本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 re：Post Private 中管理 支援 案例建立和管理的存取權
<a name="repost-manage-permissions"></a>

您必須建立 AWS Identity and Access Management (IAM) 角色，以管理從 AWS re：Post Private 建立和管理 支援 案例的存取權。此角色會為您執行下列 支援 動作：
+ [CreateCase](https://docs.aws.amazon.com//awssupport/latest/APIReference/API_CreateCase.html)
+ [AddCommunicationToCase](https://docs.aws.amazon.com//awssupport/latest/APIReference/API_AddCommunicationToCase.html)
+ [ResolveCase](https://docs.aws.amazon.com//awssupport/latest/APIReference/API_ResolveCase.html)

建立 IAM 角色之後，請將 IAM 政策連接至此角色，讓角色具有完成這些動作所需的許可。您可以在 re：Post Private 主控台中建立私有 re：Post 時選擇此角色。

私有 re：Post 中的使用者具有您授予 IAM 角色的相同許可。

**重要**  
如果您變更 IAM 角色或 IAM 政策，則您的變更會套用至您設定的私有 re：Post。

請依照這些程序建立 IAM 角色和政策。

**Topics**
+ [使用 AWS 受管政策或建立客戶受管政策](#create-iam-role-support-app)
+ [IAM 政策範例](#example-repost-policy)
+ [建立 IAM 角色](#creating-an-iam-role-for-repost)
+ [疑難排解](#troubleshooting-permissions-for-support-app)

## 使用 AWS 受管政策或建立客戶受管政策
<a name="create-iam-role-support-app"></a>

若要授予角色許可，您可以使用 AWS 受管政策或客戶受管政策。

**提示**  
如果您不想手動建立政策，建議您改用 AWS 受管政策並略過此程序。受管政策會自動擁有 所需的許可 支援。您不需要手動更新政策。如需詳細資訊，請參閱[AWS 受管政策：AWSRepostSpaceSupportOperationsPolicy](security-with-iam-managed-policy.md#support-case-manpol)。

請遵循此程序，為您的角色建立客戶管理政策。此程序在 IAM 主控台中使用 JSON 政策編輯器。

**為 re：Post Private 建立客戶受管政策**

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在導覽窗格中，選擇**政策**。

1. 選擇 **Create policy** (建立政策)。

1. 請選擇 **JSON** 標籤。

1. 輸入您的 JSON，然後在編輯器中取代預設 JSON。您可以使用[範例政策](#example-repost-policy)。

1. 選擇下**一步：標籤**。

1. (選用) 您可使用標籤作為金鑰值對，將中繼資料新增至政策。

1. 選擇下**一步：檢閱**。

1. 在 **Review policy** (檢閱政策) 頁面，輸入 **Name** (名稱) (例如 *`rePostPrivateSupportPolicy`*) 和 **Description** (說明) (選用)。

1. 檢閱**摘要**頁面以查看政策允許的許可，然後選擇**建立政策**。

此政策定義角色可以採取的動作。若需詳細資訊，請參閱《IAM 使用者指南》中的[建立 IAM 政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。

## IAM 政策範例
<a name="example-repost-policy"></a>

可將下列範例政策連接至您的 IAM 角色。此政策允許角色擁有所有必要動作的完整許可 支援。使用 角色設定私有 re：Post 之後，私有 re：Post 中的任何使用者都有相同的許可。

