AWS Systems Manager Incident Manager は新規顧客に公開されなくなりました。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Incident Manager  可用性の変更](https://docs.aws.amazon.com/incident-manager/latest/userguide/incident-manager-availability-change.html)」を参照してください。 翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # PagerDuty アクセス認証情報を AWS Secrets Manager シークレットに保存する 応答計画の PagerDuty との統合を有効にすると、Incident Manager は次の方法で PagerDuty と連携します。 + Incident Manager で新しいインシデントを作成すると、Incident Manager は対応するインシデントを PagerDuty に作成します。 + PagerDuty で作成したページングワークフローとエスカレーションポリシーは、PagerDuty 環境で使用されます。ただし、Incident Manager は PagerDuty 設定をインポートしません。 + Incident Manager は、インシデントのメモとして、タイムラインインベントを最大 2,000 件まで PagerDuty に公開します。 + Incident Manager で関連インシデントを解決するときに、PagerDuty インシデントを自動的に解決するように選択できます。 Incident Manager を PagerDuty と統合するには、まず PagerDuty 認証情報 AWS Secrets Manager を含むシークレットを に作成する必要があります。これらにより、Incident Manager は PagerDuty サービスと通信できるようになります。その後、Incident Manager で作成する対応計画に PagerDuty サービスを含めることができます。 Secrets Manager で作成するこのシークレットには、適切な JSON 形式で以下が含まれている必要があります。 + PagerDuty アカウントの API キー。汎用アクセス REST API キーまたはユーザートークン REST API キーのいずれかを使用できます。 + PagerDuty サブドメインの有効なユーザーメールアドレス。 + サブドメインをデプロイした PagerDuty サービスリージョン。 **注記** PagerDuty サブドメイン内のすべてのサービスは、同じサービスリージョンにデプロイされます。 **前提条件** Secrets Manager でシークレットを作成する前に、次の要件を満たしていることを確認してください。 **KMS キー** () で作成した*カスタマーマネージドキー*を使用して、作成したシークレットを暗号化する必要があります AWS Key Management Service AWS KMS。PagerDuty 認証情報を保存するシークレットを作成するときに、このキーを指定します。 Secrets Manager には、シークレットを で暗号化するオプションがありますが AWS マネージドキー、この暗号化モードはサポートされていません。 カスタマーマネージドキーは次の要件を満たしている必要があります。 + **[キーのタイプ]**: **[対称]** を選択します。 + **[キーの使用法]**: **[暗号化および復号化]** を選択します。 + **リージョン:** 対応計画を複数の にレプリケートする場合は AWS リージョン、**必ずマルチリージョンキー**を選択してください。   **キーポリシー** 対応計画を設定するユーザーには、キーのリソースベースのポリシーの `kms:GenerateDataKey` および `kms:Decrypt` に対するアクセス許可が必要です。`ssm-incidents.amazonaws.com` サービスプリンシパルには、キーのリソースベースポリシーの `kms:GenerateDataKey` および `kms:Decrypt` に対するアクセス許可が必要です。 次のポリシーは、これらのアクセス許可を示しています。各{{ユーザー入力プレースホルダー}}を独自の情報に置き換えます。 **** ``` { "Version":"2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "Enable IAM user permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{111122223333}}:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow creator of response plan to use the key", "Effect": "Allow", "Principal": { "AWS": "{{IAM_ARN_of_principal_creating_response_plan}}" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "*" }, { "Sid": "Allow Incident Manager to use the key", "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "*" } ] } ``` 新しいカスタマーマネージドキーの作成の詳細については、「AWS Key Management Service デベロッパーガイド」の「[Creating symmetric encryption KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)」を参照してください。 AWS KMS キーの詳細については、「 [AWS KMS の概念](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)」を参照してください。 既存のカスタマーマネージドキーが上記の要件をすべて満たしている場合は、ポリシーを編集してこれらのアクセス許可を追加できます。カスタマーマネージドキーのポリシーの更新については、「AWS Key Management Service デベロッパーガイド」の「[キーポリシーの変更](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)」を参照してください。 条件キーを指定してアクセスをさらに制限できます。