本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 先决条件
您必须满足以下要求才能在 Slack 中使用该 AWS 支持 应用程序:
+ 您有 B AWS usiness Support\$1、E AWS nterprise Suppor AWS t 或统一运营计划。您可以从 AWS Support Center Console 或从[支持计划](https://console.aws.amazon.com/support/plans)页面中查找您的支持计划。有关更多信息,请参阅[比较 AWS 支持 套餐](https://aws.amazon.com/premiumsupport/plans/)。
+ 您已为您的组织创建 [Slack](https://slack.com/) 工作区和通道。您必须是 Slack 工作区管理员,或者有权将应用程序添加到该 Slack 工作区。有关更多信息,请参阅 [Slack 帮助中心](https://slack.com/help/articles/222386767-Manage-app-approval-for-your-workspace)。
+ 您以具有所需权限的 AWS Identity and Access Management (IAM) 用户或角色登录。 AWS 账户 有关更多信息,请参阅 [管理对 AWS 支持 应用程序微件的访问权限](slack-authorization-permissions.md)。
+ 您需要创建一个 IAM 角色,该角色具有执行操作所需的权限。 AWS 支持 应用程序使用此角色对不同的服务进行 API 调用。有关更多信息,请参阅 [管理对 AWS 支持 应用程序的访问权限](support-app-permissions.md)。
**Topics**
+ [
# 管理对 AWS 支持 应用程序微件的访问权限
](slack-authorization-permissions.md)
+ [
# 管理对 AWS 支持 应用程序的访问权限
](support-app-permissions.md)
# 管理对 AWS 支持 应用程序微件的访问权限
您可以附加 AWS Identity and Access Management (IAM) 策略,授予 IAM 用户在中配置 AWS 支持 应用程序小组件的权限 AWS Support Center Console。
有关如何将策略附加到 IAM 实体的更多信息,请参阅《IAM 用户指南》中的[添加 IAM 身份权限(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。
**注意**
您也可以在中以 root 用户身份登录 AWS 账户,但我们不建议您这样做。有关根用户访问权限的更多信息,请参阅《IAM 用户指南》**中的[保护您的根用户凭证,不要将其用于日常任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)。
## 示例 IAM 策略
您可以将以下策略附加到实体上,例如 IAM 用户或群组。此策略允许用户授权 Slack 工作区并在支持中心控制台中配置 Slack 频道。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"supportapp:GetSlackOauthParameters",
"supportapp:RedeemSlackOauthCode",
"supportapp:DescribeSlackChannels",
"supportapp:ListSlackWorkspaceConfigurations",
"supportapp:ListSlackChannelConfigurations",
"supportapp:CreateSlackChannelConfiguration",
"supportapp:DeleteSlackChannelConfiguration",
"supportapp:DeleteSlackWorkspaceConfiguration",
"supportapp:GetAccountAlias",
"supportapp:PutAccountAlias",
"supportapp:DeleteAccountAlias",
"supportapp:UpdateSlackChannelConfiguration",
"iam:ListRoles"
],
"Resource": "*"
}
]
}
```
------
## 将 AWS 支持 应用程序连接到 Slack 所需的权限
该 AWS 支持 应用程序包含与 API 操作不直接对应的仅限权限的操作。[服务授权参考](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssupportappinslack.html)中用“[仅权限]”指明了这些操作。
该 AWS 支持 应用程序使用以下 API 操作连接到 Slack,然后在以下位置列出您的*公共* Slack 频道: AWS Support Center Console
+ `supportapp:GetSlackOauthParameters`
+ `supportapp:RedeemSlackOauthCode`
+ `supportapp:DescribeSlackChannels`
这些 API 操作不应由您的代码调用。因此,这些 API 操作不包含在 AWS CLI 和中 AWS SDKs。
# 管理对 AWS 支持 应用程序的访问权限
获得 AWS 支持 应用程序小组件的权限后,还必须创建一个 AWS Identity and Access Management (IAM) 角色。此角色会为您执行其他 AWS 服务 角色的操作,例如 AWS 支持 API 和 Service Quotas。
然后,您可以将 IAM policy 附加到该角色,以便该角色拥有完成这些操作所需的权限。在支持中心控制台中创建 Slack 通道配置时,您可以选择此角色。