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "RepostSpaceSupportOperations",
			"Effect": "Allow",
			"Action": [
				"support:AddAttachmentsToSet",
				"support:AddCommunicationToCase",
				"support:CreateCase",
				"support:DescribeCases",
				"support:DescribeCommunications",
				"support:ResolveCase"
			],
			"Resource": "*"
		}
	]
}
```

------

**注意**  
如需 re：Post Private 的 AWS 受管政策清單，請參閱 [AWS AWS re：Post Private 的 受管政策](security-with-iam-managed-policy.md)。

您可以更新政策以從中移除許可 支援。

如需每個動作的說明，請參閱《服務授權參考》中的下列主題：
+ [適用於 AWS 支援的動作、資源及條件金鑰](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssupport.html)
+ [Service Quotas 的動作、資源和條件金鑰](https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html)
+ [的動作、資源和條件索引鍵 AWS Identity and Access Management](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsidentityandaccessmanagementiam.html)

## 建立 IAM 角色
<a name="creating-an-iam-role-for-repost"></a>

建立政策之後，必須建立 IAM 角色，並將政策連接到該角色。您可以在 re：Post Private 主控台中建立私有 re：Post 時選擇此角色。

**建立角色以建立和管理 支援 案例**

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。

1. 在導覽窗格中，選擇**角色**，然後選擇**建立角色**。

1. 對於 **Trusted entity type** (信任的實體類型)，選擇 **Custom trust policy** (自訂信任政策)。

1. 針對**自訂信任政策**，輸入下列內容：

------
#### [ JSON ]

****  

   ```
   {
   	"Version":"2012-10-17",		 	 	 
   	"Statement": [
   		{
   			"Effect": "Allow",
   			"Principal": {
   				"Service": "repostspace.amazonaws.com"
   			},
   			"Action": [
   				"sts:AssumeRole",
   				"sts:SetSourceIdentity"
   			]
   		}
   	]
   }
   ```

------

1. 選擇**下一步**。

1. 在**許可政策**的搜尋列中，輸入您建立的 AWS 受管政策或客戶受管政策，例如 *`rePostPrivateSupportPolicy`*。選取您希望服務擁有的許可政策旁的核取方塊。

1. 選擇**下一步**。

1. 在**名稱、檢閱和建立**頁面上，針對**角色名稱**輸入名稱，例如 *`rePostPrivateSupportRole`*。

1. (選用) 在**說明**中，輸入角色的說明。

1. 檢閱信任政策和許可。

1. (選用) 您可使用標籤作為金鑰值對，將中繼資料新增至角色。如需在 IAM 中使用標籤的詳細資訊，請參閱[標記 IAM 資源](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_tags.html)。

1. 選擇建**立角色**。您現在可以在 re：Post Private 主控台中設定私有 re：Post 時選擇此角色。請參閱 [建立新的私有 re:Post](create-new-repost.md)。

如需詳細資訊，請參閱《*IAM 使用者指南*》中的[為 AWS 服務建立角色 （主控台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console)。

## 疑難排解
<a name="troubleshooting-permissions-for-support-app"></a>

請參閱下列主題以管理 re：Post Private 的存取權。

**Contents**
+ [我想要從特定動作限制私有 re：Post 中的特定使用者](#restrict-repost-users)
+ [當我設定私有 re：Post 時，看不到我建立的 IAM 角色](#missing-iam-role)
+ [我的 IAM 角色缺少許可](#missing-permissions-repost)
+ [錯誤表示我的 IAM 角色無效](#find-the-configured-iam-role)

### 我想要從特定動作限制私有 re：Post 中的特定使用者
<a name="restrict-repost-users"></a>

根據預設，私有 re：Post 中的使用者具有您連接至您建立之 IAM 角色的 IAM 政策中指定的相同許可。這表示私有 re：Post 中的任何人都有讀取或寫入存取權來建立和管理 支援 案例，無論他們是否有 AWS 帳戶 或 IAM 使用者。

建議遵循下列最佳實務：
+ 使用具有最低必要許可的 IAM 政策 支援。請參閱 [AWS 受管政策：AWSRepostSpaceSupportOperationsPolicy](security-with-iam-managed-policy.md#support-case-manpol)。

### 當我設定私有 re：Post 時，看不到我建立的 IAM 角色
<a name="missing-iam-role"></a>

如果您的 IAM 角色未出現在 **re：Post Private； 清單的 IAM 角色**中，這表示該角色沒有 re：Post Private 做為信任的實體，或該角色已刪除。您可以更新現有角色，或建立新角色。請參閱 [建立 IAM 角色](#creating-an-iam-role-for-repost)。

### 我的 IAM 角色缺少許可
<a name="missing-permissions-repost"></a>

您為私有 re：Post 建立的 IAM 角色需要許可才能執行您想要的動作。例如，如果您希望私有 re：Post 中的使用者建立支援案例，該角色必須具有 `support:CreateCase`許可。re：Post Private 會擔任此角色，為您執行這些動作。

如果您收到有關缺少 許可的錯誤 支援，請確認連接至角色的政策具有必要的許可。

請參閱之前的 [IAM 政策範例](#example-repost-policy)。

### 錯誤表示我的 IAM 角色無效
<a name="find-the-configured-iam-role"></a>

確認您已為私有 re：Post 組態選擇正確的角色。