本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理对 Amazon Web Services Support App 的访问
在您拥有 Amazon Web Services Support App 小组件的权限之后,还必须创建一个 Amazon Identity and Access Management(IAM)角色。此角色可为您执行其他 Amazon Web Services 服务 的操作,例如 Amazon Web Services Support API 和服务限额。
然后,您可以将 IAM policy 附加到该角色,以便该角色拥有完成这些操作所需的权限。在支持中心控制台中创建 Slack 通道配置时,您可以选择此角色。
Slack 通道中的用户拥有您授予 IAM 角色的同一权限。例如,如果您为支持案例指定只读访问权限,则 Slack 通道中的用户可以查看您的支持案例,但无法更新支持案例。
重要
当您请求与支持座席进行实时聊天并选择新的私有通道作为实时聊天通道首选项时,Amazon Web Services Support App 会创建一条单独的 Slack 通道。此 Slack 通道拥有与您创建案例或发起聊天的通道相同的权限。
如果您更改 IAM 角色或 IAM policy,您的更改将应用于您配置的 Slack 通道以及 Amazon Web Services Support App 为您创建的任何新的实时聊天 Slack 通道。
按照以下步骤创建您的 IAM 角色和策略。
使用 Amazon 托管策略或创建客户管理型策略
要授予角色权限,您可以使用 Amazon 托管策略或客户管理型策略。
提示
如果您不想手动创建策略,我们建议您使用 Amazon 托管策略并跳过此过程。托管策略自动拥有 Amazon Web Services Support App 的所需权限。您无需手动更新策略。有关更多信息,请参阅Amazon Slack 中 Amazon Web Services Support 应用程序的托管策略。
按照此步骤为您的角色创建客户管理型策略。此过程使用 IAM 控制台中的 JSON 策略编辑器。
为 Amazon Web Services Support App 创建客户管理型策略
登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择 Policies (策略)。
-
选择创建策略。
-
请选择 JSON 选项卡。
-
输入您的 JSON,然后在编辑器中替换默认 JSON。您可以使用示例策略。
-
请选择下一步:标签。
-
(可选)您可以使用标签作为键值对将元数据添加到策略。
-
选择 Next: Review(下一步: 审核)。
-
在查看策略页面,输入 Name(名称),例如
和 Description(描述)(可选)。AWSSupportAppRolePolicy
-
查看 Summary(摘要)页面以查看策略允许的权限,然后选择 Create policy(创建策略)。
此策略定义角色可以执行的操作。有关更多信息,请参阅《IAM 用户指南》中的创建 IAM policy(控制台)。
示例 IAM policy
您可以将下列示例策略附加到 IAM 角色。此策略允许角色对 Amazon Web Services Support App 的所有必要操作拥有完全权限。在您为 Slack 通道配置角色后,该通道中的任何用户都具有相同的权限。
注意
有关 Amazon 托管策略的列表,请参阅 Amazon Slack 中 Amazon Web Services Support 应用程序的托管策略。
您可以更新策略以从 Amazon Web Services Support App 中删除权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicequotas:GetRequestedServiceQuotaChange", "servicequotas:GetServiceQuota", "servicequotas:RequestServiceQuotaIncrease", "support:AddAttachmentsToSet", "support:AddCommunicationToCase", "support:CreateCase", "support:DescribeCases", "support:DescribeCommunications", "support:DescribeSeverityLevels", "support:InitiateChatForCase", "support:ResolveCase" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": {"iam:AWSServiceName": "servicequotas.amazonaws.com"} } } ] }
有关每项操作的描述,请参阅《服务授权参考》中的以下主题:
创建 IAM 角色
创建策略后,您必须创建 IAM 角色,并将策略附加到该角色。在支持中心控制台中创建 Slack 通道配置时,您可以选择此角色。
为 Amazon Web Services Support App 创建角色
