本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 的身分和存取管理 AWS 支援
AWS Identity and Access Management (IAM) 是 AWS 服務 ,可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員可控制誰可以*進行身分驗證* (登入) 和*授權* (具有許可) 來使用 支援 資源。IAM 是您可以免費使用 AWS 服務 的 。
**Topics**
+ [目標對象](#security_iam_audience)
+ [使用身分驗證](#security_iam_authentication)
+ [使用政策管理存取權](#security_iam_access-manage)
+ [AWS 支援 如何使用 IAM](security_iam_service-with-iam.md)
+ [AWS 支援 身分型政策範例](security_iam_id-based-policy-examples.md)
+ [使用服務連結角色](using-service-linked-roles-intro.md)
+ [AWS 的 受管政策 AWS 支援](security-iam-awsmanpol.md)
+ [管理對 AWS 支援 中心的存取](accessing-support.md)
+ [管理 AWS 支援 Plans 的存取權](security-support-plans.md)
+ [管理對 的存取 AWS Trusted Advisor](security-trusted-advisor.md)
+ [的範例服務控制政策 AWS Trusted Advisor](example-scps-for-aws-trusted-advisor.md)
+ [對 AWS 支援 身分和存取進行故障診斷](security_iam_troubleshoot.md)
## 目標對象
使用方式 AWS Identity and Access Management (IAM) 會根據您的角色而有所不同:
+ **服務使用者** — 若無法存取某些功能,請向管理員申請所需許可 (請參閱 [對 AWS 支援 身分和存取進行故障診斷](security_iam_troubleshoot.md))
+ **服務管理員** — 負責設定使用者存取權並提交相關許可請求 (請參閱 [AWS 支援 如何使用 IAM](security_iam_service-with-iam.md))
+ **IAM 管理員** — 撰寫政策以管理存取控制 (請參閱 [AWS 支援 身分型政策範例](security_iam_id-based-policy-examples.md))
## 使用身分驗證
身分驗證是您 AWS 使用身分憑證登入 的方式。您必須以 AWS 帳戶根使用者、IAM 使用者或擔任 IAM 角色身分進行身分驗證。
您可以使用身分來源的登入資料,例如 AWS IAM Identity Center (IAM Identity Center)、單一登入身分驗證或 Google/Facebook 登入資料,以聯合身分的形式登入。如需有關登入的詳細資訊,請參閱《AWS 登入 使用者指南》**中的[如何登入您的 AWS 帳戶](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
對於程式設計存取, AWS 提供 SDK 和 CLI 以密碼編譯方式簽署請求。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [API 請求的AWS 第 4 版簽署程序](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
### AWS 帳戶根使用者
當您建立 時 AWS 帳戶,您會從一個名為 AWS 帳戶 *theroot 使用者的*登入身分開始,該身分具有對所有 AWS 服務 和 資源的完整存取權。強烈建議不要使用根使用者來執行日常任務。有關需要根使用者憑證的任務,請參閱《IAM 使用者指南》**中的[需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### IAM 使用者和群組
*IAM 使用者*[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)是一種身分具備單人或應用程式的特定許可權。建議以臨時憑證取代具備長期憑證的 IAM 使用者。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[要求人類使用者使用聯合身分提供者,以 AWS 使用臨時憑證存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) 。
[IAM 群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)**會指定 IAM 使用者集合,使管理大量使用者的許可權更加輕鬆。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [IAM 使用者的使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*IAM 角色*[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)的身分具有特定許可權,其可以提供臨時憑證。您可以透過[從使用者切換到 IAM 角色 (主控台) ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或呼叫 AWS CLI 或 AWS API 操作來擔任角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的[擔任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色適用於聯合身分使用者存取、臨時 IAM 使用者許可、跨帳戶存取權與跨服務存取,以及在 Amazon EC2 執行的應用程式。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的快帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用政策管理存取權
您可以透過建立政策並將其連接到身分或資源 AWS 來控制 AWS 中的存取。政策定義與身分或資源相關聯的許可。當委託人提出請求時 AWS , 會評估這些政策。大多數政策會以 JSON 文件 AWS 的形式存放在 中。如需進一步了解 JSON 政策文件,請參閱《*IAM 使用者指南*》中的 [JSON 政策概觀](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理員會使用政策,透過定義哪些**主體**可在哪些**條件**下對哪些**資源**執行**動作**,以指定可存取的範圍。
預設情況下,使用者和角色沒有許可。IAM 管理員會建立 IAM 政策並將其新增至角色,供使用者後續擔任。IAM 政策定義動作的許可,無論採用何種方式執行。
### 身分型政策
身分型政策是附加至身分 (使用者、使用者群組或角色) 的 JSON 許可政策文件。這類政策控制身分可對哪些資源執行哪些動作,以及適用的條件。如需了解如何建立身分型政策,請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
身分型政策可分為*內嵌政策* (直接內嵌於單一身分) 與*受管政策* (可附加至多個身分的獨立政策)。如需了解如何在受管政策及內嵌政策之間做選擇,請參閱《IAM 使用者指南》**中的[在受管政策與內嵌政策之間選擇](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
### 其他政策類型
AWS 支援其他政策類型,可設定更多常見政策類型授予的最大許可:
+ **許可界限** — 設定身分型政策可授與 IAM 實體的最大許可。如需詳細資訊,請參閱《 IAM 使用者指南》**中的 [IAM 實體許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服務控制政策 (SCP)** — 為 AWS Organizations中的組織或組織單位指定最大許可。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **資源控制政策 (RCP)** — 設定您帳戶中資源可用許可的上限。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[資源控制政策 (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **工作階段政策** — 在以程式設計方式為角色或聯合身分使用者建立臨時工作階段時,以參數形式傳遞的進階政策。如需詳細資訊,請參《*IAM 使用者指南*》中的[工作階段政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多種政策類型
當多種類型的政策適用於請求時,產生的許可會更複雜而無法理解。若要了解如何 AWS 在涉及多個政策類型時決定是否允許請求,請參閱《*IAM 使用者指南*》中的[政策評估邏輯](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# AWS 支援 如何使用 IAM
在您使用 IAM 管理對 的存取之前 支援,您應該了解哪些 IAM 功能可與 搭配使用 支援。若要全面了解 支援 和其他 AWS 服務如何與 IAM 搭配使用,請參閱《[AWS IAM 使用者指南》中的與 IAM 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。 **
如需有關如何使用 IAM 支援 管理存取權的資訊,請參閱[管理 的存取權 支援](https://docs.aws.amazon.com/awssupport/latest/user/accessing-support.html#iam)。
**Topics**
+ [支援 身分型政策](#security_iam_service-with-iam-id-based-policies)
+ [支援 IAM 角色](#security_iam_service-with-iam-roles)
## 支援 身分型政策
使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下會允許或拒絕動作。 支援 支援特定動作。若要了解 JSON 政策中使用的所有元素,請參閱 *IAM 使用者指南*中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 動作
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。
中的政策動作在動作之前 支援 使用下列字首:`support:`。例如,若要授予某人使用 Amazon EC2 `RunInstances` API 作業來執行 Amazon EC2 執行個體的許可,請在其政策中加入 `ec2:RunInstances` 動作。政策陳述式必須包含 `Action` 或 `NotAction` 元素。 支援 會定義一組自己的動作,來描述您可以使用此服務執行的任務。
若要在單一陳述式中指定多個動作,請用逗號分隔,如下所示:
```
"Action": [
"ec2:action1",
"ec2:action2"
```
您也可以使用萬用字元 (\$1) 來指定多個動作。例如,若要指定開頭是 `Describe` 文字的所有動作,請包含以下動作:
```
"Action": "ec2:Describe*"
```
若要查看 支援 動作清單,請參閱《*IAM 使用者指南*》中的 [定義的動作 AWS 支援](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssupport.html#awssupport-actions-as-permissions)。
### 範例
若要檢視 支援 身分型政策的範例,請參閱 [AWS 支援 身分型政策範例](security_iam_id-based-policy-examples.md)。
## 支援 IAM 角色
[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您 AWS 帳戶中具有特定許可的實體。
### 搭配 使用臨時登入資料 支援
您可以搭配聯合使用暫時憑證、擔任 IAM 角色,或是擔任跨帳戶角色。您可以透過呼叫 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 或 [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) 等 AWS STS API 操作來取得臨時安全登入資料。
支援 支援使用臨時登入資料。
### 服務連結角色
[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)可讓 AWS 服務存取其他服務中的資源,以代表您完成 動作。服務連結角色會顯示在您的 IAM 帳戶中,並由該服務所擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
支援 支援服務連結角色。如需建立或管理 支援 服務連結角色的詳細資訊,請參閱 [使用 的服務連結角色 AWS 支援](using-service-linked-roles-sup.md)。
### 服務角色
此功能可讓服務代表您擔任[服務角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色可讓服務存取其他服務中的資源,以代表您完成動作。服務角色會出現在您的 IAM 帳戶中,且由該帳戶所擁有。這表示 IAM 管理員可以變更此角色的許可。不過,這樣可能會破壞此服務的功能。
支援 支援服務角色。
# AWS 支援 身分型政策範例
根據預設,IAM 使用者和角色不具備建立或修改 支援 資源的許可。他們也無法使用 AWS 管理主控台 AWS CLI或 AWS API 執行任務。IAM 管理員必須建立 IAM 政策,授予使用者和角色在指定資源上執行特定 API 作業的所需許可。管理員接著必須將這些政策連接至需要這些許可的 IAM 使用者或群組。
若要了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《IAM 使用者指南》**中的[在 JSON 標籤上建立政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)。
**Topics**
+ [政策最佳實務](#security_iam_service-with-iam-policy-best-practices)
+ [使用 支援 主控台](#security_iam_id-based-policy-examples-console)
+ [允許使用者檢視他們自己的許可](#security_iam_id-based-policy-examples-view-own-permissions)
## 政策最佳實務
身分型政策相當強大。他們會判斷您帳戶中的某個人員是否可以建立、存取或刪除 支援 資源。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
+ **開始使用 AWS 受管政策** – 若要 支援 快速開始使用 ,請使用 AWS 受管政策為您的員工提供所需的許可。這些政策已在您的帳戶中提供,並由 AWS維護和更新。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[使用許可搭配 AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)。
+ **授予最低權限** – 當您建立自訂政策時,請只授予執行任務所需要的許可。以最小一組許可開始,然後依需要授予額外的許可。這比一開始使用太寬鬆的許可,稍後再嘗試將他們限縮更為安全。如需詳細資訊,請參閱《IAM 使用者指南》中的[授予最低權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)。
+ **為敏感操作啟用 MFA** – 為了增加安全,請要求 IAM 使用者使用多重驗證 (MFA) 存取敏感資源或 API 操作。如需詳細資訊,請參閱《IAM 使用者指南》中的[在 AWS中使用多重要素驗證 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。
+ **使用政策條件以增加安全** – 在切實可行的範圍中,請定義您身分類型政策允許存取資源的條件。例如,您可以撰寫條件,指定請求必須來自一定的允許 IP 地址範圍。您也可以撰寫條件,只在指定的日期或時間範圍內允許請求,或是要求使用 SSL 或 MFA。如需詳細資訊,請參閱《IAM 使用者指南》中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
## 使用 支援 主控台
若要存取 AWS 支援 主控台,您必須擁有一組最低許可。這些許可必須允許您列出和檢視 AWS 帳戶中 支援 資源的詳細資訊。如果您建立比最基本必要許可更嚴格的身分型政策,則對於具有該政策的實體 (IAM 使用者或角色) 而言,主控台就無法如預期運作。
為了確保這些實體仍然可以使用 支援 主控台,也請將下列 AWS 受管政策連接至實體。如需詳細資訊,請參閱《IAM 使用者指南》**中的[新增許可到使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)。
對於僅呼叫 AWS CLI 或 AWS API 的使用者,您不需要允許最低主控台許可。反之,只需允許存取符合您嘗試執行之 API 操作的動作就可以了。
## 允許使用者檢視他們自己的許可
此範例會示範如何建立政策,允許 IAM 使用者檢視附加到他們使用者身分的內嵌及受管政策。此政策包含在主控台或使用 或 AWS CLI AWS API 以程式設計方式完成此動作的許可。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# 使用服務連結角色
AWS 支援 和 AWS Trusted Advisor use AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 支援 和 的唯一 IAM 角色 Trusted Advisor。在每個案例中,服務連結角色是預先定義的角色。此角色包含 支援 或 Trusted Advisor 代表您呼叫其他 AWS 服務所需的所有許可。下列主題說明服務連結角色的功能,以及如何在 支援 和 中使用這些角色 Trusted Advisor。
**Topics**
+ [使用 的服務連結角色 AWS 支援](using-service-linked-roles-sup.md)
+ [使用 的服務連結角色 Trusted Advisor](using-service-linked-roles-ta.md)
# 使用 的服務連結角色 AWS 支援
AWS 支援 工具會透過 API 呼叫收集 AWS 資源的相關資訊,以提供客戶服務和技術支援。為了提高支援活動的透明度和可稽核性, 支援 會使用 AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。
`AWSServiceRoleForSupport` 服務連結角色是直接連結至 的唯一 IAM 角色 支援。此服務連結角色是預先定義的,其中包含代表您呼叫其他 AWS 服務 支援 所需的許可。
`AWSServiceRoleForSupport` 服務連結角色信任 `support.amazonaws.com` 服務來擔任該角色。
為了提供這些服務,該角色的預先定義許可允許 支援 存取資源中繼資料,而不是客戶資料。只有 支援 工具可以擔任此角色,該角色存在於您的帳戶中 AWS 。
我們會事先刪除可能包含客戶資料的欄位。例如, AWS Step Functions API 呼叫的 [GetExecutionHistory](https://docs.aws.amazon.com/step-functions/latest/apireference/API_GetExecutionHistory.html) 的 `Input`和 `Output` 欄位不可見 支援。我們使用 AWS KMS keys 來加密敏感欄位。這些欄位會在 API 回應中修訂, AWS 支援 客服人員看不到。
**注意**
AWS Trusted Advisor 使用個別的 IAM 服務連結角色來存取您帳戶 AWS 的資源,以提供最佳實務建議和檢查。如需詳細資訊,請參閱[使用 的服務連結角色 Trusted Advisor](using-service-linked-roles-ta.md)。
`AWSServiceRoleForSupport` 服務連結角色可讓客戶透過 看見所有 AWS 支援 API 呼叫 AWS CloudTrail。這有助於監控和稽核需求,因為它提供透明的方式來了解代表您 支援 執行的動作。如需 CloudTrail 的相關資訊,請參閱 [AWS CloudTrail 使用者指南](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。
## 的服務連結角色許可 支援
此角色使用 `AWSSupportServiceRolePolicy` AWS 受管政策。此受管政策會連接至角色,提供允許代表您完成動作的角色許可。
可能包括下列動作:
+ **帳單、管理、支援和其他客戶服務** – AWS 客戶服務會使用 受管政策授予的許可,在您的支援計畫中執行多項服務。這些包括調查和回答帳戶和帳單相關問題、為您的帳戶提供管理支援、提高服務配額,以及提供額外的客戶支援。
+ **處理您 AWS 帳戶的服務屬性和用量資料** – 支援 可能會使用受管政策授予的許可來存取您 AWS 帳戶的服務屬性和用量資料。此政策允許 為您的帳戶 支援 提供帳單、管理和技術支援。服務屬性包括您帳戶的資源識別碼、中繼資料標籤、角色和許可。用量資料包括使用政策、用量統計資料和分析。
+ **維護您帳戶及其資源的運作狀態** – 支援 使用自動化工具來執行與操作和技術支援相關的動作。
如需允許服務和動作的詳細資訊,請參閱 IAM 主控台中的 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor) 政策。
**注意**
AWS 支援 每月自動更新一次`AWSSupportServiceRolePolicy`政策,以新增新 AWS 服務和動作的許可。
如需詳細資訊,請參閱[AWS 的 受管政策 AWS 支援](security-iam-awsmanpol.md)。
## 為 建立服務連結角色 支援
您無須手動建立 `AWSServiceRoleForSupport` 角色。當您建立 AWS 帳戶時,系統會自動為您建立和設定此角色。
**重要**
如果您在開始支援服務連結角色 支援 之前使用 ,則 AWS 會在您的帳戶中建立該`AWSServiceRoleForSupport`角色。如需詳細資訊,請參閱[我的 IAM 帳戶中出現新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
## 編輯和刪除 的服務連結角色 支援
您可以使用 IAM 來編輯 `AWSServiceRoleForSupport` 服務連結角色的說明。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
此`AWSServiceRoleForSupport`角色是 為您的帳戶 支援 提供管理、操作和技術支援的必要角色。因此,無法透過 IAM 主控台、API 或 AWS Command Line Interface () 刪除此角色AWS CLI。這樣可保護您的 AWS 帳戶,因為您不會無意中移除管理支援服務的必要許可。
加入 AWS Organizations 和擁有 Enterprise 支援 計劃的客戶可以刪除`AWSServiceRoleForSupport`服務連結角色。刪除此角色會限制 AWS 支援 工程師存取您的資源,並限制其代表您執行動作的能力。如需詳細資訊,或要求刪除`AWSServiceRoleForSupport`服務連結角色,請聯絡您的技術客戶經理 (TAM)。
如需 `AWSServiceRoleForSupport` 角色和其使用者的詳細資訊,請聯絡 [支援](https://aws.amazon.com/support)。
# 使用 的服務連結角色 Trusted Advisor
AWS Trusted Advisor 使用 AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。服務連結角色是直接連結至 的唯一 IAM 角色 AWS Trusted Advisor。服務連結角色是由 預先定義 Trusted Advisor,其中包含服務代表您呼叫其他 AWS 服務所需的所有許可。 Trusted Advisor 使用此角色來檢查跨 的用量, AWS 並提供改善環境 AWS 的建議。例如, Trusted Advisor 分析 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的使用,以協助您降低成本、提高效能、容忍故障並改善安全性。
**注意**
AWS 支援 使用個別的 IAM 服務連結角色來存取您帳戶的資源,以提供帳單、管理和支援服務。如需詳細資訊,請參閱[使用 的服務連結角色 AWS 支援](using-service-linked-roles-sup.md)。
關於支援服務連結角色的其他服務,如需相關資訊,請參閱[搭配 IAM 使用的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。尋找**服務連結角色**欄中顯示 **Yes (是)** 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
**Topics**
+ [的服務連結角色許可 Trusted Advisor](#service-linked-role-permissions-ta)
+ [管理服務連結角色的許可](#manage-permissions-for-slr)
+ [為 建立服務連結角色 Trusted Advisor](#create-service-linked-role-ta)
+ [編輯 的服務連結角色 Trusted Advisor](#edit-service-linked-role-ta)
+ [刪除 的服務連結角色 Trusted Advisor](#delete-service-linked-role-ta)
## 的服務連結角色許可 Trusted Advisor
Trusted Advisor 使用兩個服務連結角色:
+ [AWSServiceRoleForTrustedAdvisor](https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisor) - 這個角色信任 Trusted Advisor 服務擔任角色以代表您存取 AWS 服務。角色許可政策允許所有 AWS 資源的 Trusted Advisor 唯讀存取。此角色可簡化 AWS 帳戶的入門,因為您不必新增必要的許可 Trusted Advisor。當您開啟 AWS 帳戶時, 會為您 Trusted Advisor 建立此角色。已定義的許可包括信任政策和許可政策。許可政策無法連接到其他任何 IAM 實體。
如需連接政策的詳細資訊,請參閱 [AWSTrustedAdvisorServiceRolePolicy](aws-managed-policies-for-trusted-advisor.md#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy)。
+ [https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisorReporting](https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisorReporting) - 這個角色信任 Trusted Advisor 服務擔任使用組織檢視功能的角色。此角色會在您的 AWS Organizations 組織中啟用 Trusted Advisor 做為信任的服務。當您啟用組織檢視時, 會為您 Trusted Advisor 建立此角色。
如需有關連接政策的詳細資訊,請參閱 [AWSTrustedAdvisorReportingServiceRolePolicy](aws-managed-policies-for-trusted-advisor.md#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy)。
您可以使用組織檢視來建立組織中所有帳戶的 Trusted Advisor 檢查結果報告。如需使用此功能的詳細資訊,請參閱「[的組織檢視 AWS Trusted Advisor](organizational-view.md)」。
## 管理服務連結角色的許可
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。下列範例使用 `AWSServiceRoleForTrustedAdvisor` 服務連結角色。
**Example :允取 IAM 實體建立 `AWSServiceRoleForTrustedAdvisor` 服務連結角色**
只有在 Trusted Advisor 帳戶已停用、服務連結角色已刪除,且使用者必須重新建立角色才能重新啟用時,才需要此步驟 Trusted Advisor。
您可將下列陳述式新增至 IAM 實體建立服務連結角色所需的許可政策。
```
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
"Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```
**Example :**允取 IAM 實體編輯 `AWSServiceRoleForTrustedAdvisor` 服務連結角色的描述****
您只能編輯 `AWSServiceRoleForTrustedAdvisor` 角色的描述。您可將下列陳述式新增至 IAM 實體編輯服務連結角色描述所需的許可政策。
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
"Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```
**Example :允取 IAM 實體刪除 `AWSServiceRoleForTrustedAdvisor` 服務連結角色**
您可將下列陳述式新增至 IAM 實體刪除服務連結角色所需的許可政策。
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
"Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```
您也可以使用 [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess) 等 AWS 受管政策來提供 的完整存取權 Trusted Advisor。
## 為 建立服務連結角色 Trusted Advisor
您不需要手動建立 `AWSServiceRoleForTrustedAdvisor` 服務連結角色。當您開啟 AWS 帳戶時, 會為您 Trusted Advisor 建立服務連結角色。
**重要**
如果您在 Trusted Advisor 服務開始支援服務連結角色之前就已使用該服務,則 Trusted Advisor 已在您的帳戶中建立該`AWSServiceRoleForTrustedAdvisor`角色。若要進一步了解,請參閱 *IAM 使用者指南*中的[我的 IAM 帳戶中出現新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您的帳戶沒有 `AWSServiceRoleForTrustedAdvisor` 服務連結角色, Trusted Advisor 將無法如預期運作。若您帳戶中的某個人停用 Trusted Advisor ,然後刪除服務連結角色,可能會發生此情形。在這種情況下,您可以使用 IAM 來建立 `AWSServiceRoleForTrustedAdvisor` 服務連結角色,然後重新啟用 Trusted Advisor。
**啟用 Trusted Advisor (主控台)**
1. 使用 IAM 主控台 AWS CLI或 IAM API 為 建立服務連結角色 Trusted Advisor。如需詳細資訊,請參閱[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。
1. 登入 AWS 管理主控台,然後導覽至位於 的 Trusted Advisor 主控台[https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor)。
**Disabled Trusted Advisor (已停用 Trusted Advisor)** 狀態橫幅會顯示於主控台中。
1. 從狀態橫幅中選擇**啟用 Trusted Advisor 角色**。如果未偵測到必要的 `AWSServiceRoleForTrustedAdvisor`,將持續顯示停用狀態橫幅。
## 編輯 的服務連結角色 Trusted Advisor
因為各種實體可能會參考角色,所以您無法變更服務連結角色的名稱。不過,您可以使用 IAM 主控台 AWS CLI或 IAM API 來編輯角色的描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 的服務連結角色 Trusted Advisor
如果您不需要使用 的功能或服務 Trusted Advisor,您可以刪除`AWSServiceRoleForTrustedAdvisor`角色。您必須先停用 Trusted Advisor ,才能刪除此服務連結角色。這可防止您移除 Trusted Advisor 操作所需的許可。停用時 Trusted Advisor,您會停用所有服務功能,包括離線處理和通知。此外,如果您 Trusted Advisor 為成員帳戶停用 ,則個別付款人帳戶也會受到影響,這表示您不會收到可識別節省成本方式的 Trusted Advisor 檢查。您無法存取 Trusted Advisor 主控台。 Trusted Advisor 傳回存取遭拒錯誤的 API 呼叫。
您必須重新建立 `AWSServiceRoleForTrustedAdvisor` 服務連結角色,才能重新啟用 Trusted Advisor。
您必須先在 主控台 Trusted Advisor 中停用 ,才能刪除`AWSServiceRoleForTrustedAdvisor`服務連結角色。
**停用 Trusted Advisor**
1. 登入 AWS 管理主控台 並導覽至位於 的 Trusted Advisor 主控台[https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor)。
1. 在導覽窗格中,選擇**偏好設定**。
1. 在 **Service Linked Role Permissions (服務連結角色許可)** 區段中,選擇 **Disable Trusted Advisor(停用 &SERVICENAME;)**。
1. 在確認對話方塊中,選擇 **OK (確定)**,確認您要停用 Trusted Advisor。
停用後 Trusted Advisor,所有 Trusted Advisor 功能都會停用,而且 Trusted Advisor 主控台只會顯示停用的狀態橫幅。
然後,您可以使用 IAM 主控台 AWS CLI、 或 IAM API 來刪除名為 Trusted Advisor 的服務連結角色`AWSServiceRoleForTrustedAdvisor`。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
# AWS 的 受管政策 AWS 支援
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**Topics**
+ [AWS 的 受管政策 AWS 支援](aws-managed-policies-aws-support.md)
+ [AWS Slack 中 AWS 支援 應用程式的 受管政策](support-app-managed-policies.md)
+ [AWS 的 受管政策 AWS Trusted Advisor](aws-managed-policies-for-trusted-advisor.md)
+ [AWS AWS 支援 Plans 的 受管政策](managed-policies-aws-support-plans.md)
+ [AWS AWS 合作夥伴領導支援的 受管政策](managed-policies-partner-led-support.md)
# AWS 的 受管政策 AWS 支援
AWS 支援 具有下列 受管政策。
**Contents**
+ [AWS 受管政策: AWSSupportAccess](#security-iam-awsmanpol-AWSSupportAccess)
