AWS Support 플랜에 대한 액세스 관리 - AWS Support
Support 플랜 콘솔에 대한 권한Support 플랜 작업지원 계획에 대한 IAM 정책 예제문제 해결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Support 플랜에 대한 액세스 관리

Support 플랜 콘솔에 대한 권한

Support Plans 콘솔에 액세스하려면 사용자에게 최소 권한 집합이 있어야 합니다. 이러한 권한은 사용자가 AWS 계정에서 Support Plans 리소스에 대한 세부 정보를 나열하고 볼 수 있도록 허용해야 합니다.

supportplans 네임스페이스를 사용하여 AWS Identity and Access Management (IAM) 정책을 생성할 수 있습니다. 이 정책을 사용하여 작업 및 리소스에 대한 권한을 지정할 수 있습니다.

정책을 생성할 때 서비스의 네임스페이스를 지정하여 작업을 허용하거나 거부할 수 있습니다. Support 플랜의 네임스페이스는 supportplans입니다.

AWS 관리형 정책을 사용하여 IAM엔터티에 연결할 수 있습니다. 자세한 내용은 AWSAWS Support 플랜에 대한 관리형 정책 단원을 참조하십시오.

Support 플랜 작업

콘솔에서 다음 Support Plans 작업을 수행할 수 있습니다. IAM 정책에서 이러한 지원 계획 작업을 지정하여 특정 작업을 허용하거나 거부할 수도 있습니다.

작업 설명

GetSupportPlan

이 AWS 계정에 대한 현재 지원 플랜에 대한 자세한 정보를 확인할 권한을 부여합니다.

GetSupportPlanUpdateStatus

지원 플랜 업데이트 요청에 대한 자세한 상태 정보를 확인할 권한을 부여합니다.

StartSupportPlanUpdate

이 AWS 계정에 대한 지원 플랜 업데이트 요청을 시작할 권한을 부여합니다.

CreateSupportPlanSchedule

이 AWS 계정에 대한 지원 플랜 스케줄을 생성할 수 있는 권한을 부여합니다.

ListSupportPlanModifiers

이 에 대한 모든 지원 계획 수정자 목록을 볼 수 있는 권한을 부여합니다 AWS 계정.

지원 계획에 대한 IAM 정책 예제

다음 정책 예제를 사용하면 Support Plans에 대한 액세스를 관리할 수 있습니다.

Support 플랜에 대한 모든 액세스

다음 정책은 사용자의 Support Plans에 대한 모든 액세스를 허용합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "supportplans:*",
            "Resource": "*"
        }
    ]
}

Support 플랜에 대한 읽기 전용 액세스

다음 정책은 Support Plans에 대한 읽기 전용 액세스를 허용합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "supportplans:Get*",
            "Resource": "*"
        },
        {       
            "Effect": "Allow",
            "Action": "supportplans:List*",
            "Resource": "*"
        },
    ]
}

Support 플랜에 대한 액세스 거부

다음 정책은 사용자의 Support Plans에 대한 모든 액세스를 허용하지 않습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "supportplans:*",
            "Resource": "*"
        }
    ]
}

문제 해결

다음 항목을 참조하여 Support 플랜에 대한 액세스를 관리합니다.

지원 플랜을 보거나 변경하려고 하면 Support 플랜 콘솔에 GetSupportPlan 권한이 누락되었다고 표시됩니다.

IAM 사용자는 Support Plans 콘솔에 액세스하는 데 필요한 권한이 있어야 합니다. 누락된 권한을 포함하도록 IAM 정책을 업데이트하거나 다음과 같은 관리형 AWS 정책을 사용할 수 있습니다.AWSSupportPlansFullAccess 또는 AWSSupportPlansReadOnlyAccess. 자세한 내용은 섹션을 참조하세요AWSAWS Support 플랜에 대한 관리형 정책.

IAM 정책을 업데이트할 수 있는 액세스 권한이 없는 경우 관리자에게 문의하세요 AWS 계정 .

자세한 내용은 IAM 사용 설명서의 다음 주제를 참조하세요.

올바른 Support 플랜 권한이 있지만 여전히 같은 오류가 발생합니다.

AWS 계정 가 의 일부인 멤버 계정인 경우 서비스 제어 정책(SCP) AWS Organizations을 업데이트해야 할 수 있습니다. SCPs 는 조직의 권한을 관리하는 정책의 한 유형입니다.

Support 플랜은 글로벌 서비스이기 때문에 AWS 리전 제한 정책으로 인해 회원 계정에서 지원 플랜을 보거나 변경하지 못할 수 있습니다. IAM 및 지원 플랜과 같은 조직의 글로벌 서비스를 허용하려면 해당 서비스를 해당 의 제외 목록에 추가해야 합니다SCP. 즉, 가 지정된 를 SCP 거부하더라도 조직의 계정이 이러한 서비스에 액세스할 수 있습니다 AWS 리전.

지원 계획을 예외로 추가하려면 "supportplans:*""NotAction" 목록에 를 입력합니다SCP.

"supportplans:*",

가 다음 정책 코드 조각으로 표시될 SCP 수 있습니다.

예 : 조직에서 Support Plans 액세스를 SCP 허용하는
{ "Version":  "2012-10-17",
   "Statement": [
     { "Sid":  "GRREGIONDENY",
       "Effect":  "Deny",
       "NotAction": [    
         "aws-portal:*",
         "budgets:*",
         "chime:*"
         "iam:*",
         "supportplans:*",
         ....

멤버 계정이 있고 를 업데이트할 수 없는 경우 관리자에게 SCP문의하세요 AWS 계정 . 관리 계정은 모든 멤버 계정이 지원 계획에 액세스할 수 SCP 있도록 를 업데이트해야 할 수 있습니다.

참고 사항 AWS Control Tower

  • 조직에서 SCP와 함께 를 사용하는 경우 요청된 제어(일반적으로 리전 거부 제어라고 함)를 AWS 기반으로 액세스 거부를 AWS 리전 로 업데이트할 AWS Control Tower수 있습니다.

  • 를 허용 AWS Control Tower 하도록 SCP 용 를 업데이트하면 드리프트를 supportplans복구하면 에 대한 업데이트가 제거됩니다SCP. 자세한 내용은 의 드리프트 감지 및 해결을 AWS Control Tower 참조하세요.

자세한 정보는 다음 주제를 참조하세요.