Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Gestion de l'accès à l' AWS Support application
<a name="support-app-permissions"></a>

Une fois que vous êtes autorisé à accéder au widget AWS Support App, vous devez également créer un rôle Gestion des identités et des accès AWS (IAM). Ce rôle exécute Services AWS pour vous des actions effectuées par d'autres personnes, telles que l' AWS Support API et les Service Quotas. 

Vous associez ensuite une politique IAM à ce rôle afin qu'il dispose des autorisations nécessaires pour effectuer ces actions. Vous choisissez ce rôle lorsque vous créez la configuration de votre canal Slack dans la console du centre de support.

Les utilisateurs de votre canal Slack ont les mêmes autorisations que celles que vous accordez au rôle IAM. Par exemple, si vous spécifiez un accès en lecture seule à vos cas de support, les utilisateurs de votre canal Slack peuvent voir vos cas de support, mais ne peuvent pas les mettre à jour.

**Important**  
Lorsque vous demandez un chat en direct avec un agent d'assistance et que vous choisissez un nouveau canal privé comme canal de chat en direct préféré, l' AWS Support application crée un canal Slack distinct. Ce canal Slack a les mêmes autorisations que le canal où vous avez créé le cas ou initié le chat.   
Si vous modifiez le rôle ou la politique IAM, vos modifications s'appliquent au canal Slack que vous avez configuré et à tous les nouveaux canaux Slack de chat en direct créés pour vous par l' AWS Support application.

Suivez ces procédures pour créer votre rôle et votre politique IAM.

**Topics**
+ [Utiliser une politique AWS gérée ou créer une politique gérée par le client](#create-iam-role-support-app)
+ [Créer un rôle IAM](#creating-an-iam-role-for-support-app)
+ [Résolution des problèmes](#troubleshooting-permissions-for-support-app)

## Utiliser une politique AWS gérée ou créer une politique gérée par le client
<a name="create-iam-role-support-app"></a>

Pour accorder des autorisations à votre rôle, vous pouvez utiliser une politique AWS gérée ou une politique gérée par le client. 

**Astuce**  
Si vous ne voulez pas créer une politique manuellement, nous vous conseillons d'utiliser une politique gérée par AWS à la place et d'ignorer cette procédure. Les politiques gérées disposent automatiquement des autorisations requises pour l' AWS Support application. Vous n'avez pas besoin de mettre à jour les politiques manuellement. Pour de plus amples informations, veuillez consulter [AWS politiques gérées pour les AWS Support applications dans Slack](support-app-managed-policies.md).

Suivez cette procédure pour créer une politique gérée par le client pour votre rôle. Cette procédure utilise l'éditeur de politique JSON dans la console IAM. 

**Pour créer une politique gérée par le client pour l' AWS Support application**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **Politiques**. 

1. Choisissez **Create Policy** (Créer une politique).

1. Choisissez l'onglet **JSON**.

1. Saisissez votre JSON, puis remplacez le JSON par défaut dans l'éditeur. Vous pouvez utiliser l'[exemple de politique](#example-support-app-policy).

1. Choisissez **Suivant : Balises**.

1. (Facultatif) Vous pouvez utiliser des balises comme paires clé-valeur pour ajouter des métadonnées à la politique.

1. Choisissez **Suivant : Vérification**.

1. Dans la page **Review policy** (Vérifier la politique), saisissez un **Name** (Nom), tel que *`AWSSupportAppRolePolicy`*, et une **Description** (facultatif). 

1. Examinez la page **Summary** (Résumé) pour voir les autorisations que la politique autorise, puis cliquez sur **Create policy** (Créer une politique).

Cette politique définit les actions que le rôle peut prendre. Pour plus d'informations, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) dans le *Guide de l'utilisateur IAM*. 

### Exemple de politique IAM
<a name="example-support-app-policy"></a>

Vous pouvez associer l'exemple de politique suivant à votre rôle IAM. Cette politique permet au rôle de disposer d'autorisations complètes pour toutes les actions requises pour l' AWS Support application. Après avoir configuré un canal Slack avec le rôle, tout utilisateur dans votre canal a les mêmes autorisations.