+ [AWS 受管政策: AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy)
+ [AWS 支援 AWS 受管政策的更新](#security-iam-awsmanpol-updates)
+ [AWSSupportServiceRolePolicy 的許可變更](aws-support-service-link-role-updates.md)
## AWS 受管政策: AWSSupportAccess
AWS 支援 使用 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportAccess$jsonEditor) AWS 受管政策。此政策會透過 支援 API 管理您的支援案例生命週期。中的增強功能是透過 Support-console API 服務 AWS Support Center Console 提供。您可以將此政策連接至 IAM 實體。如需詳細資訊,請參閱[的服務連結角色許可 支援](using-service-linked-roles-sup.md#service-linked-role-permissions)。
若要檢視此政策的許可,請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSupportAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSupportAccess.html)。
## AWS 受管政策: AWSSupportServiceRolePolicy
AWS 支援 使用 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor) AWS 受管政策。此受管政策連接至 `AWSServiceRoleForSupport` 服務連結角色。政策允許服務連結角色代表您完成動作。您無法將此政策連接至 IAM 實體。如需詳細資訊,請參閱[的服務連結角色許可 支援](using-service-linked-roles-sup.md#service-linked-role-permissions)。
若要檢視此政策的許可,請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSupportServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSupportServiceRolePolicy.html)。
如需政策變更清單,請參閱 [AWS 支援 AWS 受管政策的更新](#security-iam-awsmanpol-updates) 和 [AWSSupportServiceRolePolicy 的許可變更](aws-support-service-link-role-updates.md)。
## AWS 支援 AWS 受管政策的更新
檢視自這些服務開始追蹤這些變更 AWS 支援 以來 受 AWS 管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 [文件歷史紀錄](History.md) 頁面的 RSS 摘要。
下表說明自 2022 年 2 月 17 日起 AWS 支援 受管政策的重要更新。
**AWS 支援**
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) – 更新現有政策 | 將 105 個新許可新增至下列 服務,以執行動作,協助疑難排解客戶與帳單、管理和技術支援相關的問題: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2026 年 1 月 29 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) – 更新現有政策 | 將 145 個新許可新增至下列 服務,以執行動作,協助疑難排解客戶與帳單、管理和技術支援相關的問題: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2025 年 12 月 8 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) – 更新現有政策 | 將 125 個新許可新增至下列 服務,以執行動作,協助疑難排解客戶與帳單、管理和技術支援相關的問題: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2025 年 9 月 30 日 |
| [AWSSupportAccess](#security-iam-awsmanpol-AWSSupportAccess) – 更新現有政策 | 已將 Support-console API 的許可新增至 AWSSupportAccess受管政策。 | 2025 年 7 月 18 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) – 更新現有政策 | 在以下服務中新增了 25 項新許可,以執行有助於解決客戶在計費、管理和技術支援方面相關問題的動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-managed-policies-aws-support.html) 如需詳細資訊,請參閱[AWSSupportServiceRolePolicy 的許可變更](aws-support-service-link-role-updates.md)。 | 2025 年 7 月 15 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) – 更新現有政策 | 已將 257 個新許可新增至下列 服務,以執行動作,協助疑難排解客戶與帳單、管理和技術支援相關的問題: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2025 年 6 月 17 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) – 更新現有政策 | 已將 88 個新許可新增至下列 服務,以執行動作,協助疑難排解客戶與帳單、管理和技術支援相關的問題: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2024 年 11 月 25 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) – 更新現有政策 | 將 79 個新許可新增至下列 服務,以執行動作,協助疑難排解客戶與帳單、管理和技術支援相關的問題: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2024 年 10 月 8 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) – 更新現有政策 | 將 79 個新許可新增至下列 服務,以執行動作,協助疑難排解客戶與帳單、管理和技術支援相關的問題: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2024 年 8 月 5 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) – 更新現有政策 | 將 17 個新許可新增至下列 服務,以執行動作,協助疑難排解客戶與帳單、管理和技術支援相關的問題: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2024 年 3 月 22 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) – 更新現有政策 | 將 63 個新許可新增至下列 服務,以執行動作,協助疑難排解客戶與帳單、管理和技術支援相關的問題: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2024 年 1 月 17 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) – 更新現有政策 | 已將 126 個新許可新增至下列 服務,以執行動作,協助疑難排解客戶與帳單、管理和技術支援相關的問題: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023 年 12 月 6 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) – 更新現有政策 | 在以下服務中新增了 163 項新許可,以執行有助於解決客戶在計費、管理和技術支援方面相關問題的動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023 年 10 月 27 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) – 更新現有政策 | 在以下服務中新增了 176 項新許可,以執行有助於解決客戶在計費、管理和技術支援方面相關問題的動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023 年 8 月 28 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) – 更新現有政策 | 在以下服務中新增了 141 項新許可,以執行有助於解決客戶在計費、管理和技術支援方面相關問題的動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023 年 6 月 26 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) – 更新現有政策 | 在以下服務中新增了 53 項新許可,以執行有助於解決客戶在計費、管理和技術支援方面相關問題的動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023 年 5 月 2 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) – 更新現有政策 | 在以下服務中新增了 52 項新許可,以執行有助於解決客戶在計費、管理和技術支援方面相關問題的動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023 年 3 月 16 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) – 更新現有政策 | 在以下服務中新增了 220 項新許可,以執行有助於解決客戶在計費、管理和技術支援方面相關問題的動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2023 年 1 月 10 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) – 更新現有政策 | 在以下服務中新增了 47 項新許可,以執行有助於解決客戶在計費、管理和技術支援方面相關問題的動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2022 年 10 月 4 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) – 更新現有政策 | 在以下服務中新增了 46 項新許可,以執行有助於解決客戶在計費、管理和技術支援方面相關問題的動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2022 年 8 月 17 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) – 更新現有政策 | 在以下服務中新增了一些新許可,以執行相關動作,幫助疑難排解客戶在計費、管理和技術支援方面的相關問題: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-managed-policies-aws-support.html) 已移除服務 (例如:Amazon WorkLink) 的許可。Amazon WorkLink 已於 2022 年 4 月 19 日被棄用。 | 2022 年 6 月 23 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) – 更新現有政策 | 在以下服務中新增了 25 項新許可,以執行有助於解決客戶在計費、管理和技術支援方面相關問題的動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2022 年 4 月 27 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) – 更新現有政策 | 在以下服務中新增了 54 項新許可,以執行有助於解決客戶在計費、管理和技術支援方面相關問題的動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-managed-policies-aws-support.html) | 2022 年 3 月 14 日 |
| [AWSSupportServiceRolePolicy](#security-iam-awsmanpol-AWSSupportServiceRolePolicy) – 更新現有政策 | 在以下服務中新增了 74 項新許可,以執行有助於解決客戶在計費、管理和技術支援方面的相關問題的動作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-managed-policies-aws-support.html) 如需詳細資訊,請參閱[AWSSupportServiceRolePolicy 的許可變更](aws-support-service-link-role-updates.md)。 | 2022 年 2 月 17 日 |
| 變更發佈的日誌 | 變更 AWS 支援 受管政策的日誌。 | 2022 年 2 月 17 日 |
# AWSSupportServiceRolePolicy 的許可變更
新增的大多數許可`AWSSupportServiceRolePolicy` AWS 支援 都允許 以相同名稱呼叫 API 操作。然而,某些 API 操作需要具有不同名稱的許可。
下表僅列出了需要具有不同名稱的許可的 API 操作。此表描述了從 2022 年 2 月 17 日開始的這些差異。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awssupport/latest/user/aws-support-service-link-role-updates.html)
# AWS Slack 中 AWS 支援 應用程式的 受管政策
**注意**
若要存取和檢視 中的支援案例 AWS Support Center Console,請參閱 [管理對 AWS 支援 中心的存取](accessing-support.md)。
AWS 支援 應用程式具有下列 受管政策。
**Contents**
+ [AWS 受管政策: AWSSupportAppFullAccess](#security-iam-awsmanpol-support-app-full-access)
+ [AWS 受管政策: AWSSupportAppReadOnlyAccess](#security-iam-support-app-read-only)
+ [AWS 支援 AWS 受管政策的應用程式更新](#security-iam-awsmanpol-updates-aws-support-app)
## AWS 受管政策: AWSSupportAppFullAccess
您可以使用 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportAppFullAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportAppFullAccess$jsonEditor) 受管政策,將 Slack 頻道組態的許可授予 IAM 角色。您也可將 AWSSupportAppFullAccess 政策附加至 IAM 實體。
如需詳細資訊,請參閱[AWS 支援 Slack 中的應用程式](aws-support-app-for-slack.md)。
若要檢視此政策的許可,請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSupportAppFullAccess.html#AWSSupportAppFullAccess-json.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSupportAppFullAccess.html#AWSSupportAppFullAccess-json.html)。
**許可詳細資訊**
此政策包含以下許可:
+ `servicequotas` - 說明您現有的服務配額和請求,並為您的帳戶建立服務配額增加。
+ `support` - 建立、更新及解決您的支援案例。更新並說明案例的相關資訊,例如檔案附件、通訊和嚴重性等級。啟動與支援客服人員的即時聊天工作階段。
+ `iam` - 建立 Service Quotas 的服務連結角色。
如需詳細資訊,請參閱[管理對 AWS 支援 應用程式的存取](support-app-permissions.md)。
## AWS 受管政策: AWSSupportAppReadOnlyAccess
[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportAppReadOnlyAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportAppReadOnlyAccess$jsonEditor) 政策會授予許可,允許實體執行唯讀 AWS 支援 應用程式動作。如需詳細資訊,請參閱[AWS 支援 Slack 中的應用程式](aws-support-app-for-slack.md)。
若要檢視此政策的許可,請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSupportAppReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSupportAppReadOnlyAccess.html)。
**許可詳細資訊**
此政策包含以下許可:
+ `support` - 說明支援案例詳細資訊和新增至支援案例的通訊內容。
## AWS 支援 AWS 受管政策的應用程式更新
檢視自此服務開始追蹤這些變更以來 AWS 支援 ,應用程式 AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 [文件歷史紀錄](History.md) 頁面的 RSS 摘要。
下表說明自 2022 年 8 月 17 日起, AWS 支援 應用程式受管政策的重要更新。
**AWS 支援 應用程式**
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSSupportAppFullAccess](#security-iam-awsmanpol-support-app-full-access) 和 [AWSSupportAppReadOnlyAccess](#security-iam-support-app-read-only) AWS 支援 應用程式的新 AWS 受管政策 | 您可以將這些政策用於您為 Slack 頻道組態所設定的 IAM 角色。 如需詳細資訊,請參閱[管理對 AWS 支援 應用程式的存取](support-app-permissions.md)。 | 2022 年 8 月 19 日 |
| 變更發佈的日誌 | 變更 AWS 支援 應用程式受管政策的日誌。 | 2022 年 8 月 19 日 |
# AWS 的 受管政策 AWS Trusted Advisor
Trusted Advisor 具有下列 AWS 受管政策。
**Contents**
+ [AWS 受管政策: AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy)
+ [AWS 受管政策: AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy)
+ [AWS 受管政策: AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy)
+ [AWS 受管政策: AWSTrustedAdvisorReportingServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy)
+ [Trusted Advisor AWS 受管政策的更新](#security-iam-awsmanpol-updates-trusted-advisor)
## AWS 受管政策: AWSTrustedAdvisorPriorityFullAccess
[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityFullAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityFullAccess$jsonEditor) 政策會授予 Trusted Advisor Priority 的完整存取權。此政策也允許使用者使用 新增 Trusted Advisor 做為受信任的服務, AWS Organizations 並指定 Trusted Advisor Priority 的委派管理員帳戶。
**許可詳細資訊**
在第一個陳述式中,政策包含 `trustedadvisor` 的以下許可:
+ 說明您的帳戶和組織。
+ 描述來自 Trusted Advisor Priority 的已識別風險。許可允許您下載和更新風險狀態。
+ 描述優先順序 Trusted Advisor 電子郵件通知的組態。許可允許您設定電子郵件通知,並針對委派的管理員停用這些通知。
+ 設定 , Trusted Advisor 讓您的帳戶可以啟用 AWS Organizations。
在第二個陳述式中,政策包含 `organizations` 的以下許可:
+ 描述 Trusted Advisor 您的帳戶和組織。
+ 列出 AWS 服務 您啟用使用 Organizations 的 。
在第三個陳述式中,政策包含 `organizations` 的以下許可:
+ 列出 Trusted Advisor Priority 的委派管理員。
+ 啟用和停用 Organizations 的受信任存取權。
在第四個陳述式中,政策包含 `iam` 的以下許可:
+ 建立 `AWSServiceRoleForTrustedAdvisorReporting` 服務連結角色。
在第五個陳述式中,政策包含 `organizations` 的以下許可:
+ 允許您註冊和取消註冊 Trusted Advisor Priority 的委派管理員。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSTrustedAdvisorPriorityFullAccess",
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeAccount*",
"trustedadvisor:DescribeOrganization",
"trustedadvisor:DescribeRisk*",
"trustedadvisor:DownloadRisk",
"trustedadvisor:UpdateRiskStatus",
"trustedadvisor:DescribeNotificationConfigurations",
"trustedadvisor:UpdateNotificationConfigurations",
"trustedadvisor:DeleteNotificationConfigurationForDelegatedAdmin",
"trustedadvisor:SetOrganizationAccess"
],
"Resource": "*"
},
{
"Sid": "AllowAccessForOrganization",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "AllowListDelegatedAdministrators",
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators",
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"reporting.trustedadvisor.amazonaws.com"
]
}
}
},
{
"Sid": "AllowCreateServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "reporting.trustedadvisor.amazonaws.com"
}
}
},
{
"Sid": "AllowRegisterDelegatedAdministrators",
"Effect": "Allow",
"Action": [
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "arn:aws:organizations::*:*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"reporting.trustedadvisor.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS 受管政策: AWSTrustedAdvisorPriorityReadOnlyAccess
[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityReadOnlyAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSTrustedAdvisorPriorityReadOnlyAccess$jsonEditor) 政策會將唯讀許可授予 Trusted Advisor Priority,包括檢視委派管理員帳戶的許可。
**許可詳細資訊**
在第一個陳述式中,政策包含 `trustedadvisor` 的以下許可:
+ 描述 Trusted Advisor 您的帳戶和組織。
+ 描述來自 Trusted Advisor Priority 的已識別風險,並允許您下載它們。
+ 描述 Trusted Advisor 優先順序電子郵件通知的組態。
在第二個和第三個陳述式中,政策包含 `organizations` 的以下許可:
+ 使用 Organizations 說明您的組織。
+ 列出 AWS 服務 您啟用使用 Organizations 的 。
+ 列出 Trusted Advisor Priority 的委派管理員
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSTrustedAdvisorPriorityReadOnlyAccess",
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeAccount*",
"trustedadvisor:DescribeOrganization",
"trustedadvisor:DescribeRisk*",
"trustedadvisor:DownloadRisk",
"trustedadvisor:DescribeNotificationConfigurations"
],
"Resource": "*"
},
{
"Sid": "AllowAccessForOrganization",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "AllowListDelegatedAdministrators",
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"reporting.trustedadvisor.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS 受管政策: AWSTrustedAdvisorServiceRolePolicy
此政策連接至 `AWSServiceRoleForTrustedAdvisor` 服務連結角色。它允許服務連結角色為您執行動作。您無法將 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorServiceRolePolicy$jsonEditor) 連接至 AWS Identity and Access Management (IAM) 實體。如需詳細資訊,請參閱[使用 的服務連結角色 Trusted Advisor](using-service-linked-roles-ta.md)。
此政策會授予管理許可,允許服務連結角色存取 AWS 服務。這些許可允許 的檢查 Trusted Advisor 評估您的帳戶。
**許可詳細資訊**
此政策包含以下許可。
+ `accessanalyzer` – 描述 AWS Identity and Access Management Access Analyzer 資源
+ `Auto Scaling` - 描述 Amazon EC2 Auto Scaling 帳戶配額和資源
+ `cloudformation` – Describes AWS CloudFormation (CloudFormation) 帳戶配額和堆疊
+ `cloudfront` – 描述 Amazon CloudFront 分佈
+ `cloudtrail` – Describes AWS CloudTrail (CloudTrail) 線索
+ `dynamodb` - 描述 Amazon DynamoDB 帳戶配額和資源
+ `dynamodbaccelerator` – 描述 DynamoDB Accelerator 資源
+ `ec2` - 描述 Amazon Elastic Compute Cloud (Amazon EC2) 帳戶配額和資源
+ `elasticloadbalancing` - 說明 Elastic Load Balancing (ELB) 帳戶配額和資源
+ `iam` - 取得 IAM 資源,例如憑證、密碼政策和憑證
+ `networkfirewall` – 描述 AWS Network Firewall 資源
+ `kinesis` - 描述 Amazon Kinesis (Kinesis) 帳戶配額
+ `rds` - 描述 Amazon Relational Database Service (Amazon RDS) 資源
+ `redshift` - 描述 Amazon Redshift 資源
+ `route53` - 描述 Amazon Route 53 帳戶配額和資源
+ `s3` - 描述 Amazon Simple Storage Service (Amazon S3) 資源
+ `ses` - 取得 Amazon Simple Email Service (Amazon SES) 傳送份額
+ `sqs` - 列出 Amazon Simple Queue Service (Amazon SQS) 佇列
+ `cloudwatch` - 取得 Amazon CloudWatch Events (CloudWatch Events) 指標統計數字
+ `ce` - 取得 Cost Explorer Service (Cost Explorer) 建議
+ `route53resolver` – 取得 Amazon Route 53 Resolver 解析程式端點和資源
+ `kafka` – 取得 Amazon Managed Streaming for Apache Kafka 資源
+ `ecs` – 取得 Amazon ECS 資源
+ `outposts` – 取得 AWS Outposts 資源
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "TrustedAdvisorServiceRolePermissions",
"Effect": "Allow",
"Action": [
"access-analyzer:ListAnalyzers",
"autoscaling:DescribeAccountLimits",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeLaunchConfigurations",
"ce:GetReservationPurchaseRecommendation",
"ce:GetSavingsPlansPurchaseRecommendation",
"cloudformation:DescribeAccountLimits",
"cloudformation:DescribeStacks",
"cloudformation:ListStacks",
"cloudfront:ListDistributions",
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:GetTrail",
"cloudtrail:ListTrails",
"cloudtrail:GetEventSelectors",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"dax:DescribeClusters",
"dynamodb:DescribeLimits",
"dynamodb:DescribeTable",
"dynamodb:ListTables",
"ec2:DescribeAddresses",
"ec2:DescribeReservedInstances",
"ec2:DescribeInstances",
"ec2:DescribeVpcs",
"ec2:DescribeInternetGateways",
"ec2:DescribeImages",
"ec2:DescribeNatGateways",
"ec2:DescribeVolumes",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeRegions",
"ec2:DescribeReservedInstancesOfferings",
"ec2:DescribeRouteTables",
"ec2:DescribeSnapshots",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:DescribeLaunchTemplateVersions",
"ec2:GetManagedPrefixListEntries",
"ecs:DescribeTaskDefinition",
"ecs:ListTaskDefinitions",
"elasticloadbalancing:DescribeAccountLimits",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeLoadBalancerAttributes",
"elasticloadbalancing:DescribeLoadBalancerPolicies",
"elasticloadbalancing:DescribeLoadBalancerPolicyTypes",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"iam:GenerateCredentialReport",
"iam:GetAccountPasswordPolicy",
"iam:GetAccountSummary",
"iam:GetCredentialReport",
"iam:GetServerCertificate",
"iam:ListServerCertificates",
"iam:ListSAMLProviders",
"kinesis:DescribeLimits",
"kafka:DescribeClusterV2",
"kafka:ListClustersV2",
"kafka:ListNodes",
"network-firewall:ListFirewalls",
"network-firewall:DescribeFirewall",
"outposts:GetOutpost",
"outposts:ListAssets",
"outposts:ListOutposts",
"rds:DescribeAccountAttributes",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSnapshots",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEngineDefaultParameters",
"rds:DescribeEvents",
"rds:DescribeOptionGroupOptions",
"rds:DescribeOptionGroups",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribeReservedDBInstances",
