管理 AWS Support 應用程式的存取權

擁有 AWS Support 應用程式小工具的許可後，您也必須建立 AWS Identity and Access Management (IAM) 角色。此角色為您執行來自其他 AWS 服務 的動作，例如 AWS Support API 和 Service Quotas。

然後，您可以將 IAM 政策附加到此角色，以便該角色擁有完成這些動作的必要許可。您可以在支援中心主控台中建立 Slack 頻道組態時選擇此角色。

Slack 頻道中的使用者擁有與您授予給 IAM 角色相同的許可。例如，如果您對支援案例指定唯讀存取權，則 Slack 頻道中的使用者可以檢視您的支援案例，但無法更新它們。

重要

當您請求與支援客服人員進行即時聊天並選擇新的私有頻道作為即時聊天頻道偏好時，AWS Support 應用程式會建立個別的 Slack 頻道。此 Slack 頻道擁有與您建立案例或啟動聊天的頻道相同的許可。

如果您變更 IAM 角色或 IAM 政策，您所做的變更將套用至您設定的 Slack 頻道以及 AWS Support 應用程式為您建立的任何新的即時聊天 Slack 頻道。

請依照這些程序建立 IAM 角色和政策。

使用 AWS 受管政策或建立客戶管理政策

若要授與您的角色許可，您可以使用 AWS 受管政策或者客戶管理政策。

提示

如果不想手動建立政策，則可以改用 AWS 受管政策，並跳過此程序。受管政策會自動擁有 AWS Support 應用程式的必要許可。您不需要手動更新政策。如需更多詳細資訊，請參閱 AWS 適用於 Slack 中 AWS Support 應用程式的受管政策。

請遵循此程序，為您的角色建立客戶管理政策。此程序在 IAM 主控台中使用 JSON 政策編輯器。

為 AWS Support 應用程式建立客戶管理政策

1. 登入 AWS Management Console，並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

2. 在導覽窗格中，選擇 政策 。

3. 選擇 Create policy (建立政策)。

4. 請選擇 JSON 標籤。

5. 輸入您的 JSON，然後在編輯器中取代預設 JSON。您可以使用範例政策。

6. 選擇 下一步：標籤 。

7. (選用) 您可使用標籤作為金鑰值對，將中繼資料新增至政策。

8. 選擇 下一步：檢閱 。

9. 在 Review policy (檢閱政策) 頁面，輸入 Name (名稱) (例如 AWSSupportAppRolePolicy) 和 Description (說明) (選用)。

10. 檢閱 Summary (摘要) 頁面以查看政策允許的許可，然後選擇 Create policy (建立政策)。

此政策定義角色可以採取的動作。若需詳細資訊，請參閱《IAM 使用者指南》中的建立 IAM 政策 (主控台)。

IAM 政策範例

可將下列範例政策連接至您的 IAM 角色。此政策允許角色擁有 AWS Support 應用程式的所有必要動作的完整許可。使用該角色設定 Slack 頻道後，頻道中的任何使用者都擁有相同的許可。

注意

如需 AWS 管理政策的清單，請參閱 AWS 適用於 Slack 中 AWS Support 應用程式的受管政策。

您可以更新政策，以便從 AWS Support 應用程式中移除許可。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "servicequotas:GetRequestedServiceQuotaChange",
                "servicequotas:GetServiceQuota",
                "servicequotas:RequestServiceQuotaIncrease",
                "support:AddAttachmentsToSet",
                "support:AddCommunicationToCase",
                "support:CreateCase",
                "support:DescribeCases",
                "support:DescribeCommunications",
                "support:DescribeSeverityLevels",
                "support:InitiateChatForCase",
                "support:ResolveCase"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:AWSServiceName": "servicequotas.amazonaws.com"}
            }
        }
    ]
}

如需每個動作的說明，請參閱《服務授權參考》中的下列主題：

• 適用於 AWS Support 的動作、資源及條件金鑰

• Service Quotas 的動作、資源和條件金鑰

• 適用於 AWS Identity and Access Management 的動作、資源及條件金鑰

建立 IAM 角色

具有政策之後，必須建立 IAM 角色，並將政策連接到該角色。您可以在支援中心主控台中建立 Slack 頻道組態時選擇此角色。

若要為 AWS Support 應用程式建立角色

1. 登入 AWS Management Console，並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

