本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
選項 2:建立具有最低必要許可的自訂政策
您可以明確允許列出特定動作,而不是使用萬用字元。以下是支援互動、案例建立和案例管理的必要許可:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "support:AddAttachmentsToSet", "support:AddCommunicationToCase", "support:CreateCase", "support:DescribeAttachment", "support:DescribeCaseAttributes", "support:DescribeCases", "support:DescribeCommunication", "support:DescribeCommunications", "support:DescribeCreateCaseOptions", "support:DescribeIssueTypes", "support:DescribeServices", "support:DescribeSeverityLevels", "support:DescribeSupportedLanguages", "support:DescribeSupportLevel", "support:GetInteraction", "support:InitiateCallForCase", "support:ListInteractionEntries", "support:ListInteractions", "support:InitiateChatForCase", "support:PutCaseAttributes", "support:ResolveCase", "support:ResolveInteraction", "support:SearchForCases", "support:StartInteraction", "support:UpdateInteraction", "support-console:GetAccountState", "support-console:GetAccountGovCloudEnabled", "support-console:GetCaseDraft", "support-console:CreateCaseDraft", "support-console:DeleteCaseDraft", "support-console:GetBanner", "support-console:DescribeDynamicHelp", "support-console:CreateContact", ], "Resource": "*" } ] }
如需 IAM 身分所需的 AWS DevOps Agent 許可,請連接下列 AWS 受管政策:
AIDevOpsAgentFullAccess。 提供 DevOps Agent 管理動作的完整存取權。AIDevOpsAgentAccessPolicy。 建立代理程式空間時需要。AIDevOpsOperatorAppAccessPolicy。 啟用 Operator App 存取時需要。
如需動作的完整清單,請參閱AWS DevOps Agent 《 使用者指南》中的 DevOps Agent IAM 許可。
您的 IAM 身分需要 iam:PassRole DevOpsAgentRole-AgentSpace和 DevOpsAgentRole-WebappAdmin角色,因此支援中心主控台可以在第一次設定時代您建立角色時將這些角色傳遞給 DevOps 代理程式。對於 Amazon Elastic Kubernetes Service 叢集的調查,您的 IAM 身分也需要 eks:DescribeAccessEntry、 eks:CreateAccessEntry和 ,eks:AssociateAccessPolicy以便支援中心主控台可以在目標叢集上建立唯讀存取項目。如需存取項目的詳細資訊,請參閱《Amazon Elastic Kubernetes Service 使用者指南》中的使用 Amazon EKS 存取項目授予 IAM 使用者存取 Kubernetes。
注意
使用自訂政策需要持續維護,因為 會 AWS 支援 發行新功能。如需支援中心主控台 API 操作的詳細資訊,請參閱 新增支援中心主控台 API 操作的 IAM 政策。如需每個 支援 API 操作的詳細資訊,請參閱 管理對 AWS 支援 中心的存取。