"rds:DescribeReservedDBInstancesOfferings",
"rds:ListTagsForResource",
"redshift:DescribeClusters",
"redshift:DescribeReservedNodeOfferings",
"redshift:DescribeReservedNodes",
"route53:GetAccountLimit",
"route53:GetHealthCheck",
"route53:GetHostedZone",
"route53:ListHealthChecks",
"route53:ListHostedZones",
"route53:ListHostedZonesByName",
"route53:ListResourceRecordSets",
"route53resolver:ListResolverEndpoints",
"route53resolver:ListResolverEndpointIpAddresses",
"s3:GetAccountPublicAccessBlock",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:GetBucketPolicyStatus",
"s3:GetBucketLocation",
"s3:GetBucketLogging",
"s3:GetBucketVersioning",
"s3:GetBucketPublicAccessBlock",
"s3:GetLifecycleConfiguration",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"ses:GetSendQuota",
"sqs:GetQueueAttributes",
"sqs:ListQueues"
],
"Resource": "*"
}
]
}
```
------
## AWS 受管政策: AWSTrustedAdvisorReportingServiceRolePolicy
此政策會連接到`AWSServiceRoleForTrustedAdvisorReporting`服務連結角色, Trusted Advisor 允許 對組織檢視功能執行動作。您無法將 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorReportingServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSTrustedAdvisorReportingServiceRolePolicy$jsonEditor) 連接至 IAM 實體。如需詳細資訊,請參閱[使用 的服務連結角色 Trusted Advisor](using-service-linked-roles-ta.md)。
此政策會授予允許服務連結角色執行 AWS Organizations 動作的管理許可。
**許可詳細資訊**
此政策包含以下許可。
+ `organizations` - 描述您的組織,並列出服務存取權、帳戶、父系、子系和組織單位
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListDelegatedAdministrators",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Trusted Advisor AWS 受管政策的更新
檢視自這些服務開始追蹤這些變更 Trusted Advisor 以來, AWS 支援 和 AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 [文件歷史紀錄](History.md) 頁面的 RSS 摘要。
下表說明自 2021 年 8 月 10 日起 Trusted Advisor 受管政策的重要更新。
**Trusted Advisor**
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) 更新至現有政策。 | Trusted Advisor 新增動作以授予 `elasticloadbalancing:DescribeListeners,`和 `elasticloadbalancing:DescribeRules`許可。 | 2024 年 10 月 30 日 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) 更新至現有政策。 | Trusted Advisor 新增動作以授予 `access-analyzer:ListAnalyzers`、`cloudwatch:ListMetrics`、`dax:DescribeClusters`、`ec2:DescribeNatGateways`、`ec2:DescribeRouteTables`、`ec2:DescribeVpcEndpoints`、`ec2:GetManagedPrefixListEntries`、`elasticloadbalancing:DescribeTargetHealth`、 `iam:ListSAMLProviders``kafka:DescribeClusterV2``network-firewall:ListFirewalls``network-firewall:DescribeFirewall`和 `sqs:GetQueueAttributes`許可。 | 2024 年 6 月 11 日 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) 更新至現有政策。 | Trusted Advisor 新增動作以授予 `cloudtrail:GetTrail` `cloudtrail:ListTrails` `cloudtrail:GetEventSelectors` `outposts:GetOutpost`、 `outposts:ListAssets`和 `outposts:ListOutposts`許可。 | 2024 年 1 月 18 日 |
| [AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy) 更新至現有政策。 | Trusted Advisor 已更新 `AWSTrustedAdvisorPriorityFullAccess` AWS 受管政策,以包含陳述式 IDs。 | 2023 年 12 月 6 日 |
| [AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy) 更新至現有政策。 | Trusted Advisor 已更新 `AWSTrustedAdvisorPriorityReadOnlyAccess` AWS 受管政策,以包含陳述式 IDs。 | 2023 年 12 月 6 日 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) – 更新現有政策 | Trusted Advisor 新增動作以授予 `ec2:DescribeRegions``s3:GetLifecycleConfiguration``ecs:DescribeTaskDefinition`和 `ecs:ListTaskDefinitions`許可。 | 2023 年 11 月 9 日 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) – 更新現有政策 | Trusted Advisor 新增了新的 IAM 動作 `route53resolver:ListResolverEndpoints`、`ec2:DescribeSubnets`、 `route53resolver:ListResolverEndpointIpAddresses``kafka:ListClustersV2`和 `kafka:ListNodes`,以加入新的彈性檢查。 | 2023 年 9 月 14 日 |
| [AWSTrustedAdvisorReportingServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy) 連接到 Trusted Advisor `AWSServiceRoleForTrustedAdvisorReporting`服務連結角色的受管政策 V2 | 將 Trusted Advisor `AWSServiceRoleForTrustedAdvisorReporting`服務連結角色的 AWS 受管政策升級至 V2。V2 會額外新增一個 IAM 動作 `organizations:ListDelegatedAdministrators` | 2023 年 2 月 28 日 |
| [AWSTrustedAdvisorPriorityFullAccess](#security-iam-support-TA-priority-full-access-policy) 和 [AWSTrustedAdvisorPriorityReadOnlyAccess](#security-iam-support-TA-priority-read-only-policy) 適用於 的新 AWS 受管政策 Trusted Advisor | Trusted Advisor 新增了兩個新的 受管政策,可用來控制對 Trusted Advisor Priority 的存取。 | 2022 年 8 月 17 日 |
| [AWSTrustedAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy) – 更新現有政策 | Trusted Advisor 新增動作以授予 `DescribeTargetGroups`和 `GetAccountPublicAccessBlock`許可。 進行 **Auto Scaling 群組運作狀態檢查**需要 `DescribeTargetGroup` 許可,才能擷取 Classic Load Balancer 以外連接至 Auto Scaling 群組的負載平衡器。 進行 **Simple Storage Service (Amazon S3) 儲存貯體許可**檢查需要 `GetAccountPublicAccessBlock` 許可,才能擷取 AWS 帳戶的區塊公有存取設定。 | 2021 年 8 月 10 日 |
| 變更發佈的日誌 | Trusted Advisor 已開始追蹤其 AWS 受管政策的變更。 | 2021 年 8 月 10 日 |
# AWS AWS 支援 Plans 的 受管政策
AWS 支援 Plans 具有下列受管政策。
**Contents**
+ [AWS 受管政策: AWSSupportPlansFullAccess](#support-plan-full-access-managed-policy)
+ [AWS 受管政策: AWSSupportPlansReadOnlyAccess](#support-plan-read-only-access-managed-policy)
+ [AWS 支援 規劃 AWS 受管政策的更新](#security-iam-awsmanpol-updates-support-plans)
## AWS 受管政策: AWSSupportPlansFullAccess
AWS 支援 Plans 使用 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportPlansFullAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportPlansFullAccess$jsonEditor) AWS 受管政策。IAM 實體使用此政策為您完成下列 Support Plans 動作:
+ 檢視 的支援計劃 AWS 帳戶
+ 檢視變更支援計劃請求的狀態詳細資訊
+ 變更 的支援計劃 AWS 帳戶
+ 為您的 建立支援計劃排程 AWS 帳戶
+ 檢視您 的所有支援計畫修改器清單 AWS 帳戶
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"supportplans:GetSupportPlan",
"supportplans:GetSupportPlanUpdateStatus",
"supportplans:StartSupportPlanUpdate",
"supportplans:CreateSupportPlanSchedule",
"supportplans:ListSupportPlanModifiers"
],
"Resource": "*"
}
]
}
```
------
如需政策變更清單,請參閱 [AWS 支援 規劃 AWS 受管政策的更新](#security-iam-awsmanpol-updates-support-plans)。
## AWS 受管政策: AWSSupportPlansReadOnlyAccess
AWS 支援 Plans 使用 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportPlansReadOnlyAccess$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupportPlansReadOnlyAccess$jsonEditor) AWS 受管政策。IAM 實體使用此政策為您完成下列唯讀 Support Plans 動作:
+ 檢視 的支援計劃 AWS 帳戶
+ 檢視變更支援計劃請求的狀態詳細資訊
+ 檢視您 的所有支援計畫修改器清單 AWS 帳戶
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"supportplans:GetSupportPlan",
"supportplans:GetSupportPlanUpdateStatus",
"supportplans:ListSupportPlanModifiers"
],
"Resource": "*"
}
]
}
```
------
如需政策變更清單,請參閱 [AWS 支援 規劃 AWS 受管政策的更新](#security-iam-awsmanpol-updates-support-plans)。
## AWS 支援 規劃 AWS 受管政策的更新
檢視自 Support Plans 開始追蹤這些變更以來, AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 [文件歷史紀錄](History.md) 頁面的 RSS 摘要。
下表說明了自 2022 年 9 月 29 日起,Support Plans 受管政策的重要更新。
**AWS 支援**
| 變更 | 描述 | 日期 |
| --- | --- | --- |
| [AWSSupportPlansReadOnlyAccess](#support-plan-read-only-access-managed-policy) - 更新現有政策 [AWSSupportPlansFullAccess](#support-plan-full-access-managed-policy) - 更新現有政策 | 將ListSupportPlanModifiers動作新增至 AWSSupportPlansFullAccess和 AWSSupportPlansReadOnlyAccess 受管政策。 | 2024 年 9 月 9 日 |
| [AWSSupportPlansFullAccess](#support-plan-full-access-managed-policy) - 更新現有政策 | 將 CreateSupportPlanSchedule 動作新增至 AWSSupportPlansFullAccess 受管政策。 | 2023 年 5 月 8 日 |
| 變更發佈的日誌 | Support Plans 受管政策的變更日誌。 | 2022 年 9 月 29 日 |
# AWS AWS 合作夥伴領導支援的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新 AWS 受管政策中定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。 AWS 服務 當新的 啟動或新的 API 操作可用於現有 服務時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策:AWSPartnerLedSupportReadOnlyAccess
您可以將 `AWSPartnerLedSupportReadOnlyAccess` 連接至使用者、群組與角色。
此政策可用來授予 API 的唯讀存取權,這些 APIs 可以讀取您 AWS 帳戶中 服務的服務中繼資料。您可以使用此政策為 AWS 合作夥伴領導支援計劃中的合作夥伴提供存取下列許可詳細資訊區段中指定的服務。
**重要**
雖然 AWSPartnerLedSupportReadOnlyAccess 是由 提供的受管政策 AWS,但您有責任檢閱政策中包含的服務和許可,以確認它們符合您的特定支援需求。請勿假設此受管政策會自動包含所有現有或新的政策 AWS 服務。您可能需要建立和維護額外的自訂政策,以涵蓋此受管政策範圍以外的服務。
**許可詳細資訊**
此政策包含以下許可。
+ `acm` – 允許主體對與 相關的技術支援案例進行故障診斷 AWS Certificate Manager。
+ `acm-pca` – 允許主體對與 相關的技術支援案例進行故障診斷 AWS 私有憑證授權單位。
+ `apigateway` – 允許主體對與 Amazon API Gateway 相關的技術支援案例進行故障診斷。
+ `athena` – 允許主體對與 Amazon Athena 相關的技術支援案例進行故障診斷。
+ `backup` – 允許主體對與 相關的技術支援案例進行故障診斷 AWS Backup。
+ `backup-gateway` – 允許主體對與 AWS Backup Gateway 相關的技術支援案例進行疑難排解。
+ `cloudformation` – 允許主體對與 相關的技術支援案例進行故障診斷 AWS CloudFormation。
+ `cloudfront` – 允許主體對與 Amazon CloudFront 相關的技術支援案例進行故障診斷。
+ `cloudtrail` – 允許主體對與 相關的技術支援案例進行故障診斷 AWS CloudTrail。
+ `cloudwatch` – 允許主體對與 Amazon CloudWatch 相關的技術支援案例進行疑難排解。
+ `codepipeline` – 允許主體對與 相關的技術支援案例進行故障診斷 AWS CodePipeline。
+ `cognito-identity` – 允許主體對與 Amazon Cognito Identity 相關的技術支援案例進行疑難排解。
