本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 将服务相关角色用于 Amazon Web Services 支持
Amazon Web Services 支持 工具通过 API 调用收集有关您的 Amazon 资源的信息,以提供客户服务和技术支持。为了提高支持活动的透明度和可审计性,请 Amazon Web Services 支持 使用 Amazon Identity and Access Management (IAM) [服务相关](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)角色。
`AWSServiceRoleForSupport`服务相关角色是直接链接到 Amazon Web Services 支持的独特 IAM 角色。此服务相关角色是预定义的,它包括代表您调用其他 Amazon 服务 Amazon Web Services 支持 所需的权限。
`AWSServiceRoleForSupport` 服务关联角色信任 `support.amazonaws.com` 服务来代入角色。
为了提供这些服务,角色的预定义权限 Amazon Web Services 支持 允许访问资源元数据,而不是客户数据。只有 Amazon Web Services 支持 工具才能担任此角色,该角色存在于您的 Amazon 账户中。
我们会编辑可能包含客户数据的字段。例如, Amazon Step Functions API 调[GetExecutionHistory](https://docs.amazonaws.cn/step-functions/latest/apireference/API_GetExecutionHistory.html)用的`Input`和`Output`字段对用户不可见 Amazon Web Services 支持。我们使用 Amazon KMS keys 加密敏感字段。这些字段已在 API 响应中被删除, Amazon Web Services 支持 代理不可见。
**注意**
Amazon Trusted Advisor 使用单独的 IAM 服务相关角色访问账户的 Amazon 资源,以提供最佳实践建议和检查。有关更多信息,请参阅 [将服务相关角色用于 Trusted Advisor](using-service-linked-roles-ta.md)。
`AWSServiceRoleForSupport`服务相关角色允许客户通过 Amazon CloudTrail查看所有 Amazon Web Services 支持 API 调用。这有助于满足监控和审计要求,因为它提供了一种透明的方式来了解代表您 Amazon Web Services 支持 执行的操作。有关的信息 CloudTrail,请参阅《[Amazon CloudTrail 用户指南》](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/)。
## 的服务相关角色权限 Amazon Web Services 支持
此角色使用`AWSSupportServiceRolePolicy` Amazon 托管策略。此托管策略已附加到角色,并授予角色代表您完成操作的权限。
这些操作可能包括以下内容:
+ **账单、管理、支持和其他客户服务** — Amazon 客户服务使用托管策略授予的权限来执行作为支持计划一部分的多项服务。其中包括调查和解答账户和账单问题、为账户提供管理支持、增加服务配额和提供额外的客户支持。
+ **处理您 Amazon 账户的服务属性和使用情况数据** — Amazon Web Services 支持 可能会使用托管策略授予的权限来访问您 Amazon 账户的服务属性和使用数据。该政策 Amazon Web Services 支持 允许为您的账户提供账单、管理和技术支持。服务属性包括账户的资源标识符、元数据标签、角色和权限。使用率数据包括使用策略、使用情况统计数据和分析。
+ **维护您的账户及其资源的运行状况** —— Amazon Web Services 支持 使用自动化工具执行与运营和技术支持相关的操作。
有关允许的服务和操作的更多信息,请参阅 IAM 控制台中的 [https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor](https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor) 策略。
**注意**
Amazon Web Services 支持 每月自动更新一次`AWSSupportServiceRolePolicy`策略以添加新 Amazon 服务和操作的权限。
有关更多信息,请参阅 [Amazon 的托管策略 Amazon Web Services 支持](security-iam-awsmanpol.md)。
## 为创建服务相关角色 Amazon Web Services 支持
您无需手动创建 `AWSServiceRoleForSupport` 角色。创建 Amazon 账户时,系统会自动为您创建和配置此角色。
**重要**
如果您在开始支持服务相关角色 Amazon Web Services 支持 之前使用该角色,则在您的账户中 Amazon 创建了该`AWSServiceRoleForSupport`角色。有关更多信息,请参阅[我的 IAM 账户中出现新角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
## 编辑和删除的服务相关角色 Amazon Web Services 支持
您可以使用 IAM 编辑 `AWSServiceRoleForSupport` 服务关联角色的描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
该`AWSServiceRoleForSupport`角色是为您的账户 Amazon Web Services 支持 提供管理、运营和技术支持所必需的。因此,无法通过 IAM 控制台、API 或 Amazon Command Line Interface (Amazon CLI) 删除此角色。这将保护您的 Amazon 账户,因为您不会无意中删除管理支持服务所需的权限。
已加入 Amazon Organizations 并拥有企业 Amazon Web Services 支持 套餐的客户可以删除该`AWSServiceRoleForSupport`服务相关角色。删除此角色会限制 Amazon Web Services 支持 工程师访问您的资源,从而限制他们代表您执行操作的能力。有关更多信息,或者如需请求删除 `AWSServiceRoleForSupport` 服务关联角色,请联系您的技术客户经理 (TAM)。
有关 `AWSServiceRoleForSupport` 角色或其使用的更多信息,请联系 [Amazon Web Services 支持](https://www.amazonaws.cn/support)。