本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 的服務連結角色 AWS 支援
<a name="using-service-linked-roles-sup"></a>

AWS 支援 工具會透過 API 呼叫收集 AWS 資源的相關資訊，以提供客戶服務和技術支援。為了提高支援活動的透明度和可稽核性， 支援 會使用 AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。

`AWSServiceRoleForSupport` 服務連結角色是直接連結至 的唯一 IAM 角色 支援。此服務連結角色是預先定義的，其中包含代表您呼叫其他 AWS 服務 支援 所需的許可。

`AWSServiceRoleForSupport` 服務連結角色信任 `support.amazonaws.com` 服務來擔任該角色。

為了提供這些服務，該角色的預先定義許可允許 支援 存取資源中繼資料，而不是客戶資料。只有 支援 工具可以擔任此角色，該角色存在於您的帳戶中 AWS 。

我們會事先刪除可能包含客戶資料的欄位。例如， AWS Step Functions API 呼叫 [GetExecutionHistory](https://docs.aws.amazon.com/step-functions/latest/apireference/API_GetExecutionHistory.html) 的 `Input`和 `Output` 欄位不可見 支援。我們使用 AWS KMS keys 來加密敏感欄位。這些欄位會在 API 回應中修訂， AWS 支援 客服人員看不到。

**注意**  
AWS Trusted Advisor 使用個別的 IAM 服務連結角色來存取您帳戶 AWS 的資源，以提供最佳實務建議和檢查。如需詳細資訊，請參閱[使用 的服務連結角色 Trusted Advisor](using-service-linked-roles-ta.md)。

 `AWSServiceRoleForSupport` 服務連結角色可讓客戶透過 看見所有 AWS 支援 API 呼叫 AWS CloudTrail。這有助於監控和稽核需求，因為它提供透明的方式來了解代表您 支援 執行的動作。如需 CloudTrail 的相關資訊，請參閱 [AWS CloudTrail 使用者指南](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。

## 的服務連結角色許可 支援
<a name="service-linked-role-permissions"></a>

此角色使用 `AWSSupportServiceRolePolicy` AWS 受管政策。此受管政策會連接至角色，提供允許代表您完成動作的角色許可。

可能包括下列動作：
+  **帳單、管理、支援和其他客戶服務** – AWS 客戶服務會使用 受管政策授予的許可，在您的支援計畫中執行多項服務。這些包括調查和回答帳戶和帳單相關問題、為您的帳戶提供管理支援、提高服務配額，以及提供額外的客戶支援。
+  **處理您 AWS 帳戶的服務屬性和用量資料** – 支援 可能會使用受管政策授予的許可來存取您 AWS 帳戶的服務屬性和用量資料。此政策允許 為您的帳戶 支援 提供帳單、管理和技術支援。服務屬性包括您帳戶的資源識別碼、中繼資料標籤、角色和許可。用量資料包括使用政策、用量統計資料和分析。
+  **維護您帳戶及其資源的運作狀態** – 支援 使用自動化工具來執行與操作和技術支援相關的動作。

如需允許服務和動作的詳細資訊，請參閱 IAM 主控台中的 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor) 政策。

**注意**  
AWS 支援 每月自動更新一次`AWSSupportServiceRolePolicy`政策，以新增新 AWS 服務和動作的許可。

如需詳細資訊，請參閱[AWS 的 受管政策 AWS 支援](security-iam-awsmanpol.md)。

## 為 建立服務連結角色 支援
<a name="create-service-linked-role"></a>

您無須手動建立 `AWSServiceRoleForSupport` 角色。當您建立 AWS 帳戶時，系統會自動為您建立和設定此角色。

**重要**  
如果您在開始支援服務連結角色 支援 之前使用 ，則 AWS 會在您的帳戶中建立該`AWSServiceRoleForSupport`角色。如需詳細資訊，請參閱[我的 IAM 帳戶中出現新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。

## 編輯和刪除 的服務連結角色 支援
<a name="edit-service-linked-role"></a>

您可以使用 IAM 來編輯 `AWSServiceRoleForSupport` 服務連結角色的說明。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

此`AWSServiceRoleForSupport`角色是 為您的帳戶 支援 提供管理、操作和技術支援的必要角色。因此，無法透過 IAM 主控台、API 或 AWS Command Line Interface () 刪除此角色AWS CLI。這樣可保護您的 AWS 帳戶，因為您不會無意中移除管理支援服務的必要許可。

加入 AWS Organizations 和擁有 Enterprise 支援 計劃的客戶可以刪除`AWSServiceRoleForSupport`服務連結角色。刪除此角色會限制 AWS 支援 工程師存取您的資源，並限制其代表您執行動作的能力。如需詳細資訊，或要求刪除`AWSServiceRoleForSupport`服務連結角色，請聯絡您的技術客戶經理 (TAM)。

如需 `AWSServiceRoleForSupport` 角色和其使用者的詳細資訊，請聯絡 [支援](https://aws.amazon.com/support)。