亚马逊云助手小程序来啦！

服务告警，稍不留神前功弃？

下班途中，腾出手来不容易？

旅游休假，不想和电脑绑定？

亚马逊云助手小程序，拯救你的完美假期！

随时随地，轻松管理亚马逊云资源~

你可以通过云助手小程序实现：

1、免密码登录

绑定微信号和 IAM Role 以后，可以在微信小程序中免密码登录亚马逊云计算账户。你的登录过程将由 Amazon Cognito 负责，绝无密码泄露隐患。

2、追踪服务费用

随时检查你在宁夏区的（cn-northwest-1）的费用明细。

3、接收告警

接收 Amazon CloudWatch 发送的服务告警信息。

4、跟踪状态

跟踪客户支持案例（support case）状态。

快来一起微信一键登录亚马逊云助手，解锁“云”管理新姿势！

请按照以下步骤完成联合登录设置，不再需要重复设置。

详情点击下方视频或阅读图文哦进行操作哦~

*点击全屏模式查看清晰内容

一、创建亚马逊云助手的

权限策略（Policy）

首先， IT 管理员需要创建一个权限策略，以赋予亚马逊云助手访问企业 IAM 账户（IAM Account）下亚马逊云科技云服务的权限。本操作对于每一个 IAM Account 只需要执行一次，如果您的 IAM Account 下已拥有亚马逊云助手所需的权限策略，请跳过此步骤。但是如果您的企业希望细分管理权限，也可以创建多个策略。

1. 进入策略管理界面（请复制链接至浏览器访问）

https://console.amazonaws.cn/iamv2/home#/policies

2. 点击创建策略（Create Policy）

3. 点击标签 JSON，使用亚马逊云助手的预定义权限策略覆盖原有内容。预定义策略包括了亚马逊云助手所需的所有权限，IT 管理员可以修改此策略以进一步限制微信用户的权限。例如：删除 "ce:GetCostAndUsage"和"ce:GetCostForecast" 后，微信用户将无法查询费用报表。

{
    "Version":"2012-10-17",
    "Statement": [
        {
        "Sid": "VisualEditor0",
        "Effect": "Allow",
        "Action": [
           "support:DescribeCommunications",
           "support:AddCommunicationToCase",
            "support:ResolveCase",
            "support:DescribeCases",
           "cloudwatch:DescribeAlarms",
            "ce:GetCostAndUsage",
           "cloudwatch:GetMetricStatistics",
            "ce:GetCostForecast"
            ],
        "Resource": "*"
        }
    ]
}

*左滑查看更多

4. 点击下一步：标签（Next: Tags）

5. 点击下一步：审核 （Next: Review)

6. 在名称（Name）栏内，给新建的 Policy 起一个名字，点击创建策略（Create Policy）。在此页面您可以看到亚马逊云助手将被赋予的权限

二、创建亚马逊云助手的

 IAM 角色（IAM Role）

创建 IAM 策略后，IT 管理员还需要创建一个用于亚马逊云助手小程序的 IAM Role。本操作对于每一个 IAM Account 只需要执行一次，如果您的 IAM Account 下已拥有亚马逊云助手所需的 IAM Role，请跳过此步骤。但是如果您的企业拥有超过 50 个亚马逊云助手用户，则需要创建多个 IAM Role。

1. 进入 IAM Role 管理界面（请复制链接至浏览器访问）

https://console.amazonaws.cn/iamv2/home#/roles

2. 点击创建角色（Create Role）

3. 选择可信实体类型 （Trust entity type）为自定义信任策略（Custom trust policy），并使用文本框中亚马逊云助手的预定义信任策略覆盖原有内容。亚马逊云助手使用 Amazon Cognito 提供的身份服务，身份池信息如下所示：

• Identity Provider URL: cognito-identity.amazonaws.com

• Identity Pool ID: cn-north-1:72977485-3f04-4b8c-b719-3a119663812e

  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Federated":"cognito-identity.amazonaws.com"
        },
        "Action":"sts:AssumeRoleWithWebIdentity",
        "Condition": {
          "StringEquals": {
           "cognito-identity.amazonaws.com:aud": "cn-north-1:72977485-3f04-4b8c-b719-3a119663812e"
          },
          "ForAnyValue:StringEquals": {
           "cognito-identity.amazonaws.com:amr": "WeChat"
          },
          "ForAnyValue:StringLike": {
           "cognito-identity.amazonaws.com:amr": [
            ]
          }
        }
      }
    ]
  }

*左滑查看更多

4. 点击下一步 （Next）, 进入添加权限页面 （Add permissions）

5. 选择刚才生成的权限策略，点击下一步 （Next）

6. 在角色名称栏（Role name）中，给角色起一个名字，点击创建角色 （Create role）

7. （可选）记录 IAM Role ARN

a. 进入IAM Role管理界面（请复制链接至浏览器访问）
https://console.amazonaws.cn/iamv2/home#/roles

b. 点击刚才创建的角色，进入IAM Role详细信息页面

c. 将IAM Role和IAM Role ARN记录到内部系统中，您将来需要它用于绑定微信用户

三、绑定微信用户

我们需要微信用户和 IT 管理员的共同操作来绑定微信用户和 IAM Role。

1. 微信用户获取联合登录用户代码

a. 在亚马逊云助手小程序的用户登录页，点击下方 “登录其它亚马逊云用户”，进入设置联合登录页面

b. 记录联合登录用户代码。联合登录用户代码是亚马逊云助手为您生成的一个 8 位大写字符串

c. 将您的联合登录用户代码，申请管理的 IAM 账户和管理权限发送给 IT 管理员申请绑定

2. IT 管理员绑定微信用户

a. 根据用户申请在企业信息系统获取相应的 IAM Role

b. 进入 IAM Role 管理界面（请复制链接至浏览器访问）

https://console.amazonaws.cn/iamv2/home#/roles

c. 点击与 IAM Role ARN 对应的 IAM Role，进入角色详细信息页面

d. 点击信任关系（Trust relationships）标签页，点击编辑信任策略（Edit trust policy）

e. 将微信用户的联合登录代码加入到 "cognito-identity.amazonaws.com:amr" 字段中，在输入联合登录代码时，请注意在联合登录代码前添加 “*:”。在下面这个例子里，我们绑定了两个微信用户，他们的联合登录代码分别为 "ABCDEFGH"和"AABBCCDD"。注意：每一个 IAM Role 可以绑定最多 50 个微信用户，如果您的企业有超过 50 个亚马逊云助手小程序用户，则需要建立多个 IAM Role

{

    "Version":"2012-10-17",

    "Statement": [

        {

            "Effect":"Allow",

            "Principal": {

                "Federated":"cognito-identity.amazonaws.com"

            },

            "Action":"sts:AssumeRoleWithWebIdentity",

            "Condition": {

                "StringEquals": {

                   "cognito-identity.amazonaws.com:aud":"cn-north-1:72977485-3f04-4b8c-b719-3a119663812e"

                },

               "ForAnyValue:StringEquals": {

                   "cognito-identity.amazonaws.com:amr": "WeChat"

                },

               "ForAnyValue:StringLike": {

                   "cognito-identity.amazonaws.com:amr": [

                       "*:ABCDEFGH",

                       "*:AABBCCDD"

                   ]

                }

            }

        }

    ]

}

*左滑查看更多

f. 点击更新策略（Update policy）。更新 IAM Role 后，系统需要大概 1 分钟同步数据，之后微信用户即可登录亚马逊云助手小程序

g. 在内部系统中记录微信用户，联合登录用户代码和 IAM Role 的绑定关系。您在未来解绑用户的时候需要使用这些信息

h. 将 IAM Role ARN 发送给用户

3. 微信用户输入 IAM Role ARN

a. 在亚马逊云助手小程序的用户登录页，点击下方 “登录其它亚马逊云用户”，进入设置联合登录页面

b. 点击下方 “已设置联合登录”，进入填写 ARN 信息页面

c. 填写 IT 管理员发送给您的 IAM Role ARN

d. 亚马逊云助手提示绑定成功后，微信用户即可使用亚马逊云助手

识别下方小程序码， 进入亚马逊云助手小程序，精彩内容一键解锁~

简单操作，方便无限~ 快来一起“云”管理！

我们也将在今后不断丰富小程序的功能，请持续关注亚马逊云开发者公众号获取最新信息。

听说，点完下面4个按钮

就不会碰到bug了！