本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
选项 2:创建具有最低所需权限的自定义策略
您可以明确允许列出特定操作,而不必使用通配符。以下是支持互动、案例创建和案例管理所需的权限:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "support:AddAttachmentsToSet", "support:AddCommunicationToCase", "support:CreateCase", "support:DescribeAttachment", "support:DescribeCaseAttributes", "support:DescribeCases", "support:DescribeCommunication", "support:DescribeCommunications", "support:DescribeCreateCaseOptions", "support:DescribeIssueTypes", "support:DescribeServices", "support:DescribeSeverityLevels", "support:DescribeSupportedLanguages", "support:DescribeSupportLevel", "support:GetInteraction", "support:InitiateCallForCase", "support:ListInteractionEntries", "support:ListInteractions", "support:InitiateChatForCase", "support:PutCaseAttributes", "support:ResolveCase", "support:ResolveInteraction", "support:SearchForCases", "support:StartInteraction", "support:UpdateInteraction", "support-console:GetAccountState", "support-console:GetAccountGovCloudEnabled", "support-console:GetCaseDraft", "support-console:CreateCaseDraft", "support-console:DeleteCaseDraft", "support-console:GetBanner", "support-console:DescribeDynamicHelp", "support-console:CreateContact", ], "Resource": "*" } ] }
要获得您的 IAM 身份所需的 AWS DevOps 代理 权限,请附加以下 AWS 托管策略:
AIDevOpsAgentFullAccess。 提供对 DevOps 代理管理操作的完全访问权限。AIDevOpsAgentAccessPolicy。 创建代理空间所必需的。AIDevOpsOperatorAppAccessPolicy。 需要启用操作员应用程序访问权限。
有关操作的完整列表,请参阅AWS DevOps 代理 用户指南中的DevOps 代理 IAM 权限。
您的 IAM 身份需要iam:PassRole在DevOpsAgentRole-AgentSpace和DevOpsAgentRole-WebappAdmin角色上,这样 Support Center Console 可以在首次设置时代表您创建这些角色时将这些角色传递给 DevOps 代理。要对 Amazon Elastic Kubernetes Service 集群进行调查,您的 IAM 身份还eks:DescribeAccessEntry需要和eks:CreateAccessEntry,eks:AssociateAccessPolicy以便支持中心控制台可以在目标集群上创建只读访问条目。有关访问条目的更多信息,请参阅亚马逊 Elastic Kubernetes 服务用户指南中的通过亚马逊 EKS 访问条目授予 IAM 用户访问 Kubernetes 的权限。
注意
随着新功能的 AWS 支持 发布,使用自定义策略需要持续维护。有关 Support Center 控制台 API 操作的更多信息,请参阅为支持中心控制台 API 操作添加 IAM 策略。有关每个 支持 API 操作的更多信息,请参阅管理对的访问权限 AWS 支持 中心。
