翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS サポート アプリへのアクセスの管理
AWS サポート アプリウィジェットへのアクセス許可を取得したら、 (IAM) AWS Identity and Access Management ロールも作成する必要があります。このロールは AWS のサービス 、 AWS サポート API や Service Quotas など、他の からアクションを実行します。
続いて、このロールに IAM ポリシーをアタッチし、これらのアクションを実行するために必要なアクセス許可を、このロールに付与します。このロールは、サポートセンターコンソールで Slack チャンネル設定を作成する際に選択します。
Slack チャンネルのユーザーは、IAM ロールに付与したのと同じアクセス許可を有しています。例えば、サポートケースへの読み取り専用アクセスが指定されている場合、Slack チャンネルのユーザーは、サポートケースの表示はできますが更新はできません。
**重要**
サポートエージェントとのライブチャットをリクエストし、ライブチャットチャネルの設定として新しいプライベートチャネルを選択すると、 AWS サポート アプリは別の Slack チャネルを作成します。この Slack チャンネルは、ケースを作成したりチャットを開始したりしたチャンネルと同じアクセス許可を有しています。
IAM ロールまたは IAM ポリシーを変更すると、変更は設定した Slack チャネルと、 AWS サポート アプリが作成する新しいライブチャット Slack チャネルに適用されます。
IAM ロールとポリシーを作成するときは、以下の手順に従います。
**Topics**
+ [AWS 管理ポリシーを使用するか、カスタマー管理ポリシーを作成する](#create-iam-role-support-app)
+ [IAM ロールを作成する](#creating-an-iam-role-for-support-app)
+ [トラブルシューティング](#troubleshooting-permissions-for-support-app)
## AWS 管理ポリシーを使用するか、カスタマー管理ポリシーを作成する
ロールにアクセス許可を付与するには、 AWS 管理ポリシーまたはカスタマー管理ポリシーのいずれかを使用できます。
**ヒント**
ポリシーを手動で作成しない場合は、代わりに AWS 管理ポリシーを使用して、この手順をスキップすることをお勧めします。管理ポリシーには、 AWS サポート アプリに必要なアクセス許可が自動的に付与されます。ユーザーがポリシーを手動で更新する必要はありません。詳細については、「[AWS Slack の AWS サポート App の マネージドポリシー](support-app-managed-policies.md)」を参照してください。
ロール用のカスタマー管理ポリシーを作成するには、次の手順に従います。この手順では、IAM コンソールの JSON ポリシーエディタを使用します。
**AWS サポート アプリのカスタマー管理ポリシーを作成するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。
1. ナビゲーションペインで、**ポリシー** を選択してください。
1. **[Create policy]** (ポリシーを作成) を選択します。
1. **JSON** タブを選択します。
1. JSON を入力し、エディタでデフォルトの JSON を置き換えます。[ポリシーの例](#example-support-app-policy)を利用できます。
1. **[Next: Tags]** (次へ: タグ) を選択します。
1. (オプション) キーバリューペアとしてのタグを使用して、メタデータをポリシーに追加することができます。
1. **[次へ: レビュー]** を選択します。
1. **[Review policy]** (ポリシーの確認) ページで、**名前** (*`AWSSupportAppRolePolicy`* など) と**説明** (任意) を入力します。
1. **[Summary]** (概要) ページで、そのポリシーで付与されているアクセス許可を確認し、**[Create policy]** (ポリシーの作成) を選択します。
このポリシーによって、このロールが実行できるアクションが定義されます。詳細については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。
### IAM ポリシーの例
IAM ロールには、以下のポリシーの例をアタッチできます。このポリシーにより、ロールは AWS サポート アプリに必要なすべてのアクションに対する完全なアクセス許可を持つことができます。このロールを使って Slack チャンネルを設定すると、チャンネル内のすべてのユーザーに同じアクセス許可が付与されます。
**注記**
AWS 管理ポリシーのリストについては、「」を参照してください[AWS Slack の AWS サポート App の マネージドポリシー](support-app-managed-policies.md)。
ポリシーを更新して、 AWS サポート アプリからアクセス許可を削除できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"supportapp:GetSlackOauthParameters",
"supportapp:RedeemSlackOauthCode",
"supportapp:DescribeSlackChannels",
"supportapp:ListSlackWorkspaceConfigurations",
"supportapp:ListSlackChannelConfigurations",
"supportapp:CreateSlackChannelConfiguration",
"supportapp:DeleteSlackChannelConfiguration",
"supportapp:DeleteSlackWorkspaceConfiguration",
"supportapp:GetAccountAlias",
"supportapp:PutAccountAlias",
"supportapp:DeleteAccountAlias",
"supportapp:UpdateSlackChannelConfiguration",
"iam:ListRoles"
],
"Resource": "*"
}
]
}
```
------
各アクションの説明については、「*Service Authorization リファレンス*」の以下のトピックを参照してください。
+ [AWS サポート](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssupport.html) のアクション、リソース、条件キー
+ 「[Service Quotas のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_servicequotas.html)」
+ [のアクション、リソース、および条件キー AWS Identity and Access Management](https://docs.aws.amazon.com/service-authorization/latest/reference/list_identityandaccessmanagement.html)
## IAM ロールを作成する
このポリシーを作成したら、IAM ロールを作成し、そのロールにポリシーをアタッチする必要があります。このロールは、サポートセンターコンソールで Slack チャンネル設定を作成するときに選択します。
**AWS サポート アプリのロールを作成するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。
1. ナビゲーションペインで **ロール** を選択してから、**ロールを作成する** を選択します。