**Note**  
Pour obtenir la liste des politiques AWS gérées, consultez[AWS politiques gérées pour les AWS Support applications dans Slack](support-app-managed-policies.md).

Vous pouvez mettre à jour la politique pour supprimer une autorisation de l' AWS Support application.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "supportapp:GetSlackOauthParameters",
                "supportapp:RedeemSlackOauthCode",
                "supportapp:DescribeSlackChannels",
                "supportapp:ListSlackWorkspaceConfigurations",
                "supportapp:ListSlackChannelConfigurations",
                "supportapp:CreateSlackChannelConfiguration",
                "supportapp:DeleteSlackChannelConfiguration",
                "supportapp:DeleteSlackWorkspaceConfiguration",
                "supportapp:GetAccountAlias",
                "supportapp:PutAccountAlias",
                "supportapp:DeleteAccountAlias",
                "supportapp:UpdateSlackChannelConfiguration",
                "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Pour obtenir des descriptions de chaque action, consultez les rubriques suivantes dans la *référence de l'autorisation de service* :
+ [Actions, ressources et clés de condition pour AWS Support](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssupport.html)
+ [Actions, ressources et clés de condition pour Service Quotas](https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html)
+ [Actions, ressources et clés de condition pour Gestion des identités et des accès AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_identityandaccessmanagement.html)

## Créer un rôle IAM
<a name="creating-an-iam-role-for-support-app"></a>

Après avoir créé la politique, vous devez créer un rôle IAM, puis associer la politique à ce rôle. Vous choisissez ce rôle lorsque vous créez une configuration de canal Slack dans la console du centre de support.

**Pour créer un rôle pour l' AWS Support application**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.

1. Pour **Select trusted entity** (Sélectionner une entité de confiance), choisissez **Service AWS**. 

1. Choisissez **Application AWS Support **.

1. Choisissez **Suivant : Autorisations**.

1. Saisissez le nom de la politique. Vous pouvez choisir la politique AWS gérée ou choisir une politique gérée par le client que vous avez créée, telle que*`AWSSupportAppRolePolicy`*. Ensuite, cochez la case à côté de la politique.

1. Choisissez **Suivant : Balises**.

1. (Facultatif) Vous pouvez utiliser des balises comme paires clé-valeur pour ajouter des métadonnées au rôle.

1. Choisissez **Suivant : Vérification**. 

1. Pour **Role name** (Nom du rôle), saisissez un nom, tel que *`AWSSupportAppRole`*.

1. (Facultatif) Dans le champ **Role description** (Description du rôle), saisissez la description du nouveau rôle.

1. Passez en revue les informations du rôle, puis choisissez **Créer un rôle**. Vous pouvez maintenant choisir ce rôle lorsque vous configurez un canal Slack dans la console du centre de support. Consultez [Configuration d'un canal Slack](add-your-slack-channel.md).

Pour plus d'informations, consultez la section [Création d'un rôle pour un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console) dans le *Guide de l'utilisateur IAM*.

## Résolution des problèmes
<a name="troubleshooting-permissions-for-support-app"></a>

Consultez les rubriques suivantes pour gérer l'accès à l' AWS Support application.

**Contents**
+ [Je veux interdire des actions spécifiques à certains utilisateurs de mon canal Slack](#restrict-channel-users)
+ [Lorsque je configure un canal Slack, je ne vois pas le rôle IAM que j'ai créé](#missing-iam-role)
+ [Il manque une autorisation à mon rôle IAM](#missing-permissions-slack)
+ [Une erreur Slack indique que mon rôle IAM n'est pas valide](#find-the-configured-iam-role)
+ [L' AWS Support application indique qu'il me manque un rôle IAM pour Service Quotas](#missing-service-quota-role)

### Je veux interdire des actions spécifiques à certains utilisateurs de mon canal Slack
<a name="restrict-channel-users"></a>

Par défaut, les utilisateurs de votre canal Slack ont les mêmes autorisations que celles spécifiées dans la politique IAM que vous associez au rôle IAM que vous créez. Cela signifie que tous les membres de la chaîne ont accès en lecture ou en écriture à vos dossiers d'assistance, qu'ils aient Compte AWS ou non un utilisateur IAM.

