**中的[启用企业中的所有功能](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。 + 启用 SCPs 以便在您的组织内使用。有关更多信息,请参阅《Amazon Organizations 用户指南》**中的[启用和禁用策略类型](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_enable-disable.html)。 + 创建你 SCPs 需要的。有关创建的更多信息 SCPs,请参阅《*Amazon Organizations 用户指南》*中的[创建、更新和删除服务控制策略](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_scps_create.html)。 ## 示例服务控制策略 以下示例展示如何能控制组织中资源共享的各个方面。 **Example : 阻止用户在 Engage 中 Trusted Advisor 创建或编辑互动** 以下 SCP 阻止用户创建新参与或编辑现有参与。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "trustedadvisor:CreateEngagement", "trustedadvisor:UpdateEngagement*" ], "Resource": [ "*" ] } ] } ``` **Example : 拒绝 Trusted Advisor 参与和 Trusted Advisor 优先访问** 以下 SCP 禁止用户在 Eng Trusted Advisor age 和 Trusted Advisor Priority 中访问或执行任何操作。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "trustedadvisor:ListEngagement*", "trustedadvisor:GetEngagement*", "trustedadvisor:CreateEngagement*", "trustedadvisor:UpdateEngagement*", "trustedadvisor:DescribeRisk*", "trustedadvisor:UpdateRisk*", "trustedadvisor:DownloadRisk" ], "Resource": [ "*" ] } ] } ``` # 对 Amazon Web Services 支持 身份和访问进行故障排除 问题排查 使用以下信息来帮助您诊断和修复在使用 Amazon Web Services 支持 和 IAM 时可能遇到的常见问题。 **Topics** + [ ## 我无权执行 iam:PassRole ](#security_iam_troubleshoot-passrole) + [ ## 我想要查看我的访问密钥 ](#security_iam_troubleshoot-access-keys) + [ ## 我是一名管理员,想允许其他人访问 Amazon Web Services 支持 ](#security_iam_troubleshoot-admin-delegate) + [ ## 我想允许 Amazon 账户之外的人访问我的 Amazon Web Services 支持 资源 ](#security_iam_troubleshoot-cross-account-access) ## 我无权执行 iam:PassRole 如果您收到一个错误,表明您无权执行 `iam:PassRole` 操作,则必须更新策略以允许您将角色传递给。 Amazon Web Services 支持 有些 Amazon Web Services 服务 允许您将现有角色传递给该服务,而不是创建新的服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。 当名为 `marymajor` 的 IAM 用户尝试使用控制台在 Amazon Web Services 支持中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。 ``` User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole ``` 在这种情况下,必须更新 Mary 的策略以允许她执行 `iam:PassRole` 操作。 如果您需要帮助,请联系您的 Amazon 管理员。您的管理员是提供登录凭证的人。 ## 我想要查看我的访问密钥 在创建 IAM 用户访问密钥后,您可以随时查看您的访问密钥 ID。但是,您无法再查看您的秘密访问密钥。如果您丢失了私有密钥,则必须创建一个新的访问密钥对。 访问密钥包含两部分:访问密钥 ID(例如 `AKIAIOSFODNN7EXAMPLE`)和秘密访问密钥(例如 `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`)。与用户名和密码一样,您必须同时使用访问密钥 ID 和秘密访问密钥对请求执行身份验证。像对用户名和密码一样,安全地管理访问密钥。 **重要** 请不要向第三方提供访问密钥,即便是为了帮助[找到您的规范用户 ID](https://docs.amazonaws.cn/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId) 也不行。通过这样做,您可以授予他人永久访问您的权限 Amazon Web Services 账户。 当您创建访问密钥对时,系统会提示您将访问密钥 ID 和秘密访问密钥保存在一个安全位置。秘密访问密钥仅在您创建它时可用。如果丢失了您的秘密访问密钥,您必须为 IAM 用户添加新的访问密钥。