本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 re: Post Private 中管理对 支持 案例创建和管理的访问权限
<a name="repost-manage-permissions"></a>

您必须创建一个 AWS Identity and Access Management (IAM) 角色才能管理从 AWS re: Post Private 访问 支持 案例创建和管理权限。此角色将为您执行以下 支持 操作：
+ [CreateCase](https://docs.aws.amazon.com//awssupport/latest/APIReference/API_CreateCase.html)
+ [AddCommunicationToCase](https://docs.aws.amazon.com//awssupport/latest/APIReference/API_AddCommunicationToCase.html)
+ [ResolveCase](https://docs.aws.amazon.com//awssupport/latest/APIReference/API_ResolveCase.html)

创建 IAM 角色后，向该角色附加一个 IAM 策略，以便该角色拥有完成这些操作所需的权限。当你在 re: Post Private 控制台中创建私人 re: Post 时，你可以选择这个角色。

您的私有 re: post 中的用户拥有的权限与您授予 IAM 角色的权限相同。

**重要**  
如果您更改了 IAM 角色或 IAM 策略，则您的更改将应用于您配置的私有 re: Post。

按照以下步骤创建您的 IAM 角色和策略。

**Topics**
+ [使用 AWS 托管策略或创建客户托管策略](#create-iam-role-support-app)
+ [示例 IAM 策略](#example-repost-policy)
+ [创建一个 IAM 角色](#creating-an-iam-role-for-repost)
+ [问题排查](#troubleshooting-permissions-for-support-app)

## 使用 AWS 托管策略或创建客户托管策略
<a name="create-iam-role-support-app"></a>

要授予您的角色权限，您可以使用 AWS 托管策略或客户托管策略。

**提示**  
如果您不想手动创建策略，那么我们建议您改用 AWS 托管策略并跳过此过程。托管策略自动拥有所需的权限 支持。您无需手动更新策略。有关更多信息，请参阅 [AWS 托管策略： AWSRepostSpaceSupportOperationsPolicy](security-with-iam-managed-policy.md#support-case-manpol)。

按照此步骤为您的角色创建客户管理型策略。此过程使用 IAM 控制台中的 JSON 策略编辑器。

**为 re: Post Private 创建客户托管策略**

1. 登录 AWS 管理控制台 并打开 IAM 控制台，网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在导航窗格中，选择**策略**。

1. 选择**创建策略**。

1. 选择 **JSON** 选项卡。

1. 输入您的 JSON，然后在编辑器中替换默认 JSON。您可以使用[示例策略](#example-repost-policy)。

1. 选择**下一步：标签**。

1. （可选）您可以使用标签作为键值对将元数据添加到策略。

1. 选择**下一步：审核**。

1. 在**查看策略**页面，输入 **Name**（名称），例如 *`rePostPrivateSupportPolicy`* 和 **Description**（描述）（可选）。

1. 查看 “**摘要**” 页面以查看该策略允许的权限，然后选择**创建策略**。

此策略定义角色可以执行的操作。有关更多信息，请参阅《IAM 用户指南》中的[创建 IAM policy（控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。

## 示例 IAM 策略
<a name="example-repost-policy"></a>

您可以将下列示例策略附加到 IAM 角色。此策略允许该角色拥有执行所有必需操作的完全权限 支持。使用该角色配置私有 re: post 后，您的私人 re: post 中的任何用户都具有相同的权限。

