管理对 Amazon Web Services Support App 的访问 - Amazon Web Services Support
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

管理对 Amazon Web Services Support App 的访问

在您拥有 Amazon Web Services Support App 小组件的权限之后,还必须创建一个 Amazon Identity and Access Management(IAM)角色。此角色为您执行来自其他 Amazon Web Services 的操作,例如 Amazon Web Services Support API 和服务限额。

然后,您将 IAM policy 附加到该角色,以便该角色拥有完成这些操作所需的权限。在支持中心控制台中创建 Slack 通道配置时,您可以选择此角色。

Slack 通道中的用户拥有与您授予 IAM 角色相同的权限。例如,如果您为支持案例指定只读访问权限,则 Slack 通道中的用户可以查看您的支持案例,但无法更新支持案例。

重要

当您请求与支持座席进行在线聊天时,Amazon Web Services Support App 会创建一个单独的 Slack 通道。此 Slack 通道拥有与您创建案例或发起聊天的通道相同的权限。

如果您更改 IAM 角色或 IAM policy,您的更改将应用于您配置的 Slack 通道以及 Amazon Web Services Support App 为您创建的任何新的实时聊天 Slack 通道。

按照以下步骤创建您的 IAM 角色和策略。

创建 IAM policy

按照此步骤为您的角色创建客户管理型策略。此策略授予角色为您执行操作的权限。此过程使用 IAM 控制台中的 JSON 策略编辑器。

提示

如果您不想手动创建策略,则可以使用 Amazon 托管策略并跳过此过程。托管策略自动拥有 Amazon Web Services Support App 的所需权限。您无需手动更新策略。有关更多信息,请参阅 用于 Slack 中 Amazon Web Services Support App 的 Amazon 托管策略

为 Amazon Web Services Support App 创建 IAM policy

  1. 登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择 Policies (策略)

  3. 选择创建策略

  4. 请选择 JSON 选项卡。

  5. 输入您的 JSON,然后在编辑器中替换默认 JSON。您可以使用示例策略

  6. 请选择下一步:标签

  7. (可选)您可以使用标签作为键值对将元数据添加到策略。

  8. 选择 Next: Review(下一步: 审核)

  9. 查看策略页面,输入 Name(名称),例如 AWSSupportAppRolePolicyDescription(描述)(可选)。

  10. 查看 Summary(摘要)页面以查看策略允许的权限,然后选择 Create policy(创建策略)。

此策略定义角色可以执行的操作。有关更多信息,请参阅《IAM 用户指南》中的创建 IAM policy(控制台)

示例 IAM policy

您可以将下列示例策略附加到 IAM 角色。此策略允许角色对 Amazon Web Services Support App 的所有必要操作拥有完全权限。您使用角色配置 Slack 通道后,通道中的任何用户都具有相同的权限。

注意

有关 Amazon 托管策略的列表,请参阅 用于 Slack 中 Amazon Web Services Support App 的 Amazon 托管策略

您可以更新策略以从 Amazon Web Services Support App 中删除权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicequotas:GetRequestedServiceQuotaChange", "servicequotas:GetServiceQuota", "servicequotas:RequestServiceQuotaIncrease", "support:AddAttachmentsToSet", "support:AddCommunicationToCase", "support:CreateCase", "support:DescribeCases", "support:DescribeCommunications", "support:DescribeSeverityLevels", "support:InitiateChatForCase", "support:ResolveCase" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": {"iam:AWSServiceName": "servicequotas.amazonaws.com"} } } ] }

有关每项操作的描述,请参阅《服务授权参考》中的以下主题:

创建 IAM 角色

创建策略后,您必须创建 IAM 角色,并将策略附加到此角色。在支持中心控制台中创建 Slack 通道配置时,您可以选择此角色。

为 Amazon Web Services Support App 创建角色

  1. 登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择 Roles (角色),然后选择 Create role (创建角色)

  3. 对于 Select trusted entity(选择受信任实体),选择 Amazon Web Service

  4. 选择 Amazon Web Services Support App

  5. 选择Next: Permissions(下一步: 权限)

  6. 输入策略名称。您可以选择 Amazon 托管策略或选择您创建的客户管理型策略,例如 AWSSupportAppRolePolicy。选中策略旁的复选框。

  7. 请选择下一步:标签

  8. (可选)您可以使用标签作为键值对将元数据添加到角色。

  9. 选择 Next: Review(下一步: 审核)

  10. 对于 Role name(角色名称),输入名称,例如 AWSSupportAppRole

  11. (可选)对于 Role description(角色描述),输入角色的描述。

  12. 检查角色,然后选择 Create role。在支持中心控制台中创建 Slack 通道配置时,您可以选择此角色。请参阅配置 Slack 通道

有关更多信息,请参阅《IAM 用户指南》中的创建用于 Amazon 服务的角色

问题排查

请参阅以下主题以管理对 Amazon Web Services Support App 的访问。

我想限制 Slack 通道中的特定用户执行特定操作

默认情况下,Slack 通道中的用户拥有与您附加到所创建 IAM 角色的 IAM policy 中指定的相同权限。这意味着通道中的任何人对支持案例都具有读取或写入权限,无论他们是否拥有 Amazon Web Services 账户 或 IAM 用户。

我们建议您遵循以下最佳实践:

我配置 Slack 通道时,看不到我创建的 IAM 角色

如果 IAM 角色未出现在 Amazon Web Services Support App 列表的 IAM 角色中,这意味着该角色没有把 Amazon Web Services Support App 作为可信实体,或者该角色已被删除。您可以更新现有角色或创建一个新角色。请参阅创建 IAM 角色

我的 IAM 角色缺少权限

您为 Slack 通道创建的 IAM 角色需要权限才能执行您需要的操作。例如,如果您想让 Slack 中的用户创建支持案例,则该角色必须具有 support:CreateCase 权限。Amazon Web Services Support App 将代入此角色为您执行这些操作。

如果您从 Amazon Web Services Support App 收到有关缺少权限的错误消息,请验证附加到角色的策略是否具有所需权限。

请参阅前面的 示例 IAM policy

Slack 错误消息显示我的 IAM 角色无效

请确认您为通道配置选择了正确的角色。

验证您的角色

  1. https://console.aws.amazon.com/support/app#/config 页面登录 Amazon Support Center Console。

  2. 选择您使用 Amazon Web Services Support App 配置的通道。

  3. Permissions(权限)部分中,找到您选择的 IAM 角色名称。

    • 若要更改角色,请选择 Edit(编辑),选择另一个角色,然后选择 Save(保存)。

    • 若要更新角色或附加到该角色的策略,请登录 IAM 控制台

Amazon Web Services Support App 显示我缺少服务限额的 IAM 角色

您必须在账户中拥有从服务限额请求增加限额的 AWSServiceRoleForServiceQuotas 角色。如果您收到有关缺少资源的错误消息,请完成以下步骤之一:

  • 使用服务限额控制台请求增加限额。成功发送请求后,服务限额会自动为您创建此角色。然后,您可以使用 Amazon Web Services Support App 在 Slack 中请求增加限额。有关更多信息,请参阅 Requesting a quota increase(请求增加限额)。

  • 更新附加到角色的 IAM policy。这将授予角色对服务限额的权限。示例 IAM policy 中的以下部分允许 Amazon Web Services Support App 为您创建服务限额角色。

    { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": {"iam:AWSServiceName": "servicequotas.amazonaws.com"} } }

如果您删除为通道配置的 IAM 角色,则必须手动创建该角色或更新 IAM policy,以允许 Amazon Web Services Support App 为您创建一个新角色。