AWS サポート プランへのアクセスの管理 - AWS サポート
サポートプランのコンソールのアクセス許可サポートプランアクションサポートプランの IAM ポリシーの例トラブルシューティング

AWS サポート プランへのアクセスの管理

サポートプランのコンソールのアクセス許可

サポートプランのコンソールにアクセスするには、一連の、最小限のアクセス許可が必要です。これらの許可により、ユーザーは AWS アカウント にあるサポートプランリソースの詳細を、リスト化し表示することができます。

supportplans 名前空間を使用して AWS Identity and Access Management (IAM) ポリシーを作成できます。このポリシーを使用して、アクションとリソースの許可を指定できます。

ポリシーを作成するときに、アクションを許可または拒否するサービスの名前空間を指定できます。サポートプランの名前空間は supportplans です。

AWS マネージドポリシーは、自分の IAM エンティティにアタッチできます。詳細については、「AWS サポート プランの AWS マネージドポリシー」を参照してください。

サポートプランアクション

コンソールで、次のサポートプランアクションを実行できます。また、これらのサポートプランアクションを IAM ポリシーで指定し、特定のアクションを許可または拒否することもできます。

アクション 説明

GetSupportPlan

この AWS アカウント における現在のサポートプランの詳細を表示する許可を付与します。

GetSupportPlanUpdateStatus

サポートプランの更新をリクエストするために、ステータスに関する詳細を表示する許可を付与します。

StartSupportPlanUpdate

この AWS アカウント のサポートプランを更新するリクエストを実行する許可を付与します。

CreateSupportPlanSchedule

この AWS アカウント のための、サポートプランスケジュールを作成する許可を付与します。

ListSupportPlanModifiers

この AWS アカウントのすべてのサポートプラン修飾子のリストを表示する許可を付与します。

サポートプランの IAM ポリシーの例

次のポリシーの例を活用して、サポートプランへのアクセスを管理できます。

サポートプランへのフルアクセス

次のポリシーは、サポートプランへのフルアクセスをユーザーに許可します。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "supportplans:*",
            "Resource": "*"
        }
    ]
}

サポートプランへの読み取り専用アクセス

次のポリシーは、サポートプランへの読み取り専用アクセスを許可します。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "supportplans:Get*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "supportplans:List*",
            "Resource": "*"
        }
    ]
}

サポートプランへアクセスの拒否

次のポリシーは、サポートプランへのユーザーのアクセスを拒否します。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "supportplans:*",
            "Resource": "*"
        }
    ]
}

トラブルシューティング

サポートプランへのアクセスの管理については、以下のトピックを参照してください。

サポートプランを表示または変更しようとすると、サポートプランのコンソールに GetSupportPlan アクセス許可がないことが表示されます。

IAM ユーザーは、サポートプランのコンソールにアクセスするために必要なアクセス許可を持っている必要があります。IAM ポリシーを更新して不足しているアクセス許可が含まれるようにするか、AWSSupportPlansFullAccess または AWSSupportPlansReadOnlyAccess などの AWS マネージドポリシーを使用することができます。詳細については、「AWS サポート プランの AWS マネージドポリシー」を参照してください。

IAM ポリシーを更新するためのアクセスができない場合は、AWS アカウント 管理者にお問い合わせください。

詳細については、IAM ユーザーガイドにある下記のトピックを参照してください。

サポートプランへの適切なアクセス許可を持っていますが、同じエラーが引き続き表示されます

AWS アカウント が AWS Organizations の一部であるメンバーアカウントの場合、サービスコントロールポリシー (SCP) の更新が必要な場合があります。SCP は、組織内のアクセス許可を管理するポリシーの一種です。

サポートプランはグローバルサービスであるため、AWS リージョンを制限するポリシーにより、メンバーアカウントがサポートプランを表示または変更できない場合があります。IAM やサポートプランなどのグローバルサービスを組織で実行するには、該当する任意の SCP の除外リストにサービスを追加する必要があります。つまり、SCP が指定された AWS リージョン を拒否した場合でも、組織内のアカウントはこれらのサービスにアクセスできます。

例外としてサポートプランを追加するには、SCP の "NotAction" リストに "supportplans:*" を入力します。

"supportplans:*",

SCP は次のポリシ‏ースニペットとして表示される場合があります。

例 : 組織がサポートプランにアクセスできるようにする SCP
{ "Version": "2012-10-17",		 	 	 
   "Statement": [
     { "Sid":  "GRREGIONDENY",
       "Effect":  "Deny",
       "NotAction": [    
         "aws-portal:*",
         "budgets:*",
         "chime:*"
         "iam:*",
         "supportplans:*",
         ....

メンバーアカウントを持っていて SCP を更新できない場合は、AWS アカウント 管理者にお問い合わせください。場合によっては、管理者アカウントは SCP を更新し、すべてのメンバーアカウントがサポートプランにアクセスできるようにする必要があります。

AWS Control Tower に関する注意事項

  • 組織が AWS Control Tower で SCP を使用している場合は、[要求された AWS リージョン に基づいて AWS へのアクセスを拒否する] コントロールを更新できます (一般にリージョン拒否コントロールと呼ばれます)。

  • supportplans を許可するように AWS Control Tower の SCP を更新した場合、ドリフトを修復すると SCP への更新が削除されます。詳細については、「AWS Control Tower でドリフトを検出および解決する」を参照してください。

詳細については、以下の各トピックを参照してください。