将服务关联角色用于 AWS 支持
AWS 支持 工具通过 API 调用来收集有关 AWS 资源的信息,以提供客户服务和技术支持。为了提高支持活动的透明度和可审核性,支持 现在使用 AWS Identity and Access Management (IAM) 服务关联角色。
AWSServiceRoleForSupport 服务关联角色是直接链接到 支持 的独特 IAM 角色。此服务关联角色是预定义的,并包含 支持 代表您调用其他 AWS 服务所需的权限。
AWSServiceRoleForSupport 服务关联角色信任 support.amazonaws.com 服务来代入角色。
为提供这些服务,该角色的预定义权限会向 支持 授予对资源元数据而不是客户数据的访问权限。只有 支持 工具可以代入此角色,此角色存在于您的 AWS 账户中。
我们会编辑可能包含客户数据的字段。例如,AWS Step Functions API 调用的 GetExecutionHistory 的 Input 和 Output 字段对 支持 不可见。我们使用 AWS KMS keys 加密敏感字段。这些字段在 API 响应中进行了编辑,对 AWS 支持 座席不可见。
注意
AWS Trusted Advisor 使用单独的 IAM 服务关联角色来访问您账户的 AWS 资源,以提供最佳实践建议和检查。有关更多信息,请参阅 将服务关联角色用于 Trusted Advisor。
AWSServiceRoleForSupport 服务关联角色通过 AWS CloudTrail 使所有 AWS 支持 API 调用均对客户可见。这样便于监控和审核要求,因为您可以透明地了解 支持 代表您执行的操作。有关 CloudTrail 的更多信息,请参阅 AWS CloudTrail 用户指南。
的服务关联角色权限支持
此角色使用 AWSSupportServiceRolePolicy AWS 托管式策略。此托管策略已附加到角色,并授予角色代表您完成操作的权限。
这些操作可能包括以下内容:
-
账单、管理、支持和其他客户服务 – AWS 客户服务使用托管策略授予的权限来执行很多服务以作为支持计划的一部分。其中包括调查和解答账户和账单问题、为账户提供管理支持、增加服务配额和提供额外的客户支持。
-
您的 AWS 账户的服务属性和使用数据的处理 – 支持 可能会使用托管策略授予的权限来访问您的 AWS 账户的服务属性和使用数据。此策略允许 支持 为您的账户提供账单、管理和技术支持。服务属性包括账户的资源标识符、元数据标签、角色和权限。使用率数据包括使用策略、使用情况统计数据和分析。
-
维护账户及其资源的运行状况 – 支持 使用自动化工具执行与操作和技术支持相关的操作。
有关允许的服务和操作的更多信息,请参阅 IAM 控制台中的 AWSSupportServiceRolePolicy
注意
AWS 支持 每月自动更新一次 AWSSupportServiceRolePolicy 策略,以添加新 AWS 服务和操作的权限。
有关更多信息,请参阅 AWS适用于 的 托管式策略AWS 支持。
为 创建服务关联角色支持
您无需手动创建 AWSServiceRoleForSupport 角色。当您创建 AWS 账户时,将自动为您创建和配置此角色。
重要
如果您在 支持 开始支持服务关联角色之前使用该服务,则 AWS 会在您的账户中创建 AWSServiceRoleForSupport 角色。有关更多信息,请参阅我的 IAM 账户中出现新角色。
为 支持 编辑和删除服务关联角色
您可以使用 IAM 编辑 AWSServiceRoleForSupport 服务关联角色的描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务关联角色。
AWSServiceRoleForSupport 角色对于 支持 为您的账户提供管理、运营和技术支持是必需的。因此,无法通过 IAM 控制台、API 或 AWS Command Line Interface (AWS CLI) 删除此角色。这将保护您的 AWS 账户,因为您不会无意中删除管理支持服务所需的权限。
已加入 AWS Organizations 且拥有 Enterprise 支持 计划的客户可以删除 AWSServiceRoleForSupport 服务关联角色。删除此角色会限制 AWS 支持 工程师对您的资源的访问权限,进而限制他们代表您执行操作的能力。有关更多信息,或者如需请求删除 AWSServiceRoleForSupport 服务关联角色,请联系您的技术客户经理 (TAM)。
有关 AWSServiceRoleForSupport 角色或其使用的更多信息,请联系 支持