+ `cognito-idp` – 允許主體對與 Amazon Cognito 使用者集區相關的技術支援案例進行疑難排解。
+ `cognito-sync` – 允許主體對與 Amazon Cognito Sync 相關的技術支援案例進行疑難排解。
+ `connect` – 允許主體對與 Amazon Connect 相關的技術支援案例進行疑難排解。
+ `directconnect` – 允許主體對與 相關的技術支援案例進行故障診斷 AWS Direct Connect。
+ `dms` – 允許主體對與 相關的技術支援案例進行故障診斷 AWS Database Migration Service。
+ `ds` – 允許主體對與 相關的技術支援案例進行故障診斷 AWS Directory Service。
+ `ec2` – 允許主體對與 Amazon Elastic Compute Cloud 相關的技術支援案例進行疑難排解。這包括 EC2 (Windows 和 Linux)、虛擬私有雲端 (VPC) 和 VPC 中的技術支援類別。
+ `ecs` – 允許主體對與 Amazon Elastic Container Service 相關的技術支援案例進行疑難排解。
+ `eks` – 允許主體對與 Amazon Elastic Kubernetes Service 相關的技術支援案例進行疑難排解。
+ `elasticache` – 允許主體對與 Amazon ElastiCache 相關的技術支援案例進行故障診斷。
+ `elasticbeanstalk` – 允許主體對與 相關的技術支援案例進行故障診斷 AWS Elastic Beanstalk。
+ `elasticfilesystem` – 允許主體對與 Amazon Elastic File System 相關的技術支援案例進行疑難排解。
+ `elasticloadbalancing` – 允許主體對與 Elastic Load Balancing 相關的技術支援案例進行故障診斷。
+ `emr-containers` – 允許主體對與 Amazon EMR on EKS 相關的技術支援案例進行故障診斷。
+ `emr-serverless` – 允許主體對與 Amazon EMR Serverless 相關的技術支援案例進行故障診斷。
+ `es` – 允許主體對與 Amazon OpenSearch Service 相關的技術支援案例進行故障診斷。這包括技術支援類別,例如 OpenSearch Service 受管叢集。
+ `events` – 允許主體對與 Amazon EventBridge 相關的技術支援案例進行疑難排解。
+ `fsx` – 允許主體對與 Amazon FSx 相關的技術支援案例進行故障診斷。這包括技術支援類別,例如 FSX for Windows File Server。
+ `glue` – 允許主體對與 相關的技術支援案例進行故障診斷 AWS Glue。
+ `guardduty` – 允許主體對與 Amazon GuardDuty 相關的技術支援案例進行故障診斷。
+ `iam` – 允許主體對與 相關的技術支援案例進行故障診斷 AWS Identity and Access Management。
+ `kafka` – 允許主體對與 Amazon Managed Streaming for Apache Kafka 相關的技術支援案例進行故障診斷。
+ `kafkaconnect` – 允許主體對與 Amazon Managed Streaming for Apache Kafka Connect 相關的技術支援案例進行故障診斷。
+ `lambda` – 允許主體對與 相關的技術支援案例進行故障診斷 AWS Lambda。
+ `logs` – 允許主體對與 Amazon CloudWatch Logs 相關的技術支援案例進行疑難排解。
+ `medialive` – 允許主體對與 相關的技術支援案例進行故障診斷 AWS Elemental MediaLive。
+ `mobiletargeting` – 允許主體對與 Amazon Pinpoint 相關的技術支援案例進行疑難排解。
+ `pipes` – 允許主體對與 Amazon EventBridge 管道相關的技術支援案例進行疑難排解。
+ `polly` – 允許主體對與 Amazon Polly 相關的技術支援案例進行故障診斷。
+ `quicksight` – 允許主體對與 Amazon Quick 相關的技術支援案例進行疑難排解。
+ `rds` – 允許主體對與 Amazon Relational Database Service 相關的技術支援案例進行疑難排解。這包括技術支援類別,例如:Relational Database Service (Aurora - MySQL-Compat)、Relational Database Service (Aurora - PostgreSQL-c)、Relational Database Service (PostgreSQL)、Relational Database Service (SQL Server)、Relational Database Service (MySQL) 和 Relational Database Service (Oracle)。
+ `redshift` – 允許主體對與 Amazon Redshift 相關的技術支援案例進行故障診斷。
+ `redshift-data` – 允許主體對與 Amazon Redshift Data API 相關的技術支援案例進行故障診斷。
+ `redshift-serverless` – 允許主體對與 Amazon Redshift Serverless 相關的技術支援案例進行故障診斷。
+ `route53` – 允許主體對與 Amazon Route 53 相關的技術支援案例進行故障診斷。
+ `route53domains` – 允許主體對與 Amazon Route 53 網域相關的技術支援案例進行疑難排解。
+ `route53-recovery-cluster` – 允許主體對與 Amazon Route 53 復原叢集相關的技術支援案例進行疑難排解。
+ `route53-recovery-control-config` – 允許主體對與 Amazon Route 53 復原控制項相關的技術支援案例進行疑難排解。
+ `route53-recovery-readiness` – 允許主體對與 Amazon Route 53 Recovery Readiness 相關的技術支援案例進行故障診斷。
+ `route53resolver` – 允許主體對與 Amazon Route 53 Resolver 相關的技術支援案例進行故障診斷。
+ `s3` – 允許主體對與 Amazon Simple Storage Service 相關的技術支援案例進行疑難排解。
+ `s3express` – 允許主體對與 Amazon S3 Express 相關的技術支援案例進行故障診斷。
+ `sagemaker` – 允許主體對與 Amazon SageMaker AI 相關的技術支援案例進行故障診斷。
+ `scheduler` – 允許主體對與 Amazon EventBridge 排程器相關的技術支援案例進行疑難排解。
+ `servicequotas` – 允許主體對與 Service Quotas 相關的技術支援案例進行故障診斷。
+ `ses` – 允許主體對與 Amazon Simple Email Service 相關的技術支援案例進行疑難排解。
+ `sns` – 允許主體對與 Amazon Simple Notification Service 相關的技術支援案例進行疑難排解。
+ `ssm` – 允許主體對與 相關的技術支援案例進行故障診斷 AWS Systems Manager。
+ `ssm-contacts` – 允許主體對與 AWS Systems Manager Incident Manager Contacts 相關的技術支援案例進行疑難排解。
+ `ssm-incidents` – 允許主體疑難排解與 相關的技術支援案例 AWS Systems Manager Incident Manager。
+ `ssm-sap` – 允許主體疑難排解 AWS Systems Manager 與 for SAP 相關的技術支援案例。
+ `swf` – 允許主體對與 Amazon Simple Workflow Service 相關的技術支援案例進行疑難排解。
+ `vpc-lattice` – 允許主體對與 Amazon VPC Lattice 相關的技術支援案例進行疑難排解。這包括技術支援類別,例如 VPC - Transit Gateway。
+ `waf` – 允許主體對與 相關的技術支援案例進行疑難排解 AWS WAF。
+ `waf-regional` – 允許主體對與 AWS WAF 區域相關的技術支援案例進行疑難排解。
+ `wafv2` – 允許主體對 AWS WAF V2 相關的技術支援案例進行故障診斷。
+ `workspaces` – 允許主體對與 Amazon WorkSpaces 相關的技術支援案例進行疑難排解。這包括技術支援類別,例如工作區 (Windows)。
+ `workspaces-web` – 允許主體對與 Amazon WorkSpaces 安全瀏覽器相關的技術支援案例進行故障診斷。這包括技術支援類別,例如工作區 (Windows)。
若要檢視此政策的許可,請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPartnerLedSupportReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPartnerLedSupportReadOnlyAccess.html)。
## AWS 合作夥伴領導的 AWS 受管政策支援更新
檢視自此服務開始追蹤這些變更以來 AWS ,合作夥伴領導支援 AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 AWS 合作夥伴主導支援文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSPartnerLedSupportReadOnlyAccess](#managed-policies-partner-led-support-AWSPartnerLedSupportReadOnlyAccess) – 新政策 | 新增了新的 AWS 受管政策,其中包含可讀取您 AWS 帳戶中 服務之服務中繼資料的許可。 | 2024 年 11 月 22 日 |
| AWS 合作夥伴領導的支援已開始追蹤變更 | AWS 合作夥伴領導的支援開始追蹤其 AWS 受管政策的變更。 | 2024 年 11 月 22 日 |
# 管理對 AWS 支援 中心的存取
您必須有許可才能存取支援中心和[建立支援案例](create-support-case-from-interaction.md)。
您可以使用下列其中一個選項存取支援中心:
+ Use AWS Identity and Access Management (IAM)。
+ 使用與 AWS 您的帳戶相關聯的電子郵件地址和密碼。此身分稱為 AWS 帳戶*根使用者* (不建議)。
如果您有 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃,您也可以使用 [支援 API](about-support-api.md) 以程式設計方式存取 支援 和 Trusted Advisor 操作。如需詳細資訊,請參閱 [AWS 支援 API 參考](https://docs.aws.amazon.com/awssupport/latest/APIReference/Welcome.html)。
**注意**
如果您無法登入支援中心,可以改用[聯絡我們](https://aws.amazon.com/contact-us/)頁面。您可以使用此頁面取得帳單和帳戶問題的說明。
如需支援中心主控台 API 操作以及如何將其新增至 IAM 政策的詳細資訊,請參閱 [新增支援中心主控台 API 操作的 IAM 政策](support-console-access-control.md)。
## AWS 帳戶 (不建議)
您可以使用 AWS 您的帳戶電子郵件地址 AWS 管理主控台 和密碼登入 並存取支援中心。此身分稱為 AWS 帳戶*根使用者*。不過,強烈建議您不要以根使用者身分處理日常作業,即使是管理作業也一樣。建議您改用 IAM,這可讓您控制誰能在您的帳戶中執行特定任務。
## AWS 支援動作
您可以在 主控台中執行下列 支援 動作。您也可以在 IAM 政策中指定這些 支援 動作,以允許或拒絕特定動作。
**注意**
在您的 IAM 政策中拒絕下列任何動作,可能會在建立支援案例或與之互動時,導致支援中心出現意外行為。
| Action | Description |
| --- | --- |
| `AddAttachmentsToSet` | 准許將一或多個附件新增至附件集。附件集是您新增至案例或案例通訊之附件的暫時容器。此集合在建立後 1 小時內可用。回應中傳回的 expiryTime 是集合過期時。 |
| `AddCommunicationToCase` | 准許將額外的客戶通訊新增至 支援 案例,包括在通訊上複製的一組電子郵件地址。 |
| `CreateCase` | 准許建立案例。 |
| `DescribeAttachment` | 准許擷取案例上的附件。 |
| `DescribeCaseAttributes` | 准許次要服務讀取 支援 案例屬性。**\$1 支援 中心會在內部使用此項目,以在案例上標記屬性。** |
| `DescribeCases` | 准許傳回符合 支援 案例 ID 或案例 IDs案例清單。 |
| `DescribeCommunication` | 准許取得單一 AWS 支援 案例的單一通訊和附件。 |
| `DescribeCommunications` | 准許傳回一或多個 支援 案例的通訊和附件。 |
| `DescribeCreateCaseOptions` | 准許傳回 CreateCaseOption 類型清單,以及對應的支援時數和語言可用性。 |
| `DescribeIssueTypes` | 准許傳回 支援 案例的問題類型。 支援 中心會在內部使用此項目來取得您帳戶的可用問題類型。 |
| `DescribeServices` | 准許傳回目前 AWS 服務清單和每個服務的服務類別清單。然後,您可以使用服務名稱和類別來建立案例。每個 AWS 服務都有自己的一組類別。 |
| `DescribeSeverityLevels` | 准許傳回您可以指派給 支援 案例的嚴重性等級清單。 |
| `DescribeSupportedLanguages` | 准許傳回指定 categoryCode、 issueType 和 serviceCode 的支援語言清單。 |
| `DescribeSupportLevel` | 准許傳回 AWS 帳戶識別符的支援層級。 支援 中心會在內部使用此功能來識別您的支援層級。 |
| `DescribeTrustedAdvisorCheckRefreshStatuses` | 准許傳回具有指定 AWS Trusted Advisor 檢查 IDs 之檢查的重新整理狀態。 |
| `DescribeTrustedAdvisorCheckResult` | 准許傳回具有指定 AWS Trusted Advisor 檢查 ID 的檢查結果。 |
| `DescribeTrustedAdvisorChecks` | 准許傳回所有可用 AWS Trusted Advisor 檢查的相關資訊,包括名稱、ID、類別、描述和中繼資料。 |
| `DescribeTrustedAdvisorCheckSummaries` | 准許傳回您指定之 AWS Trusted Advisor 檢查 IDs 的檢查摘要結果。 |
| `GetInteraction` | 准許透過其唯一識別符擷取特定互動的詳細資訊。 支援 中心會在內部使用此功能來擷取個人化建議。 |
| `InitiateCallForCase` | 准許在 支援 Center 上起始呼叫。 支援 中心會在內部代表您啟動呼叫。 |
| `ListInteractionEntries` | 准許擷取特定互動中的項目清單,包括訊息、狀態更新或其他相關資料點。 支援 中心會在內部使用此功能來追蹤互動的詳細線索。 |
| `ListInteractions` | 准許擷取互動清單,可能使用篩選條件或分頁。 支援 中心會在內部使用此功能來管理和概觀多個互動。 |
| `InitiateChatForCase` | 准許在 支援 Center 發起呼叫。 支援 中心會在內部代表您啟動聊天時使用此功能。 |
| `PutCaseAttributes` | 准許次要服務將屬性連接至 支援 案例。 支援 中心會在內部使用此標籤,將操作標籤新增至您的 支援 案例。 |
| `RateCaseCommunication` | 准許對 支援 案例通訊進行評分。 |
| `RefreshTrustedAdvisorCheck` | 准許重新整理您使用 AWS Trusted Advisor 檢查 ID 指定的檢查。 |
| `ResolveCase` | 准許解決 支援 案例。 |
| `ResolveInteraction` | 准許使用其唯一識別符將互動標示為已解決,表示問題已完全解決,且不需要進一步的動作。解決後,互動的狀態會設為關閉,並可供相同帳戶中的所有使用者存取。 |
| `SearchForCases` | 准許傳回符合指定輸入的 支援 案例清單。 支援 中心會在內部使用此項目來尋找搜尋過的案例。 |
| `StartInteraction` | 准許啟動新的互動,以接收帳戶和技術問題的個人化疑難排解協助。 支援 中心會在內部使用此項目來啟動故障診斷程序。 |
| `UpdateInteraction` | 准許透過其唯一識別符與另一個訊息來更新特定互動。 支援 中心會在內部使用此項目來更新故障診斷程序。 |
## IAM
在預設情況下,IAM 使用者無權存取支援中心。您可以使用 IAM 建立個別使用者或群組。然後,您將 IAM 政策連接到這些實體,以便他們具有執行動作和存取資源的許可,例如開啟支援中心案例並使用 支援 API。
建立 IAM 使用者之後,就可以為這些使用者提供個別的密碼和帳戶專屬登入頁面。然後,他們可以登入您的 , AWS 帳戶 並在支援中心工作。具有 AWS 支援 存取權的 IAM 使用者可以看到為帳戶建立的所有案例。
如需詳細資訊,請參閱《[IAM 使用者指南》中的以 IAM 使用者 AWS 管理主控台 身分登入 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/WhatUsersNeedToKnow.html) 。 **
