翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS サポート プランへのアクセスを管理する
<a name="security-support-plans"></a>

**Topics**
+ [サポートプランのコンソールのアクセス許可](#using-the-trusted-advisor-console)
+ [サポートプランアクション](#support-plans-actions)
+ [サポートプランの IAM ポリシーの例](#support-plans-policies)
+ [トラブルシューティング](#troubleshooting-changing-support-plans)

## サポートプランのコンソールのアクセス許可
<a name="using-the-trusted-advisor-console"></a>

サポートプランのコンソールにアクセスするには、一連の、最小限のアクセス許可が必要です。これらの許可により、ユーザーは AWS アカウントにあるサポートプランリソースの詳細を、リスト化し表示することができます。

`supportplans` 名前空間を使用して AWS Identity and Access Management (IAM) ポリシーを作成できます。このポリシーを使用して、アクションとリソースの許可を指定できます。

ポリシーを作成するときに、アクションを許可または拒否するサービスの名前空間を指定できます。サポートプランの名前空間は `supportplans` です。

 AWS 管理ポリシーを使用して、IAM エンティティにアタッチできます。詳細については、「[AWS AWS サポート プランの マネージドポリシー](managed-policies-aws-support-plans.md)」を参照してください。

## サポートプランアクション
<a name="support-plans-actions"></a>

コンソールで、次のサポートプランアクションを実行できます。また、これらのサポートプランアクションを IAM ポリシーで指定し、特定のアクションを許可または拒否することもできます。


| [アクション] | 説明 | 
| --- | --- | 
|  `GetSupportPlan`  |  この AWS アカウントにおける現在のサポートプランの詳細を表示する許可を付与します。  | 
|  `GetSupportPlanUpdateStatus`  |  サポートプランの更新をリクエストするために、ステータスに関する詳細を表示する許可を付与します。  | 
|  `StartSupportPlanUpdate`  |  この AWS アカウントのサポートプランを更新するリクエストを実行する許可を付与します。  | 
|  `CreateSupportPlanSchedule`  |  この AWS アカウントのための、サポートプランスケジュールを作成する許可を付与します。  | 
|  `ListSupportPlanModifiers ` | この AWS アカウントのすべてのサポートプラン修飾子のリストを表示する許可を付与します。 | 

## サポートプランの IAM ポリシーの例
<a name="support-plans-policies"></a>

次のポリシーの例を活用して、サポートプランへのアクセスを管理できます。

### サポートプランへのフルアクセス
<a name="full-access-support-plans"></a>

次のポリシーは、サポートプランへのフルアクセスをユーザーに許可します。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "supportplans:*",
            "Resource": "*"
        }
    ]
}
```

------

### サポートプランへの読み取り専用アクセス
<a name="readonly-access-support-plans"></a>

次のポリシーは、サポートプランへの読み取り専用アクセスを許可します。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "supportplans:Get*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "supportplans:List*",
            "Resource": "*"
        }
    ]
}
```

------

### サポートプランへアクセスの拒否
<a name="deny-access-support-plans"></a>

次のポリシーは、サポートプランへのユーザーのアクセスを拒否します。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "supportplans:*",
            "Resource": "*"
        }
    ]
}
```

------

## トラブルシューティング
<a name="troubleshooting-changing-support-plans"></a>

サポートプランへのアクセスの管理については、以下のトピックを参照してください。

### サポートプランを表示または変更しようとすると、サポートプランのコンソールに `GetSupportPlan` アクセス許可がないことが表示されます。
<a name="missing-iam-permission"></a>

IAM ユーザーは、サポートプランのコンソールにアクセスするために必要なアクセス許可を持っている必要があります。IAM ポリシーを更新して不足しているアクセス許可が含まれるようにするか、AWSSupportPlansFullAccess または AWSSupportPlansReadOnlyAccess などの AWS マネージドポリシーを使用することができます。詳細については、「[AWS AWS サポート プランの マネージドポリシー](managed-policies-aws-support-plans.md)」を参照してください。

IAM ポリシーを更新するためのアクセスができない場合は、 AWS アカウント 管理者にお問い合わせください。

#### 関連情報
<a name="related-information-missing-permissions"></a>

詳細については、*IAM ユーザーガイド*にある下記のトピックを参照してください。
+ [IAM ポリシーシミュレーターを使用した IAM ポリシーのテスト](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)
+ [アクセス拒否エラーメッセージのトラブルシューティング](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_access-denied.html)

### サポートプランへの適切なアクセス許可を持っていますが、同じエラーが引き続き表示されます
<a name="update-the-service-control-policy"></a>

 AWS アカウント が の一部であるメンバーアカウントである場合は AWS Organizations、サービスコントロールポリシー (SCP) を更新する必要がある場合があります。SCP は、組織内のアクセス許可を管理するポリシーの一種です。

サポートプランは*グローバル*サービスであるため、 AWS リージョン を制限するポリシーにより、メンバーアカウントがサポートプランを表示または変更できない場合があります。IAM やサポートプランなどのグローバルサービスを組織で実行するには、該当する任意の SCP の除外リストにサービスを追加する必要があります。つまり、SCP が指定された を拒否した場合でも、組織内のアカウントはこれらのサービスにアクセスできます AWS リージョン。

例外としてサポートプランを追加するには、SCP の `"NotAction"` リストに `"supportplans:*"` を入力します。

```
"supportplans:*",
```

SCP は次のポリシ‏ースニペットとして表示される場合があります。

**Example : 組織がサポートプランにアクセスできるようにする SCP**  

```
{ "Version": "2012-10-17",		 	 	 
   "Statement": [
     { "Sid":  "GRREGIONDENY",
       "Effect":  "Deny",
       "NotAction": [    
         "aws-portal:*",
         "budgets:*",
         "chime:*"
         "iam:*",
         "supportplans:*",
         ....
```

メンバーアカウントを持っていて SCP を更新できない場合は、 AWS アカウント 管理者にお問い合わせください。場合によっては、管理者アカウントは SCP を更新し、すべてのメンバーアカウントがサポートプランにアクセスできるようにする必要があります。

**に関する注意事項 AWS Control Tower**  
組織が で SCP を使用している場合は AWS Control Tower、**リクエストされたコントロール (一般的にリージョン拒否コントロールと呼ばれます) AWS に基づいて、 へのアクセス AWS リージョン**拒否を更新できます。
を許可する AWS Control Tower ように の SCP を更新すると`supportplans`、ドリフトを修復すると SCP の更新が削除されます。詳細については、[「ドリフトの検出と解決 AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html)」を参照してください。

#### 関連情報
<a name="related-information-scps"></a>

詳細については、以下の各トピックを参照してください。
+ 「*AWS Organizations ユーザーガイド*」の「[Service control policies (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」
+ 「*AWS Control Tower ユーザーガイド*」の「[Configure the Region deny control](https://docs.aws.amazon.com/controltower/latest/userguide/region-deny.html)」
+ *AWS Control Tower ユーザーガイド*で[リクエストされた AWS に基づいて へのアクセスを拒否 AWS リージョン](https://docs.aws.amazon.com/controltower/latest/userguide/data-residency-controls.html#primary-region-deny-policy)する