在 re: Post Private 中管理对 AWS Support 案例创建和管理的访问权限 - AWS re:Post Private

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 re: Post Private 中管理对 AWS Support 案例创建和管理的访问权限

你必须创建一个 AWS Identity and Access Management (IAM) 角色才能管理 reAWS: Post Private 对 AWS Support 案例创建和管理的访问权限。此角色将为您执行以下 AWS Support 操作:

创建IAM角色后,为该角色附加IAM策略,以便该角色拥有完成这些操作所需的权限。当你在 re: Post Private 控制台中创建私人 re: Post 时,你可以选择这个角色。

您的私人 re: Post 中的用户拥有与您授予该IAM角色相同的权限。

重要

如果您更改IAM角色或IAM策略,则所做的更改将应用于您配置的私有 re: Post。

按照以下步骤创建您的IAM角色和策略。

使用 AWS 托管策略或创建客户托管策略

要授予您的角色权限,您可以使用 AWS 托管策略或客户托管策略。

提示

如果您不想手动创建策略,那么我们建议您改用 AWS 托管策略并跳过此过程。托管策略自动拥有所需的权限 AWS Support。您无需手动更新策略。有关更多信息,请参阅 AWS 托管策略: AWSRepostSpaceSupportOperationsPolicy

按照此步骤为您的角色创建客户管理型策略。此过程使用IAM控制台中的JSON策略编辑器。

为 re: Post Private 创建客户托管策略
  1. 登录 AWS Management Console 并打开IAM控制台,网址为https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择策略

  3. 选择创建策略

  4. 选择JSON选项卡。

  5. 输入您的JSON,然后在编辑器JSON中替换默认值。您可以使用示例策略

  6. 选择下一步:标签

  7. (可选)您可以使用标签作为键值对将元数据添加到策略。

  8. 选择下一步:审核

  9. 在 “查看策略” 页面上,输入名称,例如 rePostPrivateSupportPolicy描述(可选)。

  10. 查看 “摘要” 页面以查看该策略允许的权限,然后选择创建策略

此策略定义角色可以执行的操作。有关更多信息,请参阅《IAM用户指南》中的创建IAM策略(控制台)

IAM策略示例

您可以将以下示例策略附加到您的IAM角色。此策略允许该角色拥有执行所有必需操作的完全权限 AWS Support。使用该角色配置私有 re: post 后,您的私人 re: post 中的任何用户都具有相同的权限。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "RepostSpaceSupportOperations", "Effect": "Allow", "Action": [ "support:AddAttachmentsToSet", "support:AddCommunicationToCase", "support:CreateCase", "support:DescribeCases", "support:DescribeCommunications", "support:ResolveCase" ], "Resource": "*" } ] }
注意

有关 re: Post Private 的 AWS 托管策略列表,请参阅。AWS reAWS: Post Private 的托管策略

您可以更新策略以从中移除权限 AWS Support。

有关每项操作的描述,请参阅《服务授权参考》中的以下主题:

创建 IAM 角色

创建策略后,必须创建一个IAM角色,然后将该策略附加到该角色。当你在 re: Post Private 控制台中创建私人 re: Post 时,你可以选择这个角色。

创建 AWS Support 案例创建和管理角色
  1. 登录 AWS Management Console 并打开IAM控制台,网址为https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择 Roles(角色),然后选择 Create role(创建角色)

  3. 对于 Trusted entity type(可信实体类型),选择 Custom trust policy(自定义信任策略)。

  4. 在 “自定义信任策略” 中,输入以下内容:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "repostspace.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetSourceIdentity" ] } ] }
  5. 选择下一步

  6. 权限策略下的搜索栏中,输入您创建的 AWS 托管策略或客户托管策略,例如 rePostPrivateSupportPolicy。 选中您希望该服务拥有的权限策略旁边的复选框。

  7. 选择下一步

  8. 在 “名称、查看和创建” 页面上,在 “角色名称” 中输入一个名称,例如 rePostPrivateSupportRole.

  9. (可选)对于描述,输入角色的描述。

  10. 查看信任策略和权限。

  11. (可选)您可以使用标签作为键值对将元数据添加到角色。有关在中使用标签的更多信息IAM,请参阅为IAM资源添加标签

  12. 选择 Create role(创建角色)。现在,当你在 re: Post Private 控制台中配置私人 re: post 时,你可以选择这个角色。请参阅 创建新的私人 re: Post

有关更多信息,请参阅《IAM用户指南》中的为 AWS 服务创建角色(控制台)

故障排除

要管理 re: Post Private 的访问权限,请参阅以下主题。

我想限制私人 re: Post 中的特定用户执行特定操作

默认情况下,您的私人 re: post 中的用户拥有的权限与您为创建的IAM角色赋予的权限相同。IAM这意味着私人 re: post 中的任何人都有创建和管理 AWS Support 案例的读取或写入权限,无论他们是否有 AWS 账户 IAM用户。

我们建议您遵循以下最佳实操:

当我配置私有 re: post 时,我看不到我创建的IAM角色

如果你的IAM角色没有出现在 re: Post Private; 列表的IAM角色中,则意味着该角色没有 re: Post Private 作为可信实体,或者该角色已被删除。您可以更新现有角色或创建一个新角色。请参阅 创建 IAM 角色

我的IAM角色缺少权限

你为私人 re: post 创建的IAM角色需要权限才能执行你想要的操作。例如,如果您想让私人 re: post 中的用户创建支持案例,则该角色必须具有support:CreateCase权限。re: post Private 担任此角色来为您执行这些操作。

如果您收到有关缺少权限的错误消息 AWS Support,请验证附加到您的角色的策略是否具有所需的权限。

请参阅前面的 IAM策略示例

错误提示我的IAM角色无效

确认您为私有 re: post 配置选择了正确的角色。