Slack 通道中的用户拥有您授予 IAM 角色的同一权限。例如,如果您为支持案例指定只读访问权限,则 Slack 通道中的用户可以查看您的支持案例,但无法更新支持案例。
**重要**
当您请求与支持代理进行实时聊天并选择新的私人频道作为您的实时聊天频道首选项时, AWS 支持 应用程序会创建一个单独的 Slack 频道。此 Slack 通道拥有与您创建案例或发起聊天的通道相同的权限。
如果您更改 IAM 角色或 IAM 策略,则您的更改将应用于您配置的 Slack 频道以及该 AWS 支持 应用程序为您创建的任何新的实时聊天 Slack 频道。
按照以下步骤创建您的 IAM 角色和策略。
**Topics**
+ [
## 使用 AWS 托管策略或创建客户托管策略
](#create-iam-role-support-app)
+ [
## 创建一个 IAM 角色
](#creating-an-iam-role-for-support-app)
+ [
## 问题排查
](#troubleshooting-permissions-for-support-app)
## 使用 AWS 托管策略或创建客户托管策略
要授予您的角色权限,您可以使用 AWS 托管策略或客户托管策略。
**提示**
如果您不想手动创建策略,我们建议您使用 AWS 托管策略并跳过此过程。托管策略自动拥有 AWS 支持 应用程序所需的权限。您无需手动更新策略。有关更多信息,请参阅 [AWS Slack 中 AWS 支持 应用程序的托管策略](support-app-managed-policies.md)。
按照此步骤为您的角色创建客户管理型策略。此过程使用 IAM 控制台中的 JSON 策略编辑器。
**为 AWS 支持 应用程序创建客户托管策略**
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择**策略**。
1. 选择**创建策略**。
1. 选择 **JSON** 选项卡。
1. 输入您的 JSON,然后在编辑器中替换默认 JSON。您可以使用[示例策略](#example-support-app-policy)。
1. 选择**下一步:标签**。
1. (可选)您可以使用标签作为键值对将元数据添加到策略。
1. 选择**下一步:审核**。
1. 在**查看策略**页面,输入 **Name**(名称),例如 *`AWSSupportAppRolePolicy`* 和 **Description**(描述)(可选)。
1. 查看 **Summary**(摘要)页面以查看策略允许的权限,然后选择 **Create policy**(创建策略)。
此策略定义角色可以执行的操作。有关更多信息,请参阅《IAM 用户指南》中的[创建 IAM policy(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
### 示例 IAM 策略
您可以将下列示例策略附加到 IAM 角色。此策略允许该角色拥有 AWS 支持 应用程序所有必需操作的完全权限。在您为 Slack 通道配置角色后,该通道中的任何用户都具有相同的权限。
**注意**
有关 AWS 托管策略的列表,请参阅[AWS Slack 中 AWS 支持 应用程序的托管策略](support-app-managed-policies.md)。
您可以更新策略以从 AWS 支持 应用程序中移除权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"supportapp:GetSlackOauthParameters",
"supportapp:RedeemSlackOauthCode",
"supportapp:DescribeSlackChannels",
"supportapp:ListSlackWorkspaceConfigurations",
"supportapp:ListSlackChannelConfigurations",
"supportapp:CreateSlackChannelConfiguration",
"supportapp:DeleteSlackChannelConfiguration",
"supportapp:DeleteSlackWorkspaceConfiguration",
"supportapp:GetAccountAlias",
"supportapp:PutAccountAlias",
"supportapp:DeleteAccountAlias",
"supportapp:UpdateSlackChannelConfiguration",
"iam:ListRoles"
],
"Resource": "*"
}
]
}
```
------
有关每项操作的描述,请参阅《服务授权参考》中的以下主题:
+ [AWS 支持的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssupport.html)
+ [服务限额的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html)
+ [的操作、资源和条件键 AWS Identity and Access Management](https://docs.aws.amazon.com/service-authorization/latest/reference/list_identityandaccessmanagement.html)
## 创建一个 IAM 角色
创建策略后,您必须创建 IAM 角色,并将策略附加到该角色。在支持中心控制台中创建 Slack 通道配置时,您可以选择此角色。
**为 AWS 支持 应用程序创建角色**
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择**角色**,然后选择**创建角色**。
1. 对于 **Select trusted entity**(选择受信任实体),选择 **AWS 服务**。
