本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 的身份和访问管理 AWS 支持
AWS Identity and Access Management (IAM) AWS 服务 可帮助管理员安全地控制对 AWS 资源的访问权限。IAM 管理员控制谁可以*进行身份验证*(登录)和*授权*(拥有权限)使用 支持 资源。您可以使用 IAM AWS 服务 ,无需支付额外费用。
**Topics**
+ [
## 受众
](#security_iam_audience)
+ [
## 使用身份进行身份验证
](#security_iam_authentication)
+ [
## 使用策略管理访问
](#security_iam_access-manage)
+ [
# 如何 AWS 支持 与 IAM 配合使用
](security_iam_service-with-iam.md)
+ [
# AWS 支持 基于身份的策略示例
](security_iam_id-based-policy-examples.md)
+ [
# 使用服务关联角色
](using-service-linked-roles-intro.md)
+ [
# AWS 的托管策略 AWS 支持
](security-iam-awsmanpol.md)
+ [
# 管理对 Cent AWS 支持 er 的访问权限
](accessing-support.md)
+ [
# 管理对 AWS 支持 套餐的访问权限
](security-support-plans.md)
+ [
# 管理对的访问权限 AWS Trusted Advisor
](security-trusted-advisor.md)
+ [
# 的服务控制策略示例 AWS Trusted Advisor
](example-scps-for-aws-trusted-advisor.md)
+ [
# 对 AWS 支持 身份和访问进行故障排除
](security_iam_troubleshoot.md)
## 受众
您的使用方式 AWS Identity and Access Management (IAM) 因您的角色而异:
+ **服务用户**:如果您无法访问功能,请从管理员处请求权限(请参阅[对 AWS 支持 身份和访问进行故障排除](security_iam_troubleshoot.md))
+ **服务管理员**:确定用户访问权限并提交权限请求(请参阅[如何 AWS 支持 与 IAM 配合使用](security_iam_service-with-iam.md))
+ **IAM 管理员**:编写用于管理访问权限的策略(请参阅[AWS 支持 基于身份的策略示例](security_iam_id-based-policy-examples.md))
## 使用身份进行身份验证
身份验证是您 AWS 使用身份凭证登录的方式。您必须以 IAM 用户身份进行身份验证 AWS 账户根用户,或者通过担任 IAM 角色进行身份验证。
您可以使用来自身份源的证书 AWS IAM Identity Center (例如(IAM Identity Center)、单点登录身份验证或 Google/Facebook 证书,以联合身份登录。有关登录的更多信息,请参阅《AWS 登录 用户指南》**中的[如何登录您的 AWS 账户](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
对于编程访问, AWS 提供 SDK 和 CLI 来对请求进行加密签名。有关更多信息,请参阅*《IAM 用户指南》*中的[适用于 API 请求的AWS 签名版本 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
### AWS 账户 root 用户
创建时 AWS 账户,首先会有一个名为 AWS 账户 *root 用户的*登录身份,该身份可以完全访问所有资源 AWS 服务 和资源。我们强烈建议不要使用根用户进行日常任务。有关要求根用户凭证的任务,请参阅*《IAM 用户指南》*中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### IAM 用户和群组
*[IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*是对某个人员或应用程序具有特定权限的一个身份。建议使用临时凭证,而非具有长期凭证的 IAM 用户。有关更多信息,请参阅 *IAM 用户指南*[中的要求人类用户使用身份提供商的联合身份验证才能 AWS 使用临时证书进行访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)指定一组 IAM 用户,便于更轻松地对大量用户进行权限管理。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM 用户使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*是具有特定权限的身份,可提供临时凭证。您可以通过[从用户切换到 IAM 角色(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或调用 AWS CLI 或 AWS API 操作来代入角色。有关更多信息,请参阅《IAM 用户指南》**中的[担任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用策略管理访问
您可以 AWS 通过创建策略并将其附加到 AWS 身份或资源来控制中的访问权限。策略定义了与身份或资源关联时的权限。 AWS 在委托人提出请求时评估这些政策。大多数策略都以 JSON 文档的 AWS 形式存储在中。有关 JSON 策略文档的更多信息,请参阅*《IAM 用户指南》*中的 [JSON 策略概述](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理员使用策略,通过定义哪个**主体**可以在什么**条件**下对哪些**资源**执行哪些**操作**来指定谁有权访问什么。
默认情况下,用户和角色没有权限。IAM 管理员创建 IAM 策略并将其添加到角色中,然后用户可以担任这些角色。IAM 策略定义权限,与执行操作所用的方法无关。
### 基于身份的策略
基于身份的策略是您附加到身份(用户、组或角色)的 JSON 权限策略文档。这些策略控制身份可以执行什么操作、对哪些资源执行以及在什么条件下执行。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
基于身份的策略可以是*内联策略*(直接嵌入到单个身份中)或*托管策略*(附加到多个身份的独立策略)。要了解如何在托管策略和内联策略之间进行选择,请参阅*《IAM 用户指南》*中的[在托管策略与内联策略之间进行选择](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
### 其他策略类型
AWS 支持其他策略类型,这些策略类型可以设置更常见的策略类型授予的最大权限:
+ **权限边界** – 设置基于身份的策略可以授予 IAM 实体的最大权限。有关更多信息,请参阅《 IAM 用户指南》**中的 [IAM 实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服务控制策略 (SCPs)**-在中指定组织或组织单位的最大权限 AWS Organizations。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **资源控制策略 (RCPs)**-设置账户中资源的最大可用权限。有关更多信息,请参阅《*AWS Organizations 用户指南》*中的[资源控制策略 (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **会话策略** – 在为角色或联合用户创建临时会话时,作为参数传递的高级策略。有关更多信息,请参阅《IAM 用户指南》**中的[会话策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多个策略类型
当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解在涉及多种策略类型时如何 AWS 确定是否允许请求,请参阅 *IAM 用户指南*中的[策略评估逻辑](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# 如何 AWS 支持 与 IAM 配合使用
在使用 IAM 管理访问权限之前 支持,您应该了解哪些可用的 IAM 功能 支持。要全面了解如何 支持 和其他 AWS 服务与 IAM 配合使用,请参阅 IAM *用户指南中的与 IAM* [配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
有关如何管理 支持 使用 IAM 的访问权限的信息,请参阅[管理访问权限 支持](https://docs.aws.amazon.com/awssupport/latest/user/accessing-support.html#iam)。
**Topics**
+ [
## 支持 基于身份的策略
](#security_iam_service-with-iam-id-based-policies)
+ [
## 支持 IAM 角色
](#security_iam_service-with-iam-roles)
## 支持 基于身份的策略
使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源,以及指定在什么条件下允许或拒绝操作。 支持 支持特定的操作。要了解您在 JSON 策略中使用的元素,请参阅 *IAM 用户指南* 中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 操作
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
正在执行的策略操作在操作前 支持 使用以下前缀:`support:`. 例如,要授予某人使用 Amazon EC2 `RunInstances` API 操作运行 Amazon EC2 实例的权限,您应将 `ec2:RunInstances` 操作纳入其策略。策略语句必须包括 `Action` 或 `NotAction` 元素。 支持 定义了自己的一组操作,这些操作描述了可使用该服务执行的任务。
要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:
```
"Action": [
"ec2:action1",
"ec2:action2"
```
您也可以使用通配符 (\$1) 指定多个操作。例如,要指定以单词 `Describe` 开头的所有操作,包括以下操作:
```
"Action": "ec2:Describe*"
```
要查看 支持 操作列表,请参阅 *IAM 用户指南 AWS 支持*中的[定义操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssupport.html#awssupport-actions-as-permissions)。
### 示例
要查看 支持 基于身份的策略的示例,请参阅。[AWS 支持 基于身份的策略示例](security_iam_id-based-policy-examples.md)
## 支持 IAM 角色
I [AM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您的 AWS 账户中具有特定权限的实体。
### 将临时证书与 支持
可以使用临时凭证进行联合身份验证登录,分派 IAM 角色或分派跨账户角色。您可以通过调用[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)或之类的 AWS STS API 操作来获取临时安全证书[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)。
支持 支持使用临时证书。
### 服务关联角色
[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允许 AWS 服务访问其他服务中的资源以代表您完成操作。服务关联角色显示在 IAM 账户中,并归该服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。
支持 支持服务相关角色。有关创建或管理 支持 服务相关角色的详细信息,请参阅[将服务相关角色用于 AWS 支持](using-service-linked-roles-sup.md)。
### 服务角色
此功能允许服务代表您担任[服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在 IAM 账户中,并归该账户所有。这意味着,IAM 管理员可以更改该角色的权限。但是,这样做可能会中断服务的功能。
支持 支持服务角色。
# AWS 支持 基于身份的策略示例
默认情况下,IAM 用户和角色没有创建或修改 支持 资源的权限。他们也无法使用 AWS 管理控制台 AWS CLI、或 AWS API 执行任务。IAM 管理员必须创建 IAM 策略,以便为用户和角色授予权限以对所需的指定资源执行特定的 API 操作。然后,管理员必须将这些策略附加到需要这些权限的 IAM 用户或组。
要了解如何使用这些示例 JSON 策略文档创建 IAM 基于身份的策略,请参阅《*IAM 用户指南*》中的[在 JSON 选项卡上创建策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)。
**Topics**
+ [
## 策略最佳实践
](#security_iam_service-with-iam-policy-best-practices)
+ [
## 使用控制 支持 台
](#security_iam_id-based-policy-examples-console)
+ [
## 允许用户查看他们自己的权限
](#security_iam_id-based-policy-examples-view-own-permissions)
## 策略最佳实践
基于身份的策略非常强大。它们决定是否有人可以在您的账户中创建、访问或删除 支持 资源。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **开始使用 AWS 托管策略** — 要 支持 快速开始使用,请使用 AWS 托管策略为员工提供所需的权限。这些策略已在您的账户中提供,并由 AWS维护和更新。有关更多信息,请参阅 *IAM 用户指南*中的[使用 AWS 托管策略的权限入门](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ **授予最低权限**:创建自定义策略时,仅授予执行任务所需的许可。最开始只授予最低权限,然后根据需要授予其它权限。这样做比起一开始就授予过于宽松的权限而后再尝试收紧权限来说更为安全。有关更多信息,请参阅*《IAM 用户指南》*中的[授予最低权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)。
+ **为敏感操作启用 MFA** – 为增强安全性,要求 IAM 用户使用多重身份验证 (MFA) 来访问敏感资源或 API 操作。要了解更多信息,请参阅 *IAM 用户指南*中的[在 AWS中使用多重身份验证 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。
+ **使用策略条件来增强安全性**:在切实可行的范围内,定义基于身份的策略在哪些情况下允许访问资源。例如,您可编写条件来指定请求必须来自允许的 IP 地址范围。您也可以编写条件,以便仅允许指定日期或时间范围内的请求,或者要求使用 SSL 或 MFA。有关更多信息,请参阅 *IAM 用户指南* 中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
## 使用控制 支持 台
要访问 AWS 支持 控制台,您必须拥有一组最低权限。这些权限必须允许您列出和查看有关您 AWS 账户中 支持 资源的详细信息。如果您创建的基于身份的策略比所需的最低权限更严格,则无法为具有该策略的实体(IAM 用户或角色)正常运行控制台。
为确保这些实体仍然可以使用 支持 控制台,还要将以下 AWS 托管策略附加到这些实体。有关更多信息,请参阅 *IAM 用户指南*中的[为用户添加权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console):
对于仅调用 AWS CLI 或 AWS API 的用户,您无需为其设置最低控制台权限。相反,只允许访问与您尝试执行的 API 操作相匹配的操作。
## 允许用户查看他们自己的权限
该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上或使用 AWS CLI 或 AWS API 以编程方式完成此操作的权限。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# 使用服务关联角色
AWS 支持 并 AWS Trusted Advisor 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是与 支持 和 Trusted Advisor直接关联的独特 IAM 角色。在每个案例中,服务关联角色是预定义的角色。此角色包括代表您调用其他 AWS 服务 支持 或 Trusted Advisor 需要的所有权限。以下主题说明了服务相关角色的作用以及如何在 支持 和 Trusted Advisor中使用它们。
**Topics**
+ [
# 将服务相关角色用于 AWS 支持
](using-service-linked-roles-sup.md)
+ [
# 将服务相关角色用于 Trusted Advisor
](using-service-linked-roles-ta.md)
