AWS Support アプリへのアクセスの管理 - AWS Support

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Support アプリへのアクセスの管理

AWS Support アプリウィジェットへのアクセス許可を取得したら、AWS Identity and Access Management (IAM) ロール も作成する必要があります。このロールは、AWS のサービス API や Service Quotas など、他の AWS Support のアクションをユーザーに代わって実行します。

続いて、このロールに IAM ポリシーをアタッチし、これらのアクションを実行するために必要なアクセス許可を、このロールに付与します。このロールは、サポートセンターコンソールで Slack チャンネル設定を作成する際に選択します。

Slack チャンネルのユーザーは、IAM ロールに付与したのと同じアクセス許可を有しています。例えば、サポートケースへの読み取り専用アクセスが指定されている場合、Slack チャンネルのユーザーは、サポートケースの表示はできますが更新はできません。

重要

サポートエージェントとのライブチャットをリクエストし、ライブチャットのチャンネル設定として新しいプライベートチャンネルを選択すると、AWS Support アプリケーションは別途 Slack チャンネルを作成します。この Slack チャンネルは、ケースを作成したりチャットを開始したりしたチャンネルと同じアクセス許可を有しています。

IAM ロールまたは IAM ポリシーを変更すると、この変更は、ユーザーが設定した Slack チャンネルと、AWS Support アプリがユーザーに代わって作成した新しいライブチャット Slack チャンネルに適用されます。

IAM ロールとポリシーを作成するときは、以下の手順に従います。

AWS 管理ポリシーを使用するか、カスタマー管理ポリシーを作成する

ロールのアクセス許可を付与するには、AWS 管理ポリシーまたはカスタマー管理ポリシーのいずれかを使用できます。

ヒント

ポリシーを手動で作成しない場合は、代わりに AWS 管理ポリシーを使用して、この手順をスキップすることをお勧めします。マネージドポリシーは、AWS Support アプリに必要なアクセス許可を自動的に取得します。ユーザーがポリシーを手動で更新する必要はありません。詳細については、「Slack での AWS Support アプリの AWS マネージドポリシー」を参照してください。

ロール用のカスタマー管理ポリシーを作成するには、次の手順に従います。この手順では、IAM コンソールの JSON ポリシーエディタを使用します。

AWS Support アプリケーションのカスタマー管理ポリシーを作成するには
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで、[ポリシー] を選択します。

  3. [Create policy] (ポリシーを作成) を選択します。

  4. [JSON] タブを選択します。

  5. JSON を入力し、エディタでデフォルトの JSON を置き換えます。ポリシーの例を利用できます。

  6. [Next: Tags] (次へ: タグ) を選択します。

  7. (オプション) キーバリューペアとしてのタグを使用して、メタデータをポリシーに追加することができます。

  8. [Next: Review] (次へ: レビュー) を選択します。

  9. [Review policy] (ポリシーの確認) ページで、名前 (AWSSupportAppRolePolicy など) と説明 (任意) を入力します。

  10. [Summary] (概要) ページで、そのポリシーで付与されているアクセス許可を確認し、[Create policy] (ポリシーの作成) を選択します。

このポリシーによって、このロールが実行できるアクションが定義されます。詳細については、IAM ユーザーガイドIAM ポリシーの作成 (コンソール) を参照してください。

IAM ポリシーの例

IAM ロールには、以下のポリシーの例をアタッチできます。このポリシーは、AWS Support アプリに必要なすべてのアクションへの完全なアクセス許可を、ロールに付与します。このロールを使って Slack チャンネルを設定すると、チャンネル内のすべてのユーザーに同じアクセス許可が付与されます。

注記

AWS マネージドポリシーのリストは、「Slack での AWS Support アプリの AWS マネージドポリシー」で確認してください。

ポリシーを更新して、アクセス許可を AWS Support アプリから削除することができます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicequotas:GetRequestedServiceQuotaChange", "servicequotas:GetServiceQuota", "servicequotas:RequestServiceQuotaIncrease", "support:AddAttachmentsToSet", "support:AddCommunicationToCase", "support:CreateCase", "support:DescribeCases", "support:DescribeCommunications", "support:DescribeSeverityLevels", "support:InitiateChatForCase", "support:ResolveCase" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": {"iam:AWSServiceName": "servicequotas.amazonaws.com"} } } ] }

各アクションの説明については、「サービス認証リファレンス」の以下のトピックを参照してください。

IAM ロールの作成

このポリシーを作成したら、IAM ロールを作成し、そのロールにポリシーをアタッチする必要があります。このロールは、サポートセンターコンソールで Slack チャンネル設定を作成するときに選択します。

AWS Support アプリのロールを作成するには
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Roles] を選択し、続いて [Create role] を選択します。

  3. [Select trusted entity] (信頼されたエンティティを選択) で、[AWS のサービス] を選択します。

  4. [AWS Support アプリケーション] を選択します。

  5. [Next: Permissions] (次へ: 許可) を選択します。

  6. ポリシー名を入力します。AWS マネージドポリシー、または AWSSupportAppRolePolicy などの作成済みのカスタマー管理ポリシーを選択できます。ポリシーの横にあるチェックボックスをオンにします。

  7. [Next: Tags] (次へ: タグ) を選択します。

  8. (オプション) キーと値のペアとしてタグを使用し、メタデータをロールに追加できます。

  9. [Next: Review] (次へ: レビュー) を選択します。

  10. [Role name] (ロール名) に、AWSSupportAppRole など、名前を入力します。

  11. (オプション) [Role description] (ロールの説明) に、ロールの説明を入力します。

  12. ロール情報を確認し、[Create role (ロールの作成)] を選択します。これで、サポートセンターコンソールで Slack チャンネルを設定する際に、このロールを選択できるようになりました。「Slack チャンネルの設定」を参照してください。

詳細については、IAM ユーザーガイドAWS のサービス用ロールの作成を参照してください。

トラブルシューティング

AWS Support アプリへのアクセスを管理する方法については、以下のトピックを参照してください。

Slack チャンネルで特定のユーザーが特定のアクションを行うことを制限したい

デフォルトでは、Slack チャンネルのユーザーには、作成する IAM ロールにアタッチする IAM ポリシーで指定したものと同じアクセス許可が付与されます。つまり、AWS アカウント または IAM ユーザーを有しているかどうかにかかわらず、チャンネル内のどのユーザーも、サポートケースへの読み取りまたは書き込みアクセスが可能であるということです。

推奨されるベストプラクティスを以下に示します:

  • AWS Support アプリでプライベート Slack チャンネルを設定する

  • チャンネルには、サポートケースにアクセスする必要のあるユーザーのみを招待します。

  • AWS Support アプリへの必要最小限のアクセス許可を有した IAM ポリシーを使用します。「Slack での AWS Support アプリの AWS マネージドポリシー」を参照してください。

Slack チャンネルを設定しても、作成した IAM ロールが表示されない

IAM ロールが [AWS Support アプリケーションの IAM ロール] リストに表示されていない場合は、AWS Support アプリケーションがこのロールの信頼されるエンティティとして設定されていない、またはこのロールが削除されたことを意味します。既存のロールを更新するか、新しいロールを作成します。「IAM ロールの作成」を参照してください。

IAM ロールにアクセス許可が付与されていない

Slack チャンネル用に作成する IAM ロールには、求められているアクションを実行するためのアクセス許可が必要です。例えば、Slack のユーザーがサポートケースを作成できるようにしたいときは、ロールに support:CreateCase のアクセス許可が必要です。AWS Support アプリは、このロールを引き受けて、ユーザーに代わってアクションを実行します。

AWS Support アプリにアクセス許可がないとのエラーが表示されたときは、ロールにアタッチされたポリシーが必要なアクセス許可を有していることを確認します。

前述の「IAM ポリシーの例」を参照してください。

Slack のエラーで、IAM ロールが有効でないと表示される

チャンネルの設定に適したロールを選択していることを確認してください。

ロールを確認するには
  1. https://console.aws.amazon.com/support/app#/config から AWS Support Center Console にサインインします。

  2. AWS Support アプリで設定したチャンネルを選択します。

  3. [Permissions] (アクセス許可) セクションで、選択した IAM ロールの名前を見つけます。

    • ロールを変更するには、[Edit] (編集) をクリックし、別のロールを選択して [Save] (保存) を選択します。

    • ロールまたはロールにアタッチしたポリシーを更新するときは、IAM コンソールにサインインします。

AWS Support アプリに、Service Quotas の IAM ロールがない、と表示される

Service Quotas でクォータの引き上げをリクエストするときは、アカウントに AWSServiceRoleForServiceQuotas ロールが必要です。リソースの欠落に関するエラーが発生したときは、以下のいずれかの手順を実行します。

  • クォータの引き上げをリクエストするときは、Service Quotas のコンソールを使用します。リクエストが成功すると、Service Quotas が自動的にロールを作成します。次に、AWS Support アプリを使って、Slack でクォータの引き上げをリクエストします。詳細については、「Requesting a quota increase」(クォータ引き上げのリクエスト) を参照してください。

  • ロールにアタッチされた IAM ポリシーを更新します。これにより、Service Quotas へのアクセス許可がロールに付与されます。IAM ポリシーの例 の以下のセクションでは、AWS Support アプリがユーザーに代わって Service Quotas ロールを作成することを許可します。

    { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": {"iam:AWSServiceName": "servicequotas.amazonaws.com"} } }

チャンネルに設定した IAM ロールを削除するときは、そのロールを手動で作成するか、AWS Support アプリがユーザーに代わってロールを作成することを許可するように IAM ポリシーを更新する必要があります。