Verwalten des Zugriffs auf die AWS Support-App - AWS Support
Verwenden Sie eine AWS-verwaltete Richtlinie oder erstellen Sie eine vom Kunden verwaltete RichtlinieErstellen Sie eine IAM-RolleFehlerbehebung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwalten des Zugriffs auf die AWS Support-App

Nachdem Sie Berechtigungen für das AWS Support-App-Widget erhalten haben, müssen Sie auch eine AWS Identity and Access Management (IAM)-Rolle erstellen. Diese Rolle führt Aktionen von anderen AWS-Services für Sie aus, wie die AWS Support-API und Service Quotas.

Anschließend fügen Sie dieser Rolle eine IAM-Richtlinie hinzu, damit die Rolle über die erforderlichen Berechtigungen zum Ausführen dieser Aktionen verfügt. Sie wählen diese Rolle aus, wenn Sie Ihre Slack-Kanalkonfiguration in der Support-Center-Konsole erstellen.

Benutzer in Ihrem Slack-Kanal verfügen über dieselben Berechtigungen, die Sie der IAM-Rolle gewähren. Wenn Sie beispielsweise schreibgeschützten Zugriff auf Ihre Support-Fälle festlegen, können Benutzer in Ihrem Slack-Kanal Ihre Support-Fälle anzeigen, aber nicht aktualisieren.

Wichtig

Wenn Sie einen Live-Chat mit Support-Kundendienstmitarbeitern anfordern und einen neuen privaten Kanal als bevorzugten Live-Chat-Kanal auswählen, erstellt die AWS Support-App einen separaten Slack-Kanal. Dieser Slack-Kanal verfügt über dieselben Berechtigungen wie der Kanal, in dem Sie den Fall erstellt oder den Chat initiiert haben.

Wenn Sie die IAM-Rolle oder die IAM-Richtlinie ändern, gelten Ihre Änderungen für den von Ihnen konfigurierten Slack-Kanal und für alle neuen Live-Chat-Slack-Kanäle, die die AWS Support-App für Sie erstellt.

Befolgen Sie diese Verfahren, um Ihre IAM-Rolle und -Richtlinie zu erstellen.

Verwenden Sie eine AWS-verwaltete Richtlinie oder erstellen Sie eine vom Kunden verwaltete Richtlinie

Um Ihrer Rolle Berechtigungen zu gewähren, können Sie entweder eine AWS-verwaltete Richtlinie oder eine vom Kunden verwaltete Richtlinie verwenden.

Tipp

Wenn Sie eine Richtlinie nicht manuell erstellen möchten, empfehlen wir stattdessen, dass Sie eine AWS-verwaltete Richtlinie verwenden und diesen Vorgang überspringen. Verwaltete Richtlinien verfügen automatisch über die erforderlichen Berechtigungen für die AWS Support-App. Sie müssen die Richtlinien nicht manuell aktualisieren. Weitere Informationen finden Sie unter AWS verwaltete Richtlinien für AWS Support Apps in Slack.

Gehen Sie wie folgt vor, um eine vom Kunden verwaltete Richtlinie für Ihre Rolle zu erstellen. Dieses Verfahren verwendet den JSON-Richtlinieneditor in der IAM-Konsole.

So erstellen Sie eine vom Kunden verwaltete Richtlinie für die AWS Support-App

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Policies.

  3. Wählen Sie Create Policy (Richtlinie erstellen) aus.

  4. Wählen Sie den Tab JSON.

  5. Geben Sie Ihren JSON ein und ersetzen Sie dann den Standard-JSON im Editor. Sie können die Beispielrichtlinie verwenden.

  6. Wählen Sie Next: Markierungen (Weiter: Markierungen).

  7. (Optional) Sie können Tags als Schlüssel-Wert-Paare verwenden, um der Richtlinie Metadaten hinzuzufügen.

  8. Wählen Sie Weiter: Prüfen aus.

  9. Geben Sie auf der Seite Review policy (Richtlinie überprüfen) einen Name (Namen), z. B. AWSSupportAppRolePolicy, und eine Description (Beschreibung) (optional) ein.

  10. Überprüfen Sie die Seite Summary (Zusammenfassung), um die Berechtigungen anzuzeigen, die die Richtlinie zulässt, und wählen Sie dann Create policy (Richtlinie erstellen) aus.