# 将服务相关角色用于 AWS 支持
AWS 支持 工具通过 API 调用收集有关您的 AWS 资源的信息,以提供客户服务和技术支持。为了提高支持活动的透明度和可审计性,请 支持 使用 AWS Identity and Access Management (IAM) [服务相关](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)角色。
`AWSServiceRoleForSupport`服务相关角色是直接链接到 支持的独特 IAM 角色。此服务相关角色是预定义的,它包括代表您调用其他 AWS 服务 支持 所需的权限。
`AWSServiceRoleForSupport` 服务关联角色信任 `support.amazonaws.com` 服务来代入角色。
为了提供这些服务,角色的预定义权限 支持 允许访问资源元数据,而不是客户数据。只有 支持 工具才能担任此角色,该角色存在于您的 AWS 账户中。
我们会编辑可能包含客户数据的字段。例如, AWS Step Functions API 调[GetExecutionHistory](https://docs.aws.amazon.com/step-functions/latest/apireference/API_GetExecutionHistory.html)用的`Input`和`Output`字段对用户不可见 支持。我们使用 AWS KMS keys 加密敏感字段。这些字段已在 API 响应中被删除, AWS 支持 代理不可见。
**注意**
AWS Trusted Advisor 使用单独的 IAM 服务相关角色访问账户的 AWS 资源,以提供最佳实践建议和检查。有关更多信息,请参阅 [将服务相关角色用于 Trusted Advisor](using-service-linked-roles-ta.md)。
`AWSServiceRoleForSupport`服务相关角色允许客户通过 AWS CloudTrail查看所有 AWS 支持 API 调用。这有助于满足监控和审计要求,因为它提供了一种透明的方式来了解代表您 支持 执行的操作。有关的信息 CloudTrail,请参阅《[AWS CloudTrail 用户指南》](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。
## 的服务相关角色权限 支持
此角色使用`AWSSupportServiceRolePolicy` AWS 托管策略。此托管策略已附加到角色,并授予角色代表您完成操作的权限。
这些操作可能包括以下内容:
+ **账单、管理、支持和其他客户服务** — AWS 客户服务使用托管策略授予的权限来执行作为支持计划一部分的多项服务。其中包括调查和解答账户和账单问题、为账户提供管理支持、增加服务配额和提供额外的客户支持。
+ **处理您 AWS 账户的服务属性和使用情况数据** — 支持 可能会使用托管策略授予的权限来访问您 AWS 账户的服务属性和使用数据。该政策 支持 允许为您的账户提供账单、管理和技术支持。服务属性包括账户的资源标识符、元数据标签、角色和权限。使用率数据包括使用策略、使用情况统计数据和分析。
+ **维护您的账户及其资源的运行状况** —— 支持 使用自动化工具执行与运营和技术支持相关的操作。
有关允许的服务和操作的更多信息,请参阅 IAM 控制台中的 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor) 策略。
**注意**
AWS 支持 每月自动更新一次`AWSSupportServiceRolePolicy`策略以添加新 AWS 服务和操作的权限。
有关更多信息,请参阅 [AWS 的托管策略 AWS 支持](security-iam-awsmanpol.md)。
## 为创建服务相关角色 支持
您无需手动创建 `AWSServiceRoleForSupport` 角色。创建 AWS 账户时,系统会自动为您创建和配置此角色。
**重要**
如果您在开始支持服务相关角色 支持 之前使用该角色,则在您的账户中 AWS 创建了该`AWSServiceRoleForSupport`角色。有关更多信息,请参阅[我的 IAM 账户中出现新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
## 编辑和删除的服务相关角色 支持
您可以使用 IAM 编辑 `AWSServiceRoleForSupport` 服务关联角色的描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
该`AWSServiceRoleForSupport`角色是为您的账户 支持 提供管理、运营和技术支持所必需的。因此,无法通过 IAM 控制台、API 或 AWS Command Line Interface (AWS CLI) 删除此角色。这将保护您的 AWS 账户,因为您不会无意中删除管理支持服务所需的权限。
已加入 AWS Organizations 并拥有企业 支持 套餐的客户可以删除该`AWSServiceRoleForSupport`服务相关角色。删除此角色会限制 AWS 支持 工程师访问您的资源,从而限制他们代表您执行操作的能力。有关更多信息,或者如需请求删除 `AWSServiceRoleForSupport` 服务关联角色,请联系您的技术客户经理 (TAM)。
有关 `AWSServiceRoleForSupport` 角色或其使用的更多信息,请联系 [支持](https://aws.amazon.com/support)。
# 将服务相关角色用于 Trusted Advisor
AWS Trusted Advisor 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。服务相关角色是直接链接到 AWS Trusted Advisor的唯一 IAM 角色。服务相关角色由预定义 Trusted Advisor,它们包括该服务代表您调用其他 AWS 服务所需的所有权限。 Trusted Advisor 使用此角色来检查您的使用情况, AWS 并提供改善 AWS 环境的建议。例如, Trusted Advisor 分析您的亚马逊弹性计算云 (Amazon EC2) 实例的使用情况,以帮助您降低成本、提高性能、容忍故障和提高安全性。
**注意**
AWS 支持 使用单独的 IAM 服务相关角色访问您账户的资源,以提供账单、管理和支持服务。有关更多信息,请参阅 [将服务相关角色用于 AWS 支持](using-service-linked-roles-sup.md)。
有关支持服务关联角色的其他服务的信息,请参阅[与 IAM 配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。查找在 **Service-linked role**(服务关联角色)列的值为 **Yes**(是)的服务。请选择**是**与查看该服务的服务关联角色文档的链接。
**Topics**
+ [
## 的服务相关角色权限 Trusted Advisor
](#service-linked-role-permissions-ta)
+ [
## 管理服务关联角色的权限
](#manage-permissions-for-slr)
+ [
## 为创建服务相关角色 Trusted Advisor
](#create-service-linked-role-ta)
+ [
## 编辑的服务相关角色 Trusted Advisor
](#edit-service-linked-role-ta)
+ [
## 删除的服务相关角色 Trusted Advisor
](#delete-service-linked-role-ta)
## 的服务相关角色权限 Trusted Advisor
Trusted Advisor 使用两个与服务相关的角色:
+ [AWSServiceRoleForTrustedAdvisor](https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisor)— 此角色信任 Trusted Advisor 服务代替您访问 AWS 服务的角色。角色权限策略允许对所有 AWS 资源进行 Trusted Advisor 只读访问。此角色简化了 AWS 账户的入门流程,因为您不必为添加必要的权限 Trusted Advisor。当您开设 AWS 账户时, Trusted Advisor 会为您创建此角色。定义的权限包括信任策略和权限策略。不能将该权限策略附加到任何其他 IAM 实体。
有关附加策略的更多信息,请参阅 [AWSTrustedAdvisorServiceRolePolicy](aws-managed-policies-for-trusted-advisor.md#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy)。
+ [https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisorReporting](https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisorReporting) – 此角色信任 Trusted Advisor 服务来担任组织视图功能的角色。此角色可 Trusted Advisor 作为 AWS Organizations 组织中的可信服务启用。 Trusted Advisor 启用组织视图时会为您创建此角色。
有关附加策略的更多信息,请参阅 [AWSTrustedAdvisorReportingServiceRolePolicy](aws-managed-policies-for-trusted-advisor.md#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy)。
您可以使用组织视图为组织中的所有账户创建 Trusted Advisor 检查结果报告。有关此特征的更多信息,请参阅[的组织视图 AWS Trusted Advisor](organizational-view.md)。
## 管理服务关联角色的权限
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。以下示例使用 `AWSServiceRoleForTrustedAdvisor` 服务关联角色。
**Example :允许 IAM 实体创建 `AWSServiceRoleForTrustedAdvisor` 服务关联角色**
只有在禁用 Trusted Advisor 帐户、删除服务相关角色并且用户必须重新创建角色才能重新启用时,才需要执行此步骤。 Trusted Advisor
将以下语句添加到 IAM 实体的权限策略可创建服务关联角色。
```
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
"Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```
**Example :**允许 IAM 实体编辑 `AWSServiceRoleForTrustedAdvisor` 服务关联角色的描述****
您只能编辑 `AWSServiceRoleForTrustedAdvisor` 角色的描述。您可以将以下语句添加到 IAM 实体的权限策略来编辑服务关联角色的描述。
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
"Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```
**Example :允许 IAM 实体删除 `AWSServiceRoleForTrustedAdvisor` 服务关联角色**
您可以将以下语句添加到 IAM 实体的权限策略来删除服务关联角色。
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
"Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```
您也可以使用 AWS 托管策略(例如 [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess))来提供对的完全访问权限 Trusted Advisor。
## 为创建服务相关角色 Trusted Advisor
无需手动创建 `AWSServiceRoleForTrustedAdvisor` 服务关联角色。当您开设 AWS 账户时, Trusted Advisor 会为您创建服务相关角色。
**重要**
如果您在服务开始支持 Trusted Advisor 服务相关角色之前使用该服务,则 Trusted Advisor 已经在您的账户中创建了该`AWSServiceRoleForTrustedAdvisor`角色。要了解更多信息,请参阅 *IAM 用户指南*中的[我的 IAM 账户中出现新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您的账户没有 `AWSServiceRoleForTrustedAdvisor` 服务关联角色, Trusted Advisor 将无法按预期工作。如果您的账户中有人将 Trusted Advisor 禁用然后又删除服务关联角色,可能会出现上述情况。在这种情况下,您可以使用 IAM 创建 `AWSServiceRoleForTrustedAdvisor` 服务关联角色,然后重新启用 Trusted Advisor。
**启用 Trusted Advisor (控制台)**
1. 使用 IAM 控制台或 IAM API 为创建服务相关角色。 AWS CLI Trusted Advisor有关更多信息,请参阅[创建服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。
1. 登录 AWS 管理控制台,然后导航到 Trusted Advisor 控制台,网址为[https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor)。
**禁用的 Trusted Advisor** 状态横幅显示在控制台中。
1. 从状态横幅中选择 “**启用 Trusted Advisor 角色**”。如果未检测到所需的 `AWSServiceRoleForTrustedAdvisor`,则已禁用状态横幅仍将显示。
## 编辑的服务相关角色 Trusted Advisor
由于多个实体可能引用该角色,因此无法更改服务关联角色的名称。但是,您可以使用 IAM 控制台或 IAM API 来编辑角色的描述。 AWS CLI有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除的服务相关角色 Trusted Advisor
如果您不需要使用的功能或服务 Trusted Advisor,则可以删除该`AWSServiceRoleForTrustedAdvisor`角色。必须 Trusted Advisor 先禁用此服务相关角色,然后才能删除此服务相关角色。这样可以防止您删除 Trusted Advisor 操作所需的权限。禁用后 Trusted Advisor,即禁用所有服务功能,包括离线处理和通知。此外,如果您 Trusted Advisor 为成员账户禁用,则单独的付款人账户也会受到影响,这意味着您将不会收到确定节省成本的方法的 Trusted Advisor 支票。您无法访问 Trusted Advisor 控制台。API 调用 Trusted Advisor 返回拒绝访问错误。
您必须在 `AWSServiceRoleForTrustedAdvisor` 账户中重新创建服务关联角色,然后才能重新启用 Trusted Advisor。
必须先在控制台 Trusted Advisor 中禁用服务相关角色,然后才能删除`AWSServiceRoleForTrustedAdvisor`服务相关角色。
**要禁用 Trusted Advisor**
1. 登录 AWS 管理控制台 并导航到 Trusted Advisor 控制台,网址为[https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor)。
1. 在导航窗格中,选择**首选项**。
1. 在**服务关联角色权限**部分中,选择**禁用 Trusted Advisor**。
1. 在确认对话框中,通过选择 **OK**(确定)来确认您要禁用 Trusted Advisor。
禁用后 Trusted Advisor,所有 Trusted Advisor 功能都将被禁用,并且 Trusted Advisor 控制台仅显示禁用状态横幅。
然后,您可以使用 IAM 控制台 AWS CLI、或 IAM API 删除名`AWSServiceRoleForTrustedAdvisor`为的 Trusted Advisor 服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
# AWS 的托管策略 AWS 支持
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**Topics**
+ [
# AWS 的托管策略 AWS 支持
](aws-managed-policies-aws-support.md)
+ [
# AWS Slack 中 AWS 支持 应用程序的托管策略
](support-app-managed-policies.md)
+ [
# AWS 的托管策略 AWS Trusted Advisor
](aws-managed-policies-for-trusted-advisor.md)
+ [
# AWS AWS 支持 套餐的托管策略
](managed-policies-aws-support-plans.md)
+ [
# AWS AWS 合作伙伴主导的 Support 的托管策略
](managed-policies-partner-led-support.md)
# AWS 的托管策略 AWS 支持
AWS 支持 具有以下托管策略。
**Contents**
+ [
## AWS 托管策略:AWSSupportAccess
](#security-iam-awsmanpol-AWSSupportAccess)
+ [
## AWS 托管策略:AWSSupportServiceRolePolicy
](#security-iam-awsmanpol-AWSSupportServiceRolePolicy)
