将服务相关角色用于 Amazon Web Services Support - Amazon Web Services Support
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

将服务相关角色用于 Amazon Web Services Support

Amazon Web Services Support 工具通过 API 调用来收集有关 Amazon 资源的信息,以提供客户服务和技术支持。为了提高支持活动的透明度和可审核性,Amazon Web Services Support 现在使用 Amazon Identity and Access Management (IAM) 服务相关角色

AWSServiceRoleForSupport 服务相关角色是直接链接到 Amazon Web Services Support 的独特 IAM 角色。此服务相关角色是预定义的,并包含 Amazon Web Services Support 代表您调用其他 Amazon 服务所需的权限。

AWSServiceRoleForSupport 服务相关角色信任 support.amazonaws.com 服务来代入角色。

为提供这些服务,该角色的预定义权限会向 Amazon Web Services Support 授予对资源元数据而不是客户数据的访问权限。只有 Amazon Web Services Support 工具可以代入此角色,此角色存在于您的 Amazon 账户中。

我们会编辑可能包含客户数据的字段。例如,Amazon Step Functions API 调用的 GetExecutionHistoryInputOutput 字段对 Amazon Web Services Support 不可见。我们使用 Amazon KMS keys 加密敏感字段。这些字段在 API 响应中进行了编辑,对 Amazon Web Services Support 代理不可见。

注意

Amazon Trusted Advisor 使用单独的 IAM 服务相关角色来访问您账户的 Amazon 资源,以提供最佳实践建议和检查。有关更多信息,请参阅将服务相关角色用于 Trusted Advisor

AWSServiceRoleForSupport 服务相关角色通过 Amazon CloudTrail 使所有 Amazon Web Services Support API 调用均对客户可见。这样便于监控和审核要求,因为您可以透明地了解 Amazon Web Services Support 代表您执行的操作。有关 CloudTrail 的更多信息,请参阅 Amazon CloudTrail 用户指南

Amazon Web Services Support 的服务相关角色权限

此角色使用 AWSSupportServiceRolePolicy Amazon 托管式策略。此托管策略已附加到角色,并授予角色代表您完成操作的权限。

这些操作可能包括以下内容:

  • 账单、管理、支持和其他客户服务 – Amazon 客户服务使用托管策略授予的权限来执行很多服务以作为支持计划的一部分。其中包括调查和解答账户和账单问题、为账户提供管理支持、增加服务配额和提供额外的客户支持。

  • 您的 Amazon 账户的服务属性和使用数据的处理 – Amazon Web Services Support 可能会使用托管策略授予的权限来访问您的 Amazon 账户的服务属性和使用数据。此策略允许 Amazon Web Services Support 为您的账户提供账单、管理和技术支持。服务属性包括账户的资源标识符、元数据标签、角色和权限。使用率数据包括使用策略、使用情况统计数据和分析。

  • 维护账户及其资源的运行状况 – Amazon Web Services Support 使用自动化工具执行与操作和技术支持相关的操作。

有关允许的服务和操作的更多信息,请参阅 IAM 控制台中的 AWSSupportServiceRolePolicy 策略。

注意

Amazon Web Services Support 每月自动更新一次 AWSSupportServiceRolePolicy 策略,以添加新 Amazon 服务和操作的权限。

有关更多信息,请参阅Amazon Web Services Support 和 Amazon Trusted Advisor 的 Amazon 托管策略

为 Amazon Web Services Support 创建服务相关角色

您无需手动创建 AWSServiceRoleForSupport 角色。当您创建 Amazon 账户时,将自动为您创建和配置此角色。

重要

如果您在 Amazon Web Services Support 开始支持服务相关角色之前使用该服务,则 Amazon 会在您的账户中创建 AWSServiceRoleForSupport 角色。有关更多信息,请参阅我的 IAM 账户中出现新角色

为 Amazon Web Services Support 编辑和删除服务相关角色

您可以使用 IAM 编辑 AWSServiceRoleForSupport 服务相关角色的描述。有关更多信息,请参阅 IAM 用户指南中的编辑服务相关角色

AWSServiceRoleForSupport ​角色对于 Amazon Web Services Support ​为您的账户提供管理、运营和技术支持是必需的。因此,无法通过 IAM 控制台、API 或 Amazon Command Line Interface (Amazon CLI) 删除此角色。这将保护您的 Amazon 账户,因为您不会无意中删除管理支持服务所需的权限。

有关 AWSServiceRoleForSupport 角色或其使用的更多信息,请联系 Amazon Web Services Support。​