Diese Richtlinie definiert die Aktionen, die die Rolle ausführen kann. Weitere Informationen finden Sie unter Erstellen von IAM-Richtlinien (Konsole) im IAM-Benutzerhandbuch.

Beispiel für eine IAM-Richtlinie

Sie können die folgende Beispielrichtlinie Ihrer IAM-Rolle anfügen. Diese Richtlinie lässt der Rolle vollständige Berechtigungen für alle erforderlichen Aktionen für die AWS Support-App zu. Nachdem Sie einen Slack-Kanal mit der Rolle konfiguriert haben, verfügt jeder Benutzer in Ihrem Kanal über die gleichen Berechtigungen.

Anmerkung

Eine Liste der AWS-verwalteten Richtlinien finden Sie unter AWS verwaltete Richtlinien für AWS Support Apps in Slack.

Sie können die Richtlinie aktualisieren, um eine Berechtigung aus der AWS Support-App zu entfernen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "servicequotas:GetRequestedServiceQuotaChange",
                "servicequotas:GetServiceQuota",
                "servicequotas:RequestServiceQuotaIncrease",
                "support:AddAttachmentsToSet",
                "support:AddCommunicationToCase",
                "support:CreateCase",
                "support:DescribeCases",
                "support:DescribeCommunications",
                "support:DescribeSeverityLevels",
                "support:InitiateChatForCase",
                "support:ResolveCase"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:AWSServiceName": "servicequotas.amazonaws.com"}
            }
        }
    ]
}

Beschreibungen der einzelnen Aktionen finden Sie in den folgenden Themen in der Service-Autorisierungsreferenz:

Erstellen Sie eine IAM-Rolle

Nachdem Sie die Richtlinie erstellt haben, müssen Sie eine IAM-Rolle erstellen und die Richtlinie dann dieser Rolle anhängen. Sie wählen diese Rolle aus, wenn Sie eine Slack-Kanalkonfiguration in der Support-Center-Konsole erstellen.

So erstellen Sie eine Rolle für die AWS Support-App

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Roles (Rollen) und dann Create role (Rolle erstellen).

  3. Wählen Sie für Select trusted entity (Vertrauenswürdige Entität auswählen) die Option AWS-Service aus.

  4. Wählen Sie AWS Support-App aus.

  5. Wählen Sie Next: Permissions (Weiter: Berechtigungen) aus.

  6. Geben Sie den Richtliniennamen ein. Sie können die AWS-verwaltete Richtlinie oder eine von Ihnen erstellte vom Kunden verwaltete Richtlinie auswählen, z. B. AWSSupportAppRolePolicy. Aktivieren Sie dann das Kontrollkästchen neben der Richtlinie.

  7. Wählen Sie Next: Markierungen (Weiter: Markierungen).

  8. (Optional) Sie können Tags als Schlüssel-Wert-Paare verwenden, um der Rolle Metadaten hinzuzufügen.

  9. Wählen Sie Weiter: Prüfen aus.

  10. Geben Sie für Role name (Rollenname) einen Namen ein, z. B. AWSSupportAppRole.

  11. (Optional) Geben Sie im Feld Role description (Rollenbeschreibung) eine Beschreibung für die Rolle ein.

  12. Prüfen Sie die Rolle und klicken Sie dann auf Create Role (Rolle erstellen). Sie können diese Rolle jetzt auswählen, wenn Sie einen Slack-Kanal in der Support-Center-Konsole konfigurieren. Siehe Konfigurieren eines Slack-Kanals.

Weitere Informationen finden Sie unter Erstellen einer Rolle für einen AWS-Service im IAM-Benutzerhandbuch.

Fehlerbehebung

Informationen zum Verwalten des Zugriffs auf die AWS Support-App finden Sie in den folgenden Themen.

Ich möchte bestimmte Benutzer in meinem Slack-Kanal von bestimmten Aktionen einschränken

Standardmäßig verfügen Benutzer in Ihrem Slack-Kanal über die gleichen Berechtigungen, die in der IAM-Richtlinie angegeben sind, die Sie der von Ihnen erstellten IAM-Rolle zuordnen. Das bedeutet, dass jeder im Kanal Lese- oder Schreibzugriff auf Ihre Support-Fälle hat, unabhängig davon, ob er über einen AWS-Konto- oder einen IAM-Benutzer verfügt oder nicht.