例えば、次のポリシーでは、米国東部 (オハイオ) リージョン (us-east-2) でのみ Secrets Manager からのアクセスを許可します。 ``` { "Sid": "Enable IM Permissions", "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": ["kms:Decrypt", "kms:GenerateDataKey*"], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com" } } } ``` **`GetSecretValue` アクセス許可** 対応計画を作成する IAM アイデンティティ (ユーザー、ロール、またはグループ) には IAM アクセス許可 `secretsmanager:GetSecretValue` が必要です。 **PagerDuty アクセス認証情報を AWS Secrets Manager シークレットに保存するには** 1. *AWS Secrets Manager 「 ユーザーガイド*」の「 [AWS Secrets Manager シークレットを作成する](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html)」のステップ 3a の手順に従います。 1. ステップ 3bの **[キーと値のペア]** で、次の操作を行います。 + **[プレーンテキスト] **タブを選択します。 + ボックスのデフォルトの内容を以下の JSON 構造に置き換えます。 ``` { "pagerDutyToken": "{{pagerduty-token}}", "pagerDutyServiceRegion": "{{pagerduty-region}}", "pagerDutyFromEmail": "{{pagerduty-email}}" } ``` + 貼り付けた JSON サンプルで、{{プレースホルダー}}の値を次のように置き換えます。 + {{pagerduty-token}}: PagerDuty アカウントの汎用アクセス REST API キーまたはユーザートークン REST API キーの値。 関連情報については、「*PagerDuty Knowledge Base*」の「[API Access Keys](https://support.pagerduty.com/docs/api-access-keys)」を参照してください。 + {{pagerduty-region}}: PagerDuty サブドメインをホストする PagerDuty データセンターのサービスリージョン。 関連情報については、「*PagerDuty Knowledge Base*」の「[Service Regions](https://support.pagerduty.com/docs/service-regions)」を参照してください。 + {{pagerduty-email}}: PagerDuty サブドメインに属するユーザーの有効なメールアドレス。 関連情報については、「*PagerDuty Knowledge Base*」の「[Manage Users](https://support.pagerduty.com/docs/users)」を参照してください。 次の例は、必要な PagerDuty 認証情報を含む完全な JSON シークレットを示しています。 ``` { "pagerDutyToken": "y_NbAkKc66ryYEXAMPLE", "pagerDutyServiceRegion": "US", "pagerDutyFromEmail": "JohnDoe@example.com" } ``` 1. ステップ 3c の **[暗号化キー]** で、前の「**前提条件**」セクションに記載されている要件を満たす、作成したカスタマーマネージドキーを選択します。 1. ステップ 4c の **[リソースのアクセス許可]** で、次の操作を行います。 + **[リソースのアクセス許可]** を展開します。 + **[アクセス許可の編集]** を選択します。 + ポリシーボックスのデフォルトの内容を以下の JSON 構造に置き換えます。 ``` { "Effect": "Allow", "Principal": { "Service": "ssm-incidents.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ``` + **[保存]** を選択します。 1. 対応計画を複数の AWS リージョンに複製した場合は、ステップ 4d の **[シークレットをレプリケート]** で次の操作を行います。 + **[シークレットをレプリケート]** を展開します。 + **AWS リージョン** で、対応計画を複製したリージョンを選択します。 + **[暗号化キー]** には、「**前提条件**」セクションの下に記載されている要件を満たす、このリージョンで作成した、またはこのリージョンに複製したカスタマーマネージドキーを選択します。 + 追加するたびに AWS リージョン、**リージョンの追加**を選択し、リージョン名とカスタマーマネージドキーを選択します。 1. *AWS Secrets Manager 「 ユーザーガイド*」の「 [AWS Secrets Manager シークレットを作成する](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html)」の残りのステップを完了します。 PagerDuty サービスを Incident Manager のインシデントワークフローに追加する方法については、トピック「[対応計画の作成](response-plans.md#response-plans-create)」の「[Integrate a PagerDuty service into the response plan](response-plans.md#anchor-pagerduty)」を参照してください。 **関連情報** 「[How to Automate Incident Response with PagerDuty and AWS Systems Manager Incident Manager](https://aws.amazon.com/blogs/mt/how-to-automate-incident-response-with-pagerduty-and-aws-systems-manager-incident-manager/)」(AWS クラウド 運用と移行に関するブログ) 「AWS Secrets Manager ユーザーガイド」の「[AWS Secrets Managerのシークレット暗号化と復号](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)」