Gestion de l'accès à l'application AWS Support - AWS Support
Utiliser une politique gérée par AWS ou créer une politique gérée par le clientCréer un rôle IAMRésolution des problèmes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion de l'accès à l'application AWS Support

Après avoir obtenu les autorisations pour le widget de l'application AWS Support, vous devez également créer un rôle AWS Identity and Access Management (IAM). Ce rôle exécute des actions d'autres services AWS pour vous, comme l'API AWS Support et Service Quotas.

Vous associez ensuite une politique IAM à ce rôle afin qu'il dispose des autorisations nécessaires pour effectuer ces actions. Vous choisissez ce rôle lorsque vous créez la configuration de votre canal Slack dans la console du centre de support.

Les utilisateurs de votre canal Slack ont les mêmes autorisations que celles que vous accordez au rôle IAM. Par exemple, si vous spécifiez un accès en lecture seule à vos cas de support, les utilisateurs de votre canal Slack peuvent voir vos cas de support, mais ne peuvent pas les mettre à jour.

Important

Lorsque vous demandez un chat en direct avec un agent de support et que vous choisissez un nouveau canal privé comme canal de chat en direct préféré, l'application AWS Support crée un canal Slack distinct. Ce canal Slack a les mêmes autorisations que le canal où vous avez créé le cas ou initié le chat.

Si vous modifiez le rôle IAM ou la politique IAM, vos modifications s'appliquent au canal Slack que vous avez configuré et à tout nouveau canal Slack de chat en direct que l'application AWS Support crée pour vous.

Suivez ces procédures pour créer votre rôle et votre politique IAM.

Utiliser une politique gérée par AWS ou créer une politique gérée par le client

Pour accorder des autorisations à votre rôle, vous pouvez utiliser une politique gérée par AWS ou une politique gérée par le client.

Astuce

Si vous ne voulez pas créer une politique manuellement, nous vous conseillons d'utiliser une politique gérée par AWS à la place et d'ignorer cette procédure. Les politiques gérées disposent automatiquement des autorisations requises pour l'application AWS Support. Vous n'avez pas besoin de mettre à jour les politiques manuellement. Pour de plus amples informations, veuillez consulter AWS politiques gérées pour les AWS Support applications dans Slack.

Suivez cette procédure pour créer une politique gérée par le client pour votre rôle. Cette procédure utilise l'éditeur de politique JSON dans la console IAM.

Pour créer une politique gérée par le client pour l'application AWS Support

  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Policies (Politiques).

  3. Sélectionnez Créer une politique.

  4. Choisissez l'onglet JSON.

  5. Saisissez votre JSON, puis remplacez le JSON par défaut dans l'éditeur. Vous pouvez utiliser l'exemple de politique.

  6. Choisissez Next: Tags (Suivant : Balises).

  7. (Facultatif) Vous pouvez utiliser des balises comme paires clé-valeur pour ajouter des métadonnées à la politique.

  8. Choisissez Next: Review (Suivant : Vérification).

  9. Dans la page Review policy (Vérifier la politique), saisissez un Name (Nom), tel que AWSSupportAppRolePolicy, et une Description (facultatif).

  10. Examinez la page Summary (Résumé) pour voir les autorisations que la politique autorise, puis cliquez sur Create policy (Créer une politique).

Cette politique définit les actions que le rôle peut prendre. Pour plus d'informations, consultez Création de politiques IAM (console) dans le Guide de l'utilisateur IAM.

Exemple de politique IAM

Vous pouvez associer l'exemple de politique suivant à votre rôle IAM. Cette politique permet au rôle d'avoir des autorisations complètes pour toutes les actions requises pour l'application AWS Support. Après avoir configuré un canal Slack avec le rôle, tout utilisateur dans votre canal a les mêmes autorisations.

Note

Pour une liste des politiques gérées par AWS, consultez AWS politiques gérées pour les AWS Support applications dans Slack.

Vous pouvez mettre à jour la politique pour supprimer une autorisation de l'application AWS Support.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "servicequotas:GetRequestedServiceQuotaChange",
                "servicequotas:GetServiceQuota",
                "servicequotas:RequestServiceQuotaIncrease",
                "support:AddAttachmentsToSet",
                "support:AddCommunicationToCase",
                "support:CreateCase",
                "support:DescribeCases",
                "support:DescribeCommunications",
                "support:DescribeSeverityLevels",
                "support:InitiateChatForCase",
                "support:ResolveCase"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:AWSServiceName": "servicequotas.amazonaws.com"}
            }
        }
    ]
}

Pour obtenir des descriptions de chaque action, consultez les rubriques suivantes dans la référence de l'autorisation de service :

Créer un rôle IAM

Après avoir créé la politique, vous devez créer un rôle IAM, puis associer la politique à ce rôle. Vous choisissez ce rôle lorsque vous créez une configuration de canal Slack dans la console du centre de support.

Pour créer un rôle pour l'application AWS Support

  1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, sélectionnez Rôles, puis Créer un rôle.

