기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Support 플랜에 대한 액세스 관리
<a name="security-support-plans"></a>

**Topics**
+ [Support 플랜 콘솔에 대한 권한](#using-the-trusted-advisor-console)
+ [Support 플랜 작업](#support-plans-actions)
+ [Support 플랜에 대한 예제 IAM 정책](#support-plans-policies)
+ [문제 해결](#troubleshooting-changing-support-plans)

## Support 플랜 콘솔에 대한 권한
<a name="using-the-trusted-advisor-console"></a>

Support Plans 콘솔에 액세스하려면 사용자에게 최소 권한 집합이 있어야 합니다. 이러한 권한은 사용자가 AWS 계정에서 Support Plans 리소스에 대한 세부 정보를 나열하고 볼 수 있도록 허용해야 합니다.

`supportplans` 네임스페이스를 사용하여 AWS Identity and Access Management (IAM) 정책을 생성할 수 있습니다. 이 정책을 사용하여 작업 및 리소스에 대한 권한을 지정할 수 있습니다.

정책을 생성할 때 서비스의 네임스페이스를 지정하여 작업을 허용하거나 거부할 수 있습니다. Support 플랜의 네임스페이스는 `supportplans`입니다.

 AWS 관리형 정책을 사용하여 IAM 엔터티에 연결할 수 있습니다. 자세한 내용은 [AWS AWS Support 플랜에 대한 관리형 정책](managed-policies-aws-support-plans.md) 단원을 참조하십시오.

## Support 플랜 작업
<a name="support-plans-actions"></a>

콘솔에서 다음 Support Plans 작업을 수행할 수 있습니다. IAM 정책에 이러한 Support Plans 작업을 지정하여 특정 작업을 허용하거나 거부할 수도 있습니다.


| 작업 | 설명 | 
| --- | --- | 
|  `GetSupportPlan`  |  이 AWS 계정에 대한 현재 지원 플랜에 대한 자세한 정보를 확인할 권한을 부여합니다.  | 
|  `GetSupportPlanUpdateStatus`  |  지원 플랜 업데이트 요청에 대한 자세한 상태 정보를 확인할 권한을 부여합니다.  | 
|  `StartSupportPlanUpdate`  |  이 AWS 계정에 대한 지원 플랜 업데이트 요청을 시작할 권한을 부여합니다.  | 
|  `CreateSupportPlanSchedule`  |  이 AWS 계정에 대한 지원 플랜 스케줄을 생성할 수 있는 권한을 부여합니다.  | 
|  `ListSupportPlanModifiers ` | 이 AWS 계정의 모든 지원 플랜 수정자 목록을 볼 수 있는 권한을 부여합니다. | 

## Support 플랜에 대한 예제 IAM 정책
<a name="support-plans-policies"></a>

다음 정책 예제를 사용하면 Support Plans에 대한 액세스를 관리할 수 있습니다.

### Support 플랜에 대한 모든 액세스
<a name="full-access-support-plans"></a>

다음 정책은 사용자의 Support Plans에 대한 모든 액세스를 허용합니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "supportplans:*",
            "Resource": "*"
        }
    ]
}
```

------

### Support 플랜에 대한 읽기 전용 액세스
<a name="readonly-access-support-plans"></a>

다음 정책은 Support Plans에 대한 읽기 전용 액세스를 허용합니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "supportplans:Get*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "supportplans:List*",
            "Resource": "*"
        }
    ]
}
```

------

### Support 플랜에 대한 액세스 거부
<a name="deny-access-support-plans"></a>

다음 정책은 사용자의 Support Plans에 대한 모든 액세스를 허용하지 않습니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "supportplans:*",
            "Resource": "*"
        }
    ]
}
```

------

## 문제 해결
<a name="troubleshooting-changing-support-plans"></a>

다음 항목을 참조하여 Support 플랜에 대한 액세스를 관리합니다.

### 지원 플랜을 보거나 변경하려고 하면 Support 플랜 콘솔에 `GetSupportPlan` 권한이 누락되었다고 표시됩니다.
<a name="missing-iam-permission"></a>

IAM 사용자에게는 Support 플랜 콘솔에 액세스하는 데 필요한 권한이 있어야 합니다. 누락된 권한을 포함하도록 IAM 정책을 업데이트하거나 AWSSupportPlansFullAccess 또는 AWSSupportPlansReadOnlyAccess와 같은 AWS 관리형 정책을 사용할 수 있습니다. 자세한 내용은 [AWS AWS Support 플랜에 대한 관리형 정책](managed-policies-aws-support-plans.md) 단원을 참조하십시오.

IAM 정책을 업데이트할 수 있는 액세스 권한이 없는 경우 AWS 계정 관리자에게 문의하세요.

#### 관련 정보
<a name="related-information-missing-permissions"></a>

자세한 설명은 *IAM 사용자 가이드*에서 다음 주제를 참조하세요:
+ [IAM 정책 시뮬레이터로 IAM 정책 테스트](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)
+ [액세스 거부 오류 메시지 문제 해결](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_access-denied.html)

### 올바른 Support 플랜 권한이 있지만 여전히 같은 오류가 발생합니다.
<a name="update-the-service-control-policy"></a>

 AWS 계정 가 멤버 계정인 경우 서비스 제어 정책(SCP) AWS Organizations을 업데이트해야 할 수 있습니다. SCP는 조직의 권한을 관리하는 정책 유형입니다.

Support 플랜은 *글로벌* 서비스이기 때문에 AWS 리전 제한 정책으로 인해 회원 계정에서 지원 플랜을 보거나 변경하지 못할 수 있습니다. IAM 및 Support 플랜과 같은 글로벌 서비스를 조직에 허용하려면 해당 SCP의 제외 목록에 서비스를 추가해야 합니다. 즉, SCP가 지정된를 거부하더라도 조직의 계정이 이러한 서비스에 액세스할 수 있습니다 AWS 리전.

Support 플랜을 예외로 추가하려면 SCP의 `"NotAction"` 목록에 `"supportplans:*"`을 입력하세요.

```
"supportplans:*",
```

SCP는 다음 정책 스니펫으로 표시될 수 있습니다.

**Example : 조직 내 Support 플랜 액세스를 허용하는 SCP**  

```
{ "Version": "2012-10-17",		 	 	 
   "Statement": [
     { "Sid":  "GRREGIONDENY",
       "Effect":  "Deny",
       "NotAction": [    
         "aws-portal:*",
         "budgets:*",
         "chime:*"
         "iam:*",
         "supportplans:*",
         ....
```

멤버 계정이 있지만 SCP를 업데이트할 수 없는 경우 AWS 계정 관리자에게 문의하세요. 관리 계정은 모든 멤버 계정이 Support 플랜에 액세스할 수 있도록 SCP를 업데이트해야 할 수 있습니다.

**에 대한 참고 사항 AWS Control Tower**  
조직에서와 함께 SCP를 사용하는 경우 **요청된 제어(일반적으로 리전 거부 제어라고 함)를 AWS 기반으로 액세스 거부를 AWS 리전** 로 업데이트할 AWS Control Tower수 있습니다.
를 허용 AWS Control Tower 하도록에 대한 SCP를 업데이트하면 드리프트를 `supportplans`복구하면 SCP에 대한 업데이트가 제거됩니다. 자세한 내용은 [드리프트 감지 및 해결을 참조하세요 AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html).

#### 관련 정보
<a name="related-information-scps"></a>

자세한 내용은 다음 항목을 참조하세요.
+ *AWS Organizations 사용 설명서*의 [서비스 제어 정책(SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ *AWS Control Tower 사용 설명서*의 [리전 거부 제어 구성](https://docs.aws.amazon.com/controltower/latest/userguide/region-deny.html)
+ *AWS Control Tower 사용 설명서*의 [요청에 AWS 따라에 대한 액세스 거부 AWS 리전](https://docs.aws.amazon.com/controltower/latest/userguide/data-residency-controls.html#primary-region-deny-policy)