1. 选择 **AWS 支持 App**。
1. 选择**下一步: 权限**。
1. 输入策略名称。您可以选择 AWS 托管策略或选择自己创建的客户托管策略,例如*`AWSSupportAppRolePolicy`*。选中策略旁的复选框。
1. 选择**下一步:标签**。
1. (可选)您可以使用标签作为键值对将元数据添加到角色。
1. 选择**下一步:审核**。
1. 对于 **Role name**(角色名称),输入名称,例如 *`AWSSupportAppRole`*。
1. (可选)对于 **Role description**(角色描述),输入角色的描述。
1. 检查角色,然后选择**创建角色**。在支持中心控制台中创建 Slack 通道配置时,您可以选择此角色。请参阅[配置 Slack 频道](add-your-slack-channel.md)。
有关更多信息,请参阅 *IAM 用户指南*中的[为 AWS 服务创建角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console)。
## 问题排查
要管理对 AWS 支持 应用程序的访问权限,请参阅以下主题。
**Contents**
+ [
### 我想限制 Slack 通道中的特定用户执行特定操作
](#restrict-channel-users)
+ [
### 我配置 Slack 通道时,看不到我创建的 IAM 角色
](#missing-iam-role)
+ [
### 我的 IAM 角色缺少权限
](#missing-permissions-slack)
+ [
### Slack 错误消息显示我的 IAM 角色无效
](#find-the-configured-iam-role)
+ [
### AWS 支持 应用程序显示我缺少 Service Quotas 的 IAM 角色
](#missing-service-quota-role)
### 我想限制 Slack 通道中的特定用户执行特定操作
默认情况下,Slack 通道中的用户拥有的权限与附加到您创建的 IAM 角色中的 IAM policy 所指定的权限相同。这意味着频道中的任何人都可以读取或写入您的支持案例,无论他们是否拥有还是 IAM 用户。 AWS 账户
我们建议您遵循以下最佳实操:
+ 使用应用程序配置私有 Slack 频道 AWS 支持
+ 仅邀请需要访问支持案例的用户加入您的通道
+ 使用对 AWS 支持 App 具有最低所需权限的 IAM policy。请参阅[AWS Slack 中 AWS 支持 应用程序的托管策略](support-app-managed-policies.md)。
### 我配置 Slack 通道时,看不到我创建的 IAM 角色
如果您的 IAM 角色未出现在** AWS 支持 应用程序列表的 IAM 角色**中,则表示该角色没有将 AWS 支持 应用程序作为可信实体,或者该角色已被删除。您可以更新现有角色或创建一个新角色。请参阅[创建一个 IAM 角色](#creating-an-iam-role-for-support-app)。
### 我的 IAM 角色缺少权限
您为 Slack 通道创建的 IAM 角色需要权限才能执行您需要的操作。例如,如果您想让 Slack 中的用户创建支持案例,则该角色必须具有 `support:CreateCase` 权限。 AWS 支持 应用程序扮演此角色来为您执行这些操作。
如果您收到有关 AWS 支持 应用程序缺少权限的错误,请验证附加到您的角色的策略是否具有所需的权限。
请参阅前面的 [示例 IAM 策略](#example-support-app-policy)。
### Slack 错误消息显示我的 IAM 角色无效
请确认您为通道配置选择了正确的角色。
**验证您的角色**
1. 登录 AWS Support Center Console at [https://console.aws.amazon.com/support/app\$1/config 页面](https://console.aws.amazon.com/support/app#/config)。
1. 选择您使用该 AWS 支持 应用程序配置的频道。
1. 从 **Permissions**(权限)部分中,找到您选择的 IAM 角色名称。
+ 若要更改角色,请选择 **Edit**(编辑),选择另一个角色,然后选择 **Save**(保存)。
+ 若要更新角色或附加到该角色的策略,请登录 [IAM 控制台](https://console.aws.amazon.com/iam)。
### AWS 支持 应用程序显示我缺少 Service Quotas 的 IAM 角色
您必须在账户中拥有从服务限额请求增加限额的 `AWSServiceRoleForServiceQuotas` 角色。如果您收到有关缺少资源的错误消息,请完成以下步骤之一:
+ 使用[服务限额](https://console.aws.amazon.com/servicequotas)控制台请求增加限额。成功发送请求后,服务限额会自动为您创建此角色。然后,您可以使用该 AWS 支持 应用程序在 Slack 中请求增加配额。有关更多信息,请参阅 [Requesting a quota increase](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)(请求增加限额)。
+ 更新附加到角色的 IAM policy。这将授予角色对服务限额的权限。中的以下部分[示例 IAM 策略](#example-support-app-policy)允许 AWS 支持 应用程序为您创建 Service Quotas 角色。
```
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {"iam:AWSServiceName": "servicequotas.amazonaws.com"}
}
}
```
如果您删除为频道配置的 IAM 角色,则必须手动创建该角色或更新 IAM 策略以允许 AWS 支持 应用程序为您创建一个。