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "RepostSpaceSupportOperations",
			"Effect": "Allow",
			"Action": [
				"support:AddAttachmentsToSet",
				"support:AddCommunicationToCase",
				"support:CreateCase",
				"support:DescribeCases",
				"support:DescribeCommunications",
				"support:ResolveCase"
			],
			"Resource": "*"
		}
	]
}
```

------

**注意**  
有关 re: Post Private 的 AWS 托管策略列表，请参阅。[AWS AWS re: Post Private 的托管策略](security-with-iam-managed-policy.md)

您可以更新策略以从中移除权限 支持。

有关每项操作的描述，请参阅《服务授权参考》中的以下主题：
+ [AWS 支持的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssupport.html)
+ [服务限额的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html)
+ [的操作、资源和条件键 AWS Identity and Access Management](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementiam.html)

## 创建一个 IAM 角色
<a name="creating-an-iam-role-for-repost"></a>

创建策略后，您必须创建 IAM 角色，并将策略附加到此角色。当你在 re: Post Private 控制台中创建私人 re: Post 时，你可以选择这个角色。

**创建 支持 案例创建和管理角色**

1. 登录 AWS 管理控制台 并打开 IAM 控制台，网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在导航窗格中，选择**角色**，然后选择**创建角色**。

1. 对于**可信实体类型**，选择**自定义信任策略**。

1. 在 “**自定义信任策略**” 中，输入以下内容：

------
#### [ JSON ]

****  

   ```
   {
   	"Version":"2012-10-17",		 	 	 
   	"Statement": [
   		{
   			"Effect": "Allow",
   			"Principal": {
   				"Service": "repostspace.amazonaws.com"
   			},
   			"Action": [
   				"sts:AssumeRole",
   				"sts:SetSourceIdentity"
   			]
   		}
   	]
   }
   ```

------

1. 选择**下一步**。

1. 在**权限策略**下的搜索栏中，输入您创建的 AWS 托管策略或客户托管策略，例如*`rePostPrivateSupportPolicy`*。选中您希望该服务拥有的权限策略旁边的复选框。

1. 选择**下一步**。

1. 在 “**名称、查看和创建**” 页面上，在 “**角色名称**” 中输入一个名称，例如*`rePostPrivateSupportRole`*。

1. （可选）对于**描述**，输入角色的描述。

1. 查看信任策略和权限。

1. （可选）您可以使用标签作为键值对将元数据添加到角色。有关将在 IAM 中使用标签的更多信息，请参阅 [Tagging IAM resources](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_tags.html)（标记 IAM 资源）。

1. 选择**创建角色**。现在，当你在 re: Post Private 控制台中配置私人 re: post 时，你可以选择这个角色。请参阅[创建新的私有 re:Post](create-new-repost.md)。

有关更多信息，请参阅 *IAM 用户指南*中的[为 AWS 服务（控制台）创建角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console)。

## 问题排查
<a name="troubleshooting-permissions-for-support-app"></a>

要管理 re: Post Private 的访问权限，请参阅以下主题。

**Contents**
+ [我想限制私人 re: Post 中的特定用户执行特定操作](#restrict-repost-users)
+ [当我配置私有 re: post 时，我看不到我创建的 IAM 角色](#missing-iam-role)
+ [我的 IAM 角色缺少权限](#missing-permissions-repost)
+ [错误提示我的 IAM 角色无效](#find-the-configured-iam-role)

### 我想限制私人 re: Post 中的特定用户执行特定操作
<a name="restrict-repost-users"></a>

默认情况下，您的私有 re: post 中的用户拥有在 IAM 策略中指定的权限与您附加到您创建的 IAM 角色的权限相同。这意味着私有 re: post 中的任何人都有创建和管理 支持 案例的读取或写入权限，无论他们是否拥有还是 IAM 用户。 AWS 账户 

我们建议您遵循以下最佳实操：
+ 使用具有所需最低权限的 IAM 策略 支持。请参阅[AWS 托管策略： AWSRepostSpaceSupportOperationsPolicy](security-with-iam-managed-policy.md#support-case-manpol)。

### 当我配置私有 re: post 时，我看不到我创建的 IAM 角色
<a name="missing-iam-role"></a>

如果您的 IAM 角色未出现在 re**: Post Private; 列表的 IAM 角色**中，则意味着该角色没有 re: post Private 作为可信实体，或者该角色已被删除。您可以更新现有角色或创建一个新角色。请参阅[创建一个 IAM 角色](#creating-an-iam-role-for-repost)。

### 我的 IAM 角色缺少权限
<a name="missing-permissions-repost"></a>

您为私有 re: Post 创建的 IAM 角色需要权限才能执行您想要的操作。例如，如果您想让私人 re: post 中的用户创建支持案例，则该角色必须具有`support:CreateCase`权限。re: post Private 担任此角色来为您执行这些操作。

如果您收到有关缺少权限的错误消息 支持，请验证附加到您的角色的策略是否具有所需的权限。

请参阅前面的 [示例 IAM 策略](#example-repost-policy)。

### 错误提示我的 IAM 角色无效
<a name="find-the-configured-iam-role"></a>

确认您为私有 re: post 配置选择了正确的角色。