+ [
## AWS 支持 AWS 托管策略的更新
](#security-iam-awsmanpol-updates)
+ [
# AWSSupportServiceRolePolicy 的权限更改
](aws-support-service-link-role-updates.md)
## AWS 托管策略:AWSSupportAccess
AWS 支持 使用[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportAccess$jsonEditor) AWS 托管策略。此政策通过 支持 API 管理您的支持案例生命周期。中的增强功能 AWS Support Center Console 是通过支持控制台 API 服务提供的。您可以将此策略附加到 IAM 实体。有关更多信息,请参阅 [的服务相关角色权限 支持](using-service-linked-roles-sup.md#service-linked-role-permissions)。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSupportAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSupportAccess.html)**。
## AWS 托管策略:AWSSupportServiceRolePolicy
AWS 支持 使用[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor) AWS 托管策略。此托管策略附加到 `AWSServiceRoleForSupport` 服务关联角色。该策略允许服务关联角色代表您完成操作。您不能将此策略附加到您的 IAM 实体。有关更多信息,请参阅 [的服务相关角色权限 支持](using-service-linked-roles-sup.md#service-linked-role-permissions)。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSupportServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSupportServiceRolePolicy.html)**。
有关对策略的更改列表,请参阅 [AWS 支持 AWS 托管策略的更新](#security-iam-awsmanpol-updates) 和 [AWSSupportServiceRolePolicy 的权限更改](aws-support-service-link-role-updates.md)。
## AWS 支持 AWS 托管策略的更新
查看 AWS 支持 自这些服务开始跟踪这些更改以来的 AWS 托管策略更新的详细信息。要获得有关此页面更改的自动提示,请订阅 [文档历史记录](History.md) 页面上的 RSS 源。
下表描述了自 2022 年 2 月 17 日以来 AWS 支持 托管策略的重要更新。
**AWS 支持**
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 向以下服务添加了 105 个新权限,用于执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2026 年 1 月 29 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 向以下服务添加了 145 个新权限,用于执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2025年12月8日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 向以下服务添加了 125 个新权限,用于执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2025年9月30日 |
| [AWSSupportAccess](#security-iam-awsmanpol-AWSSupportAccess):对现有策略的更新 | 在 AWSSupportAccess 托管策略中添加了支持控制台 API 的权限。 | 2025 年 7 月 18 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务增加了 25 项新权限,以执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/aws-managed-policies-aws-support.html) 有关更多信息,请参阅 [AWSSupportServiceRolePolicy 的权限更改](aws-support-service-link-role-updates.md)。 | 2025 年 7 月 15 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 向以下服务添加了 257 个新权限,用于执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2025 年 6 月 17 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务添加了 88 个新权限,用于执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2024 年 11 月 25 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 向以下服务添加了 79 个新权限,用于执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2024 年 10 月 8 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 向以下服务添加了 79 个新权限,用于执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2024 年 8 月 5 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务添加了 17 个新权限,用于执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2024 年 3 月 22 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 向以下服务添加了 63 个新权限,用于执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2024 年 1 月 17 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 向以下服务添加了 126 个新权限,用于执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023 年 12 月 6 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务增加了 163 项新权限,以执行有助于排查与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023 年 10 月 27 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务增加了 176 项新权限,以执行有助于排查与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023 年 8 月 28 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务增加了 141 项新权限,以执行有助于排查与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023 年 6 月 26 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务增加了 53 项新权限,以执行有助于排查与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023 年 5 月 2 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务增加了 52 项新权限,以执行有助于排查与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023 年 3 月 16 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务增加了 220 项新权限,以执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023 年 1 月 10 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务增加了 47 项新权限,以执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2022 年 10 月 4 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务增加了 46 项新权限,以执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2022 年 8 月 17 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务增加了新权限,以执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/aws-managed-policies-aws-support.html) 移除了 Amazon 等服务的权限 WorkLink。亚马逊已 WorkLink 于 2022 年 4 月 19 日被弃用。 | 2022 年 6 月 23 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务增加了 25 项新权限,以执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2022 年 4 月 27 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务添加了 54 项新权限,以执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2022 年 3 月 14 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy):对现有策略的更新 | 为以下服务添加了 74 项新权限,以执行有助于解决与账单、管理和技术支持相关的客户问题的操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/aws-managed-policies-aws-support.html) 有关更多信息,请参阅 [AWSSupportServiceRolePolicy 的权限更改](aws-support-service-link-role-updates.md)。 | 2022 年 2 月 17 日 |
| 已发布的更改日志 | AWS 支持 托管策略的更改日志。 | 2022 年 2 月 17 日 |
# AWSSupportServiceRolePolicy 的权限更改
添加的大多数权限都是 AWS 支持 为了`AWSSupportServiceRolePolicy`允许调用同名的 API 操作。但是,某些 API 操作需要具有不同名称的权限。
下表仅列出了需要具有不同名称的权限的 API 操作。下表介绍了这些从 2022 年 2 月 17 日开始的差异。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awssupport/latest/user/aws-support-service-link-role-updates.html)
# AWS Slack 中 AWS 支持 应用程序的托管策略
**注意**
要访问和查看中的支持案例 AWS Support Center Console,请参阅[管理对 Cent AWS 支持 er 的访问权限](accessing-support.md)。
AWS 支持 应用程序具有以下托管策略。
**Contents**
+ [
## AWS 托管策略:AWSSupportAppFullAccess
](#security-iam-awsmanpol-support-app-full-access)
+ [
## AWS 托管策略:AWSSupportAppReadOnlyAccess
](#security-iam-support-app-read-only)
+ [
## AWS 支持 AWS 托管策略的应用程序更新
](#security-iam-awsmanpol-updates-aws-support-app)
## AWS 托管策略:AWSSupportAppFullAccess
您可以使用 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportAppFullAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportAppFullAccess$jsonEditor) 托管策略授予 IAM 角色访问 Slack 频道配置的权限。您还能将 AWSSupportAppFullAccess 策略附加到您的 IAM 实体。
有关更多信息,请参阅 [Slack 中的 AWS 支持 App](aws-support-app-for-slack.md)。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSupportAppFullAccess.html#AWSSupportAppFullAccess-json.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSupportAppFullAccess.html#AWSSupportAppFullAccess-json.html)**。
**权限详细信息**
该策略包含以下权限:
+ `servicequotas` - 描述您现有的服务配额和请求,并增加账户的服务配额。
+ `support` - 创建、更新和解决您的支持案例。更新和描述有关案例的信息,例如文件附件、通信信息和严重性级别。启动与支持座席的实时聊天会话。
+ `iam` - 创建用于服务配额的服务关联角色。
有关更多信息,请参阅 [管理对 AWS 支持 应用程序的访问权限](support-app-permissions.md)。
## AWS 托管策略:AWSSupportAppReadOnlyAccess
该[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportAppReadOnlyAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportAppReadOnlyAccess$jsonEditor)策略授予允许实体执行只读 AWS 支持 应用程序操作的权限。有关更多信息,请参阅 [Slack 中的 AWS 支持 App](aws-support-app-for-slack.md)。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSupportAppReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSupportAppReadOnlyAccess.html)**。
**权限详细信息**
该策略包含以下权限:
+ `support` - 描述支持案例的详细信息以及添加到支持案例中的通信。
## AWS 支持 AWS 托管策略的应用程序更新
查看自该服务开始跟踪 AWS 支持 应用程序 AWS 托管政策变更以来这些更新的详细信息。要获得有关此页面更改的自动提示,请订阅 [文档历史记录](History.md) 页面上的 RSS 源。
下表描述了自 2022 年 8 月 17 日以来 AWS 支持 应用程序托管政策的重要更新。
**AWS 支持 应用程序**
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSSupportAppFullAccess](#security-iam-awsmanpol-support-app-full-access) 和 [AWSSupportAppReadOnlyAccess](#security-iam-support-app-read-only) AWS 支持 应用程序的新 AWS 托管策略 | 您可以将这些策略用于您为 Slack 频道配置的 IAM 角色。 有关更多信息,请参阅 [管理对 AWS 支持 应用程序的访问权限](support-app-permissions.md)。 | 2022 年 8 月 19 日 |
| 已发布的更改日志 | 更改 AWS 支持 应用程序托管策略的日志。 | 2022 年 8 月 19 日 |
# AWS 的托管策略 AWS Trusted Advisor
Trusted Advisor 具有以下 AWS 托管策略。
**Contents**
+ [
## AWS 托管策略:AWSTrustedAdvisorPriorityFullAccess
](#security-iam-support-TA-priority-full-access-policy)
+ [
## AWS 托管策略:AWSTrustedAdvisorPriorityReadOnlyAccess
](#security-iam-support-TA-priority-read-only-policy)
+ [
## AWS 托管策略:AWSTrustedAdvisorServiceRolePolicy
](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy)
