本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS Support的服務連結角色
AWS Support 工具會透過API呼叫收集 AWS 資源的相關資訊,以提供客戶服務和技術支援。為了提高支援活動的透明度和可稽核性, Support 會使用 AWS Identity and Access Management (IAM) 服務連結角色。
AWSServiceRoleForSupport 服務連結角色是直接連結的唯一IAM角色 Support。此服務連結角色是預先定義的,其中包含代表您呼叫其他 AWS 服務 Support 所需的許可。
AWSServiceRoleForSupport 服務連結角色信任 support.amazonaws.com 服務來擔任該角色。
若要提供這些服務,角色的預先定義許可會授予資源中繼資料的 Support 存取權,而不是客戶資料。只有 Support 工具可以擔任此角色,而此角色存在於您的帳戶中 AWS 。
我們會事先刪除可能包含客戶資料的欄位。例如, GetExecutionHistory 呼叫的 AWS Step Functions API Input和 Output 欄位不會顯示 Support。我們使用 AWS KMS keys 來加密敏感欄位。這些欄位會在API回應中修訂, AWS Support 客服人員看不到。
注意
AWS Trusted Advisor 使用個別IAM的服務連結角色來存取您 帳戶 AWS 的資源,以提供最佳實務建議和檢查。如需詳細資訊,請參閱使用 Trusted Advisor的服務連結角色。
AWSServiceRoleForSupport 服務連結角色可讓客戶透過 看見所有 AWS Support API通話 AWS CloudTrail。這有助於監控和稽核需求,因為它提供透明的方式來了解代表您 Support 執行的動作。如需 的詳細資訊 CloudTrail,請參閱 AWS CloudTrail 使用者指南。
Support的服務連結角色許可
此角色使用 AWSSupportServiceRolePolicy AWS 受管政策。此受管政策會連接至角色,提供允許代表您完成動作的角色許可。
可能包括下列動作:
-
帳單、管理、支援和其他客戶服務 – AWS 客戶服務會使用 受管政策授予的許可,在您的支援計劃中執行許多服務。這些包括調查和回答帳戶和帳單相關問題、為您的帳戶提供管理支援、提高服務配額,以及提供額外的客戶支援。
-
處理您 AWS 帳戶的服務屬性和用量資料 – Support 可能會使用受管政策授予的許可來存取您 AWS 帳戶的服務屬性和用量資料。此政策允許 為您的帳戶 Support 提供帳單、管理和技術支援。服務屬性包括您帳戶的資源識別碼、中繼資料標籤、角色和許可。用量資料包括使用政策、用量統計資料和分析。
-
維護您帳戶及其資源的運作狀態 – Support 使用自動化工具來執行與操作和技術支援相關的動作。
如需允許之服務和動作的詳細資訊,請參閱 AWSSupportServiceRolePolicy
注意
AWS Support 每月自動更新AWSSupportServiceRolePolicy政策一次,以新增新 AWS 服務和動作的許可。
如需詳細資訊,請參閱AWS 的 受管政策 AWS Support。
為 建立服務連結角色 Support
您無須手動建立 AWSServiceRoleForSupport 角色。當您建立 AWS 帳戶時,系統會自動為您建立和設定此角色。
重要
如果您在服務連結角色開始支援 Support 之前使用 ,則 AWS 會在您的帳戶中建立該AWSServiceRoleForSupport角色。如需詳細資訊,請參閱我的 IAM 帳戶中出現新角色。
編輯和刪除 的服務連結角色 Support
您可以使用 IAM 來編輯 AWSServiceRoleForSupport 服務連結角色的說明。如需詳細資訊,請參閱IAM《 使用者指南》中的編輯服務連結角色。
為您的帳戶 Support 提供管理、操作和技術支援, 需要此AWSServiceRoleForSupport角色。因此,無法透過IAM主控台、 API或 AWS Command Line Interface () 刪除此角色AWS CLI。這樣可保護您的 AWS
帳戶,因為您不會無意中移除管理支援服務的必要許可。
如需 AWSServiceRoleForSupport 角色和其使用者的詳細資訊,請聯絡 Support
