本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
选项 2:创建具有最低所需权限的自定义策略
您可以明确允许列出特定操作,而不必使用通配符。以下是支持互动、案例创建和案例管理所需的权限:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "support:AddAttachmentsToSet", "support:AddCommunicationToCase", "support:CreateCase", "support:DescribeAttachment", "support:DescribeCaseAttributes", "support:DescribeCases", "support:DescribeCommunication", "support:DescribeCommunications", "support:DescribeCreateCaseOptions", "support:DescribeIssueTypes", "support:DescribeServices", "support:DescribeSeverityLevels", "support:DescribeSupportedLanguages", "support:DescribeSupportLevel", "support:GetInteraction", "support:InitiateCallForCase", "support:ListInteractionEntries", "support:ListInteractions", "support:InitiateChatForCase", "support:PutCaseAttributes", "support:ResolveCase", "support:ResolveInteraction", "support:SearchForCases", "support:StartInteraction", "support:UpdateInteraction", "support-console:GetAccountState", "support-console:GetAccountGovCloudEnabled", "support-console:GetCaseDraft", "support-console:CreateCaseDraft", "support-console:DeleteCaseDraft", "support-console:GetBanner", "support-console:DescribeDynamicHelp", "support-console:CreateContact", ], "Resource": "*" } ] }
要获得您的 IAM 身份所需的 Amazon DevOps 代理 权限,请附加以下 Amazon 托管策略:
AIDevOpsAgentFullAccess。 提供对 DevOps 代理管理操作的完全访问权限。AIDevOpsAgentAccessPolicy。 创建代理空间所必需的。AIDevOpsOperatorAppAccessPolicy。 需要启用操作员应用程序访问权限。
有关操作的完整列表,请参阅Amazon DevOps 代理 用户指南中的DevOps 代理 IAM 权限。
您的 IAM 身份需要iam:PassRole在DevOpsAgentRole-AgentSpace和DevOpsAgentRole-WebappAdmin角色上,这样 Support Center Console 可以在首次设置时代表您创建这些角色时将这些角色传递给 DevOps 代理。要对 Amazon Elastic Kubernetes Service 集群进行调查,您的 IAM 身份还eks:DescribeAccessEntry需要和eks:CreateAccessEntry,eks:AssociateAccessPolicy以便支持中心控制台可以在目标集群上创建只读访问条目。有关访问条目的更多信息,请参阅亚马逊 Elastic Kubernetes 服务用户指南中的通过亚马逊 EKS 访问条目授予 IAM 用户访问 Kubernetes 的权限。
注意
随着新功能的 Amazon Web Services 支持 发布,使用自定义策略需要持续维护。有关 Support Center 控制台 API 操作的更多信息,请参阅为支持中心控制台 API 操作添加 IAM 策略。有关每个 Amazon Web Services 支持 API 操作的更多信息,请参阅管理对的访问权限 Amazon Web Services 支持 中心。