Support Plans 控制台的权限 Support Plans 操作 Support Plans 的IAM政策示例故障排除

管理对 AWS Support 套餐的访问权限

主题

Support Plans 控制台的权限
Support Plans 操作
Support Plans 的IAM政策示例
故障排除

Support Plans 控制台的权限

要访问 Support Plans 控制台，用户必须拥有一组最低权限。这些权限必须允许用户列出和查看有关 AWS 账户中 Support Plans 资源的详细信息。

您可以使用supportplans命名空间创建 AWS Identity and Access Management (IAM) 策略。您可以使用此策略来指定操作和资源的权限。

创建策略时，可以指定服务的命名空间来允许或拒绝操作。Support Plans 的命名空间为 supportplans。

您可以使用 AWS 托管策略并将其附加到您的IAM实体。有关更多信息，请参阅 AWSAWS Support 计划的托管策略。

Support Plans 操作

可以在控制台中执行以下 Support Plans 操作。您还可以在IAM策略中指定这些 Support Plans 操作以允许或拒绝特定操作。

操作	描述
`GetSupportPlan`	授予查看有关此 AWS 账户当前 Support Plans 详细信息的权限。
`GetSupportPlanUpdateStatus`	授予查看有关更新 Support Plans 请求状态的详细信息的权限。
`StartSupportPlanUpdate`	授予启动请求以更新此 AWS 账户支持计划的权限。
`CreateSupportPlanSchedule`	授予权限以为此 AWS 账户创建支持计划时间表。
`ListSupportPlanModifiers`	授予查看与此相关的所有支持计划修改器列表的 AWS 账户权限。

Support Plans 的IAM政策示例

您可以使用以下示例策略来管理对 Support Plans 的访问。

对 Support Plans 的完全访问

以下策略允许用户对 Support Plans 进行完全访问。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "supportplans:*",
            "Resource": "*"
        }
    ]
}

对 Support Plans 的只读访问

以下策略允许用户对 Support Plans 进行只读访问。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "supportplans:Get*",
            "Resource": "*"
        },
        {       
            "Effect": "Allow",
            "Action": "supportplans:List*",
            "Resource": "*"
        },
    ]
}

拒绝对 Support Plans 的访问

以下策略不允许用户访问 Support Plans。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "supportplans:*",
            "Resource": "*"
        }
    ]
}

故障排除

请参阅以下主题以管理对 Support 计划的访问。

尝试查看或更改支持计划时，Support 计划控制台显示缺少 `GetSupportPlan` 权限

IAM用户必须具有所需的权限才能访问 Support Plans 控制台。您可以更新IAM策略以包含缺失的权限或使用 AWS 托管策略，例如 AWSSupportPlansFullAccess 或者 AWSSupportPlansReadOnlyAccess。有关更多信息，请参阅AWSAWS Support 计划的托管策略。

如果您无权更新IAM政策，请联系您的 AWS 账户管理员。

有关更多信息，请参阅《IAM用户指南》中的以下主题：

具有正确的 Support 计划权限，但仍然显示相同的错误信息

如果您的账户 AWS 账户是其中的一员 AWS Organizations，则可能需要更新服务控制政策 (SCP)。SCPs是一种在组织中管理权限的策略。

由于 Support 计划是一项全球服务，因此限制 AWS 区域的策略可能会阻止成员账户查看或更改其支持计划。要允许您的组织使用全球服务（例如IAM和 Support Plans），您必须将该服务添加到任何适用的排除列表中SCP。这意味着组织中的账户可以访问这些服务，即使他们指定了SCP拒绝这些服务 AWS 区域。

要将 Support Plans 作为例外情况添加，请在中的"NotAction"列表中输入"supportplans:*"SCP。


"supportplans:*",

您的政策SCP可能会显示为以下政策片段。

例 : 允许 SCP Support Plans 在组织中进行访问


{ "Version":  "2012-10-17",
   "Statement": [
     { "Sid":  "GRREGIONDENY",
       "Effect":  "Deny",
       "NotAction": [    
         "aws-portal:*",
         "budgets:*",
         "chime:*"
         "iam:*",
         "supportplans:*",
         ....

如果您有成员帐户但无法更新SCP，请联系您的 AWS 账户管理员。管理账户可能需要更新，SCP以便所有成员账户都能访问 Support Plans。

的注意事项 AWS Control Tower

如果您的组织SCP使用 wit AWS Control Tower h，则可以 AWS 根据请求的 AWS 区域控件（通常称为区域拒绝控件）将拒绝访问更新为。
如果您将 f SCP or 更新 AWS Control Tower 为允许supportplans，则修复漂移会移除您对的更新SCP。有关更多信息，请参阅中的检测和解决偏差 AWS Control Tower。

有关更多信息，请参阅以下主题：

《AWS Organizations 用户指南》中的@@ 服务控制策略 (SCPs)。
《AWS Control Tower 用户指南》中的配置区域拒绝控制
AWS 根据AWS Control Tower 用户指南 AWS 区域中的要求拒绝访问

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

管理对 Cent AWS Support er 的访问权限

管理对的访问权限 AWS Trusted Advisor