管理对 AWS Support 套餐的访问权限 - AWS Support
Support Plans 控制台的权限Support Plans 操作Support Plans 的IAM政策示例故障排除

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理对 AWS Support 套餐的访问权限

Support Plans 控制台的权限

要访问 Support Plans 控制台,用户必须拥有一组最低权限。这些权限必须允许用户列出和查看有关 AWS 账户中 Support Plans 资源的详细信息。

您可以使用supportplans命名空间创建 AWS Identity and Access Management (IAM) 策略。您可以使用此策略来指定操作和资源的权限。

创建策略时,可以指定服务的命名空间来允许或拒绝操作。Support Plans 的命名空间为 supportplans

您可以使用 AWS 托管策略并将其附加到您的IAM实体。有关更多信息,请参阅 AWSAWS Support 套餐的托管策略

Support Plans 操作

可以在控制台中执行以下 Support Plans 操作。您还可以在IAM策略中指定这些 Support Plans 操作以允许或拒绝特定操作。

操作 描述

GetSupportPlan

授予查看有关此 AWS 账户当前 Support Plans 详细信息的权限。

GetSupportPlanUpdateStatus

授予查看有关更新 Support Plans 请求状态的详细信息的权限。

StartSupportPlanUpdate

授予启动请求以更新此 AWS 账户支持计划的权限。

CreateSupportPlanSchedule

授予权限以为此 AWS 账户创建支持计划时间表。

Support Plans 的IAM政策示例

您可以使用以下示例策略来管理对 Support Plans 的访问。

对 Support Plans 的完全访问

以下策略允许用户对 Support Plans 进行完全访问。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "supportplans:*",
            "Resource": "*"
        }
    ]
}

对 Support Plans 的只读访问

以下策略允许用户对 Support Plans 进行只读访问。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "supportplans:Get*",
            "Resource": "*"
        }
    ]
}

拒绝对 Support Plans 的访问

以下策略不允许用户访问 Support Plans。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "supportplans:*",
            "Resource": "*"
        }
    ]
}

故障排除

请参阅以下主题以管理对 Support 计划的访问。

尝试查看或更改支持计划时,Support 计划控制台显示缺少 GetSupportPlan 权限

IAM用户必须具有所需的权限才能访问 Support Plans 控制台。您可以更新IAM策略以包含缺失的权限,也可以使用 AWS 托管策略,例如AWSSupportPlansFullAccess或AWSSupportPlansReadOnlyAccess。有关更多信息,请参阅 AWSAWS Support 套餐的托管策略

如果您无权更新IAM政策,请联系您的 AWS 账户 管理员。

有关更多信息,请参阅《IAM用户指南》中的以下主题:

具有正确的 Support 计划权限,但仍然显示相同的错误信息

如果您的账户 AWS 账户 是其中的一员 AWS Organizations,则可能需要更新服务控制政策 (SCP)。SCPs是一种在组织中管理权限的策略。

由于 Support 计划是一项全球服务,因此限制 AWS 区域 的策略可能会阻止成员账户查看或更改其支持计划。要允许您的组织使用全球服务(例如IAM和 Support Plans),您必须将该服务添加到任何适用的例外列表中SCP。这意味着,组织中的账户可以访问这些服务,即使他们指定了SCP拒绝这些服务 AWS 区域。

要将 Support Plans 作为例外情况添加,请在中的"NotAction"列表中输入"supportplans:*"SCP。

"supportplans:*",

您的政策SCP可能会显示为以下政策片段。

例 : 允许 SCP Support Plans 在组织中进行访问
{ "Version":  "2012-10-17",
   "Statement": [
     { "Sid":  "GRREGIONDENY",
       "Effect":  "Deny",
       "NotAction": [    
         "aws-portal:*",
         "budgets:*",
         "chime:*"
         "iam:*",
         "supportplans:*",
         ....

如果您有成员帐户但无法更新SCP,请联系您的 AWS 账户 管理员。管理账户可能需要更新,SCP以便所有成员账户都能访问 Support Plans。

的注意事项 AWS Control Tower

  • 如果您的组织SCP使用 wit AWS Control Tower h,则可以 AWS 根据请求的 AWS 区域控件(通常称为区域拒绝控件)将拒绝访问更新为。

  • 如果您将 f SCP or 更新 AWS Control Tower 为允许supportplans,则修复漂移会移除您对的更新SCP。有关更多信息,请参阅中的检测和解决偏差 AWS Control Tower

有关更多信息,请参阅以下主题: