使用 AWS Support的服務連結角色

AWS Support 工具透過 API 呼叫收集有關資 AWS 源的資訊，以提供客戶服務和技術支援。為了提高支援活動的透明度和可稽核性，請 AWS Support 使用 AWS Identity and Access Management (IAM) 服務連結角色。

AWSServiceRoleForSupport服務連結角色是直接連結到 AWS Support的唯一 IAM 角色。此服務連結角色是預先定義的，其中包含代表您呼叫其他 AWS 服務所 AWS Support 需的權限。

AWSServiceRoleForSupport 服務連結角色信任 support.amazonaws.com 服務來擔任該角色。

為了提供這些服務，角色的預先定義權限會授予資源中繼資料的 AWS Support 存取權，而非客戶資料。只有 AWS Support 工具可以擔任此角色，該角色存在於您的 AWS 帳戶中。

我們會事先刪除可能包含客戶資料的欄位。例如， AWS Step Functions API 呼叫的 Output [GetExecution歷程記錄] Input 和欄位不會顯示 AWS Support。我們使用 AWS KMS keys 來加密敏感欄位。這些欄位會在 API 回應中編輯，而且 AWS Support 代理程式看不到。

注意

AWS Trusted Advisor 使用個別的 IAM 服務連結角色來存取帳戶的 AWS 資源，以提供最佳實務建議和檢查。如需詳細資訊，請參閱 使用 Trusted Advisor的服務連結角色。

AWSServiceRoleForSupport服務連結角色可讓客戶透過 AWS CloudTrail查看所有 AWS Support API 呼叫。這有助於監視和稽核需求，因為它提供了一種透明的方式來瞭解代表您 AWS Support 執行的動作。若要取得有關資訊 CloudTrail，請參閱《AWS CloudTrail 使用指南》。

AWS Support的服務連結角色許可

此角色使用受AWSSupportServiceRolePolicy AWS 管理的策略。此受管政策會連接至角色，提供允許代表您完成動作的角色許可。

可能包括下列動作：

• 帳單、管理、支援和其他客戶服務 — AWS 客戶服務會使用受管理政策授予的權限，在您的支援方案中執行多項服務。這些包括調查和回答帳戶和帳單相關問題、為您的帳戶提供管理支援、提高服務配額，以及提供額外的客戶支援。

• 處理您 AWS 帳戶的服務屬性和使用資料 — AWS Support 可能會使用受管理策略授予的權限來存取您 AWS 帳戶的服務屬性和使用資料。此政策允許 AWS Support 為您的帳戶提供帳單、管理和技術支援。服務屬性包括您帳戶的資源識別碼、中繼資料標籤、角色和許可。用量資料包括使用政策、用量統計資料和分析。

• 維護您帳戶及其資源的運作狀態 — AWS Support 使用自動化工具執行與營運和技術支援相關的動作。

如需允許服務和動作的詳細資訊，請參閱 IAM 主控台中的 AWSSupportServiceRolePolicy 政策。

注意

AWS Support 每月自動更新一次AWSSupportServiceRolePolicy原則，以新增 AWS 服務和動作的權限。

如需詳細資訊，請參閱 AWS 受管理的政策 AWS Support。

建立服務連結角色 AWS Support

您無須手動建立 AWSServiceRoleForSupport 角色。當您建立 AWS 帳號時，系統會自動為您建立和設定此角色。

重要

如果您在開始支援服務連結角色 AWS Support 之前使用過，則會在您的帳戶中 AWS 建立AWSServiceRoleForSupport角色。如需詳細資訊，請參閱我的 IAM 帳戶中出現新角色。

編輯和刪除下列項目的服務連結角色 AWS Support

您可以使用 IAM 來編輯 AWSServiceRoleForSupport 服務連結角色的說明。如需詳細資訊，請參閱 IAM 使用者指南中的編輯服務連結角色。

該AWSServiceRoleForSupport角色對於為您 AWS Support 的帳戶提供管理、操作和技術支援是必要的。因此，無法透過 IAM 主控台、API 或 AWS Command Line Interface (AWS CLI) 刪除此角色。這樣可保護您的 AWS 帳戶，因為您不會無意中移除管理支援服務的必要許可。

如需 AWSServiceRoleForSupport 角色和其使用者的詳細資訊，請聯絡 AWS Support。