+ [
## AWS 托管策略:AWSTrustedAdvisorReportingServiceRolePolicy
](#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy)
+ [
## Trusted Advisor AWS 托管策略的更新
](#security-iam-awsmanpol-updates-trusted-advisor)
## AWS 托管策略:AWSTrustedAdvisorPriorityFullAccess
该[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityFullAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityFullAccess$jsonEditor)政策授予对 “ Trusted Advisor 优先级” 的完全访问权限。此策略还允许用户添加为可信服务, AWS Organizations 并允许用户 Trusted Advisor 为 P Trusted Advisor riority 指定委派管理员帐户。
**权限详细信息**
在第一条语句中,此策略包含 `trustedadvisor` 的以下权限:
+ 描述您的账户和组织。
+ 描述 Trusted Advisor 优先级中已识别的风险。这些权限允许您下载和更新风险状态。
+ 描述您的 Trusted Advisor 优先电子邮件通知配置。这些权限允许您配置电子邮件通知,并为委派管理员禁用这些通知。
+ 进行设置, Trusted Advisor 以便您的账户可以启用 AWS Organizations。
在第二条语句中,此策略包含 `organizations` 的以下权限:
+ 描述您的 Trusted Advisor 账户和组织。
+ 列出您允许使用 Organizations 的。 AWS 服务
在第三条语句中,此策略包含 `organizations` 的以下权限:
+ 列出 Trusted Advisor 优先级的委派管理员。
+ 启用和禁用 Organizations 的受信任访问。
在第四条语句中,此策略包含 `iam` 的以下权限:
+ 创建 `AWSServiceRoleForTrustedAdvisorReporting` 服务关联角色。
在第五条语句中,此策略包含 `organizations` 的以下权限:
+ 允许您注册和注销 Trusted Advisor Priority 的委派管理员。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSTrustedAdvisorPriorityFullAccess",
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeAccount*",
"trustedadvisor:DescribeOrganization",
"trustedadvisor:DescribeRisk*",
"trustedadvisor:DownloadRisk",
"trustedadvisor:UpdateRiskStatus",
"trustedadvisor:DescribeNotificationConfigurations",
"trustedadvisor:UpdateNotificationConfigurations",
"trustedadvisor:DeleteNotificationConfigurationForDelegatedAdmin",
"trustedadvisor:SetOrganizationAccess"
],
"Resource": "*"
},
{
"Sid": "AllowAccessForOrganization",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "AllowListDelegatedAdministrators",
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators",
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"reporting.trustedadvisor.amazonaws.com"
]
}
}
},
{
"Sid": "AllowCreateServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com"
}
}
},
{
"Sid": "AllowRegisterDelegatedAdministrators",
"Effect": "Allow",
"Action": [
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "arn:aws:organizations::*:*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"reporting.trustedadvisor.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS 托管策略:AWSTrustedAdvisorPriorityReadOnlyAccess
该[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityReadOnlyAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityReadOnlyAccess$jsonEditor)策略向 P Trusted Advisor riority 授予只读权限,包括查看委派管理员账户的权限。
**权限详细信息**
在第一条语句中,此策略包含 `trustedadvisor` 的以下权限:
+ 描述您的 Trusted Advisor 账户和组织。
+ 描述从 P Trusted Advisor riority 中识别出的风险并允许您下载它们。
+ 描述 Trusted Advisor 优先电子邮件通知的配置。
在第二条和第三条语句中,此策略包含 `organizations` 的以下权限:
+ 使用 Organizations 描述您的组织。
+ 列出您允许使用 Organizations 的。 AWS 服务
+ 列出 Trusted Advisor 优先级的委派管理员
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSTrustedAdvisorPriorityReadOnlyAccess",
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeAccount*",
"trustedadvisor:DescribeOrganization",
"trustedadvisor:DescribeRisk*",
"trustedadvisor:DownloadRisk",
"trustedadvisor:DescribeNotificationConfigurations"
],
"Resource": "*"
},
{
"Sid": "AllowAccessForOrganization",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "AllowListDelegatedAdministrators",
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"reporting.trustedadvisor.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS 托管策略:AWSTrustedAdvisorServiceRolePolicy
此策略附加到 `AWSServiceRoleForTrustedAdvisor` 服务关联角色。此角色允许服务关联角色为您执行操作。您不能将 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorServiceRolePolicy$jsonEditor) 附加到您的 AWS Identity and Access Management (IAM)实体。有关更多信息,请参阅 [将服务相关角色用于 Trusted Advisor](using-service-linked-roles-ta.md)。
此策略授予管理权限,允许服务关联角色访问 AWS 服务。这些权限允许通过检查 Trusted Advisor 来评估您的账户。
**权限详细信息**
该策略包含以下权限。
+ `accessanalyzer`— 描述 AWS Identity and Access Management Access Analyzer 资源
+ `Auto Scaling` – 描述 Amazon EC2 Auto Scaling 账户配额和资源
+ `cloudformation`— 描述 AWS CloudFormation (CloudFormation) 账户配额和堆栈
+ `cloudfront`— 描述亚马逊的 CloudFront 分布
+ `cloudtrail`— 描述 AWS CloudTrail (CloudTrail) 路径
+ `dynamodb` – 描述 Amazon DynamoDB 账户配额和资源
+ `dynamodbaccelerator` – 描述 DynamoDB Accelerator 资源
+ `ec2` – 描述 Amazon Elastic Compute Cloud (Amazon EC2) 账户配额和资源
+ `elasticloadbalancing` - 描述弹性负载均衡(ELB)账户配额和资源
+ `iam` – 获取 IAM 资源,如证书、密码策略和证书
+ `networkfirewall`— 描述 AWS Network Firewall 资源
+ `kinesis` – 描述 Amazon Kinesis (Kinesis) 账户配额
+ `rds` – 描述 Amazon Relational Database Service (Amazon RDS) 资源
+ `redshift` – 描述 Amazon Redshift 资源
+ `route53` – 描述 Amazon Route 53 账户配额和资源
+ `s3` – 描述 Amazon Simple Storage Service (Amazon S3) 资源
+ `ses` – 获取 Amazon Simple Email Service (Amazon SES) 发送配额
+ `sqs` – 列出 Amazon Simple Queue Service (Amazon SQS) 队列
+ `cloudwatch`— 获取 Amazon CloudWatch 事件(CloudWatch 事件)指标统计数据
+ `ce` – 获取 Cost Explorer 服务 (Cost Explorer) 建议
+ `route53resolver`— 获取 Amazon Route 53 Resolver 解析器端点和资源
+ `kafka` – 获取 Amazon Managed Streaming for Apache Kafka 资源
+ `ecs` – 获取 Amazon ECS 资源
+ `outposts`— 获取 AWS Outposts 资源
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "TrustedAdvisorServiceRolePermissions",
"Effect": "Allow",
"Action": [
"access-analyzer:ListAnalyzers",
"autoscaling:DescribeAccountLimits",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeLaunchConfigurations",
"ce:GetReservationPurchaseRecommendation",
"ce:GetSavingsPlansPurchaseRecommendation",
"cloudformation:DescribeAccountLimits",
"cloudformation:DescribeStacks",
"cloudformation:ListStacks",
"cloudfront:ListDistributions",
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:GetTrail",
"cloudtrail:ListTrails",
"cloudtrail:GetEventSelectors",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"dax:DescribeClusters",
"dynamodb:DescribeLimits",
"dynamodb:DescribeTable",
"dynamodb:ListTables",
"ec2:DescribeAddresses",
"ec2:DescribeReservedInstances",
"ec2:DescribeInstances",
"ec2:DescribeVpcs",
"ec2:DescribeInternetGateways",
"ec2:DescribeImages",
"ec2:DescribeNatGateways",
"ec2:DescribeVolumes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeRegions",
"ec2:DescribeReservedInstancesOfferings",
"ec2:DescribeRouteTables",
"ec2:DescribeSnapshots",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:DescribeLaunchTemplateVersions",
"ec2:GetManagedPrefixListEntries",
"ecs:DescribeTaskDefinition",
"ecs:ListTaskDefinitions",
"elasticloadbalancing:DescribeAccountLimits",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeLoadBalancerPolicies",
"elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"iam:GenerateCredentialReport",
"iam:GetAccountPasswordPolicy",
"iam:GetAccountSummary",
"iam:GetCredentialReport",
"iam:GetServerCertificate",
"iam:ListServerCertificates",
"iam:ListSAMLProviders",
"kinesis:DescribeLimits",
"kafka:DescribeClusterV2",
"kafka:ListClustersV2",
"kafka:ListNodes",
"network-firewall:ListFirewalls",
"network-firewall:DescribeFirewall",
"outposts:GetOutpost",
"outposts:ListAssets",
"outposts:ListOutposts",
"rds:DescribeAccountAttributes",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSnapshots",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEngineDefaultParameters",
"rds:DescribeEvents",
"rds:DescribeOptionGroupOptions",
"rds:DescribeOptionGroups",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribeReservedDBInstances",
"rds:DescribeReservedDBInstancesOfferings",
"rds:ListTagsForResource",
"redshift:DescribeClusters",
"redshift:DescribeReservedNodeOfferings",
"redshift:DescribeReservedNodes",
"route53:GetAccountLimit",
"route53:GetHealthCheck",
"route53:GetHostedZone",
"route53:ListHealthChecks",
"route53:ListHostedZones",
"route53:ListHostedZonesByName",
"route53:ListResourceRecordSets",
"route53resolver:ListResolverEndpoints",
"route53resolver:ListResolverEndpointIpAddresses",
"s3:GetAccountPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:GetBucketPolicyStatus",
"s3:GetBucketLocation",
"s3:GetBucketLogging",
"s3:GetBucketVersioning",
"s3:GetBucketPublicAccessBlock",
"s3:GetLifecycleConfiguration",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"ses:GetSendQuota",
"sqs:GetQueueAttributes",
