本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理 AWS 支援 Plans 的存取權
Support Plans 主控台的許可
若要存取 Support Plans 主控台,使用者必須擁有最基本的一組許可。這些許可必須允許使用者列出和檢視 AWS 帳戶中 Support Plans 資源的詳細資訊。
您可以使用 supportplans
命名空間建立 AWS Identity and Access Management (IAM) 政策。您可使用此政策指定動作和資源的許可。
當您建立政策時,可以指定服務的命名空間,以允許或拒絕動作。Support Plans 的命名空間為 supportplans
。
您可以使用 AWS 受管政策,並將其連接至您的 IAM 實體。如需詳細資訊,請參閱AWSAWS 支援 Plans 的 受管政策。
Support Plans 動作
您可以在主控台中執行下列 Support Plans 動作。您也可以在 IAM 政策中指定這些 Support Plans 動作,以允許或拒絕特定動作。
動作 | 描述 |
---|---|
|
准許檢視此 AWS 帳戶的目前支援計劃的詳細資訊。 |
|
准許檢視更新支援計劃之請求狀態的詳細資訊。 |
|
准許啟動更新此 AWS 帳戶支援計劃之請求。 |
|
准許為此 AWS 帳戶建立支援計畫排程。 |
|
准許檢視此項目的所有支援計畫修改器清單 AWS 帳戶。 |
適用於 Support Plans 的範例 IAM 政策
您可使用以下範例政策來管理對 Support Plans 的存取。
完整存取 Support Plans
以下政策允許使用者完整存取 Support Plans。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "supportplans:*", "Resource": "*" } ] }
唯讀存取 Support Plans
以下政策允許唯讀存取 Support Plans。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "supportplans:Get*", "Resource": "*" }, { "Effect": "Allow", "Action": "supportplans:List*", "Resource": "*" }, ] }
拒絕存取 Support Plans
以下政策不允許使用者存取 Support Plans。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "supportplans:*", "Resource": "*" } ] }
故障診斷
請參閱下列主題,以管理對 Support Plans 的存取。
當我嘗試檢視或變更我的支援計畫時,Support Plans 主控台會顯示我缺少 GetSupportPlan
許可
IAM 使用者必須具備必要的許可,才能存取 Support Plans 主控台。您可以更新 IAM 政策以包含缺失的許可,或使用 AWS 受管政策,例如 AWSSupportPlansFullAccess 或 AWSSupportPlansReadOnlyAccess。如需詳細資訊,請參閱AWSAWS 支援 Plans 的 受管政策。
如果您無權更新 IAM 政策,請聯絡您的 AWS 帳戶 管理員。
相關資訊
如需詳細資訊,請參閱《IAM 使用者指南》中的以下主題:
我具有正確的 Support Plans 許可,但我仍然收到相同的錯誤
如果您的 AWS 帳戶 是成員帳戶,則可能需要更新服務控制政策 AWS Organizations(SCP)。SCP 是一種管理組織中的許可的政策類型。
由於 Support Plans 是全域服務,因此限制 AWS 區域 的政策可能會阻止成員帳戶檢視或變更支援計畫。若要允許組織使用全域服務,例如 IAM 和 Support Plans,您必須將服務新增至任何適用 SCP 中的排除清單。這表示組織的帳戶可以存取這些服務,即使 SCP 拒絕指定的 AWS 區域。
若要將 Support Plans 新增為例外狀況,請在 SCP 的 "NotAction"
清單中輸入 "supportplans:*"
。
"supportplans:*",
您的 SCP 可能會顯示為下列政策程式碼片段。
範例 :允許在組織中存取 Support Plans 的 SCP
{ "Version": "2012-10-17",
"Statement": [
{ "Sid": "GRREGIONDENY",
"Effect": "Deny",
"NotAction": [
"aws-portal:*",
"budgets:*",
"chime:*"
"iam:*",
"supportplans:*",
....
如果您具有成員帳戶,無法更新 SCP,請聯絡 AWS 帳戶 帳戶。受管帳戶可能需要更新 SCP,以便所有成員帳戶都可以存取 Support Plans。
的備註 AWS Control Tower
-
如果您的組織搭配 SCP 使用 AWS Control Tower,您可以 AWS 根據請求的控制項 (通常稱為區域拒絕控制項) 更新拒絕存取至 AWS 區域 。
-
如果您更新 的 SCP AWS Control Tower 以允許
supportplans
,修復偏離會移除 SCP 的更新。如需詳細資訊,請參閱偵測並解決偏離 AWS Control Tower。
相關資訊
如需詳細資訊,請參閱下列主題:
-
《AWS Organizations 使用者指南》中的服務控制政策 (SCP)。
-
《AWS Control Tower 使用者指南》中的設定區域拒絕控制。
-
AWS 根據 使用者指南中的 請求拒絕存取 AWS 區域 AWS Control Tower