Gestione degli accessi all'app AWS Support - AWS Support
Usa una policy gestita da AWS o crea una policy gestita dal clienteCreazione di un ruolo IAMRisoluzione dei problemi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione degli accessi all'app AWS Support

Dopo avere ottenuto le autorizzazioni per il widget dell'app AWS Support, è necessario creare anche un ruolo AWS Identity and Access Management (IAM). Questo ruolo esegue operazioni da altri AWS servizi per tuo conto, come l'API AWS Support e Service Quotas.

Quindi colleghi una policy IAM a questo ruolo in modo che il ruolo disponga delle autorizzazioni necessarie per completare queste operazioni. Scegli questo ruolo quando crei la configurazione del tuo canale Slack nella console del Centro assistenza.

Gli utenti del tuo canale Slack dispongono delle stesse autorizzazioni che concedi al ruolo IAM. Ad esempio, se specifichi l'accesso in sola lettura ai tuoi casi di supporto, gli utenti del tuo canale Slack possono visualizzare i casi ma non possono aggiornarli.

Importante

Quando chiedi una chat dal vivo con un agente dell'assistenza e scegli un nuovo canale privato come canale di chat dal vivo, l'app AWS Support crea un canale Slack separato. Questo canale Slack dispone delle stesse autorizzazioni del canale in cui hai creato il caso o avviato la chat.

Se modifichi il ruolo IAM o la policy IAM, le modifiche si applicano al canale Slack che hai configurato e a qualsiasi nuovo canale Slack di live chat che l'app AWS Support crea per te.

Segui queste procedure per creare il ruolo e la policy IAM.

Usa una policy gestita da AWS o crea una policy gestita dal cliente

Per concedere le autorizzazioni relative al ruolo, puoi utilizzare una policy gestita da AWS o una policy gestita dal cliente.

Suggerimento

Se non desideri creare una policy manualmente, ti consigliamo di utilizzare una policy gestita da AWS e saltare questa procedura. Le policy gestite dispongono automaticamente delle autorizzazioni necessarie per l'app AWS Support. Non è necessario aggiornare le policy manualmente. Per ulteriori informazioni, consulta AWS politiche gestite per AWS Support App in Slack.

Segui questa procedura per creare una policy gestita dal cliente per il tuo ruolo. Questa procedura utilizza l'editor di policy JSON nella console IAM.

Come creare una policy gestita dal cliente per l'app AWS Support

  1. Accedi alla AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, seleziona Policies (Policy).

  3. Scegli Create Policy (Crea policy).

  4. Scegliere la scheda JSON.

  5. Inserisci il tuo JSON, quindi sostituisci il JSON predefinito nell'editor. Puoi utilizzare la policy di esempio.

  6. Scegli Successivo: Tag.

  7. (Facoltativo) Puoi aggiungere metadati alla policy collegando i tag come coppie chiave-valore.

  8. Seleziona Next: Revisione.

  9. Nella pagina Review policy (Rivedi policy), immetti un Name (Nome), ad esempio AWSSupportAppRolePolicy, e una Description (Descrizione) facoltativa.

  10. Rivedi la pagina Summary (Riepilogo) per controllare le autorizzazioni concesse dalla policy, quindi seleziona Create policy (Crea policy).

Questa policy definisce le operazioni che questo ruolo può eseguire. Per ulteriori informazioni, consulta la pagina Creazione di policy IAM (console) nella Guida per l'utente di IAM.

Policy IAM di esempio

Puoi collegare al tuo ruolo IAM la seguente policy di esempio. Questa policy concede al ruolo autorizzazioni complete per tutte le operazioni richieste per l'app AWS Support. Dopo aver configurato un canale Slack con il ruolo, qualsiasi utente del tuo canale dispone delle stesse autorizzazioni.

Nota

Per un elenco delle policy gestite da AWS, consulta la pagina AWS politiche gestite per AWS Support App in Slack.

Puoi aggiornare la policy per rimuovere un'autorizzazione dall'app AWS Support.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "servicequotas:GetRequestedServiceQuotaChange",
                "servicequotas:GetServiceQuota",
                "servicequotas:RequestServiceQuotaIncrease",
                "support:AddAttachmentsToSet",
                "support:AddCommunicationToCase",
                "support:CreateCase",
                "support:DescribeCases",
                "support:DescribeCommunications",
                "support:DescribeSeverityLevels",
                "support:InitiateChatForCase",
                "support:ResolveCase"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:AWSServiceName": "servicequotas.amazonaws.com"}
            }
        }
    ]
}

Per le descrizioni di ciascuna operazione, consulta i seguenti argomenti nella documentazione di riferimento sulle autorizzazioni dei servizi:

Creazione di un ruolo IAM

Dopo avere creato la policy, devi creare un ruolo IAM e collegare la policy a tale ruolo. Scegli questo ruolo quando crei una configurazione del canale Slack nella console del Centro assistenza.

Come creare un ruolo per l'app AWS Support

  1. Accedi alla AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegli Ruoli e quindi Crea ruolo.

  3. In Select trusted entity (Seleziona entità attendibile), scegli AWS servizio.

  4. Seleziona l'app AWS Support.

  5. Scegliere Successivo: Autorizzazioni.

  6. Inserisci il nome della policy. Puoi scegliere la policy gestita da AWS o una policy gestita dal cliente che hai creato, ad esempio AWSSupportAppRolePolicy. Dopodiché, seleziona la casella di controllo accanto alla policy.

  7. Scegli Successivo: Tag.

  8. (Facoltativo) Puoi aggiungere metadati al ruolo collegando i tag come coppie chiave-valore.

  9. Seleziona Next: Revisione.

  10. In Role name (Nome ruolo), digita un nome, come AWSSupportAppRole.

  11. (Facoltativo) In Role description (Descrizione ruolo), immettere una descrizione per il nuovo ruolo.

  12. Rivedere il ruolo e scegliere Crea ruolo. Ora puoi scegliere questo ruolo quando configuri un canale Slack nella console del Centro assistenza. Per informazioni, consultare Configurazione di un canale Slack.

Per ulteriori informazioni, consulta la pagina Creazione di un ruolo per un servizio AWS nella Guida per l'utente di IAM.

Risoluzione dei problemi

Consulta i seguenti argomenti per gestire l'accesso all'app AWS Support.

Desidero limitare determinate operazioni a utenti specifici del mio canale Slack

Per impostazione predefinita, gli utenti del tuo canale Slack dispongono delle stesse autorizzazioni specificate nella policy IAM che colleghi al ruolo IAM che crei. Ciò significa che chiunque si trovi nel canale dispone dell'accesso in lettura o in scrittura ai tuoi casi di supporto, indipendentemente dal fatto che abbia o meno un Account AWS o sia un utente IAM.

È preferibile seguire le best practice seguenti:

  • Configurare i canali Slack come privati con l'app AWS Support

  • Invitare al canale solo gli utenti che hanno effettivo bisogno di accedere ai casi di supporto

  • Utilizzare una policy IAM con le autorizzazioni minime richieste per l'app AWS Support. Per informazioni, consultare AWS politiche gestite per AWS Support App in Slack.

Quando configuro un canale Slack, non vedo il ruolo IAM che ho creato

Se il tuo ruolo IAM non compare nell'elenco dei ruoli IAM per l'app AWS Support, significa che il ruolo non ha impostato l'app AWS Support come entità attendibile o che il ruolo è stato eliminato. Puoi aggiornare il ruolo esistente oppure crearne un altro. Per informazioni, consultare Creazione di un ruolo IAM.

Al mio ruolo IAM manca un'autorizzazione

Il ruolo IAM che crei per il tuo canale Slack deve disporre delle autorizzazioni per eseguire le operazioni che ti interessano. Ad esempio, se desideri che i tuoi utenti in Slack creino casi di supporto, il ruolo deve disporre dell'autorizzazione support:CreateCase. L'app AWS Support assume questo ruolo per eseguire queste operazioni per tuo conto.

Se viene visualizzato un errore relativo a un'autorizzazione mancante dall'app AWS Support, verifica che la policy collegata al tuo ruolo disponga dell'autorizzazione richiesta.

Consulta la Policy IAM di esempio precedente.

Un errore di Slack segnala che il mio ruolo IAM non è valido

Verifica di avere scelto il ruolo corretto per la configurazione del canale.

Come verificare il ruolo

  1. Accedi a AWS Support Center Console alla pagina https://console.aws.amazon.com/support/app#/config.

  2. Scegli il canale che hai configurato con l'app AWS Support.

  3. Nella sezione Permissions (Autorizzazioni), trova il nome del ruolo IAM che hai scelto.

    • Per cambiare il ruolo, scegli Edit (Modifica), seleziona un altro ruolo e scegli Save (Salva).

    • Per aggiornare il ruolo o la policy collegata al ruolo, accedi alla Console IAM.

L'app AWS Support segnala l'assenza di un ruolo IAM per Service Quotas

È necessario che l'account disponga del ruolo AWSServiceRoleForServiceQuotas per richiedere aumenti delle quote da Service Quotas. Se ricevi un errore relativo a una risorsa mancante, completa uno dei seguenti passaggi:

  • Per richiedere l'aumento di una quota, è possibile utilizzare la console Service Quotas. Quando inoltri correttamente una richiesta, Service Quotas crea automaticamente questo ruolo. Dopodiché, puoi utilizzare l'app AWS Support per richiedere aumenti delle quote in Slack. Per ulteriori informazioni, consulta la sezione Richiesta di un aumento di quota.

  • Aggiorna la policy IAM collegata al tuo ruolo. In questo modo, al ruolo viene concessa l'autorizzazione per accedere a Service Quotas. La sezione seguente (Policy IAM di esempio) autorizza l'app AWS Support a creare il ruolo Service Quotas per l'utente. 

    {
    "Effect": "Allow",
    "Action": "iam:CreateServiceLinkedRole",
    "Resource": "*",
    "Condition": {
        "StringEquals": {"iam:AWSServiceName": "servicequotas.amazonaws.com"}
     }
}

Se elimini il ruolo IAM che configuri per il tuo canale, devi creare manualmente il ruolo o aggiornare la policy IAM per autorizzare l'app AWS Support a crearne uno per te.