"sqs:ListQueues"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略:AWSTrustedAdvisorReportingServiceRolePolicy
此策略附加到`AWSServiceRoleForTrustedAdvisorReporting`服务相关角色,该角色 Trusted Advisor 允许对组织视图功能执行操作。您不能将 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorReportingServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorReportingServiceRolePolicy$jsonEditor) 附加到您的 IAM 实体。有关更多信息,请参阅 [将服务相关角色用于 Trusted Advisor](using-service-linked-roles-ta.md)。
此策略授予管理权限,允许服务相关角色执行 AWS Organizations 操作。
**权限详细信息**
该策略包含以下权限。
+ `organizations` – 描述您的组织并列出服务访问权限、账户、父级、子级和组织单位
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListDelegatedAdministrators",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Trusted Advisor AWS 托管策略的更新
查看有关这些服务开始跟踪这些更改之前 AWS 支持 和之 Trusted Advisor 后的 AWS 托管策略更新的详细信息。要获得有关此页面更改的自动提示,请订阅 [文档历史记录](History.md) 页面上的 RSS 源。
下表描述了自 2021 年 8 月 10 日以来 Trusted Advisor 托管策略的重要更新。
**Trusted Advisor**
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) 更新为现有策略。 | Trusted Advisor 添加了新的操作来授予`elasticloadbalancing:DescribeListeners,`和`elasticloadbalancing:DescribeRules`权限。 | 2024 年 10 月 30 日 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) 更新为现有策略。 | Trusted Advisor 添加了新的操作来授予`access-analyzer:ListAnalyzers``cloudwatch:ListMetrics`、`dax:DescribeClusters`、`ec2:DescribeNatGateways`、`ec2:DescribeRouteTables`、`ec2:DescribeVpcEndpoints`、`ec2:GetManagedPrefixListEntries`、`elasticloadbalancing:DescribeTargetHealth`、`iam:ListSAMLProviders`、`kafka:DescribeClusterV2``network-firewall:ListFirewalls``network-firewall:DescribeFirewall`和`sqs:GetQueueAttributes`权限。 | 2024 年 6 月 11 日 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) 更新为现有策略。 | Trusted Advisor 添加了新的操作来授予`cloudtrail:GetTrail``cloudtrail:ListTrails``cloudtrail:GetEventSelectors``outposts:GetOutpost`、`outposts:ListAssets`和`outposts:ListOutposts`权限。 | 2024 年 1 月 18 日 |
| [AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy) 更新为现有策略。 | Trusted Advisor 更新了`AWSTrustedAdvisorPriorityFullAccess` AWS 托管策略以包含声明 IDs。 | 2023 年 12 月 6 日 |
| [AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy) 更新为现有策略。 | Trusted Advisor 更新了`AWSTrustedAdvisorPriorityReadOnlyAccess` AWS 托管策略以包含声明 IDs。 | 2023 年 12 月 6 日 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy):对现有策略的更新 | Trusted Advisor 添加了新的操作来授予`ec2:DescribeRegions``s3:GetLifecycleConfiguration``ecs:DescribeTaskDefinition`和`ecs:ListTaskDefinitions`权限。 | 2023 年 11 月 9 日 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy):对现有策略的更新 | Trusted Advisor 在加入新的弹性检查中添加了新的 IAM 操作`route53resolver:ListResolverEndpoints``route53resolver:ListResolverEndpointIpAddresses``ec2:DescribeSubnets`、、`kafka:ListClustersV2`和`kafka:ListNodes`。 | 2023 年 9 月 14 日 |
| [AWSTrustedAdvisorReportingServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy) 附加到 Trusted Advisor `AWSServiceRoleForTrustedAdvisorReporting`服务相关角色的托管策略的 V2 | 将 Trusted Advisor `AWSServiceRoleForTrustedAdvisorReporting`服务相关角色的 AWS 托管策略升级到 V2。V2 将再添加一个 IAM 操作 `organizations:ListDelegatedAdministrators` | 2023 年 2 月 28 日 |
| [AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy) 和 [AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy) 的新 AWS 托管策略 Trusted Advisor | Trusted Advisor 添加了两个新的托管策略,您可以使用它们来控制对 Priority 的 Trusted Advisor 访问权限。 | 2022 年 8 月 17 日 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy):对现有策略的更新 | Trusted Advisor 添加了新的操作来授予`DescribeTargetGroups`和`GetAccountPublicAccessBlock`权限。 **Auto Scaling 组运行状况检查**需要 `DescribeTargetGroup` 权限,以检索附加到 Auto Scaling 组的非经典负载均衡器。 **Amazon S3 存储桶权限**检查需要 `GetAccountPublicAccessBlock` 权限以检索 AWS 账户的阻止公有访问设置。 | 2021 年 8 月 10 日 |
| 已发布的更改日志 | Trusted Advisor 开始跟踪其 AWS 托管策略的更改。 | 2021 年 8 月 10 日 |
# AWS AWS 支持 套餐的托管策略
AWS 支持 计划具有以下托管策略。
**Contents**
+ [
## AWS 托管策略:AWSSupportPlansFullAccess
](#support-plan-full-access-managed-policy)
+ [
## AWS 托管策略:AWSSupportPlansReadOnlyAccess
](#support-plan-read-only-access-managed-policy)
+ [
## AWS 支持 计划对 AWS 托管策略进行更新
](#security-iam-awsmanpol-updates-support-plans)
## AWS 托管策略:AWSSupportPlansFullAccess
AWS 支持 计划使用[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportPlansFullAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportPlansFullAccess$jsonEditor) AWS 托管策略。IAM 实体使用此策略为您完成以下 Support Plans 操作:
+ 查看您的支持计划 AWS 账户
+ 查看有关更改支持计划请求状态的详细信息
+ 更改您的支持计划 AWS 账户
+ 为您制定支持计划时间表 AWS 账户
+ 查看您的所有支持计划修改器列表 AWS 账户
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"supportplans:GetSupportPlan",
"supportplans:GetSupportPlanUpdateStatus",
"supportplans:StartSupportPlanUpdate",
"supportplans:CreateSupportPlanSchedule",
"supportplans:ListSupportPlanModifiers"
],
"Resource": "*"
}
]
}
```
------
有关策略更改的列表,请参阅 [AWS 支持 计划对 AWS 托管策略进行更新](#security-iam-awsmanpol-updates-support-plans)。
## AWS 托管策略:AWSSupportPlansReadOnlyAccess
AWS 支持 计划使用[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportPlansReadOnlyAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportPlansReadOnlyAccess$jsonEditor) AWS 托管策略。IAM 实体使用此策略为您完成以下只读 Support Plans 操作:
+ 查看您的支持计划 AWS 账户
+ 查看有关更改支持计划请求状态的详细信息
+ 查看您的所有支持计划修改器列表 AWS 账户
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"supportplans:GetSupportPlan",
"supportplans:GetSupportPlanUpdateStatus",
"supportplans:ListSupportPlanModifiers"
],
"Resource": "*"
}
]
}
```
------
有关策略更改的列表,请参阅 [AWS 支持 计划对 AWS 托管策略进行更新](#security-iam-awsmanpol-updates-support-plans)。
## AWS 支持 计划对 AWS 托管策略进行更新
查看自这些服务开始跟踪这些更改以来,Support Plans AWS 托管政策更新的详细信息。要获得有关此页面更改的自动提示,请订阅 [文档历史记录](History.md) 页面上的 RSS 源。
下表介绍了自 2022 年 9 月 29 日以来对 Support Plans 托管策略的重要更新。
**AWS 支持**
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSSupportPlansReadOnlyAccess](#support-plan-read-only-access-managed-policy) – 对现有策略的更新 [AWSSupportPlansFullAccess](#support-plan-full-access-managed-policy) – 对现有策略的更新 | 将 ListSupportPlanModifiers 操作添加到 AWSSupportPlansFullAccess 和 AWSSupportPlansReadOnlyAccess 托管策略。 | 2024 年 9 月 9 日 |
| [AWSSupportPlansFullAccess](#support-plan-full-access-managed-policy) – 对现有策略的更新 | 将 CreateSupportPlanSchedule 操作添加到 AWSSupportPlansFullAccess 托管策略。 | 2023 年 5 月 8 日 |
| 已发布的更改日志 | Support Plans 托管策略的更改日志。 | 2022 年 9 月 29 日 |
# AWS AWS 合作伙伴主导的 Support 的托管策略
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 托管策略: AWSPartnerLedSupportReadOnlyAccess
您可以将 `AWSPartnerLedSupportReadOnlyAccess` 附加到您的用户、组和角色。
此政策可用于授予只读访问权限 APIs ,该权限可以读取您 AWS 账户中服务的服务元数据。您可以使用此政策为合作伙伴主导的 Support P AWS rogram 中的合作伙伴提供访问以下权限详细信息部分中指定的服务的权限。
**重要**
尽管 AWSPartnerLedSupportReadOnlyAccess 这是由提供的托管策略 AWS,但您有责任查看策略中包含的服务和权限,以验证它们是否符合您的特定支持要求。不要假设此托管策略会自动包含所有现有策略或新策略 AWS 服务。您可能需要创建并维护额外的自定义策略,以涵盖此托管策略范围之外的服务。
**权限详细信息**
该策略包含以下权限。
+ `acm` – 允许主体对与 AWS Certificate Manager相关的技术支持案例进行故障排除。
+ `acm-pca` – 允许主体对与 AWS 私有证书颁发机构相关的技术支持案例进行故障排除。
+ `apigateway` – 允许主体对与 Amazon API Gateway 相关的技术支持案例进行故障排除。
+ `athena` – 允许主体对与 Amazon Athena 相关的技术支持案例进行故障排除。
+ `backup` – 允许主体对与 AWS Backup相关的技术支持案例进行故障排除。
+ `backup-gateway`— 允许委托人对与 B AWS ackup Gateway 相关的技术支持案例进行故障排除。
+ `cloudformation` – 允许主体对与 AWS CloudFormation相关的技术支持案例进行故障排除。
+ `cloudfront`— 允许委托人对与 Amazon CloudFront 相关的技术支持案例进行故障排除。
+ `cloudtrail` – 允许主体对与 AWS CloudTrail相关的技术支持案例进行故障排除。
+ `cloudwatch`— 允许委托人对与 Amazon CloudWatch 相关的技术支持案例进行故障排除。
+ `codepipeline` – 允许主体对与 AWS CodePipeline相关的技术支持案例进行故障排除。
+ `cognito-identity` – 允许主体对与 Amazon Cognito Identity 相关的技术支持案例进行故障排除。
+ `cognito-idp` – 允许主体对与 Amazon Cognito 用户池相关的技术支持案例进行故障排除。
+ `cognito-sync` – 允许主体对与 Amazon Cognito Sync 相关的技术支持案例进行故障排除。
+ `connect` – 允许主体对与 Amazon Connect 相关的技术支持案例进行故障排除。
+ `directconnect` – 允许主体对与 AWS Direct Connect相关的技术支持案例进行故障排除。
+ `dms` – 允许主体对与 AWS Database Migration Service相关的技术支持案例进行故障排除。
+ `ds` – 允许主体对与 AWS Directory Service相关的技术支持案例进行故障排除。
+ `ec2` – 允许主体对与 Amazon Elastic Compute Cloud 相关的技术支持案例进行故障排除。这包括 EC2(Windows 和 Linux)、虚拟私有云(VPC)和 VPC 中的技术支持类别。
+ `ecs` – 允许主体对与 Amazon Elastic Container Service 相关的技术支持案例进行故障排除。
+ `eks` – 允许主体对与 Amazon Elastic Kubernetes Service 相关的技术支持案例进行故障排除。
+ `elasticache`— 允许委托人对与 Amazon ElastiCache 相关的技术支持案例进行故障排除。
+ `elasticbeanstalk` – 允许主体对与 AWS Elastic Beanstalk相关的技术支持案例进行故障排除。
+ `elasticfilesystem` – 允许主体对与 Amazon Elastic File System 相关的技术支持案例进行故障排除。
+ `elasticloadbalancing` – 允许主体对与 Elastic Load Balancing 相关的技术支持案例进行故障排除。
