本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 管理对 AWS 支持 套餐的访问权限
**Topics**
+ [Support Plans 控制台的权限](#using-the-trusted-advisor-console)
+ [Support Plans 操作](#support-plans-actions)
+ [Support Plans 的示例 IAM policy](#support-plans-policies)
+ [问题排查](#troubleshooting-changing-support-plans)
## Support Plans 控制台的权限
要访问 Support Plans 控制台,用户必须拥有一组最低权限。这些权限必须允许用户列出和查看有关 AWS 账户中 Support Plans 资源的详细信息。
您可以使用`supportplans`命名空间创建 AWS Identity and Access Management (IAM) 策略。您可以使用此策略来指定操作和资源的权限。
创建策略时,可以指定服务的命名空间来允许或拒绝操作。Support Plans 的命名空间为 `supportplans`。
您可以使用 AWS 托管策略并将其附加到您的 IAM 实体。有关更多信息,请参阅 [AWS AWS 支持 套餐的托管策略](managed-policies-aws-support-plans.md)。
## Support Plans 操作
可以在控制台中执行以下 Support Plans 操作。还可以在 IAM policy 中指定这些 Support Plans 操作以允许或拒绝特定操作。
| Action | 说明 |
| --- | --- |
| `GetSupportPlan` | 授予查看有关此 AWS 账户当前 Support Plans 详细信息的权限。 |
| `GetSupportPlanUpdateStatus` | 授予查看有关更新 Support Plans 请求状态的详细信息的权限。 |
| `StartSupportPlanUpdate` | 授予启动请求以更新此 AWS 账户支持计划的权限。 |
| `CreateSupportPlanSchedule` | 授予权限以为此 AWS 账户创建支持计划时间表。 |
| `ListSupportPlanModifiers ` | 授予权限以查看此 AWS 账户的所有支持计划修饰符列表。 |
## Support Plans 的示例 IAM policy
您可以使用以下示例策略来管理对 Support Plans 的访问。
### 对 Support Plans 的完全访问
以下策略允许用户对 Support Plans 进行完全访问。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "supportplans:*",
"Resource": "*"
}
]
}
```
------
### 对 Support Plans 的只读访问
以下策略允许用户对 Support Plans 进行只读访问。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "supportplans:Get*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "supportplans:List*",
"Resource": "*"
}
]
}
```
------
### 拒绝对 Support Plans 的访问
以下策略不允许用户访问 Support Plans。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "supportplans:*",
"Resource": "*"
}
]
}
```
------
## 问题排查
请参阅以下主题以管理对 Support 计划的访问。
### 尝试查看或更改支持计划时,Support 计划控制台显示缺少 `GetSupportPlan` 权限
IAM 用户必须具有访问 Support 计划控制台所需的权限。您可以更新 IAM policy 以包含缺少的权限,也可以使用 AWSSupportPlansFullAccess 或 AWSSupportPlansReadOnlyAccess 等 AWS 托管策略。有关更多信息,请参阅 [AWS AWS 支持 套餐的托管策略](managed-policies-aws-support-plans.md)。
如果您无权更新 IAM policy,请联系 AWS 账户 管理员。
#### 相关信息
有关更多信息,请参阅 *IAM 用户指南*中的以下主题:
+ [使用 IAM policy simulator 测试 IAM policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)
+ [排查访问被拒绝错误消息](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_access-denied.html)
### 具有正确的 Support 计划权限,但仍然显示相同的错误信息
如果您 AWS 账户 是其中的成员账户 AWS Organizations,则可能需要更新服务控制政策 (SCP)。 SCPs 是一种在组织中管理权限的策略。
由于 Support 计划是一项*全球*服务,因此限制 AWS 区域 的策略可能会阻止成员账户查看或更改其支持计划。要为您的组织允许全球服务,例如 IAM 和 Support 计划,必须将该服务添加到任何适用的 SCP 的排除列表中。这意味着组织中的账户可以访问这些服务,即使 SCP 拒绝了指定的 AWS 区域服务。
要将 Support 计划添加为例外,请在 SCP 的 `"NotAction"` 列表中输入 `"supportplans:*"`。
```
"supportplans:*",
```
您的 SCP 可能显示为以下策略代码段。
**Example :允许 Support 计划在组织中进行访问的 SCP**
```
{ "Version": "2012-10-17",
"Statement": [
{ "Sid": "GRREGIONDENY",
"Effect": "Deny",
"NotAction": [
"aws-portal:*",
"budgets:*",
"chime:*"
"iam:*",
"supportplans:*",
....
```
如果您有成员账户但无法更新 SCP,请联系 AWS 账户 管理员。管理账户可能需要更新 SCP,以便所有成员账户都可以访问 Support 计划。
**的注意事项 AWS Control Tower**
如果您的组织将 SCP 与一起使用 AWS Control Tower,则可以** AWS 根据请求的 AWS 区域控件(通常称为区域拒绝控制)将拒绝访问**更新为。
如果您将 SCP 更新 AWS Control Tower 为允许`supportplans`,则修复偏差将移除您对 SCP 的更新。有关更多信息,请参阅[中的检测和解决偏差 AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html)。
#### 相关信息
有关更多信息,请参阅以下主题:
+ 《*AWS Organizations 用户指南》中的@@ [服务控制策略 (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。*
+ **《AWS Control Tower 用户指南》中的[配置区域拒绝控制](https://docs.aws.amazon.com/controltower/latest/userguide/region-deny.html)
+ [AWS 根据*AWS Control Tower 用户指南 AWS 区域*中的要求拒绝访问](https://docs.aws.amazon.com/controltower/latest/userguide/data-residency-controls.html#primary-region-deny-policy)