Wir empfehlen Ihnen, die folgenden bewährten Methoden:

  • Konfigurieren von privaten Slack-Kanälen mit der AWS Support-App

  • Laden Sie nur Benutzer in Ihren Kanal ein, die Zugriff auf Ihre Support-Fälle benötigen

  • Verwenden Sie eine IAM-Richtlinie, die über die minimal erforderlichen Berechtigungen für die AWS Support-App verfügt. Siehe AWS verwaltete Richtlinien für AWS Support Apps in Slack.

Wenn ich einen Slack-Kanal konfiguriere, wird die von mir erstellte IAM-Rolle nicht angezeigt

Wenn Ihre IAM-Rolle nicht in der Liste IAM role for the AWS Support App (IAM-Rolle für die -App angezeigt wird), bedeutet dies, dass die Rolle die AWS Support-App nicht als vertrauenswürdige Entität enthält oder dass die Rolle gelöscht wurde. Sie können die vorhandene Rolle aktualisieren oder eine neue erstellen. Siehe Erstellen Sie eine IAM-Rolle.

Meiner IAM-Rolle fehlt eine Berechtigung

Die IAM-Rolle, die Sie für Ihren Slack-Kanal erstellen, benötigt Berechtigungen, um die von Ihnen gewünschten Aktionen durchzuführen. Wenn Sie beispielwiese möchten, dass Ihre Benutzer in Slack Support-Fälle erstellen, muss die Rolle über die support:CreateCase-Berechtigung verfügen. Die AWS Support-App übernimmt diese Rolle, um diese Aktionen für Sie durchzuführen.

Wenn Sie von der AWS Support-App eine Fehlermeldung über eine fehlende Berechtigung erhalten, überprüfen Sie, ob die Ihrer Rolle zugeordnete Richtlinie über die erforderliche Berechtigung verfügt.

Lesen Sie das vorhergehende Beispiel für eine IAM-Richtlinie.

Eine Slack-Fehlermeldung besagt, dass meine IAM-Rolle nicht gültig ist

Stellen Sie sicher, dass Sie die richtige Rolle für Ihre Kanalkonfiguration ausgewählt haben.

Überprüfen Sie Ihre Rolle wie folgt

  1. Melden Sie sich im AWS Support Center Console auf der Seite https://console.aws.amazon.com/support/app#/config an.

  2. Wählen Sie den Kanal, den Sie mit der AWS Support-App konfiguriert haben.

  3. Suchen Sie im Abschnitt Permissions (Berechtigungen) nach dem von Ihnen gewählten IAM-Rollennamen.

    • Um die Rolle zu ändern, wählen Sie Edit (Bearbeiten), wählen Sie eine andere Rolle und wählen Sie dann Save (Speichern) aus.

    • Um die Rolle oder die der Rolle zugeordneten Richtlinie zu aktualisieren, melden Sie sich in der IAM-Konsole an.

Die AWS Support-App besagt, dass mir eine IAM-Rolle für Service Quotas fehlt

Sie müssen in Ihrem Konto über die AWSServiceRoleForServiceQuotas-Rolle verfügen, um Kontingenterhöhungen aus Service Quotas anzufordern. Wenn Sie eine Fehlermeldung über eine fehlende Ressource erhalten, führen Sie einen der folgenden Schritte aus:

  • Zum Anfordern einer Erhöhung des Kontingents können Sie die Konsole Service Quotas verwenden. Nachdem Sie eine erfolgreiche Anfrage gestellt haben, erstellt Service Quotas diese Rolle automatisch für Sie. Anschließend können Sie die AWS Support-App verwenden, um in Slack eine Erhöhung des Kontingents anzufordern. Weitere Informationen finden Sie unter Anfordern einer Kontingenterhöhung.

  • Aktualisieren Sie die IAM-Richtlinie, die Ihrer Rolle zugeordnet ist. Dadurch wird der Rolle die Berechtigung für Service Quotas gewährt. Der folgende Abschnitt im Beispiel für eine IAM-Richtlinie ermöglicht es der AWS Support-App, die Rolle Service Quotas für Sie zu erstellen. 

    {
    "Effect": "Allow",
    "Action": "iam:CreateServiceLinkedRole",
    "Resource": "*",
    "Condition": {
        "StringEquals": {"iam:AWSServiceName": "servicequotas.amazonaws.com"}
     }
}

Wenn Sie die für Ihren Kanal konfigurierte IAM-Rolle löschen, müssen Sie die Rolle manuell erstellen oder die IAM-Richtlinie aktualisieren, damit die AWS Support-App eine Rolle für Sie erstellen kann.