+ `emr-containers` – 允许主体对与 Amazon EMR on EKS 相关的技术支持案例进行故障排除。
+ `emr-serverless` – 允许主体对与 Amazon EMR Serverless 相关的技术支持案例进行故障排除。
+ `es`— 允许委托人对与 Amazon OpenSearch 服务相关的技术支持案例进行故障排除。这包括技术支持类别,例如 OpenSearch 服务托管群集。
+ `events`— 允许委托人对与 Amazon EventBridge 相关的技术支持案例进行故障排除。
+ `fsx`— 允许委托人对与 Amazon FSx 相关的技术支持案例进行故障排除。这包括技术支持类别,例如 FSX for Windows File Server。
+ `glue` – 允许主体对与 AWS Glue相关的技术支持案例进行故障排除。
+ `guardduty`— 允许委托人对与 Amazon GuardDuty 相关的技术支持案例进行故障排除。
+ `iam` – 允许主体对与 AWS Identity and Access Management相关的技术支持案例进行故障排除。
+ `kafka` – 允许主体对与 Amazon Managed Streaming for Apache Kafka 相关的技术支持案例进行故障排除。
+ `kafkaconnect` – 允许主体对与 Amazon Managed Streaming for Apache Kafka Connect 相关的技术支持案例进行故障排除。
+ `lambda` – 允许主体对与 AWS Lambda相关的技术支持案例进行故障排除。
+ `logs`— 允许委托人对与 Amazon L CloudWatch ogs 相关的技术支持案例进行故障排除。
+ `medialive` – 允许主体对与 AWS Elemental MediaLive相关的技术支持案例进行故障排除。
+ `mobiletargeting` – 允许主体对与 Amazon Pinpoint 相关的技术支持案例进行故障排除。
+ `pipes`— 允许委托人对与 Amazon Pip EventBridge es 相关的技术支持案例进行故障排除。
+ `polly` – 允许主体对与 Amazon Polly 相关的技术支持案例进行故障排除。
+ `quicksight`— 允许委托人对与 Amazon Quick 相关的技术支持案例进行故障排除。
+ `rds` – 允许主体对与 Amazon Relational Database Service 相关的技术支持案例进行故障排除。这包括技术支持类别,例如:关系数据库服务 (Aurora - MySQL-Compat)、关系数据库服务 (Aurora - PostgreSQL-c)、关系数据库服务 (PostgreSQL)、关系数据库服务 (SQL Server)、关系数据库服务 (MySQL) 和关系数据库服务 (Oracle)。
+ `redshift` – 允许主体对与 Amazon Redshift 相关的技术支持案例进行故障排除。
+ `redshift-data` – 允许主体对与 Amazon Redshift Data API 相关的技术支持案例进行故障排除。
+ `redshift-serverless` – 允许主体对与 Amazon Redshift Serverless 相关的技术支持案例进行故障排除。
+ `route53` – 允许主体对与 Amazon Route 53 相关的技术支持案例进行故障排除。
+ `route53domains` – 允许主体对与 Amazon Route 53 域相关的技术支持案例进行故障排除。
+ `route53-recovery-cluster` – 允许主体对与 Amazon Route 53 恢复集群相关的技术支持案例进行故障排除。
+ `route53-recovery-control-config` – 允许主体对与 Amazon Route 53 恢复控件相关的技术支持案例进行故障排除。
+ `route53-recovery-readiness` – 允许主体对与 Amazon Route 53 恢复就绪相关的技术支持案例进行故障排除。
+ `route53resolver` – 允许主体对与 Amazon Route 53 Resolver 相关的技术支持案例进行故障排除。
+ `s3` – 允许主体对与 Amazon Simple Storage Service 相关的技术支持案例进行故障排除。
+ `s3express` – 允许主体对与 Amazon S3 Express 相关的技术支持案例进行故障排除。
+ `sagemaker`— 允许委托人对与 Amazon A SageMaker I 相关的技术支持案例进行故障排除。
+ `scheduler`— 允许委托人对与 Amazon S EventBridge cheduler 相关的技术支持案例进行故障排除。
+ `servicequotas` – 允许主体对与服务配额相关的技术支持案例进行故障排除。
+ `ses` – 允许主体对与 Amazon Simple Email Service 相关的技术支持案例进行故障排除。
+ `sns` – 允许主体对与 Amazon Simple Notification Service 相关的技术支持案例进行故障排除。
+ `ssm` – 允许主体对与 AWS Systems Manager相关的技术支持案例进行故障排除。
+ `ssm-contacts`— 允许委托人对与 AWS Systems Manager Incident Manager 联系人相关的技术支持案例进行故障排除。
+ `ssm-incidents` – 允许主体对与 AWS Systems Manager Incident Manager相关的技术支持案例进行故障排除。
+ `ssm-sap`— 允许委托人对与 SAP 相关的技术支持案例进行故障排除 AWS Systems Manager 。
+ `swf` – 允许主体对与 Amazon Simple Workflow Service 相关的技术支持案例进行故障排除。
+ `vpc-lattice` – 允许主体对与 Amazon VPC Lattice 相关的技术支持案例进行故障排除。这包括技术支持类别,例如 VPC - 中转网关。
+ `waf` – 允许主体对与 AWS WAF相关的技术支持案例进行故障排除。
+ `waf-regional`— 允许委托人对与 AWS WAF 区域相关的技术支持案例进行故障排除。
+ `wafv2`— 允许委托人对与 AWS WAF V2 相关的技术支持案例进行故障排除。
+ `workspaces`— 允许委托人对与 Amazon WorkSpaces 相关的技术支持案例进行故障排除。这包括技术支持类别,例如 Workspaces (Windows)。
+ `workspaces-web`— 允许委托人对与 Amazon WorkSpaces 安全浏览器相关的技术支持案例进行故障排除。这包括技术支持类别,例如 Workspaces (Windows)。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPartnerLedSupportReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPartnerLedSupportReadOnlyAccess.html)**。
## AWS Partner-Led Support 更新了托管 AWS 政策
查看自 AWS Partner-Led Support AWS 托管政策开始跟踪变更以来该服务更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 P AWS artner-Led Support 文档历史记录页面上的 RSS feed。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSPartnerLedSupportReadOnlyAccess](#managed-policies-partner-led-support-AWSPartnerLedSupportReadOnlyAccess) - 新策略 | 添加了一个新的 AWS 托管策略,其中包含可以读取您 AWS 账户中服务的服务元数据的权限。 | 2024 年 11 月 22 日 |
| AWS Partner-Led Support 开始跟踪更改 | AWS Partner-Led Support 开始跟踪其 AWS 托管政策的变更。 | 2024 年 11 月 22 日 |
# 管理对 Cent AWS 支持 er 的访问权限
您必须具有访问支持中心和[创建支持案例](create-support-case-from-interaction.md)的权限。
您可以使用以下选项之一访问支持中心:
+ 使用 AWS Identity and Access Management (IAM)。
+ 使用与您的 AWS 帐户关联的电子邮件地址和密码。此身份称为 AWS 账户 *root 用户*(不推荐)。
如果您有 B AWS usiness Support\$1、En AWS terprise Suppor AWS t 或 Unified Operations 计划,也可以使用 [支持 API](about-support-api.md) 以编程方式进行访问 支持 和 Trusted Advisor 操作。有关更多信息,请参阅 [AWS 支持 API 参考](https://docs.aws.amazon.com/awssupport/latest/APIReference/Welcome.html)。
**注意**
如果无法登录到支持中心,则可以使用 [Contact Us](https://aws.amazon.com/contact-us/)(联系我们)页面。您可以使用此页面获取有关账单和账户问题的帮助。
有关 Support Center Console API 操作以及如何将其添加到您的 IAM 策略的信息,请参阅[为支持中心控制台 API 操作添加 IAM 策略](support-console-access-control.md)。
## AWS 账户(不推荐)
您可以使用您的 AWS 账户电子邮件地址 AWS 管理控制台 和密码登录并访问 Support Center。此身份称为 AWS 账户 r *oot 用户*。但是,我们强烈建议您不要使用根用户来执行日常任务,即使是管理任务。相反,我们建议您使用 IAM,它允许您控制哪些人可以在您的账户中执行某些任务。
## AWS 支持行动
您可以在控制台中执行以下 支持 操作。您也可以在 IAM 策略中指定这些 支持 操作以允许或拒绝特定操作。
**注意**
若在 IAM 策略中拒绝以下任何操作,则在创建支持案例或与支持案例交互时,可能会导致 Support Center 出现意外行为。
| Action | 说明 |
| --- | --- |
| `AddAttachmentsToSet` | 授予向附件集添加一个或多个附件的权限。附件集是用于存放您添加到案例或案例通信的附件的临时容器。该附件集在创建后 1 小时内可供使用。响应中返回的 expiryTime 即为该附件集的到期时间。 |
| `AddCommunicationToCase` | 授予在 支持 案例中添加其他客户通信的权限,包括一组要在通信中复制的电子邮件地址。 |
| `CreateCase` | 授予创建案例的权限。 |
| `DescribeAttachment` | 授予检索案例附件的权限。 |
| `DescribeCaseAttributes` | 授予允许辅助服务读取 支持 案例属性的权限。**\$1Cent 支持 er 内部使用它来获取在你的问题上标记的属性。** |
| `DescribeCases` | 授予返回与案例 ID 或 支持 案例匹配的案例列表的权限 IDs。 |
| `DescribeCommunication` | 授予获取单个 AWS 支持 案例的单一通信和附件的权限。 |
| `DescribeCommunications` | 允许返回一个或多个 支持 案例的通信和附件。 |
| `DescribeCreateCaseOptions` | 授予返回 CreateCaseOption 类型列表以及相应的支持时间和语言可用性的权限。 |
| `DescribeIssueTypes` | 授予返回 支持 案例问题类型的权限。Cent 支持 er 内部使用它来获取您账户的可用问题类型。 |
| `DescribeServices` | 授予返回当前服务列表和每项 AWS 服务的服务类别列表的权限。然后,您可以使用服务名称和类别来创建案例。每项 AWS 服务都有自己的一组类别。 |
| `DescribeSeverityLevels` | 授予返回您可以分配给 支持 案例的严重性级别列表的权限。 |
| `DescribeSupportedLanguages` | 授予返回指定 categoryCode、issueType 和 serviceCode 的支持语言列表的权限。 |
| `DescribeSupportLevel` | 授予返回 AWS 账户标识符支持级别的权限。Cent 支持 er 内部使用它来确定您的支持级别。 |
| `DescribeTrustedAdvisorCheckRefreshStatuses` | 授予返回具有指定 AWS Trusted Advisor 支票的支票刷新状态的权限 IDs。 |
| `DescribeTrustedAdvisorCheckResult` | 授予返回具有指定支票 ID 的 AWS Trusted Advisor 检查结果的权限。 |
| `DescribeTrustedAdvisorChecks` | 授予返回有关所有可用 AWS Trusted Advisor 支票的信息的权限,包括姓名、ID、类别、描述和元数据。 |
| `DescribeTrustedAdvisorCheckSummaries` | 授予返回您指定 AWS Trusted Advisor 支票的检查摘要结果的权限。 IDs |
| `GetInteraction` | 授予通过唯一标识符检索特定交互的详细信息的权限。Cent 支持 er 内部使用它来检索个性化推荐。 |
| `InitiateCallForCase` | 授予在 Cent 支持 er 上发起呼叫的权限。Cent 支持 er 内部使用它来代表您发起呼叫。 |
| `ListInteractionEntries` | 授予在特定互动中检索条目列表的权限,包括消息、状态更新或其他相关数据点。Cent 支持 er 内部使用它来跟踪交互的详细轨迹。 |
| `ListInteractions` | 授予检索互动列表的权限,可能使用过滤器或分页。Cent 支持 er 内部使用它来管理和概述多个交互。 |
| `InitiateChatForCase` | 授予在 支持 Center 上发起聊天的权限。Cent 支持 er 内部使用它来代表你开始聊天。 |
| `PutCaseAttributes` | 授予允许次要服务将属性附加到 支持 案例的权限。Cent 支持 er 内部使用它来为您的 支持 案例添加操作标签。 |
| `RateCaseCommunication` | 授予对 支持 案例沟通进行评分的权限。 |
| `RefreshTrustedAdvisorCheck` | 授予刷新您使用 AWS Trusted Advisor 支票 ID 指定的支票的权限。 |
| `ResolveCase` | 授予解决 支持 案例的权限。 |
| `ResolveInteraction` | 允许使用交互的唯一标识符将交互标记为已解决,表示问题已完全解决,无需采取进一步行动。解决后,互动的状态将设置为 “已关闭”,同一账户中的所有用户都可以访问该交互状态。 |
| `SearchForCases` | 授予返回与给定输入相匹配的 支持 案例列表的权限。Cent 支持 er 内部使用它来查找搜索到的案例。 |
| `StartInteraction` | 授予发起新互动以获取针对账户及技术问题的个性化故障排除帮助的权限。Cent 支持 er 内部使用它来启动故障排除流程。 |
| `UpdateInteraction` | 授予用另一条消息更新通过唯一标识符指定的特定互动的权限。Cent 支持 er 内部使用它来更新故障排除流程。 |
## IAM
默认情况下,IAM 用户无法访问支持中心。您可以使用 IAM 创建各个用户或组。然后,您可以将 IAM 策略附加到这些实体,以便他们有权执行操作和访问资源,例如提交 Support Center 案例和使用 支持 API。
创建 IAM 用户以后,您可以为这些用户提供单独的密码和账户特定的登录页面。然后,他们可以登录您的账户 AWS 账户 并在 Support Center 中工作。有权 AWS 支持 访问的 IAM 用户可以查看为该账户创建的所有案例。
有关更多信息,请参阅 [IAM 用户*指南中的以 IAM 用户身份*登录](https://docs.aws.amazon.com/IAM/latest/UserGuide/WhatUsersNeedToKnow.html)。 AWS 管理控制台
授予权限的最简单方法是将 AWS 托管策略 A [AWSSupportcces](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/AWSSupportAccess) s 附加到用户、组或角色。 AWS 支持 允许操作级权限来控制对特定 AWS 支持 操作的访问权限。 AWS 支持 不提供资源级访问权限,因此`Resource`元素始终设置为。`*`您无法允许或拒绝对特定支持案例的访问。
**Example : 允许访问所有 支持 操作**
AWS 托管策略 A [AWSSupportcces](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/AWSSupportAccess) s 授予 IAM 用户访问权限 支持。拥有此策略的 IAM 用户可以访问所有 AWS 支持 操作和资源。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["support:*"],
"Resource": "*"
}
]
}
```