Nous recommandons les bonnes pratiques suivantes :
+ Configurer les chaînes privées de Slack avec l'application AWS Support 
+ N'invitez à votre canal que les utilisateurs qui ont besoin d'accéder à vos cas de support
+ Utilisez une politique IAM qui dispose des autorisations minimales requises pour l'application AWS Support . Consultez [AWS politiques gérées pour les AWS Support applications dans Slack](support-app-managed-policies.md).

### Lorsque je configure un canal Slack, je ne vois pas le rôle IAM que j'ai créé
<a name="missing-iam-role"></a>

Si votre rôle IAM n'apparaît pas dans le **rôle IAM pour la liste des AWS Support applications**, cela signifie que l' AWS Support application n'est pas une entité fiable pour le rôle ou que le rôle a été supprimé. Vous pouvez mettre à jour le rôle existant ou en créer un autre. Consultez [Créer un rôle IAM](#creating-an-iam-role-for-support-app).

### Il manque une autorisation à mon rôle IAM
<a name="missing-permissions-slack"></a>

Le rôle IAM que vous créez pour votre canal Slack a besoin d'autorisations pour effectuer les actions que vous voulez. Par exemple, si vous voulez que vos utilisateurs dans Slack créent des cas de support, le rôle doit avoir l'autorisation `support:CreateCase`. L' AWS Support application assume ce rôle pour effectuer ces actions pour vous. 

Si vous recevez un message d'erreur concernant une autorisation manquante dans l' AWS Support application, vérifiez que la politique associée à votre rôle dispose de l'autorisation requise.

Voir le [Exemple de politique IAM](#example-support-app-policy) précédent.

### Une erreur Slack indique que mon rôle IAM n'est pas valide
<a name="find-the-configured-iam-role"></a>

Vérifiez que vous avez choisi le rôle correct pour votre configuration de canal.

**Pour vérifier votre rôle**

1. Connectez-vous à la page AWS Support Center Console [https://console.aws.amazon.com/support/app\$1/config](https://console.aws.amazon.com/support/app#/config).

1. Choisissez le canal que vous avez configuré avec l' AWS Support application.

1. Dans la section **Permissions** (Autorisations), trouvez le nom du rôle IAM que vous avez choisi.
   + Pour modifier le rôle, sélectionnez **Edit** (Modifier), choisissez un autre rôle, puis sélectionnez **Save** (Enregistrer). 
   + Pour mettre à jour le rôle ou la politique associée au rôle, connectez-vous à la [console IAM](https://console.aws.amazon.com/iam).

### L' AWS Support application indique qu'il me manque un rôle IAM pour Service Quotas
<a name="missing-service-quota-role"></a>

Vous devez avoir le rôle `AWSServiceRoleForServiceQuotas` dans votre compte pour demander des augmentations de quota à Service Quotas. Si vous recevez une erreur concernant une ressource manquante, effectuez l'une des étapes suivantes :
+ Utilisez la console [Service Quotas](https://console.aws.amazon.com/servicequotas) pour demander une augmentation de quota. Après avoir effectué une demande réussie, Service Quotas crée automatiquement ce rôle pour vous. Vous pouvez ensuite utiliser l' AWS Support application pour demander des augmentations de quotas dans Slack. Pour plus d'informations, consultez [Demande d'augmentation de quota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html).
+ Mettez à jour la politique IAM associée à votre rôle. Ceci accorde au rôle l'autorisation pour Service Quotas. La section suivante [Exemple de politique IAM](#example-support-app-policy) permet à l' AWS Support application de créer le rôle Service Quotas pour vous. 

  ```
  {
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Condition": {
          "StringEquals": {"iam:AWSServiceName": "servicequotas.amazonaws.com"}
       }
  }
  ```

Si vous supprimez le rôle IAM que vous avez configuré pour votre chaîne, vous devez le créer manuellement ou mettre à jour la politique IAM pour permettre à l' AWS Support application d'en créer un pour vous.