您最多可拥有两个访问密钥。如果您已有两个密钥,则必须删除一个密钥对,然后再创建新的密钥。要查看说明,请参阅 *IAM 用户指南*中的[管理访问密钥](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)。 ## 我是一名管理员,想允许其他人访问 Amazon Web Services 支持 要允许其他人访问 Amazon Web Services 支持,您必须向需要访问的人员或应用程序授予权限。如果使用 Amazon IAM Identity Center 管理人员和应用程序,则可以向用户或组分配权限集来定义其访问权限级别。权限集会自动创建 IAM 策略并将其分配给与人员或应用程序关联的 IAM 角色。有关更多信息,请参阅《Amazon IAM Identity Center 用户指南》**中的[权限集](https://docs.amazonaws.cn/singlesignon/latest/userguide/permissionsetsconcept.html)。 如果未使用 IAM Identity Center,则必须为需要访问的人员或应用程序创建 IAM 实体(用户或角色)。然后,您必须将策略附加到实体,以便在 Amazon Web Services 支持中向其授予正确的权限。授予权限后,向用户或应用程序开发人员提供凭证。他们将使用这些凭证访问 Amazon。要了解有关创建 IAM 用户、组、策略和权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 身份](https://docs.amazonaws.cn/IAM/latest/UserGuide/id.html)和 [IAM 中的策略和权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies.html)。 ## 我想允许 Amazon 账户之外的人访问我的 Amazon Web Services 支持 资源 您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表 (ACLs) 的服务,您可以使用这些策略向人们授予访问您的资源的权限。 要了解更多信息,请参阅以下内容: + 要了解是否 Amazon Web Services 支持 支持这些功能,请参阅[如何 Amazon Web Services 支持 与 IAM 配合使用](security_iam_service-with-iam.md)。 + 要了解如何提供对您拥有的资源的访问权限 Amazon Web Services 账户 ,请参阅 [IAM 用户*指南中的向您拥有 Amazon Web Services 账户 的另一个 IAM 用户*提供访问](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)权限。 + 要了解如何向第三方提供对您的资源的访问[权限 Amazon Web Services 账户,请参阅 *IAM 用户指南*中的向第三方提供](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)访问权限。 Amazon Web Services 账户 + 要了解如何通过身份联合验证提供访问权限,请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户(身份联合验证)提供访问权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。 + 要了解使用角色和基于资源的策略进行跨账户访问之间的差别,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。 # 事件响应 事件响应 Amazon Web Services 支持 是一种 Amazon 责任。 Amazon 有正式的、记录在案的政策和计划来管理事件响应。有关更多信息,请参阅 [Amazon 安全事件响应 技术指南](https://docs.amazonaws.cn/security-ir/latest/userguide/security-incident-response-guide.html)。 使用以下选项可自行获知操作性问题: + 在 S [Amazon ervice Health Das](https://status.amazonaws.cn/) hboard 上查看具有广泛影响的 Amazon 运营问题。例如,影响非账户特定的服务或区域的事件。 + 在 [Amazon Health Dashboard](https://phd.aws.amazon.com) 中查看单个账户的操作性问题。例如,影响账户中的服务或资源的事件。有关更多信息,请参阅《Amazon Health 用户指南》**中的 [Amazon Health Dashboard入门](https://docs.amazonaws.cn/health/latest/ug/getting-started-phd.html)。 # 登录 Amazon Web Services 支持 和监控 Amazon Trusted Advisor 监控是维护和和其他 Amazon 解决方案的可靠性、可用性和性能的重要组成部分。 Amazon Web Services 支持 Amazon Trusted Advisor Amazon 提供了以下监控工具,供 Amazon Web Services 支持 您监视 Amazon Trusted Advisor、报告问题并在适当时采取措施: + *Amazon* 会实时 CloudWatch监控您的 Amazon 资源和您运行 Amazon 的应用程序。您可以收集和跟踪指标,创建自定义的控制面板,以及设置警报以在指定的指标达到您指定的阈值时通知您或采取措施。