有关如何将 `AWSSupportAccess` 策略附加到您的实体的更多信息,请参阅 *IAM 用户指南*中的[添加 IAM 身份权限(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。
**Example : 允许访问除操作之外的所有 ResolveCase 操作**
您也可以在 IAM 中创建*客户托管策略*来指定允许或拒绝哪些操作。以下政策声明允许 IAM 用户执行 支持 除解决案例之外的所有操作。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "support:*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "support:ResolveCase",
"Resource": "*"
}]
}
```
有关如何创建客户托管式 IAM policy 的更多信息,请参阅《IAM 用户指南》中的[创建 IAM policy(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
如果用户或组已有策略,则可以在该策略中添加 AWS 支持特定于该策略的策略声明。
**重要**
如果您无法在支持中心中查看案例,请确保您拥有所需的权限。您可能需要联系您的 IAM 管理员。有关更多信息,请参阅 [的身份和访问管理 AWS 支持](security-iam.md)。
## 访问权限 AWS Trusted Advisor
在中 AWS 管理控制台,单独的 `trustedadvisor` IAM 命名空间控制对的访问权限 Trusted Advisor。在 支持 API 中,`support`IAM 命名空间控制对的访问权限 Trusted Advisor。有关更多信息,请参阅 [管理对的访问权限 AWS Trusted Advisor](security-trusted-advisor.md)。
# 管理对 AWS 支持 套餐的访问权限
**Topics**
+ [
## Support Plans 控制台的权限
](#using-the-trusted-advisor-console)
+ [
## Support Plans 操作
](#support-plans-actions)
+ [
## Support Plans 的示例 IAM policy
](#support-plans-policies)
+ [
## 问题排查
](#troubleshooting-changing-support-plans)
## Support Plans 控制台的权限
要访问 Support Plans 控制台,用户必须拥有一组最低权限。这些权限必须允许用户列出和查看有关 AWS 账户中 Support Plans 资源的详细信息。
您可以使用`supportplans`命名空间创建 AWS Identity and Access Management (IAM) 策略。您可以使用此策略来指定操作和资源的权限。
创建策略时,可以指定服务的命名空间来允许或拒绝操作。Support Plans 的命名空间为 `supportplans`。
您可以使用 AWS 托管策略并将其附加到您的 IAM 实体。有关更多信息,请参阅 [AWS AWS 支持 套餐的托管策略](managed-policies-aws-support-plans.md)。
## Support Plans 操作
可以在控制台中执行以下 Support Plans 操作。还可以在 IAM policy 中指定这些 Support Plans 操作以允许或拒绝特定操作。
| Action | 说明 |
| --- | --- |
| `GetSupportPlan` | 授予查看有关此 AWS 账户当前 Support Plans 详细信息的权限。 |
| `GetSupportPlanUpdateStatus` | 授予查看有关更新 Support Plans 请求状态的详细信息的权限。 |
| `StartSupportPlanUpdate` | 授予启动请求以更新此 AWS 账户支持计划的权限。 |
| `CreateSupportPlanSchedule` | 授予权限以为此 AWS 账户创建支持计划时间表。 |
| `ListSupportPlanModifiers ` | 授予权限以查看此 AWS 账户的所有支持计划修饰符列表。 |
## Support Plans 的示例 IAM policy
您可以使用以下示例策略来管理对 Support Plans 的访问。
### 对 Support Plans 的完全访问
以下策略允许用户对 Support Plans 进行完全访问。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "supportplans:*",
"Resource": "*"
}
]
}
```
------
### 对 Support Plans 的只读访问
以下策略允许用户对 Support Plans 进行只读访问。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "supportplans:Get*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "supportplans:List*",
"Resource": "*"
}
]
}
```
------
### 拒绝对 Support Plans 的访问
以下策略不允许用户访问 Support Plans。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "supportplans:*",
"Resource": "*"
}
]
}
```
------
## 问题排查
请参阅以下主题以管理对 Support 计划的访问。
### 尝试查看或更改支持计划时,Support 计划控制台显示缺少 `GetSupportPlan` 权限
IAM 用户必须具有访问 Support 计划控制台所需的权限。您可以更新 IAM policy 以包含缺少的权限,也可以使用 AWSSupportPlansFullAccess 或 AWSSupportPlansReadOnlyAccess 等 AWS 托管策略。有关更多信息,请参阅 [AWS AWS 支持 套餐的托管策略](managed-policies-aws-support-plans.md)。
如果您无权更新 IAM policy,请联系 AWS 账户 管理员。
#### 相关信息
有关更多信息,请参阅 *IAM 用户指南*中的以下主题:
+ [使用 IAM policy simulator 测试 IAM policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)
+ [排查访问被拒绝错误消息](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_access-denied.html)
### 具有正确的 Support 计划权限,但仍然显示相同的错误信息
如果您 AWS 账户 是其中的成员账户 AWS Organizations,则可能需要更新服务控制政策 (SCP)。 SCPs 是一种在组织中管理权限的策略。
由于 Support 计划是一项*全球*服务,因此限制 AWS 区域 的策略可能会阻止成员账户查看或更改其支持计划。要为您的组织允许全球服务,例如 IAM 和 Support 计划,必须将该服务添加到任何适用的 SCP 的排除列表中。这意味着组织中的账户可以访问这些服务,即使 SCP 拒绝了指定的 AWS 区域服务。
要将 Support 计划添加为例外,请在 SCP 的 `"NotAction"` 列表中输入 `"supportplans:*"`。
```
"supportplans:*",
```
您的 SCP 可能显示为以下策略代码段。
**Example :允许 Support 计划在组织中进行访问的 SCP**
```
{ "Version": "2012-10-17",
"Statement": [
{ "Sid": "GRREGIONDENY",
"Effect": "Deny",
"NotAction": [
"aws-portal:*",
"budgets:*",
"chime:*"
"iam:*",
"supportplans:*",
....
```
如果您有成员账户但无法更新 SCP,请联系 AWS 账户 管理员。管理账户可能需要更新 SCP,以便所有成员账户都可以访问 Support 计划。
**的注意事项 AWS Control Tower**
如果您的组织将 SCP 与一起使用 AWS Control Tower,则可以** AWS 根据请求的 AWS 区域控件(通常称为区域拒绝控制)将拒绝访问**更新为。
如果您将 SCP 更新 AWS Control Tower 为允许`supportplans`,则修复偏差将移除您对 SCP 的更新。有关更多信息,请参阅[中的检测和解决偏差 AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html)。
#### 相关信息
有关更多信息,请参阅以下主题:
+ 《*AWS Organizations 用户指南》中的@@ [服务控制策略 (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。*
+ **《AWS Control Tower 用户指南》中的[配置区域拒绝控制](https://docs.aws.amazon.com/controltower/latest/userguide/region-deny.html)
+ [AWS 根据*AWS Control Tower 用户指南 AWS 区域*中的要求拒绝访问](https://docs.aws.amazon.com/controltower/latest/userguide/data-residency-controls.html#primary-region-deny-policy)
# 管理对的访问权限 AWS Trusted Advisor
您可以 AWS Trusted Advisor 从中访问 AWS 管理控制台。所有 AWS 账户 人都可以访问精选的核心[Trusted Advisor 支票](https://aws.amazon.com//premiumsupport/faqs/#TaFree)。如果您有 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划,则可以访问所有支票。有关更多信息,请参阅。[AWS Trusted Advisor 查看参考资料](trusted-advisor-check-reference.md)
您可以使用 AWS Identity and Access Management (IAM) 来控制对的访问权限 Trusted Advisor。
**Topics**
+ [
## Trusted Advisor 控制台的权限
](#using-the-trusted-advisor-console)
+ [
## Trusted Advisor 行动
](#trusted-advisor-operations)
+ [
## IAM 策略示例
](#iam-policy-examples-trusted-advisor)
+ [
## 另请参阅
](#see-also-security-trusted-advisor)
## Trusted Advisor 控制台的权限
要访问 Trusted Advisor 控制台,用户必须拥有一组最低权限。这些权限必须允许用户列出和查看有关您的 Trusted Advisor 资源的详细信息 AWS 账户。
可以使用以下选项来控制对 Trusted Advisor的访问:
+ 使用 Trusted Advisor 控制台的标签筛选功能。用户或角色必须具有与标签关联的权限。
您可以使用 AWS 托管策略或自定义策略按标签分配权限。有关更多信息,请参阅 [使用标签控制对 IAM 用户和角色的访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)。
+ 使用 `trustedadvisor` 命名空间创建 IAM policy。您可以使用此策略来指定操作和资源的权限。
创建策略时,可以指定服务的命名空间来允许或拒绝操作。的命名空间 Trusted Advisor 是`trustedadvisor`。但是,您不能使用`trustedadvisor`命名空间来允许或拒绝 Trusted Advisor API 中的 支持 API 操作。相反,您必须使用 支持 的 `support` 命名空间。
**注意**
如果您拥有[AWS 支持](https://docs.aws.amazon.com/awssupport/latest/APIReference/)该 API 的权限,则中的 Trusted Advisor 微件会 AWS 管理控制台 显示 Trusted Advisor 结果的摘要视图。要在 Trusted Advisor 控制台中查看结果,您必须拥有`trustedadvisor`命名空间的权限。
## Trusted Advisor 行动
您可以在控制台中执行以下 Trusted Advisor 操作。您也可以在 IAM 策略中指定这些 Trusted Advisor 操作以允许或拒绝特定操作。
| Action | 说明 |
| --- | --- |
| `DescribeAccount` | 授予查看 支持 计划和各种 Trusted Advisor 首选项的权限。 |
| `DescribeAccountAccess` | 授予查看是 AWS 账户 启用还是禁用的权限 Trusted Advisor。 |
| `DescribeCheckItems` | 授予权限以查看检查项目的详细信息。 |
| `DescribeCheckRefreshStatuses` | 授予权限以查看 Trusted Advisor 检查的刷新状态。 |
| `DescribeCheckSummaries` | 授予 Trusted Advisor 查看支票摘要的权限。 |
| `DescribeChecks` | 授予查看 Trusted Advisor 支票详细信息的权限。 |
| `DescribeNotificationPreferences` | 授予权限以查看 AWS 账户的通知首选项。 |
| `ExcludeCheckItems` | 授予权限以排除 Trusted Advisor 检查的建议。 |
| `IncludeCheckItems` | 授予权限以包含 Trusted Advisor 检查的建议。 |
| `RefreshCheck` | 授予刷新 Trusted Advisor 支票的权限。 |
| `SetAccountAccess` | 授予账户启用或禁 Trusted Advisor 用的权限。 |
| `UpdateNotificationPreferences` | 授予权限以更新 Trusted Advisor的通知首选项。 |
| `DescribeCheckStatusHistoryChanges` | 授予查看过去 30 天内检查的结果和更改状态的权限。 |
### Trusted Advisor 组织视图的操作
以下 Trusted Advisor 操作适用于组织视图功能。有关更多信息,请参阅 [的组织视图 AWS Trusted Advisor](organizational-view.md)。
| Action | 说明 |
| --- | --- |
| `DescribeOrganization` | 授予查看是否 AWS 账户 满足启用组织视图功能的要求的权限。 |
| `DescribeOrganizationAccounts` | 授予查看组织中关联 AWS 账户的权限。 |
| `DescribeReports` | 授予权限以查看组织视图报告的详细信息(例如,报告名称、运行时间、创建日期、状态和格式)。 |
| `DescribeServiceMetadata` | 授予查看组织视图报告相关信息的权限,例如支票类别、支票名称和资源状态。 AWS 区域 |
| `GenerateReport` | 授予在组织中创建 Trusted Advisor 支票报告的权限。 |
| `ListAccountsForParent` | 授予在 Trusted Advisor 控制台中查看组织中由根或 AWS 组织单位 (OU) 包含的所有账户的权限。 |
| `ListOrganizationalUnitsForParent` | 授予在 Trusted Advisor 控制台中查看上级组织单位或根目录中所有组织单位 (OUs) 的权限。 |
| `ListRoots` | 授予在 Trusted Advisor 控制台中查看 AWS 组织中定义的所有根目录的权限。 |
| `SetOrganizationAccess` | 授予启用组织视图功能的权限 Trusted Advisor。 |
### Trusted Advisor 优先行动
如果您为账户启用了 Trusted Advisor 优先级,则可以在控制台中执行以下 Trusted Advisor 操作。还可以在 IAM policy 中添加这些 Trusted Advisor 操作以允许或拒绝特定操作。有关更多信息,请参阅 [Trusted Advisor 优先级的 IAM 策略示例](#trusted-advisor-priority-policies)。
**注意**
Trusted Advisor 优先级中显示的风险是您的技术客户经理 (TAM) 为您的账户确定的建议。系统会自动为您创建来自服务的推荐,例如 Trusted Advisor 支票。来自 TAM 的建议是手动为您创建的。接下来,您的 TAM 会发送这些推荐,使其显示在您账户的 “ Trusted Advisor 优先级” 中。
有关更多信息,请参阅 [开始使用 P AWS Trusted Advisor riority](trusted-advisor-priority.md)。
| Action | 说明 |
| --- | --- |
| `DescribeRisks` | 授予按 Trusted Advisor 优先级查看风险的权限。 |
| `DescribeRisk` | 授予按 Trusted Advisor 优先级查看风险详细信息的权限。 |
| `DescribeRiskResources` | 授予权限以查看 Trusted Advisor Priority 中受影响的风险资源。 |
