管理 AWS 支援 Plans 的存取權 - AWS 支援

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理 AWS 支援 Plans 的存取權

Support Plans 主控台的許可

若要存取 Support Plans 主控台,使用者必須擁有最基本的一組許可。這些許可必須允許使用者列出和檢視 AWS 帳戶中 Support Plans 資源的詳細資訊。

您可以使用 supportplans 命名空間建立 AWS Identity and Access Management (IAM) 政策。您可使用此政策指定動作和資源的許可。

當您建立政策時,可以指定服務的命名空間,以允許或拒絕動作。Support Plans 的命名空間為 supportplans

您可以使用 AWS 受管政策,並將其連接至您的 IAM 實體。如需詳細資訊,請參閱AWSAWS 支援 Plans 的 受管政策

Support Plans 動作

您可以在主控台中執行下列 Support Plans 動作。您也可以在 IAM 政策中指定這些 Support Plans 動作,以允許或拒絕特定動作。

動作 描述

GetSupportPlan

准許檢視此 AWS 帳戶的目前支援計劃的詳細資訊。

GetSupportPlanUpdateStatus

准許檢視更新支援計劃之請求狀態的詳細資訊。

StartSupportPlanUpdate

准許啟動更新此 AWS 帳戶支援計劃之請求。

CreateSupportPlanSchedule

准許為此 AWS 帳戶建立支援計畫排程。

ListSupportPlanModifiers

准許檢視此項目的所有支援計畫修改器清單 AWS 帳戶。

適用於 Support Plans 的範例 IAM 政策

您可使用以下範例政策來管理對 Support Plans 的存取。

完整存取 Support Plans

以下政策允許使用者完整存取 Support Plans。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "supportplans:*", "Resource": "*" } ] }

唯讀存取 Support Plans

以下政策允許唯讀存取 Support Plans。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "supportplans:Get*", "Resource": "*" }, { "Effect": "Allow", "Action": "supportplans:List*", "Resource": "*" }, ] }

拒絕存取 Support Plans

以下政策不允許使用者存取 Support Plans。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "supportplans:*", "Resource": "*" } ] }

故障診斷

請參閱下列主題,以管理對 Support Plans 的存取。

當我嘗試檢視或變更我的支援計畫時,Support Plans 主控台會顯示我缺少 GetSupportPlan 許可

IAM 使用者必須具備必要的許可,才能存取 Support Plans 主控台。您可以更新 IAM 政策以包含缺失的許可,或使用 AWS 受管政策,例如 AWSSupportPlansFullAccess 或 AWSSupportPlansReadOnlyAccess。如需詳細資訊,請參閱AWSAWS 支援 Plans 的 受管政策

如果您無權更新 IAM 政策,請聯絡您的 AWS 帳戶 管理員。

如需詳細資訊,請參閱《IAM 使用者指南》中的以下主題:

我具有正確的 Support Plans 許可,但我仍然收到相同的錯誤

如果您的 AWS 帳戶 是成員帳戶,則可能需要更新服務控制政策 AWS Organizations(SCP)。SCP 是一種管理組織中的許可的政策類型。

由於 Support Plans 是全域服務,因此限制 AWS 區域 的政策可能會阻止成員帳戶檢視或變更支援計畫。若要允許組織使用全域服務,例如 IAM 和 Support Plans,您必須將服務新增至任何適用 SCP 中的排除清單。這表示組織的帳戶可以存取這些服務,即使 SCP 拒絕指定的 AWS 區域。

若要將 Support Plans 新增為例外狀況,請在 SCP 的 "NotAction" 清單中輸入 "supportplans:*"

"supportplans:*",

您的 SCP 可能會顯示為下列政策程式碼片段。

範例 :允許在組織中存取 Support Plans 的 SCP
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRREGIONDENY", "Effect": "Deny", "NotAction": [ "aws-portal:*", "budgets:*", "chime:*" "iam:*", "supportplans:*", ....

如果您具有成員帳戶,無法更新 SCP,請聯絡 AWS 帳戶 帳戶。受管帳戶可能需要更新 SCP,以便所有成員帳戶都可以存取 Support Plans。

的備註 AWS Control Tower
  • 如果您的組織搭配 SCP 使用 AWS Control Tower,您可以 AWS 根據請求的控制項 (通常稱為區域拒絕控制項) 更新拒絕存取至 AWS 區域

  • 如果您更新 的 SCP AWS Control Tower 以允許 supportplans,修復偏離會移除 SCP 的更新。如需詳細資訊,請參閱偵測並解決偏離 AWS Control Tower

如需詳細資訊,請參閱下列主題: