本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 管理對 AWS 支援 應用程式的存取
<a name="support-app-permissions"></a>

擁有 AWS 支援 應用程式小工具的許可後，您還必須建立 AWS Identity and Access Management (IAM) 角色。此角色 AWS 服務 會為您從其他 執行動作，例如 AWS 支援 API Service Quotas。

然後，您可以將 IAM 政策附加到此角色，以便該角色擁有完成這些動作的必要許可。您可以在支援中心主控台中建立 Slack 頻道組態時選擇此角色。

Slack 頻道中的使用者擁有與您授予給 IAM 角色相同的許可。例如，如果您對支援案例指定唯讀存取權，則 Slack 頻道中的使用者可以檢視您的支援案例，但無法更新它們。

**重要**  
當您請求與支援客服人員進行即時聊天，並選擇新的私有頻道做為您的即時聊天頻道偏好設定時， AWS 支援 應用程式會建立單獨的 Slack 頻道。此 Slack 頻道擁有與您建立案例或啟動聊天的頻道相同的許可。  
如果您變更 IAM 角色或 IAM 政策，您的變更會套用至您設定的 Slack 頻道，以及 AWS 支援 應用程式為您建立的任何新即時聊天 Slack 頻道。

請依照這些程序建立 IAM 角色和政策。

**Topics**
+ [使用 AWS 受管政策或建立客戶受管政策](#create-iam-role-support-app)
+ [建立 IAM 角色](#creating-an-iam-role-for-support-app)
+ [疑難排解](#troubleshooting-permissions-for-support-app)

## 使用 AWS 受管政策或建立客戶受管政策
<a name="create-iam-role-support-app"></a>

若要授予角色許可，您可以使用 AWS 受管政策或客戶受管政策。

**提示**  
如果不想手動建立政策，則可以改用 AWS 受管政策，並跳過此程序。受管政策會自動擁有 AWS 支援 應用程式所需的許可。您不需要手動更新政策。如需詳細資訊，請參閱[AWS Slack 中 AWS 支援 應用程式的 受管政策](support-app-managed-policies.md)。

請遵循此程序，為您的角色建立客戶管理政策。此程序在 IAM 主控台中使用 JSON 政策編輯器。

**為 AWS 支援 應用程式建立客戶受管政策**

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在導覽窗格中，選擇**政策**。

1. 選擇 **Create policy** (建立政策)。

1. 請選擇 **JSON** 標籤。

1. 輸入您的 JSON，然後在編輯器中取代預設 JSON。您可以使用[範例政策](#example-support-app-policy)。

1. 選擇下**一步：標籤**。

1. (選用) 您可使用標籤作為金鑰值對，將中繼資料新增至政策。

1. 選擇下**一步：檢閱**。

1. 在 **Review policy** (檢閱政策) 頁面，輸入 **Name** (名稱) (例如 *`AWSSupportAppRolePolicy`*) 和 **Description** (說明) (選用)。

1. 檢閱 **Summary** (摘要) 頁面以查看政策允許的許可，然後選擇 **Create policy** (建立政策)。

此政策定義角色可以採取的動作。若需詳細資訊，請參閱《IAM 使用者指南》中的[建立 IAM 政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。

### IAM 政策範例
<a name="example-support-app-policy"></a>

可將下列範例政策連接至您的 IAM 角色。此政策允許角色擁有 AWS 支援 應用程式所有必要動作的完整許可。使用該角色設定 Slack 頻道後，頻道中的任何使用者都擁有相同的許可。