例如,您可以 CloudWatch 跟踪亚马逊弹性计算云 (Amazon EC2) 实例的 CPU 使用率或其他指标,并在需要时自动启动新实例。有关更多信息,请参阅 [Amazon CloudWatch 用户指南](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/)。 + *Amazon EventBridge* 提供了描述 Amazon 资源变化的近乎实时的系统事件流。 EventBridge 启用事件驱动的自动计算,因为您可以编写规则来监视某些事件,并在这些事件发生时在其他 Amazon 服务中触发自动操作。有关更多信息,请参阅 [Amazon EventBridge 用户指南](https://docs.amazonaws.cn/eventbridge/latest/userguide/eb-what-is.html)。 + *Amazon CloudTrail*捕获由您的账户或代表您的 Amazon 账户进行的 API 调用和相关事件,并将日志文件传输到您指定的亚马逊简单存储服务 (Amazon S3) Service 存储桶。您可以识别哪些用户和帐户拨打了电话 Amazon、发出呼叫的源 IP 地址以及呼叫发生的时间。有关更多信息,请参阅 [Amazon CloudTrail 《用户指南》](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/)。 有关更多信息,请参阅[Amazon Web Services 支持 的监控和日志记录](monitoring-overview.md)和[Amazon Trusted Advisor 的监控和日志记录](cloudwatch-ta.md)。 # 合规性验证 Amazon Web Services 支持 合规性验证 要了解是否属于特定合规计划的范围,请参阅Amazon Web Services 服务 “” [Amazon Web Services 服务 中的 “按合规计划划分的范围](https://www.amazonaws.cn/compliance/services-in-scope/)”,然后选择您感兴趣的合规计划。 Amazon Web Services 服务 有关一般信息,请参阅[合规计划](https://www.amazonaws.cn/compliance/programs/)。 您可以使用下载第三方审计报告 Amazon Artifact。有关更多信息,请参阅中的 “[下载报告” Amazon Artifact](https://docs.amazonaws.cn/artifact/latest/ug/downloading-documents.html)。 您在使用 Amazon Web Services 服务 时的合规责任取决于您的数据的敏感性、贵公司的合规目标以及适用的法律和法规。有关您在使用时的合规责任的更多信息 Amazon Web Services 服务,请参阅[Amazon 安全文档](https://docs.amazonaws.cn/security/)。 # 韧性在 Amazon Web Services 支持 恢复能力 Amazon 全球基础设施围绕 Amazon 区域和可用区构建。 Amazon 区域提供多个物理隔离和隔离的可用区,这些可用区通过低延迟、高吞吐量和高度冗余的网络相连。利用可用区,您可以设计和操作在可用区之间无中断地自动实现失效转移的应用程序和数据库。与传统的单个或多个数据中心基础设施相比,可用区具有更高的可用性、容错能力和可扩展性。 有关 Amazon 区域和可用区的更多信息,请参阅[Amazon 全球基础设施](https://www.amazonaws.cn/about-aws/global-infrastructure/)。 # 中的基础设施安全 Amazon Web Services 支持 基础结构安全性 作为一项托管服务, Amazon Web Services 支持 受到《[Amazon Web Services:安全流程概述》白皮书中描述的 Amazon 全球网络安全](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)程序的保护。 您可以使用 Amazon 已发布的 API 调用 Amazon Web Services 支持 通过网络进行访问。客户端必须支持传输层安全性协议(TLS)1.0 或更高版本。建议使用 TLS 1.2 或更高版本。客户端还必须支持具有完全向前保密(PFS)的密码套件,例如 Ephemeral Diffie-Hellman(DHE)或 Elliptic Curve Ephemeral Diffie-Hellman(ECDHE)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。 此外,必须使用访问密钥 ID 和与 IAM 主体关联的秘密访问密钥来对请求进行签名。或者,您可以使用 [Amazon Security Token Service](https://docs.amazonaws.cn/STS/latest/APIReference/Welcome.html)(Amazon STS)生成临时安全凭证来对请求进行签名。 # 中的配置和漏洞分析 Amazon Web Services 支持 配置和漏洞分析 对于 Amazon Trusted Advisor, Amazon 处理基本的安全任务,例如客户机操作系统 (OS) 和数据库修补、防火墙配置和灾难恢复。 配置和 IT 控制由您(我们的客户)共同 Amazon 负责。有关更多信息,请参阅[责任 Amazon 共担模型](https://www.amazonaws.cn/compliance/shared-responsibility-model/)。