| `DownloadRisk` | 授予下载包含 Trusted Advisor 优先级风险详细信息的文件的权限。 |
| `UpdateRiskStatus` | 授予权限以更新 Trusted Advisor Priority 中的风险状态。 |
| `DescribeNotificationConfigurations` | 授予获取 “ Trusted Advisor 优先级” 电子邮件通知首选项的权限。 |
| `UpdateNotificationConfigurations` | 授予权限以创建或更新 Trusted Advisor Priority 的电子邮件通知首选项。 |
| `DeleteNotificationConfigurationForDelegatedAdmin` | 向组织管理账户授予权限,允许其从 Priority 的委托管理员账户中删除电子邮件通知首选项。 Trusted Advisor |
## IAM 策略示例
以下策略介绍如何允许和拒绝对 Trusted Advisor的访问。您可以使用下面的策略之一来在 IAM 控制台中创建*客户托管策略*。例如,您可以复制示例策略,然后将其粘贴到 IAM 控制台的 [JSON 选项卡](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor)中。然后,将策略附加您的 IAM 用户、组或角色。
有关如何创建 IAM policy 的更多信息,请参阅 *IAM 用户指南*中的[创建 IAM policy(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
**Topics**
+ [
### 完全访问权限 Trusted Advisor
](#full-access-trusted-advisor)
+ [
### 只读访问权限 Trusted Advisor
](#read-only-access-trusted-advisor)
+ [
### 拒绝访问 Trusted Advisor
](#no-access-trusted-advisor)
+ [
### 允许和拒绝特定操作
](#allow-specific-actions-trusted-advisor)
+ [
### 控制对 支持 API 操作的访问权限 Trusted Advisor
](#control-access-to-trusted-advisor-deny-support)
+ [
### Trusted Advisor 优先级的 IAM 策略示例
](#trusted-advisor-priority-policies)
### 完全访问权限 Trusted Advisor
以下策略允许用户在 Trusted Advisor 控制台中查看所有 Trusted Advisor 检查并对其执行所有操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "trustedadvisor:*",
"Resource": "*"
}
]
}
```
------
### 只读访问权限 Trusted Advisor
以下策略允许用户对 Trusted Advisor 控制台进行只读访问。用户无法进行任何更改,例如刷新检查或更改通知首选项。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"trustedadvisor:Describe*",
"trustedadvisor:Get*",
"trustedadvisor:List*"
],
"Resource": "*"
}
]
}
```
------
### 拒绝访问 Trusted Advisor
以下政策不允许用户在 Trusted Advisor 控制台中查看 Trusted Advisor 支票或对其执行操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "trustedadvisor:*",
"Resource": "*"
}
]
}
```
------
### 允许和拒绝特定操作
以下策略允许用户在 Trusted Advisor 控制台中查看所有 Trusted Advisor 支票,但不允许他们刷新任何支票。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "trustedadvisor:*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "trustedadvisor:RefreshCheck",
"Resource": "*"
}
]
}
```
------
### 控制对 支持 API 操作的访问权限 Trusted Advisor
在中 AWS 管理控制台,单独的 `trustedadvisor` IAM 命名空间控制对的访问权限 Trusted Advisor。您不能使用`trustedadvisor`命名空间来允许或拒绝 Trusted Advisor API 中的 支持 API 操作。相反,可以使用 `support` 命名空间。您必须拥有 支持 API 权限才能以 Trusted Advisor 编程方式调用。
例如,如果要调用该[RefreshTrustedAdvisorCheck](https://docs.aws.amazon.com/awssupport/latest/APIReference/API_RefreshTrustedAdvisorCheck.html)操作,则必须在策略中拥有执行此操作的权限。
**Example : 仅允许 Trusted Advisor API 操作**
以下策略允许用户访问其他 支持 API 操作的 API 操作 Trusted Advisor,但不允许访问其他 支持 API 操作。例如,用户可以使用 API 查看和刷新检查。他们无法创建、查看、更新或解决 AWS 支持 案例。
您可以使用此策略以编程方式调用 Trusted Advisor API 操作,但不能使用此策略在 Trusted Advisor 控制台中查看或刷新检查。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"support:DescribeTrustedAdvisorCheckRefreshStatuses",
"support:DescribeTrustedAdvisorCheckResult",
"support:DescribeTrustedAdvisorChecks",
"support:DescribeTrustedAdvisorCheckSummaries",
"support:RefreshTrustedAdvisorCheck",
"trustedadvisor:Describe*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"support:AddAttachmentsToSet",
"support:AddCommunicationToCase",
"support:CreateCase",
"support:DescribeAttachment",
"support:DescribeCases",
"support:DescribeCommunications",
"support:DescribeServices",
"support:DescribeSeverityLevels",
"support:ResolveCase"
],
"Resource": "*"
}
]
}
```
有关 IAM 如何与 支持 和配合使用的更多信息 Trusted Advisor,请参阅[操作](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions)。
### Trusted Advisor 优先级的 IAM 策略示例
您可以使用以下 AWS 托管策略来控制对 Priority 的 Trusted Advisor 访问权限。有关更多信息,请参阅[AWS 的托管策略 AWS Trusted Advisor](aws-managed-policies-for-trusted-advisor.md)和[开始使用 P AWS Trusted Advisor riority](trusted-advisor-priority.md)。
## 另请参阅
有关 Trusted Advisor 权限的更多信息,请参阅以下资源:
+ *IAM 用户指南*中的[由 AWS Trusted Advisor定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awstrustedadvisor.html#awstrustedadvisor-actions-as-permissions)。
+ [控制对 Trusted Advisor 控制台的访问](https://aws.amazon.com/premiumsupport/ta-iam/)
# 的服务控制策略示例 AWS Trusted Advisor
AWS Trusted Advisor 支持服务控制策略 (SCPs)。 SCPs 是您附加到组织中元素的策略,用于管理该组织内的权限。SCP 适用于[您附加 SCP 的元素下](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html)的所有 AWS 账户。 SCPs 集中控制组织中所有账户的最大可用权限。它们可以帮助您确保您的 AWS 帐户符合组织的访问控制准则。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
**Topics**
+ [
## 先决条件
](#prerequisites-trusted-advisor-scps)
+ [
## 示例服务控制策略
](#example-service-control-policies)
## 先决条件
要使用 SCPs,必须先执行以下操作:
+ 启用组织中的所有功能。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[启用企业中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
+ 启用 SCPs 以便在您的组织内使用。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[启用和禁用策略类型](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html)。
+ 创建你 SCPs 需要的。有关创建的更多信息 SCPs,请参阅《*AWS Organizations 用户指南》*中的[创建、更新和删除服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html)。
## 示例服务控制策略
以下示例展示如何能控制组织中资源共享的各个方面。
**Example : 阻止用户在 Engage 中 Trusted Advisor 创建或编辑互动**
以下 SCP 阻止用户创建新参与或编辑现有参与。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"trustedadvisor:CreateEngagement",
"trustedadvisor:UpdateEngagement*"
],
"Resource": [
"*"
]
}
]
}
```
**Example : 拒绝 Trusted Advisor 参与和 Trusted Advisor 优先访问**
以下 SCP 禁止用户在 Eng Trusted Advisor age 和 Trusted Advisor Priority 中访问或执行任何操作。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"trustedadvisor:ListEngagement*",
"trustedadvisor:GetEngagement*",
"trustedadvisor:CreateEngagement*",
"trustedadvisor:UpdateEngagement*",
"trustedadvisor:DescribeRisk*",
"trustedadvisor:UpdateRisk*",
"trustedadvisor:DownloadRisk"
],
"Resource": [
"*"
]
}
]
}
```
# 对 AWS 支持 身份和访问进行故障排除
使用以下信息来帮助您诊断和修复在使用 支持 和 IAM 时可能遇到的常见问题。
**Topics**
+ [
## 我无权执行 iam:PassRole
](#security_iam_troubleshoot-passrole)
+ [
## 我想要查看我的访问密钥
](#security_iam_troubleshoot-access-keys)
+ [
## 我是一名管理员,想允许其他人访问 支持
](#security_iam_troubleshoot-admin-delegate)
+ [
## 我想允许 AWS 账户之外的人访问我的 支持 资源
](#security_iam_troubleshoot-cross-account-access)
## 我无权执行 iam:PassRole
如果您收到一个错误,表明您无权执行 `iam:PassRole` 操作,则必须更新策略以允许您将角色传递给。 支持
有些 AWS 服务 允许您将现有角色传递给该服务,而不是创建新的服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。
当名为 `marymajor` 的 IAM 用户尝试使用控制台在 支持中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在这种情况下,必须更新 Mary 的策略以允许她执行 `iam:PassRole` 操作。
如果您需要帮助,请联系您的 AWS 管理员。您的管理员是提供登录凭证的人。
## 我想要查看我的访问密钥
在创建 IAM 用户访问密钥后,您可以随时查看您的访问密钥 ID。但是,您无法再查看您的秘密访问密钥。如果您丢失了私有密钥,则必须创建一个新的访问密钥对。
访问密钥包含两部分:访问密钥 ID(例如 `AKIAIOSFODNN7EXAMPLE`)和秘密访问密钥(例如 `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`)。与用户名和密码一样,您必须同时使用访问密钥 ID 和秘密访问密钥对请求执行身份验证。像对用户名和密码一样,安全地管理访问密钥。
**重要**
请不要向第三方提供访问密钥,即便是为了帮助[找到您的规范用户 ID](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId) 也不行。通过这样做,您可以授予他人永久访问您的权限 AWS 账户。
当您创建访问密钥对时,系统会提示您将访问密钥 ID 和秘密访问密钥保存在一个安全位置。秘密访问密钥仅在您创建它时可用。如果丢失了您的秘密访问密钥,您必须为 IAM 用户添加新的访问密钥。您最多可拥有两个访问密钥。如果您已有两个密钥,则必须删除一个密钥对,然后再创建新的密钥。要查看说明,请参阅 *IAM 用户指南*中的[管理访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)。
## 我是一名管理员,想允许其他人访问 支持
要允许其他人访问 支持,您必须向需要访问的人员或应用程序授予权限。如果使用 AWS IAM Identity Center 管理人员和应用程序,则可以向用户或组分配权限集来定义其访问权限级别。权限集会自动创建 IAM 策略并将其分配给与人员或应用程序关联的 IAM 角色。有关更多信息,请参阅《AWS IAM Identity Center 用户指南》**中的[权限集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)。
如果未使用 IAM Identity Center,则必须为需要访问的人员或应用程序创建 IAM 实体(用户或角色)。然后,您必须将策略附加到实体,以便在 支持中向其授予正确的权限。授予权限后,向用户或应用程序开发人员提供凭证。他们将使用这些凭证访问 AWS。要了解有关创建 IAM 用户、组、策略和权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 身份](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)和 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
## 我想允许 AWS 账户之外的人访问我的 支持 资源
您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表 (ACLs) 的服务,您可以使用这些策略向人们授予访问您的资源的权限。
要了解更多信息,请参阅以下内容:
+ 要了解是否 支持 支持这些功能,请参阅[如何 AWS 支持 与 IAM 配合使用](security_iam_service-with-iam.md)。
+ 要了解如何提供对您拥有的资源的访问权限 AWS 账户 ,请参阅 [IAM 用户*指南中的向您拥有 AWS 账户 的另一个 IAM 用户*提供访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)权限。
+ 要了解如何向第三方提供对您的资源的访问[权限 AWS 账户,请参阅 *IAM 用户指南*中的向第三方提供](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)访问权限。 AWS 账户
+ 要了解如何通过身份联合验证提供访问权限,请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户(身份联合验证)提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 要了解使用角色和基于资源的策略进行跨账户访问之间的差别,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。