2. 在導覽窗格中，選擇 Roles (角色)，然後選擇 Create role (建立角色)。

3. 在 Select trusted entity (選取受信任實體) 中，請選擇 AWS 服務。

4. 選擇 AWS Support 應用程式。

5. 選擇 Next: Permissions (下一步：許可)。

6. 輸入政策名稱。您可以選擇 AWS 管理政策，或者選擇您建立的客戶管理政策，例如 AWSSupportAppRolePolicy。然後選取政策旁的核取方塊。

7. 選擇 下一步：標籤 。

8. (選用) 您可使用標籤作為金鑰值對，將中繼資料新增至角色。

9. 選擇 下一步：檢閱 。

10. 針對 Role name (角色名稱)，輸入名稱，例如 AWSSupportAppRole。

11. (選用) 在 Role description (角色說明) 中，輸入角色的說明。

12. 檢閱角色，然後選擇 Create role (建立角色)。現在可在支援中心主控台中建立 Slack 頻道時選擇此角色。請參閱 設定 Slack 頻道。

如需詳細資訊，請參閱《IAM 使用者指南》中的建立 AWS 服務的角色。

疑難排解

請參閱下列主題，以管理 AWS Support 應用程式的存取權。

內容

• 我想限制 Slack 頻道中的特定使用者執行特定動作
• 當我設定 Slack 頻道時，看不到我建立的 IAM 角色
• 我的 IAM 角色缺少許可
• Slack 錯誤表示我的 IAM 角色無效
• AWS Support 應用程式指示我缺少 Service Quotas 的 IAM 角色

我想限制 Slack 頻道中的特定使用者執行特定動作

根據預設，Slack 頻道中的使用者擁有連接到您建立的 IAM 角色的 IAM 政策中指定的相同許可。這意味著頻道中的任何人都可以讀取或寫入您的支援案例，無論他們是否擁有 AWS 帳戶 或 IAM 使用者。

建議遵循下列最佳實務：

• 使用 AWS Support 應用程式設定私有 Slack 頻道

• 僅邀請需要存取支援案例的使用者加入您的頻道

• 使用對 AWS Support 應用程式具有最低所需許可的 IAM 政策。請參閱 AWS 適用於 Slack 中 AWS Support 應用程式的受管政策。

當我設定 Slack 頻道時，看不到我建立的 IAM 角色

如果您的 IAM 角色未出現在 AWS Support 應用程式的 IAM 角色清單中，這意味著該角色沒有將 AWS Support 應用程式當作受信任的實體，或者該角色已遭刪除。您可以更新現有角色，或建立新角色。請參閱 建立 IAM 角色。

我的 IAM 角色缺少許可

您為 Slack 頻道建立的 IAM 角色需要許可才能執行您想要的動作。例如，如果您希望 Slack 中的使用者建立支援案例，則該角色必須具有 support:CreateCase 許可。AWS Support 應用程式承擔此角色來為您執行這些動作。

如果您收到關於 AWS Support 應用程式缺少許可的錯誤，請確認附加至您角色的政策是否具有所需許可。

請參閱之前的 IAM 政策範例。

Slack 錯誤表示我的 IAM 角色無效

請確認您為頻道組態選擇了正確的角色。

若要驗證角色

1. 在 https://console.aws.amazon.com/support/app#/config 頁面登入 AWS Support Center Console。

2. 選擇您使用 AWS Support 應用程式設定的頻道。

3. 在 Permissions (許可) 區段中，尋找您選擇的 IAM 角色名稱。

   • 若要變更角色，請選擇 Edit (編輯)，選擇其他角色，然後選擇 Save (儲存)。

   • 若要更新角色或連接至角色的政策，請登入 IAM 主控台。

AWS Support 應用程式指示我缺少 Service Quotas 的 IAM 角色

您必須在帳戶中擁有 AWSServiceRoleForServiceQuotas 角色，才能從 Service Quotas 中請求增加配額。如果您收到有關缺少資源的錯誤，請完成下列其中一個步驟：

• 使用 Service Quotas 主控台請求增加配額。請求成功後，Service Quotas 會自動為您建立此角色。然後，您可以使用 AWS Support 應用程式在 Slack 中請求增加配額。如需詳細資訊，請參閱請求增加配額。

• 更新連接至您角色的 IAM 政策。這會將角色許可授予給 Service Quotas。IAM 政策範例 中的以下部分允許 AWS Support 應用程式為您建立 Service Quotas 角色。

  {
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Condition": {
          "StringEquals": {"iam:AWSServiceName": "servicequotas.amazonaws.com"}
       }
  }

如果刪除您為頻道設定的 IAM 角色，則必須手動建立角色或更新 IAM 政策，以允許 AWS Support 應用程式為您建立一個角色。