本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 管理 AWS 支援 Plans 的存取權
**Topics**
+ [Support Plans 主控台的許可](#using-the-trusted-advisor-console)
+ [Support Plans 動作](#support-plans-actions)
+ [適用於 Support Plans 的範例 IAM 政策](#support-plans-policies)
+ [疑難排解](#troubleshooting-changing-support-plans)
## Support Plans 主控台的許可
若要存取 Support Plans 主控台,使用者必須擁有最基本的一組許可。這些許可必須允許使用者列出和檢視 AWS 帳戶中 Support Plans 資源的詳細資訊。
您可以使用 `supportplans` 命名空間建立 AWS Identity and Access Management (IAM) 政策。您可使用此政策指定動作和資源的許可。
當您建立政策時,可以指定服務的命名空間,以允許或拒絕動作。Support Plans 的命名空間為 `supportplans`。
您可以使用 AWS 受管政策,並將其連接至您的 IAM 實體。如需詳細資訊,請參閱[AWS AWS 支援 Plans 的 受管政策](managed-policies-aws-support-plans.md)。
## Support Plans 動作
您可以在主控台中執行下列 Support Plans 動作。您也可以在 IAM 政策中指定這些 Support Plans 動作,以允許或拒絕特定動作。
| Action | Description |
| --- | --- |
| `GetSupportPlan` | 准許檢視此 AWS 帳戶的目前支援計劃的詳細資訊。 |
| `GetSupportPlanUpdateStatus` | 准許檢視更新支援計劃之請求狀態的詳細資訊。 |
| `StartSupportPlanUpdate` | 准許啟動更新此 AWS 帳戶支援計劃之請求。 |
| `CreateSupportPlanSchedule` | 准許為此 AWS 帳戶建立支援計畫排程。 |
| `ListSupportPlanModifiers ` | 准許檢視所有支援計劃修改程式的清單 AWS 帳戶。 |
## 適用於 Support Plans 的範例 IAM 政策
您可使用以下範例政策來管理對 Support Plans 的存取。
### 完整存取 Support Plans
以下政策允許使用者完整存取 Support Plans。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "supportplans:*",
"Resource": "*"
}
]
}
```
------
### 唯讀存取 Support Plans
以下政策允許唯讀存取 Support Plans。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "supportplans:Get*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "supportplans:List*",
"Resource": "*"
}
]
}
```
------
### 拒絕存取 Support Plans
以下政策不允許使用者存取 Support Plans。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "supportplans:*",
"Resource": "*"
}
]
}
```
------
## 疑難排解
請參閱下列主題,以管理對 Support Plans 的存取。
### 當我嘗試檢視或變更我的支援計畫時,Support Plans 主控台會顯示我缺少 `GetSupportPlan` 許可
IAM 使用者必須具備必要的許可,才能存取 Support Plans 主控台。您可以更新 IAM 政策以包含缺失的許可,或使用 AWS 受管政策,例如 AWSSupportPlansFullAccess 或 AWSSupportPlansReadOnlyAccess。如需詳細資訊,請參閱[AWS AWS 支援 Plans 的 受管政策](managed-policies-aws-support-plans.md)。
如果您無權更新 IAM 政策,請聯絡您的 AWS 帳戶 管理員。
#### 相關資訊
如需詳細資訊,請參閱*《IAM 使用者指南》*中的以下主題:
+ [使用 IAM 政策模擬器測試 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)
+ [對拒絕存取錯誤訊息進行疑難排解](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_access-denied.html)
### 我具有正確的 Support Plans 許可,但我仍然收到相同的錯誤
如果您的 AWS 帳戶 是成員帳戶,可能需要更新 AWS Organizations服務控制政策 (SCP)。SCP 是一種管理組織中的許可的政策類型。
由於 Support Plans 是*全域*服務,因此限制 AWS 區域 的政策可能會阻止成員帳戶檢視或變更支援計畫。若要允許組織使用全域服務,例如 IAM 和 Support Plans,您必須將服務新增至任何適用 SCP 中的排除清單。這表示組織中的帳戶可以存取這些服務,即使 SCP 拒絕指定的 AWS 區域。
若要將 Support Plans 新增為例外狀況,請在 SCP 的 `"NotAction"` 清單中輸入 `"supportplans:*"`。
```
"supportplans:*",
```
您的 SCP 可能會顯示為下列政策程式碼片段。
**Example :允許在組織中存取 Support Plans 的 SCP**
```
{ "Version": "2012-10-17",
"Statement": [
{ "Sid": "GRREGIONDENY",
"Effect": "Deny",
"NotAction": [
"aws-portal:*",
"budgets:*",
"chime:*"
"iam:*",
"supportplans:*",
....
```
如果您具有成員帳戶,無法更新 SCP,請聯絡 AWS 帳戶 帳戶。受管帳戶可能需要更新 SCP,以便所有成員帳戶都可以存取 Support Plans。
**的備註 AWS Control Tower**
如果您的組織搭配 使用 SCP AWS Control Tower,您可以** AWS 根據請求的控制項 (通常稱為區域拒絕控制項) 更新拒絕存取至 AWS 區域** 。
如果您更新 的 SCP AWS Control Tower 以允許 `supportplans`,修復偏離會移除 SCP 的更新。如需詳細資訊,請參閱[偵測和解決偏離 AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html)。
#### 相關資訊
如需詳細資訊,請參閱下列主題:
+ 《AWS Organizations 使用者指南》**中的[服務控制政策 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ 《AWS Control Tower 使用者指南》**中的[設定區域拒絕控制](https://docs.aws.amazon.com/controltower/latest/userguide/region-deny.html)。
+ [AWS 根據《 使用者指南》中請求的 拒絕存取 AWS 區域](https://docs.aws.amazon.com/controltower/latest/userguide/data-residency-controls.html#primary-region-deny-policy) *AWS Control Tower *