登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择 Roles (角色),然后选择 Create role (创建角色)。
-
对于 Select trusted entity(选择受信任实体),选择 Amazon Web Services 服务。
-
选择 Amazon Web Services Support App。
-
选择Next: Permissions(下一步: 权限)。
-
输入策略名称。您可以选择 Amazon 托管策略或选择您创建的客户管理型策略,例如
。选中策略旁的复选框。AWSSupportAppRolePolicy
-
请选择下一步:标签。
-
(可选)您可以使用标签作为键值对将元数据添加到角色。
-
选择 Next: Review(下一步: 审核)。
-
对于 Role name(角色名称),输入名称,例如
。AWSSupportAppRole
-
(可选)对于 Role description(角色描述),输入角色的描述。
-
检查角色,然后选择 Create role。在支持中心控制台中创建 Slack 通道配置时,您可以选择此角色。请参阅配置 Slack 通道。
有关更多信息,请参阅《IAM 用户指南》中的创建用于 Amazon 服务的角色。
故障排除
请参阅以下主题以管理对 Amazon Web Services Support App 的访问。
目录
我想限制 Slack 通道中的特定用户执行特定操作
默认情况下,Slack 通道中的用户拥有的权限与附加到您创建的 IAM 角色中的 IAM policy 所指定的权限相同。这意味着通道中的任何人对支持案例都具有读取或写入权限,无论他们是否拥有 Amazon Web Services 账户 或 IAM 用户。
我们建议您遵循以下最佳实践:
-
为 Amazon Web Services Support App 配置专用 Slack 通道
-
仅邀请需要访问支持案例的用户加入您的通道
-
使用对 Amazon Web Services Support App 具有最低所需权限的 IAM policy。请参阅Amazon Slack 中 Amazon Web Services Support 应用程序的托管策略。
我配置 Slack 通道时,看不到我创建的 IAM 角色
如果 IAM 角色未出现在 Amazon Web Services Support App 列表的 IAM 角色中,这意味着该角色没有将 Amazon Web Services Support App 作为可信实体,或者该角色已被删除。您可以更新现有角色或创建一个新角色。请参阅创建 IAM 角色。
我的 IAM 角色缺少权限
您为 Slack 通道创建的 IAM 角色需要权限才能执行您需要的操作。例如,如果您想让 Slack 中的用户创建支持案例,则该角色必须具有 support:CreateCase
权限。Amazon Web Services Support App 将担任此角色为您执行这些操作。
如果您从 Amazon Web Services Support App 收到有关缺少权限的错误消息,请验证附加到角色的策略是否具有所需权限。
请参阅前面的 示例 IAM policy。
Slack 错误消息显示我的 IAM 角色无效
请确认您为通道配置选择了正确的角色。
验证您的角色
-
在 https://console.aws.amazon.com/support/app#/config
页面登录 Amazon Support Center Console。 -
选择您为 Amazon Web Services Support App 配置的通道。
-
从 Permissions(权限)部分中,找到您选择的 IAM 角色名称。
-
若要更改角色,请选择 Edit(编辑),选择另一个角色,然后选择 Save(保存)。
-
若要更新角色或附加到该角色的策略,请登录 IAM 控制台
。
-
Amazon Web Services Support App 显示我缺少服务限额的 IAM 角色
您必须在账户中拥有从服务限额请求增加限额的 AWSServiceRoleForServiceQuotas
角色。如果您收到有关缺少资源的错误消息,请完成以下步骤之一:
-
使用服务限额
控制台请求增加限额。成功发送请求后,服务限额会自动为您创建此角色。然后,您可以使用 Amazon Web Services Support App 在 Slack 中请求增加限额。有关更多信息,请参阅 Requesting a quota increase(请求增加限额)。 -
更新附加到角色的 IAM policy。这将授予角色对服务限额的权限。示例 IAM policy 中的以下部分允许 Amazon Web Services Support App 为您创建服务限额角色。
{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": {"iam:AWSServiceName": "servicequotas.amazonaws.com"} } }
如果您要删除为通道配置的 IAM 角色,则必须手动创建该角色或更新 IAM policy 以允许 Amazon Web Services Support App 为您创建一个新角色。