Usar perfis vinculados ao serviço do AWS Support - AWS Support
Permissões de função vinculada ao serviço do SuporteCriação de uma função vinculada ao serviço para o SuporteEdição e exclusão de uma função vinculada ao serviço do Suporte

Usar perfis vinculados ao serviço do AWS Support

As ferramentas do AWS Support coletam informações sobre seus recursos da AWS por meio de chamadas de API para fornecer serviço de atendimento ao cliente e suporte técnico. Para aumentar a transparência e capacidade de auditoria das atividades de suporte, o Suporte usa uma função vinculada ao serviço do AWS Identity and Access Management (IAM).

A função vinculada ao serviço AWSServiceRoleForSupport é uma função única do IAM vinculada diretamente ao Suporte. Essa função vinculada ao serviço está predefinida e inclui as permissões que Suporte requer para chamar outros serviços da AWS em seu nome.

O perfil vinculado ao serviço AWSServiceRoleForSupport confia no serviço support.amazonaws.com para presumir o perfil.

Para fornecer esses serviços, as permissões predefinidas da função oferecem acesso ao Suporte para metadados de recurso, não dados de cliente. Somente as ferramentas do Suporte podem assumir essa função, que existe em sua conta da AWS.

Editamos os campos que podem conter dados do cliente. Por exemplo, os campos Input e Output de GetExecutionHistory para a chamada de API AWS Step Functions não estão visíveis para o Suporte. Nós usamos AWS KMS keys para criptografar campos confidenciais. Esses campos são editados na resposta da API e não são visíveis para os atendentes do AWS Support.

nota

O AWS Trusted Advisor usa uma função vinculada ao serviço do IAM para acessar recursos da AWS da sua conta para fornecer recomendações de práticas recomendadas e verificações. Para obter mais informações, consulte Usar perfis vinculados ao serviço do Trusted Advisor.

A função vinculada ao serviço do AWSServiceRoleForSupport habilita todas as chamadas de API do AWS Support para ficarem visíveis ao clientes por meio do AWS CloudTrail. Isso ajuda com monitoramento e requisitos de auditoria, porque fornece uma forma transparente para compreender as ações que o Suporte executa em seu nome. Para obter informações sobre o CloudTrail, consulte o Manual do usuário do AWS CloudTrail.

Permissões de função vinculada ao serviço do Suporte

Essa função usa a política gerenciada da AWS AWSSupportServiceRolePolicy. Essa política gerenciada é anexada à função e permite à permissão da função realizar ações em seu nome.

Essas ações incluem o seguinte:

  • Atendimento ao cliente de cobrança, administrativo, suporte e outros – O atendimento ao cliente da AWS usa as permissões concedidas pela política gerenciada para realizar uma série de serviços como parte de seu plano de suporte. Isso inclui investigar e responder a perguntas sobre contas e cobrança, fornecendo apoio administrativo para a sua conta, aumentando as cotas de serviço e oferecendo suporte adicional ao cliente.

  • Processamento de atributos de serviço e dados de uso para a conta da AWS – O Suporte pode usar as permissões concedidas pela política gerenciada para acessar atributos de serviço e dados de uso para a conta da AWS. Esta política permite ao Suporte fornecer suporte técnico, administrativo e de cobrança para a sua conta. Atributos de serviço incluem seus identificadores de recurso de conta, tags de metadados, funções e permissões. Os dados de uso incluem o uso de políticas, estatísticas e análises.

  • Manutenção da integridade operacional de sua conta e recursos. - O Suporte usa ferramentas automatizadas para executar ações relacionadas ao suporte técnico e operacional.

Para obter mais informações sobre os serviços e ações permitidos, consulte a AWSSupportServiceRolePolicy no console do IAM.

nota

O AWS Support atualiza automaticamente o AWSSupportServiceRolePolicy uma vez por mês para adicionar permissões para novos serviços e ações da AWS.

Para obter mais informações, consulte AWS políticas gerenciadas da para AWS Support.

Criação de uma função vinculada ao serviço para o Suporte

Você não precisa criar manualmente a função AWSServiceRoleForSupport. Quando você cria uma nova conta da AWS, essa função é criada e configurada automaticamente para você.

Importante

Se você estava usando o Suporte antes de começar a oferecer suporte às funções vinculadas ao serviço, então a AWS criou a função AWSServiceRoleForSupport na conta. Para obter mais informações, consulte Uma nova função apareceu na minha conta do IAM.

Edição e exclusão de uma função vinculada ao serviço do Suporte

É possível usar o IAM para editar a descrição da função vinculada ao serviço AWSServiceRoleForSupport. Para obter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

A função AWSServiceRoleForSupport é necessária para que o Suporte forneça suporte administrativo, operacional e técnico para sua conta. Como resultado, essa função não pode ser excluída por meio do console do IAM, da API ou AWS Command Line Interface (AWS CLI). Isso protege sua conta da AWS pois você não consegue remover por engano as permissões necessárias para serviços de suporte de administração.

Clientes cadastrados no AWS Organizations e que possuem um plano Enterprise Suporte podem excluir o perfil vinculado ao serviço AWSServiceRoleForSupport. A exclusão desse perfil restringe o acesso dos engenheiros do AWS Support aos seus recursos, limitando a capacidade deles de realizar ações em seu nome. Para obter mais informações ou solicitar a exclusão do perfil vinculado ao serviço AWSServiceRoleForSupport, entre em contato com seu gerente de conta técnica (TAM).

Para obter mais informações sobre a função AWSServiceRoleForSupport ou seus usuários, entre em contato com o Suporte.