管理 re:Post Private 中 AWS Support 案例建立和管理的存取權 - AWS re:Post Private
使用或建立受管政策範例IAM政策建立 IAM 角色故障診斷

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理 re:Post Private 中 AWS Support 案例建立和管理的存取權

您必須建立 AWS Identity and Access Management (IAM) 角色,以管理 AWS re:Post Private 對 AWS Support 案例建立和管理的存取權。此角色會為您執行下列 AWS Support 動作:

建立IAM角色之後,請將IAM政策連接至此角色,讓角色具有完成這些動作所需的許可。您可以在 re:Post Private 主控台中建立私有 re:Post 時選擇此角色。

您私有 re:Post 中的使用者具有您授予IAM角色的相同許可。

重要

如果您變更IAM角色或IAM政策,則您的變更會套用至您設定的私有 re:Post。

請遵循這些程序來建立您的IAM角色和政策。

使用 AWS 受管政策或建立客戶受管政策

若要授予角色許可,您可以使用 AWS 受管政策或 客戶受管政策。

提示

如果您不想手動建立政策,建議您改用 AWS 受管政策,並略過此程序。受管政策會自動擁有 所需的許可 AWS Support。您不需要手動更新政策。如需詳細資訊,請參閱AWS 受管政策: AWSRepostSpaceSupportOperationsPolicy

請遵循此程序,為您的角色建立客戶管理政策。此程序使用IAM主控台中的JSON政策編輯器。

為 re:Post Private 建立客戶受管政策

  1. 登入 AWS Management Console 並在 開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇政策

  3. 選擇 Create policy (建立政策)。

  4. 選擇 JSON 索引標籤。

  5. 輸入您的 JSON,然後在編輯器JSON中取代預設值。您可以使用範例政策

  6. 選擇下一步:標籤

  7. (選用) 您可使用標籤作為金鑰值對,將中繼資料新增至政策。

  8. 選擇下一步:檢閱

  9. 檢閱政策頁面上,輸入名稱 ,例如 rePostPrivateSupportPolicy描述 (選用)。

  10. 檢閱摘要頁面以查看政策允許的許可,然後選擇建立政策

此政策定義角色可以採取的動作。如需詳細資訊,請參閱 IAM 使用者指南 中的建立IAM政策 (主控台)

範例IAM政策

您可以將下列範例政策連接至您的IAM角色。此政策允許角色擁有 所有必要動作的完整許可 AWS Support。使用 角色設定私有 re:Post 後,私有 re:Post 中的任何使用者都有相同的許可。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "RepostSpaceSupportOperations",
			"Effect": "Allow",
			"Action": [
				"support:AddAttachmentsToSet",
				"support:AddCommunicationToCase",
				"support:CreateCase",
				"support:DescribeCases",
				"support:DescribeCommunications",
				"support:ResolveCase"
			],
			"Resource": "*"
		}
	]
}
注意

如需 re:Post Private 的 AWS 受管政策清單,請參閱 AWS AWS re:Post Private 的 受管政策

您可以更新政策以從 移除許可 AWS Support。

如需每個動作的說明,請參閱《服務授權參考》中的下列主題:

建立 IAM 角色

建立政策後,您必須建立IAM角色,然後將政策連接至該角色。您可以在 re:Post Private 主控台中建立私有 re:Post 時選擇此角色。

建立 AWS Support 案例建立和管理的角色

  1. 登入 AWS Management Console 並在 開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)

  3. 對於 Trusted entity type (信任的實體類型),選擇 Custom trust policy (自訂信任政策)。

  4. 針對自訂信任政策 ,輸入下列內容:

    {
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Principal": {
				"Service": "repostspace.amazonaws.com"
			},
			"Action": [
				"sts:AssumeRole",
				"sts:SetSourceIdentity"
			]
		}
	]
}

  5. 選擇 Next (下一步)

  6. 許可政策 下,在搜尋列中輸入您建立的 AWS 受管政策或客戶受管政策,例如 rePostPrivateSupportPolicy。 選取您希望服務擁有的許可政策旁邊的核取方塊。

  7. 選擇 Next (下一步)

  8. 名稱、檢閱和建立頁面上,針對角色名稱 輸入名稱,例如 rePostPrivateSupportRole.

  9. (選用) 針對描述 ,輸入角色的描述。

  10. 檢閱信任政策和許可。

  11. (選用) 您可使用標籤作為金鑰值對,將中繼資料新增至角色。如需在 中使用標籤的詳細資訊IAM,請參閱標記IAM資源

  12. 選擇建立角色。您現在可以在 re:Post Private 主控台中設定私有 re:Post 時選擇此角色。請參閱 建立新的私有 re:Post

如需詳細資訊,請參閱 IAM 使用者指南 中的為 AWS 服務建立角色 (主控台)

故障診斷

請參閱下列主題以管理 re:Post Private 的存取權。

我想要從特定動作限制私有 re:Post 中的特定使用者

依預設,您私有 re:Post 中的使用者具有您連接至您建立IAM之角色IAM的政策中指定的相同許可。這表示私有 re:Post 中的任何人都有讀取或寫入存取權,可建立和管理 AWS Support 案例,無論他們是否有 AWS 帳戶 或 IAM使用者。

建議遵循下列最佳實務:

當我設定私有 re:Post 時,看不到我建立IAM的角色

如果您的IAM角色未出現在 IAM re:Post Private 的角色中;請列出,這表示該角色沒有 re:Post Private 做為信任的實體,或該角色已刪除。您可以更新現有角色,或建立新角色。請參閱 建立 IAM 角色

我IAM的角色缺少許可

您為私有 re:Post 建立IAM的角色需要許可才能執行您想要的動作。例如,如果您希望私有 re:Post 中的使用者建立支援案例,該角色必須具有 support:CreateCase 許可。re:Post Private 會擔任此角色,為您執行這些動作。

如果您收到 缺少許可的錯誤 AWS Support,請確認連接至角色的政策具有必要的許可。

請參閱之前的 範例IAM政策

錯誤表示我的IAM角色無效

確認您已為私有 re:Post 組態選擇正確的角色。