**注意**  
如需 AWS 受管政策的清單，請參閱 [AWS Slack 中 AWS 支援 應用程式的 受管政策](support-app-managed-policies.md)。

您可以更新政策，從 AWS 支援 應用程式移除許可。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "supportapp:GetSlackOauthParameters",
                "supportapp:RedeemSlackOauthCode",
                "supportapp:DescribeSlackChannels",
                "supportapp:ListSlackWorkspaceConfigurations",
                "supportapp:ListSlackChannelConfigurations",
                "supportapp:CreateSlackChannelConfiguration",
                "supportapp:DeleteSlackChannelConfiguration",
                "supportapp:DeleteSlackWorkspaceConfiguration",
                "supportapp:GetAccountAlias",
                "supportapp:PutAccountAlias",
                "supportapp:DeleteAccountAlias",
                "supportapp:UpdateSlackChannelConfiguration",
                "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}
```

------

如需每個動作的說明，請參閱《服務授權參考》中的下列主題：
+ [適用於 AWS 支援的動作、資源及條件金鑰](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssupport.html)
+ [Service Quotas 的動作、資源和條件金鑰](https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html)
+ [的動作、資源和條件索引鍵 AWS Identity and Access Management](https://docs.aws.amazon.com/service-authorization/latest/reference/list_identityandaccessmanagement.html)

## 建立 IAM 角色
<a name="creating-an-iam-role-for-support-app"></a>

具有政策之後，必須建立 IAM 角色，並將政策連接到該角色。您可以在支援中心主控台中建立 Slack 頻道組態時選擇此角色。

**為 AWS 支援 應用程式建立角色**

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在導覽窗格中，選擇**角色**，然後選擇**建立角色**。

1. 在 **Select trusted entity** (選取受信任實體) 中，請選擇 **AWS 服務**。

1. 選擇 **AWS 支援 應用程式**。

1. 選擇**下一步：許可**。

1. 輸入政策名稱。您可以選擇 AWS 受管政策，或選擇您建立的客戶受管政策，例如 *`AWSSupportAppRolePolicy`*。然後選取政策旁的核取方塊。

1. 選擇下**一步：標籤**。

1. (選用) 您可使用標籤作為金鑰值對，將中繼資料新增至角色。

1. 選擇下**一步：檢閱**。

1. 針對 **Role name** (角色名稱)，輸入名稱，例如 *`AWSSupportAppRole`*。

1. (選用) 在 **Role description (角色說明)** 中，輸入角色的說明。

1. 檢閱角色，然後選擇**建立角色**。現在可在支援中心主控台中建立 Slack 頻道時選擇此角色。請參閱 [設定 Slack 頻道](add-your-slack-channel.md)。

如需詳細資訊，請參閱《*IAM 使用者指南*》中的[為 AWS 服務建立角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console)。

## 疑難排解
<a name="troubleshooting-permissions-for-support-app"></a>

請參閱下列主題以管理對 AWS 支援 應用程式的存取。

**Contents**
+ [我想限制 Slack 頻道中的特定使用者執行特定動作](#restrict-channel-users)
+ [當我設定 Slack 頻道時，看不到我建立的 IAM 角色](#missing-iam-role)
+ [我的 IAM 角色缺少許可](#missing-permissions-slack)
+ [Slack 錯誤表示我的 IAM 角色無效](#find-the-configured-iam-role)
+ [AWS 支援 應用程式表示我缺少 Service Quotas 的 IAM 角色](#missing-service-quota-role)

### 我想限制 Slack 頻道中的特定使用者執行特定動作
<a name="restrict-channel-users"></a>

根據預設，Slack 頻道中的使用者擁有連接到您建立的 IAM 角色的 IAM 政策中指定的相同許可。這表示頻道中的任何人都可以讀取或寫入您的支援案例，無論他們是否有 AWS 帳戶 或 IAM 使用者。

建議遵循下列最佳實務：
+ 使用 AWS 支援 應用程式設定私有 Slack 頻道
+ 僅邀請需要存取支援案例的使用者加入您的頻道
+ 使用對 AWS 支援 應用程式具有最低所需許可的 IAM 政策。請參閱 [AWS Slack 中 AWS 支援 應用程式的 受管政策](support-app-managed-policies.md)。

### 當我設定 Slack 頻道時，看不到我建立的 IAM 角色
<a name="missing-iam-role"></a>

如果您的 IAM 角色未出現在** AWS 支援 應用程式清單的 IAM 角色**中，這表示該角色沒有 AWS 支援 應用程式做為信任的實體，或該角色已刪除。您可以更新現有角色，或建立新角色。請參閱 [建立 IAM 角色](#creating-an-iam-role-for-support-app)。

### 我的 IAM 角色缺少許可
<a name="missing-permissions-slack"></a>

您為 Slack 頻道建立的 IAM 角色需要許可才能執行您想要的動作。例如，如果您希望 Slack 中的使用者建立支援案例，則該角色必須具有 `support:CreateCase` 許可。 AWS 支援 應用程式會擔任此角色，為您執行這些動作。

如果您收到 AWS 支援 應用程式缺少許可的錯誤，請確認連接至角色的政策具有必要的許可。

請參閱之前的 [IAM 政策範例](#example-support-app-policy)。

### Slack 錯誤表示我的 IAM 角色無效
<a name="find-the-configured-iam-role"></a>

請確認您為頻道組態選擇了正確的角色。

**若要驗證角色**

1. 登入 AWS Support Center Console https：//[https://console.aws.amazon.com/support/app\$1/config](https://console.aws.amazon.com/support/app#/config)。

1. 選擇您使用 AWS 支援 應用程式設定的頻道。

1. 在 **Permissions** (許可) 區段中，尋找您選擇的 IAM 角色名稱。
   + 若要變更角色，請選擇 **Edit** (編輯)，選擇其他角色，然後選擇 **Save** (儲存)。
   + 若要更新角色或連接至角色的政策，請登入 [IAM 主控台](https://console.aws.amazon.com/iam)。

### AWS 支援 應用程式表示我缺少 Service Quotas 的 IAM 角色
<a name="missing-service-quota-role"></a>

您必須在帳戶中擁有 `AWSServiceRoleForServiceQuotas` 角色，才能從 Service Quotas 中請求增加配額。如果您收到有關缺少資源的錯誤，請完成下列其中一個步驟：
+ 使用 [Service Quotas](https://console.aws.amazon.com/servicequotas) 主控台請求增加配額。請求成功後，Service Quotas 會自動為您建立此角色。然後，您可以使用 AWS 支援 應用程式在 Slack 中請求增加配額。如需詳細資訊，請參閱[請求增加配額](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)。
+ 更新連接至您角色的 IAM 政策。這會將角色許可授予給 Service Quotas。中的下一節[IAM 政策範例](#example-support-app-policy)允許 AWS 支援 應用程式為您建立 Service Quotas 角色。

  ```
  {
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Condition": {
          "StringEquals": {"iam:AWSServiceName": "servicequotas.amazonaws.com"}
       }
  }
  ```

如果您刪除為頻道設定的 IAM 角色，則必須手動建立角色或更新 IAM 政策，以允許 AWS 支援 應用程式為您建立一個角色。