  3. Pour Select trusted entity (Sélectionner une entité de confiance), choisissez service AWS.

  4. Choisissez Application AWS Support.

  5. Sélectionnez Next: Permissions (Étape suivante : autorisations).

  6. Saisissez le nom de la politique. Vous pouvez choisir la politique gérée par AWS ou sélectionner une politique gérée par le client que vous avez créée, telle que AWSSupportAppRolePolicy. Ensuite, cochez la case à côté de la politique.

  7. Choisissez Next: Tags (Suivant : Balises).

  8. (Facultatif) Vous pouvez utiliser des balises comme paires clé-valeur pour ajouter des métadonnées au rôle.

  9. Choisissez Next: Review (Suivant : Vérification).

  10. Pour Role name (Nom du rôle), saisissez un nom, tel que AWSSupportAppRole.

  11. (Facultatif) Dans le champ Role description (Description du rôle), saisissez la description du nouveau rôle.

  12. Passez en revue les informations du rôle, puis choisissez Créer un rôle. Vous pouvez maintenant choisir ce rôle lorsque vous configurez un canal Slack dans la console du centre de support. Consultez Configuration d'un canal Slack.

Pour plus d'informations, consultez Création d'un rôle pour un service AWS dans le Guide de l'utilisateur IAM.

Résolution des problèmes

Consultez les rubriques suivantes pour gérer l'accès à l'application AWS Support.

Je veux interdire des actions spécifiques à certains utilisateurs de mon canal Slack

Par défaut, les utilisateurs de votre canal Slack ont les mêmes autorisations que celles spécifiées dans la politique IAM que vous associez au rôle IAM que vous créez. Cela signifie que toute personne dans le canal a un accès en lecture ou en écriture à vos cas de support, qu'elle ait ou non un Compte AWS ou un utilisateur IAM.

Nous recommandons les bonnes pratiques suivantes :

  • Configurez des canaux Slack privés avec l'application AWS Support

  • N'invitez à votre canal que les utilisateurs qui ont besoin d'accéder à vos cas de support

  • Utilisez une politique IAM qui dispose des autorisations minimales requises pour l'application AWS Support. Consultez AWS politiques gérées pour les AWS Support applications dans Slack.

Lorsque je configure un canal Slack, je ne vois pas le rôle IAM que j'ai créé

Si votre rôle IAM n'apparaît pas dans la liste des rôles IAM pour l'application AWS Support, cela signifie que le rôle n'a pas l'application AWS Support comme entité de confiance, ou que le rôle a été supprimé. Vous pouvez mettre à jour le rôle existant ou en créer un autre. Consultez Créer un rôle IAM.

Il manque une autorisation à mon rôle IAM

Le rôle IAM que vous créez pour votre canal Slack a besoin d'autorisations pour effectuer les actions que vous voulez. Par exemple, si vous voulez que vos utilisateurs dans Slack créent des cas de support, le rôle doit avoir l'autorisation support:CreateCase. L'application AWS Support assume ce rôle pour exécuter ces actions à votre place.

Si vous recevez une erreur concernant une autorisation manquante de la part de l'application AWS Support, vérifiez que la politique associée à votre rôle possède l'autorisation requise.

Voir le Exemple de politique IAM précédent.

Une erreur Slack indique que mon rôle IAM n'est pas valide

Vérifiez que vous avez choisi le rôle correct pour votre configuration de canal.

Pour vérifier votre rôle

  1. Connectez-vous à la AWS Support Center Console sur la page https://console.aws.amazon.com/support/app#/config.

  2. Choisissez le canal que vous avez configuré avec l'application AWS Support.

  3. Dans la section Permissions (Autorisations), trouvez le nom du rôle IAM que vous avez choisi.

    • Pour modifier le rôle, sélectionnez Edit (Modifier), choisissez un autre rôle, puis sélectionnez Save (Enregistrer).

    • Pour mettre à jour le rôle ou la politique associée au rôle, connectez-vous à la console IAM.

L'application AWS Support indique qu'il me manque un rôle IAM pour Service Quotas

Vous devez avoir le rôle AWSServiceRoleForServiceQuotas dans votre compte pour demander des augmentations de quota à Service Quotas. Si vous recevez une erreur concernant une ressource manquante, effectuez l'une des étapes suivantes :

  • Utilisez la console Service Quotas pour demander une augmentation de quota. Après avoir effectué une demande réussie, Service Quotas crée automatiquement ce rôle pour vous. Ensuite, vous pouvez utiliser l'application AWS Support pour demander des augmentations de quotas dans Slack. Pour plus d'informations, consultez Demande d'augmentation de quota.

  • Mettez à jour la politique IAM associée à votre rôle. Ceci accorde au rôle l'autorisation pour Service Quotas. La section suivante dans le Exemple de politique IAM permet à l'application AWS Support de créer le rôle Service Quotas pour vous. 

    {
    "Effect": "Allow",
    "Action": "iam:CreateServiceLinkedRole",
    "Resource": "*",
    "Condition": {
        "StringEquals": {"iam:AWSServiceName": "servicequotas.amazonaws.com"}
     }
}

Si vous supprimez le rôle IAM que vous configurez pour votre canal, vous devez créer manuellement le rôle ou mettre à jour la politique IAM pour permettre à l'application AWS Support d'en créer un pour vous.