授予許可的最簡單方法是將 AWS 受管政策 [AWSSupportAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/AWSSupportAccess) 連接到使用者、群組或角色。 AWS 支援 允許動作層級許可來控制對特定 AWS 支援 操作的存取。 AWS 支援 不提供資源層級存取,因此 `Resource`元素一律設定為 `*`。您無法允許或拒絕存取特定支援案例。
**Example :允許存取所有 支援 動作**
AWS 受管政策 [AWSSupportAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/AWSSupportAccess) 會授予 IAM 使用者存取權 支援。具有此政策的 IAM 使用者可以存取所有 AWS 支援 操作和資源。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["support:*"],
"Resource": "*"
}
]
}
```
如需如何將 `AWSSupportAccess` 政策連接至實體的詳細資訊,請參閱 *IAM 使用者指南*中的[新增 IAM 身分許可 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。
**Example :允許存取除 ResolveCase 動作之外的所有動作**
您也可以在 IAM 中建立*客戶受管政策*,指定允許或拒絕的動作。下列政策陳述式允許 IAM 使用者在 中執行所有動作,但解決案例 支援 除外。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "support:*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "support:ResolveCase",
"Resource": "*"
}]
}
```
如需如何建立客戶受管 IAM 政策的詳細資訊,請參閱 *IAM 使用者指南*中的[建立 IAM 政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
如果使用者或群組已有政策,您可以將 AWS 支援特定政策陳述式新增至該政策。
**重要**
如果您無法在支援中心內檢視案例,請確認您擁有必要的許可。您可能需要聯絡 IAM 管理員。如需詳細資訊,請參閱[的身分和存取管理 AWS 支援](security-iam.md)。
## 存取 AWS Trusted Advisor
在 中 AWS 管理主控台,單獨的 `trustedadvisor` IAM 命名空間控制對 的存取 Trusted Advisor。在 支援 API 中,IAM `support` 命名空間控制對 的存取 Trusted Advisor。如需詳細資訊,請參閱[管理對 的存取 AWS Trusted Advisor](security-trusted-advisor.md)。
# 管理 AWS 支援 Plans 的存取權
**Topics**
+ [Support Plans 主控台的許可](#using-the-trusted-advisor-console)
+ [Support Plans 動作](#support-plans-actions)
+ [適用於 Support Plans 的範例 IAM 政策](#support-plans-policies)
+ [疑難排解](#troubleshooting-changing-support-plans)
## Support Plans 主控台的許可
若要存取 Support Plans 主控台,使用者必須擁有最基本的一組許可。這些許可必須允許使用者列出和檢視 AWS 帳戶中 Support Plans 資源的詳細資訊。
您可以使用 `supportplans` 命名空間建立 AWS Identity and Access Management (IAM) 政策。您可使用此政策指定動作和資源的許可。
當您建立政策時,可以指定服務的命名空間,以允許或拒絕動作。Support Plans 的命名空間為 `supportplans`。
您可以使用 AWS 受管政策,並將其連接至您的 IAM 實體。如需詳細資訊,請參閱[AWS AWS 支援 Plans 的 受管政策](managed-policies-aws-support-plans.md)。
## Support Plans 動作
您可以在主控台中執行下列 Support Plans 動作。您也可以在 IAM 政策中指定這些 Support Plans 動作,以允許或拒絕特定動作。
| Action | Description |
| --- | --- |
| `GetSupportPlan` | 准許檢視此 AWS 帳戶的目前支援計劃的詳細資訊。 |
| `GetSupportPlanUpdateStatus` | 准許檢視更新支援計劃之請求狀態的詳細資訊。 |
| `StartSupportPlanUpdate` | 准許啟動更新此 AWS 帳戶支援計劃之請求。 |
| `CreateSupportPlanSchedule` | 准許為此 AWS 帳戶建立支援計畫排程。 |
| `ListSupportPlanModifiers ` | 准許檢視所有支援計劃修改程式的清單 AWS 帳戶。 |
## 適用於 Support Plans 的範例 IAM 政策
您可使用以下範例政策來管理對 Support Plans 的存取。
### 完整存取 Support Plans
以下政策允許使用者完整存取 Support Plans。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "supportplans:*",
"Resource": "*"
}
]
}
```
------
### 唯讀存取 Support Plans
以下政策允許唯讀存取 Support Plans。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "supportplans:Get*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "supportplans:List*",
"Resource": "*"
}
]
}
```
------
### 拒絕存取 Support Plans
以下政策不允許使用者存取 Support Plans。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "supportplans:*",
"Resource": "*"
}
]
}
```
------
## 疑難排解
請參閱下列主題,以管理對 Support Plans 的存取。
### 當我嘗試檢視或變更我的支援計畫時,Support Plans 主控台會顯示我缺少 `GetSupportPlan` 許可
IAM 使用者必須具備必要的許可,才能存取 Support Plans 主控台。您可以更新 IAM 政策以包含缺失的許可,或使用 AWS 受管政策,例如 AWSSupportPlansFullAccess 或 AWSSupportPlansReadOnlyAccess。如需詳細資訊,請參閱[AWS AWS 支援 Plans 的 受管政策](managed-policies-aws-support-plans.md)。
如果您無權更新 IAM 政策,請聯絡您的 AWS 帳戶 管理員。
#### 相關資訊
如需詳細資訊,請參閱*《IAM 使用者指南》*中的以下主題:
+ [使用 IAM 政策模擬器測試 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)
+ [對拒絕存取錯誤訊息進行疑難排解](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_access-denied.html)
### 我具有正確的 Support Plans 許可,但我仍然收到相同的錯誤
如果您的 AWS 帳戶 是成員帳戶,可能需要更新 AWS Organizations服務控制政策 (SCP)。SCP 是一種管理組織中的許可的政策類型。
由於 Support Plans 是*全域*服務,因此限制 AWS 區域 的政策可能會阻止成員帳戶檢視或變更支援計畫。若要允許組織使用全域服務,例如 IAM 和 Support Plans,您必須將服務新增至任何適用 SCP 中的排除清單。這表示組織中的帳戶可以存取這些服務,即使 SCP 拒絕指定的 AWS 區域。
若要將 Support Plans 新增為例外狀況,請在 SCP 的 `"NotAction"` 清單中輸入 `"supportplans:*"`。
```
"supportplans:*",
```
您的 SCP 可能會顯示為下列政策程式碼片段。
**Example :允許在組織中存取 Support Plans 的 SCP**
```
{ "Version": "2012-10-17",
"Statement": [
{ "Sid": "GRREGIONDENY",
"Effect": "Deny",
"NotAction": [
"aws-portal:*",
"budgets:*",
"chime:*"
"iam:*",
"supportplans:*",
....
```
如果您具有成員帳戶,無法更新 SCP,請聯絡 AWS 帳戶 帳戶。受管帳戶可能需要更新 SCP,以便所有成員帳戶都可以存取 Support Plans。
**的備註 AWS Control Tower**
如果您的組織搭配 使用 SCP AWS Control Tower,您可以** AWS 根據請求的控制項 (通常稱為區域拒絕控制項) 更新拒絕存取至 AWS 區域** 。
如果您更新 的 SCP AWS Control Tower 以允許 `supportplans`,修復偏離會移除 SCP 的更新。如需詳細資訊,請參閱[偵測和解決偏離 AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html)。
#### 相關資訊
如需詳細資訊,請參閱下列主題:
+ 《AWS Organizations 使用者指南》**中的[服務控制政策 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ 《AWS Control Tower 使用者指南》**中的[設定區域拒絕控制](https://docs.aws.amazon.com/controltower/latest/userguide/region-deny.html)。
+ [AWS 根據《 使用者指南》中請求的 拒絕存取 AWS 區域](https://docs.aws.amazon.com/controltower/latest/userguide/data-residency-controls.html#primary-region-deny-policy) *AWS Control Tower *
# 管理對 的存取 AWS Trusted Advisor
您可以從 存取 AWS Trusted Advisor AWS 管理主控台。所有 AWS 帳戶 都可以存取選取的核心[Trusted Advisor 檢查](https://aws.amazon.com//premiumsupport/faqs/#TaFree)。如果您有 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃,您可以存取所有檢查。如需詳細資訊,請參閱 [AWS Trusted Advisor 檢查參考](trusted-advisor-check-reference.md)。
您可以使用 AWS Identity and Access Management (IAM) 來控制對 的存取 Trusted Advisor。
**Topics**
+ [Trusted Advisor 主控台的許可](#using-the-trusted-advisor-console)
+ [Trusted Advisor 動作](#trusted-advisor-operations)
+ [IAM 政策範例](#iam-policy-examples-trusted-advisor)
+ [另請參閱](#see-also-security-trusted-advisor)
## Trusted Advisor 主控台的許可
若要存取 Trusted Advisor 主控台,使用者必須擁有一組最低許可。這些許可必須允許使用者列出和檢視 中 Trusted Advisor 資源的詳細資訊 AWS 帳戶。
您可以使用下列選項來控制 Trusted Advisor的存取權:
+ 使用 Trusted Advisor 主控台的標籤篩選功能。使用者或角色必須具有與標籤相關聯的許可。
您可以使用 AWS 受管政策或自訂政策,依標籤指派許可。如需詳細資訊,請參閱[使用標籤來控制對 IAM 使用者和角色的存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)。
+ 建立具有`trustedadvisor` 命名空間的 IAM 政策。您可使用此政策指定動作和資源的許可。
當您建立政策時,可以指定服務的命名空間,以允許或拒絕動作。的命名空間 Trusted Advisor 為 `trustedadvisor`。不過,您無法使用 `trustedadvisor` 命名空間來允許或拒絕 Trusted Advisor API 中的 支援 API 操作。但針對 支援 ,您必須使用 `support` 命名空間。
**注意**
如果您有 [AWS 支援](https://docs.aws.amazon.com/awssupport/latest/APIReference/) API 的許可, 中的 Trusted Advisor 小工具 AWS 管理主控台 會顯示 Trusted Advisor 結果的摘要檢視。若要在 Trusted Advisor 主控台中檢視結果,您必須擁有 `trustedadvisor` 命名空間的許可。
## Trusted Advisor 動作
您可以在 主控台中執行下列 Trusted Advisor 動作。您也可以在 IAM 政策中指定這些 Trusted Advisor 動作,以允許或拒絕特定動作。
| Action | Description |
| --- | --- |
| `DescribeAccount` | 准許檢視 支援 計劃和各種 Trusted Advisor 偏好設定。 |
| `DescribeAccountAccess` | 准許檢視 AWS 帳戶 是否已啟用或停用 Trusted Advisor。 |
| `DescribeCheckItems` | 准許檢視檢查項目的詳細資訊。 |
| `DescribeCheckRefreshStatuses` | 准許檢視 Trusted Advisor 檢查的重新整理狀態。 |
| `DescribeCheckSummaries` | 准許檢視 Trusted Advisor 檢查摘要。 |
| `DescribeChecks` | 准許檢視 Trusted Advisor 檢查的詳細資訊。 |
| `DescribeNotificationPreferences` | 准許檢視 AWS 帳戶的通知偏好設定。 |
| `ExcludeCheckItems` | 准許排除 Trusted Advisor 檢查的建議。 |
| `IncludeCheckItems` | 准許包含 Trusted Advisor 檢查的建議。 |
| `RefreshCheck` | 准許重新整理 Trusted Advisor 檢查。 |
| `SetAccountAccess` | 准許 Trusted Advisor 啟用或停用帳戶的 。 |
| `UpdateNotificationPreferences` | 准許更新 Trusted Advisor的通知偏好設定。 |
| `DescribeCheckStatusHistoryChanges` | 准許檢視過去 30 天內檢查的結果和變更狀態。 |
### Trusted Advisor 組織檢視的動作
下列 Trusted Advisor 動作適用於組織檢視功能。如需詳細資訊,請參閱[的組織檢視 AWS Trusted Advisor](organizational-view.md)。
| Action | Description |
| --- | --- |
| `DescribeOrganization` | 准許檢視 AWS 帳戶 是否符合啟用組織檢視功能的要求。 |
| `DescribeOrganizationAccounts` | 准許檢視組織中的連結 AWS 帳戶。 |
| `DescribeReports` | 准許檢視組織檢視報告的詳細資訊,例如報告名稱、執行時間、建立日期、狀態和格式。 |
| `DescribeServiceMetadata` | 准許檢視組織檢視報告的相關資訊,例如 AWS 區域、檢查類別、檢查名稱和資源狀態。 |
| `GenerateReport` | 准許建立組織中 Trusted Advisor 檢查的報告。 |
| `ListAccountsForParent` | 准許在 Trusted Advisor 主控台中檢視組織中根或 AWS 組織單位 (OU) 包含的所有帳戶。 |
| `ListOrganizationalUnitsForParent` | 准許在 Trusted Advisor 主控台中檢視父組織單位或根中的所有組織單位 OUs)。 |
| `ListRoots` | 准許在 Trusted Advisor 主控台中檢視 AWS 組織中定義的所有根目錄。 |
| `SetOrganizationAccess` | 准許啟用 的組織檢視功能 Trusted Advisor。 |
### Trusted Advisor 優先順序動作
如果您的 帳戶已啟用 Trusted Advisor Priority,您可以在 主控台中執行下列 Trusted Advisor 動作。您也可以在 IAM 政策中新增這些 Trusted Advisor 動作,以允許或拒絕特定動作。如需詳細資訊,請參閱[Priority 的 IAM 政策範例 Trusted Advisor](#trusted-advisor-priority-policies)。
**注意**
Priority 中顯示的風險 Trusted Advisor 是您的技術客戶經理 (TAM) 為您的帳戶識別的建議。系統會自動為您建立來自 服務的建議,例如 Trusted Advisor 檢查。來自您 TAM 的建議是手動為您建立的。接著,您的 TAM 會傳送這些建議,使其顯示在帳戶的 Trusted Advisor 優先順序中。
如需詳細資訊,請參閱[開始使用 AWS Trusted Advisor Priority](trusted-advisor-priority.md)。
