本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 re: Post Private 中管理对 AWS Support 案例创建和管理的访问权限
你必须创建一个 AWS Identity and Access Management (IAM) 角色才能管理 reAWS: Post Private 对 AWS Support 案例创建和管理的访问权限。此角色将为您执行以下 AWS Support 操作:
创建IAM角色后,为该角色附加IAM策略,以便该角色拥有完成这些操作所需的权限。当你在 re: Post Private 控制台中创建私人 re: Post 时,你可以选择这个角色。
您的私人 re: Post 中的用户拥有与您授予该IAM角色相同的权限。
重要
如果您更改IAM角色或IAM策略,则所做的更改将应用于您配置的私有 re: Post。
按照以下步骤创建您的IAM角色和策略。
使用 AWS 托管策略或创建客户托管策略
要授予您的角色权限,您可以使用 AWS 托管策略或客户托管策略。
提示
如果您不想手动创建策略,那么我们建议您改用 AWS 托管策略并跳过此过程。托管策略自动拥有所需的权限 AWS Support。您无需手动更新策略。有关更多信息,请参阅 AWS 托管策略: AWSRepostSpaceSupportOperationsPolicy。
按照此步骤为您的角色创建客户管理型策略。此过程使用IAM控制台中的JSON策略编辑器。
为 re: Post Private 创建客户托管策略
登录 AWS Management Console 并打开IAM控制台,网址为https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择策略。
-
选择创建策略。
-
选择JSON选项卡。
-
输入您的JSON,然后在编辑器JSON中替换默认值。您可以使用示例策略。
-
选择下一步:标签。
-
(可选)您可以使用标签作为键值对将元数据添加到策略。
-
选择下一步:审核。
-
在 “查看策略” 页面上,输入名称,例如
和描述(可选)。rePostPrivateSupportPolicy
-
查看 “摘要” 页面以查看该策略允许的权限,然后选择创建策略。
此策略定义角色可以执行的操作。有关更多信息,请参阅《IAM用户指南》中的创建IAM策略(控制台)。
IAM策略示例
您可以将以下示例策略附加到您的IAM角色。此策略允许该角色拥有执行所有必需操作的完全权限 AWS Support。使用该角色配置私有 re: post 后,您的私人 re: post 中的任何用户都具有相同的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RepostSpaceSupportOperations", "Effect": "Allow", "Action": [ "support:AddAttachmentsToSet", "support:AddCommunicationToCase", "support:CreateCase", "support:DescribeCases", "support:DescribeCommunications", "support:ResolveCase" ], "Resource": "*" } ] }
注意
有关 re: Post Private 的 AWS 托管策略列表,请参阅。AWS reAWS: Post Private 的托管策略
您可以更新策略以从中移除权限 AWS Support。
有关每项操作的描述,请参阅《服务授权参考》中的以下主题:
创建 IAM 角色
创建策略后,必须创建一个IAM角色,然后将该策略附加到该角色。当你在 re: Post Private 控制台中创建私人 re: Post 时,你可以选择这个角色。
创建 AWS Support 案例创建和管理角色
登录 AWS Management Console 并打开IAM控制台,网址为https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择 Roles(角色),然后选择 Create role(创建角色)。
-
对于 Trusted entity type(可信实体类型),选择 Custom trust policy(自定义信任策略)。
-
在 “自定义信任策略” 中,输入以下内容:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "repostspace.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetSourceIdentity" ] } ] }
-
选择下一步。
-
在权限策略下的搜索栏中,输入您创建的 AWS 托管策略或客户托管策略,例如
。 选中您希望该服务拥有的权限策略旁边的复选框。rePostPrivateSupportPolicy
-
选择下一步。
-
在 “名称、查看和创建” 页面上,在 “角色名称” 中输入一个名称,例如
.rePostPrivateSupportRole
-
(可选)对于描述,输入角色的描述。
-
查看信任策略和权限。
-
(可选)您可以使用标签作为键值对将元数据添加到角色。有关在中使用标签的更多信息IAM,请参阅为IAM资源添加标签。
-
选择 Create role(创建角色)。现在,当你在 re: Post Private 控制台中配置私人 re: post 时,你可以选择这个角色。请参阅 创建新的私人 re: Post。
有关更多信息,请参阅《IAM用户指南》中的为 AWS 服务创建角色(控制台)。
故障排除
要管理 re: Post Private 的访问权限,请参阅以下主题。
我想限制私人 re: Post 中的特定用户执行特定操作
默认情况下,您的私人 re: post 中的用户拥有的权限与您为创建的IAM角色赋予的权限相同。IAM这意味着私人 re: post 中的任何人都有创建和管理 AWS Support 案例的读取或写入权限,无论他们是否有 AWS 账户 IAM用户。
我们建议您遵循以下最佳实操:
-
使用具有最低所需权限的IAM策略 AWS Support。请参阅 AWS 托管策略: AWSRepostSpaceSupportOperationsPolicy。
当我配置私有 re: post 时,我看不到我创建的IAM角色
如果你的IAM角色没有出现在 re: Post Private; 列表的IAM角色中,则意味着该角色没有 re: Post Private 作为可信实体,或者该角色已被删除。您可以更新现有角色或创建一个新角色。请参阅 创建 IAM 角色。
我的IAM角色缺少权限
你为私人 re: post 创建的IAM角色需要权限才能执行你想要的操作。例如,如果您想让私人 re: post 中的用户创建支持案例,则该角色必须具有support:CreateCase
权限。re: post Private 担任此角色来为您执行这些操作。
如果您收到有关缺少权限的错误消息 AWS Support,请验证附加到您的角色的策略是否具有所需的权限。
请参阅前面的 IAM策略示例。
错误提示我的IAM角色无效
确认您为私有 re: post 配置选择了正确的角色。