1. **[Select trusted entity]** (信頼されたエンティティを選択) で、**[AWS のサービス]** を選択します。
1. **[AWS サポート アプリケーション]** を選択します。
1. **[Next: Permissions]** (次のステップ: 許可) を選択します。
1. ポリシー名を入力します。 AWS 管理ポリシーを選択するか、 など、作成したカスタマー管理ポリシーを選択できます*`AWSSupportAppRolePolicy`*。ポリシーの横にあるチェックボックスをオンにします。
1. **[Next: Tags]** (次へ: タグ) を選択します。
1. (オプション) キーと値のペアとしてタグを使用し、メタデータをロールに追加できます。
1. **[次へ: レビュー]** を選択します。
1. **[Role name]** (ロール名) に、*`AWSSupportAppRole`* など、名前を入力します。
1. (オプション) **[Role description]** (ロールの説明) に、ロールの説明を入力します。
1. ロール情報を確認し、**ロールの作成** を選択します。これで、サポートセンターコンソールで Slack チャンネルを設定する際に、このロールを選択できるようになりました。「[Slack チャンネルの設定](add-your-slack-channel.md)」を参照してください。
詳細については、*IAM* [ユーザーガイドの「 AWS サービスのロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console)」を参照してください。
## トラブルシューティング
AWS サポート アプリへのアクセスを管理するには、以下のトピックを参照してください。
**Contents**
+ [Slack チャンネルで特定のユーザーが特定のアクションを行うことを制限したい](#restrict-channel-users)
+ [Slack チャンネルを設定しても、作成した IAM ロールが表示されない](#missing-iam-role)
+ [IAM ロールにアクセス許可が付与されていない](#missing-permissions-slack)
+ [Slack のエラーで、IAM ロールが有効でないと表示される](#find-the-configured-iam-role)
+ [AWS サポート アプリに Service Quotas の IAM ロールがないと表示](#missing-service-quota-role)
### Slack チャンネルで特定のユーザーが特定のアクションを行うことを制限したい
デフォルトでは、Slack チャンネルのユーザーには、作成する IAM ロールにアタッチする IAM ポリシーで指定したものと同じアクセス許可が付与されます。つまり、チャネル内のすべてのユーザーが、 または IAM ユーザーがあるかどうかにかかわらず、サポートケースへの読み取り AWS アカウント または書き込みアクセス権を持ちます。
推奨されるベストプラクティスを以下に示します:
+ AWS サポート アプリを使用してプライベート Slack チャネルを設定する
+ チャンネルには、サポートケースにアクセスする必要のあるユーザーのみを招待します。
+ AWS サポート アプリへの必要最小限のアクセス許可を有した IAM ポリシーを使用します。「[AWS Slack の AWS サポート App の マネージドポリシー](support-app-managed-policies.md)」を参照してください。
### Slack チャンネルを設定しても、作成した IAM ロールが表示されない
IAM ロールが** AWS サポート アプリリストの IAM ロール**に表示されない場合、これは、ロールに信頼されたエンティティとして AWS サポート アプリがないか、ロールが削除されたことを意味します。既存のロールを更新するか、新しいロールを作成します。「[IAM ロールを作成する](#creating-an-iam-role-for-support-app)」を参照してください。
### IAM ロールにアクセス許可が付与されていない
Slack チャンネル用に作成する IAM ロールには、求められているアクションを実行するためのアクセス許可が必要です。例えば、Slack のユーザーがサポートケースを作成できるようにしたいときは、ロールに `support:CreateCase` のアクセス許可が必要です。 AWS サポート アプリは、これらのアクションを実行するためにこのロールを引き受けます。
AWS サポート アプリからアクセス許可がないというエラーが表示された場合は、ロールにアタッチされたポリシーに必要なアクセス許可があることを確認してください。
前述の「[IAM ポリシーの例](#example-support-app-policy)」を参照してください。
### Slack のエラーで、IAM ロールが有効でないと表示される
チャンネルの設定に適したロールを選択していることを確認してください。
**ロールを確認するには**
1. [https://console.aws.amazon.com/support/app\$1/config](https://console.aws.amazon.com/support/app#/config) ページで にサインイン AWS Support Center Console します。
1. AWS サポート アプリで設定したチャネルを選択します。
1. **[Permissions]** (アクセス許可) セクションで、選択した IAM ロールの名前を見つけます。
+ ロールを変更するには、**[Edit]** (編集) をクリックし、別のロールを選択して **[Save]** (保存) を選択します。
+ ロールまたはロールにアタッチしたポリシーを更新するときは、[IAM コンソール](https://console.aws.amazon.com/iam)にサインインします。
### AWS サポート アプリに Service Quotas の IAM ロールがないと表示
Service Quotas でクォータの引き上げをリクエストするときは、アカウントに `AWSServiceRoleForServiceQuotas` ロールが必要です。リソースの欠落に関するエラーが発生したときは、以下のいずれかの手順を実行します。
+ クォータの引き上げをリクエストするときは、[Service Quotas](https://console.aws.amazon.com/servicequotas) のコンソールを使用します。リクエストが成功すると、Service Quotas が自動的にロールを作成します。次に、 AWS サポート アプリを使用して Slack でクォータの引き上げをリクエストできます。詳細については、「[Requesting a quota increase](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)」(クォータ引き上げのリクエスト) を参照してください。
+ ロールにアタッチされた IAM ポリシーを更新します。これにより、Service Quotas へのアクセス許可がロールに付与されます。の次のセクション[IAM ポリシーの例](#example-support-app-policy)では、 AWS サポート アプリが Service Quotas ロールを作成できるようにします。
```
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {"iam:AWSServiceName": "servicequotas.amazonaws.com"}
}
}
```
チャネル用に設定した IAM ロールを削除する場合は、ロールを手動で作成するか、IAM ポリシーを更新して、 AWS サポート アプリがロールを作成できるようにする必要があります。