| Action | Description |
| --- | --- |
| `DescribeRisks` | 准許在 Trusted Advisor Priority 中檢視風險。 |
| `DescribeRisk` | 准許在 Trusted Advisor Priority 中檢視風險詳細資訊。 |
| `DescribeRiskResources` | 授予許可以檢視 Trusted Advisor 優先權中風險的受影響資源。 |
| `DownloadRisk` | 准許下載檔案,其中包含 Trusted Advisor Priority 中風險的詳細資訊。 |
| `UpdateRiskStatus` | 授予許可以更新 Trusted Advisor 優先權中的風險狀態。 |
| `DescribeNotificationConfigurations` | 准許取得 Trusted Advisor Priority 的電子郵件通知偏好設定。 |
| `UpdateNotificationConfigurations` | 准許建立或更新 Trusted Advisor Priority 的電子郵件通知偏好設定。 |
| `DeleteNotificationConfigurationForDelegatedAdmin` | 准許組織管理帳戶從委派管理員帳戶中刪除 Trusted Advisor Priority 的電子郵件通知偏好設定。 |
## IAM 政策範例
下列政策會告訴您如何允許和拒絕 Trusted Advisor的存取權。您可以在 IAM 主控台中使用下列其中一項政策來建立*客戶受管政策*。例如,您可以複製範例政策,然後貼到 IAM 主控台的 [JSON 索引標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor)中。然後您可以將政策連接至 IAM 使用者、群組或角色。
如需如何建立 IAM 政策的詳細資訊,請參閱 *IAM 使用者指南*中的[建立 IAM 政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
**Topics**
+ [完整存取 Trusted Advisor](#full-access-trusted-advisor)
+ [的唯讀存取權 Trusted Advisor](#read-only-access-trusted-advisor)
+ [拒絕存取 Trusted Advisor](#no-access-trusted-advisor)
+ [允許和拒絕特定動作](#allow-specific-actions-trusted-advisor)
+ [控制 對 支援 API 操作的存取 Trusted Advisor](#control-access-to-trusted-advisor-deny-support)
+ [Priority 的 IAM 政策範例 Trusted Advisor](#trusted-advisor-priority-policies)
### 完整存取 Trusted Advisor
下列政策可讓使用者在 Trusted Advisor 主控台中檢視所有檢查並採取所有 Trusted Advisor 動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "trustedadvisor:*",
"Resource": "*"
}
]
}
```
------
### 的唯讀存取權 Trusted Advisor
下列政策允許使用者唯讀存取 Trusted Advisor 主控台。使用者無法進行變更,例如重新整理檢查或變更通知偏好設定。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"trustedadvisor:Describe*",
"trustedadvisor:Get*",
"trustedadvisor:List*"
],
"Resource": "*"
}
]
}
```
------
### 拒絕存取 Trusted Advisor
下列政策不允許使用者檢視 Trusted Advisor 主控台中的檢查或對其 Trusted Advisor 採取動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "trustedadvisor:*",
"Resource": "*"
}
]
}
```
------
### 允許和拒絕特定動作
下列政策允許使用者在 Trusted Advisor 主控台中檢視所有 Trusted Advisor 檢查,但不允許他們重新整理任何檢查。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "trustedadvisor:*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "trustedadvisor:RefreshCheck",
"Resource": "*"
}
]
}
```
------
### 控制 對 支援 API 操作的存取 Trusted Advisor
在 中 AWS 管理主控台,單獨的 `trustedadvisor` IAM 命名空間控制對 的存取 Trusted Advisor。您無法使用 `trustedadvisor` 命名空間來允許或拒絕 Trusted Advisor API 中的 支援 API 操作。相反地,您可以使用 `support` 命名空間。您必須擁有 支援 API 的許可,才能以 Trusted Advisor 程式設計方式呼叫 。
例如,如果您想要呼叫 [RefreshTrustedAdvisorCheck](https://docs.aws.amazon.com/awssupport/latest/APIReference/API_RefreshTrustedAdvisorCheck.html) 操作,您必須在政策中具有此動作的許可。
**Example :僅允許 Trusted Advisor API 操作**
下列政策允許使用者存取 的 支援 API 操作 Trusted Advisor,但不允許存取其餘的 支援 API 操作。例如,使用者可以使用 API 來檢視和重新整理檢查。他們無法建立、檢視、更新或解決 AWS 支援 案例。
您可以使用此政策以程式設計方式呼叫 Trusted Advisor API 操作,但您無法使用此政策在 主控台中 Trusted Advisor 檢視或重新整理檢查。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"support:DescribeTrustedAdvisorCheckRefreshStatuses",
"support:DescribeTrustedAdvisorCheckResult",
"support:DescribeTrustedAdvisorChecks",
"support:DescribeTrustedAdvisorCheckSummaries",
"support:RefreshTrustedAdvisorCheck",
"trustedadvisor:Describe*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"support:AddAttachmentsToSet",
"support:AddCommunicationToCase",
"support:CreateCase",
"support:DescribeAttachment",
"support:DescribeCases",
"support:DescribeCommunications",
"support:DescribeServices",
"support:DescribeSeverityLevels",
"support:ResolveCase"
],
"Resource": "*"
}
]
}
```
如需 IAM 如何使用 支援 和 的詳細資訊 Trusted Advisor,請參閱 [動作](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions)。
### Priority 的 IAM 政策範例 Trusted Advisor
您可以使用下列 AWS 受管政策來控制對 Trusted Advisor Priority 的存取。如需詳細資訊,請參閱[AWS 的 受管政策 AWS Trusted Advisor](aws-managed-policies-for-trusted-advisor.md)及[開始使用 AWS Trusted Advisor Priority](trusted-advisor-priority.md)。
## 另請參閱
如需 Trusted Advisor 許可的詳細資訊,請參閱下列資源:
+ *IAM 使用者指南*中的 [AWS Trusted Advisor定義的動作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awstrustedadvisor.html#awstrustedadvisor-actions-as-permissions)。
+ [控制對 Trusted Advisor 主控台的存取權](https://aws.amazon.com/premiumsupport/ta-iam/)
# 的範例服務控制政策 AWS Trusted Advisor
AWS Trusted Advisor 支援服務控制政策 SCPs)。SCP 是您附加至組織中元素的政策,藉此管理該組織內的許可。SCP 適用於[您連接 SCP 之 元素下](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html)的所有 AWS 帳戶。SCP 可集中控制組織中所有帳戶可用的許可上限。它們可協助您確保 AWS 您的帳戶符合組織的存取控制準則。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
**Topics**
+ [先決條件](#prerequisites-trusted-advisor-scps)
+ [服務控制政策的範例](#example-service-control-policies)
## 先決條件
若要使用 SCP,您必須執行下列動作:
+ 啟用您組織的所有功能。如需詳細資訊,請參閱《*AWS Organizations 使用者指南*》中的[啟用組織中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
+ 啟用 SCP 以便於您的組織內使用。如需詳細資訊,請參閱《*AWS Organizations 使用者指南*》中的[啟用和停用政策類型](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html)。
+ 建立您需要的 SCP。如需有關建立 SCP 的詳細資訊,請參閱《*AWS Organizations 使用者指南*》中的[建立、更新和刪除服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html)。
## 服務控制政策的範例
下列範例展示您可以如何控制組織中資源共享的各個層面。
**Example :防止使用者在 Trusted Advisor Engage 中建立或編輯參與**
下列 SCP 可防止使用者建立新的業務開發或編輯現有的業務開發。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"trustedadvisor:CreateEngagement",
"trustedadvisor:UpdateEngagement*"
],
"Resource": [
"*"
]
}
]
}
```
**Example :拒絕 Trusted Advisor Engage 和 Trusted Advisor 優先順序存取**
下列 SCP 可防止使用者存取或執行 Trusted Advisor Engage 和 Trusted Advisor Priority 中的任何動作。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"trustedadvisor:ListEngagement*",
"trustedadvisor:GetEngagement*",
"trustedadvisor:CreateEngagement*",
"trustedadvisor:UpdateEngagement*",
"trustedadvisor:DescribeRisk*",
"trustedadvisor:UpdateRisk*",
"trustedadvisor:DownloadRisk"
],
"Resource": [
"*"
]
}
]
}
```
# 對 AWS 支援 身分和存取進行故障診斷
使用以下資訊來協助您診斷和修正使用 支援 和 IAM 時可能遇到的常見問題。
**Topics**
+ [我未獲授權執行 iam:PassRole](#security_iam_troubleshoot-passrole)
+ [我想要檢視我的存取金鑰](#security_iam_troubleshoot-access-keys)
+ [我是管理員,想要允許其他人存取 支援](#security_iam_troubleshoot-admin-delegate)
+ [我想要允許 AWS 帳戶外的人員存取我的 支援 資源](#security_iam_troubleshoot-cross-account-access)
## 我未獲授權執行 iam:PassRole
如果您收到錯誤,告知您未獲授權執行 `iam:PassRole` 動作,您的政策必須更新,允許您將角色傳遞給 支援。
有些 AWS 服務 可讓您將現有角色傳遞給該服務,而不是建立新的服務角色或服務連結角色。如需執行此作業,您必須擁有將角色傳遞至該服務的許可。
名為 `marymajor` 的 IAM 使用者嘗試使用主控台在 支援中執行動作時,發生下列範例錯誤。但是,動作要求服務具備服務角色授予的許可。Mary 沒有將角色傳遞給服務的許可。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在這種情況下,Mary 的政策必須更新,允許她執行 `iam:PassRole` 動作。
如果您需要協助,請聯絡您的 AWS 管理員。您的管理員提供您的登入憑證。
## 我想要檢視我的存取金鑰
在您建立 IAM 使用者存取金鑰後,您可以隨時檢視您的存取金鑰 ID。但是,您無法再次檢視您的私密存取金鑰。若您遺失了密碼金鑰,您必須建立新的存取金鑰對。
存取金鑰包含兩個部分:存取金鑰 ID (例如 `AKIAIOSFODNN7EXAMPLE`) 和私密存取金鑰 (例如 `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`)。如同使用者名稱和密碼,您必須一起使用存取金鑰 ID 和私密存取金鑰來驗證您的請求。就如對您的使用者名稱和密碼一樣,安全地管理您的存取金鑰。
**重要**
請勿將您的存取金鑰提供給第三方,甚至是協助[尋找您的標準使用者 ID](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId)。透過這樣做,您可以讓某人永久存取您的 AWS 帳戶。
建立存取金鑰對時,您會收到提示,要求您將存取金鑰 ID 和私密存取金鑰儲存在安全位置。私密存取金鑰只會在您建立它的時候顯示一次。若您遺失了私密存取金鑰,您必須將新的存取金鑰新增到您的 IAM 使用者。您最多可以擁有兩個存取金鑰。若您已有兩個存取金鑰,您必須先刪除其中一個金鑰對,才能建立新的金鑰對。若要檢視說明,請參閱《IAM 使用者指南》中的[管理存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)。
## 我是管理員,想要允許其他人存取 支援
若要允許其他人存取 支援,您必須將許可授予需要存取的人員或應用程式。如果您使用 AWS IAM Identity Center 管理人員和應用程式,您可以將許可集指派給使用者或群組,以定義其存取層級。許可集會自動建立 IAM 政策,並將其指派給與該人員或應用程式相關聯的 IAM 角色。如需詳細資訊,請參閱*AWS IAM Identity Center 《 使用者指南*》中的[許可集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)。
如果您不是使用 IAM Identity Center,則必須為需要存取的人員或應用程式建立 IAM 實體 (使用者或角色)。您接著必須將政策連接到實體,在 支援中授予他們正確的許可。授予許可後,請將登入資料提供給使用者或應用程式開發人員。他們將使用這些登入資料來存取 AWS。若要進一步了解如何建立 IAM 使用者、群組、政策和許可,請參閱《IAM **[使用者指南》中的 IAM 身分](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)[和政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
## 我想要允許 AWS 帳戶外的人員存取我的 支援 資源
您可以建立一個角色,讓其他帳戶中的使用者或您組織外部的人員存取您的資源。您可以指定要允許哪些信任物件取得該角色。針對支援基於資源的政策或存取控制清單 (ACL) 的服務,您可以使用那些政策來授予人員存取您的資源的許可。
如需進一步了解,請參閱以下內容:
+ 若要了解 是否 支援 支援這些功能,請參閱 [AWS 支援 如何使用 IAM](security_iam_service-with-iam.md)。
+ 若要了解如何 AWS 帳戶 在您擁有的 資源之間提供存取權,請參閱《[IAM 使用者指南》中的在您擁有 AWS 帳戶 的另一個 IAM 使用者中提供存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)。 **
+ 若要了解如何將資源的存取權提供給第三方 AWS 帳戶,請參閱《*IAM 使用者指南*》中的[將存取權提供給第三方 AWS 帳戶 擁有](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)。
+ 如需了解如何透過聯合身分提供存取權,請參閱《*IAM 使用者指南*》中的[將存取權提供給在外部進行身分驗證的使用者 (聯合身分)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 如需了解使用角色和資源型政策進行跨帳戶存取之間的差異,請參閱《*IAM 使用者指南*》中的 [IAM 中的跨帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。