AWS 管理ポリシーを使用するか、カスタマー管理ポリシーを作成する IAM ロールを作成するトラブルシューティング

AWS サポートアプリへのアクセスの管理

AWS サポートアプリウィジェットへのアクセス許可を取得したら、AWS Identity and Access Management (IAM) ロールも作成する必要があります。このロールは、AWS のサービス API や Service Quotas など、他の AWS サポートのアクションをユーザーに代わって実行します。

続いて、このロールに IAM ポリシーをアタッチし、これらのアクションを実行するために必要なアクセス許可を、このロールに付与します。このロールは、サポートセンターコンソールで Slack チャンネル設定を作成する際に選択します。

Slack チャンネルのユーザーは、IAM ロールに付与したのと同じアクセス許可を有しています。例えば、サポートケースへの読み取り専用アクセスが指定されている場合、Slack チャンネルのユーザーは、サポートケースの表示はできますが更新はできません。

重要

サポートエージェントとのライブチャットをリクエストし、ライブチャットのチャンネル設定として新しいプライベートチャンネルを選択すると、AWS サポートアプリケーションは別途 Slack チャンネルを作成します。この Slack チャンネルは、ケースを作成したりチャットを開始したりしたチャンネルと同じアクセス許可を有しています。

IAM ロールまたは IAM ポリシーを変更すると、この変更は、ユーザーが設定した Slack チャンネルと、AWS サポートアプリがユーザーに代わって作成した新しいライブチャット Slack チャンネルに適用されます。

IAM ロールとポリシーを作成するときは、以下の手順に従います。

AWS 管理ポリシーを使用するか、カスタマー管理ポリシーを作成する

ロールのアクセス許可を付与するには、AWS 管理ポリシーまたはカスタマー管理ポリシーのいずれかを使用できます。

ヒント

ポリシーを手動で作成しない場合は、代わりに AWS 管理ポリシーを使用して、この手順をスキップすることをお勧めします。マネージドポリシーは、AWS サポートアプリに必要なアクセス許可を自動的に取得します。ユーザーがポリシーを手動で更新する必要はありません。詳細については、「Slack での AWS サポートアプリの AWS マネージドポリシー」を参照してください。

ロール用のカスタマー管理ポリシーを作成するには、次の手順に従います。この手順では、IAM コンソールの JSON ポリシーエディタを使用します。

AWS サポートアプリケーションのカスタマー管理ポリシーを作成するには

AWS マネジメントコンソールにサインインして、IAM コンソール https://console.aws.amazon.com/iam/ を開きます。
ナビゲーションペインで、[ポリシー] を選択します。
[Create policy] (ポリシーを作成) を選択します。
[JSON] タブを選択します。
JSON を入力し、エディタでデフォルトの JSON を置き換えます。ポリシーの例を利用できます。
[Next: Tags] (次へ: タグ) を選択します。
(オプション) キーと値のペアとしてタグを使用し、メタデータをポリシーに追加できます。
[次へ: レビュー] を選択します。
[Review policy] (ポリシーの確認) ページで、名前 (AWSSupportAppRolePolicy など) と説明 (任意) を入力します。
[Summary] (概要) ページで、そのポリシーで付与されているアクセス許可を確認し、[Create policy] (ポリシーの作成) を選択します。

このポリシーによって、このロールが実行できるアクションが定義されます。詳細については、「IAM ユーザーガイド」の「IAM ポリシーを作成する (コンソール)」を参照してください。

IAM ポリシーの例

IAM ロールには、以下のポリシーの例をアタッチできます。このポリシーは、AWS サポートアプリに必要なすべてのアクションへの完全なアクセス許可を、ロールに付与します。このロールを使って Slack チャンネルを設定すると、チャンネル内のすべてのユーザーに同じアクセス許可が付与されます。

注記

AWS マネージドポリシーのリストは、「Slack での AWS サポートアプリの AWS マネージドポリシー」で確認してください。

ポリシーを更新して、アクセス許可を AWS サポートアプリから削除することができます。

各アクションの説明については、「Service Authorization リファレンス」の以下のトピックを参照してください。

IAM ロールを作成する

このポリシーを作成したら、IAM ロールを作成し、そのロールにポリシーをアタッチする必要があります。このロールは、サポートセンターコンソールで Slack チャンネル設定を作成するときに選択します。

AWS サポートアプリのロールを作成するには

AWS マネジメントコンソールにサインインして、IAM コンソール https://console.aws.amazon.com/iam/ を開きます。
ナビゲーションペインで [Roles] を選択し、続いて [Create role] を選択します。
[Select trusted entity] (信頼されたエンティティを選択) で、[AWS のサービス] を選択します。
[AWS サポートアプリケーション] を選択します。
[Next: Permissions] (次のステップ: 許可) を選択します。
ポリシー名を入力します。AWS マネージドポリシー、または AWSSupportAppRolePolicy などの作成済みのカスタマー管理ポリシーを選択できます。ポリシーの横にあるチェックボックスをオンにします。
[Next: Tags] (次へ: タグ) を選択します。
(オプション) キーと値のペアとしてタグを使用し、メタデータをロールに追加できます。
[次へ: レビュー] を選択します。
[Role name] (ロール名) に、AWSSupportAppRole など、名前を入力します。
(オプション) [Role description] (ロールの説明) に、ロールの説明を入力します。
ロール情報を確認し、ロールの作成 を選択します。これで、サポートセンターコンソールで Slack チャンネルを設定する際に、このロールを選択できるようになりました。「Slack チャンネルの設定」を参照してください。

詳細については、IAM ユーザーガイドの「AWS のサービス用ロールの作成 (コンソール)」を参照してください。

トラブルシューティング

AWS サポートアプリへのアクセスを管理する方法については、以下のトピックを参照してください。

Slack チャンネルで特定のユーザーが特定のアクションを行うことを制限したい

デフォルトでは、Slack チャンネルのユーザーには、作成する IAM ロールにアタッチする IAM ポリシーで指定したものと同じアクセス許可が付与されます。つまり、AWS アカウントまたは IAM ユーザーを有しているかどうかにかかわらず、チャンネル内のどのユーザーも、サポートケースへの読み取りまたは書き込みアクセスが可能であるということです。

推奨されるベストプラクティスを以下に示します：

AWS サポートアプリでプライベート Slack チャンネルを設定する
チャンネルには、サポートケースにアクセスする必要のあるユーザーのみを招待します。
AWS サポートアプリへの必要最小限のアクセス許可を有した IAM ポリシーを使用します。「Slack での AWS サポートアプリの AWS マネージドポリシー」を参照してください。

Slack チャンネルを設定しても、作成した IAM ロールが表示されない

IAM ロールが [AWS サポートアプリケーションの IAM ロール] リストに表示されていない場合は、AWS サポートアプリケーションがこのロールの信頼されるエンティティとして設定されていない、またはこのロールが削除されたことを意味します。既存のロールを更新するか、新しいロールを作成します。「IAM ロールを作成する」を参照してください。

IAM ロールにアクセス許可が付与されていない

Slack チャンネル用に作成する IAM ロールには、求められているアクションを実行するためのアクセス許可が必要です。例えば、Slack のユーザーがサポートケースを作成できるようにしたいときは、ロールに support:CreateCase のアクセス許可が必要です。AWS サポートアプリは、このロールを引き受けて、ユーザーに代わってアクションを実行します。

AWS サポートアプリにアクセス許可がないとのエラーが表示されたときは、ロールにアタッチされたポリシーが必要なアクセス許可を有していることを確認します。

前述の「IAM ポリシーの例」を参照してください。

Slack のエラーで、IAM ロールが有効でないと表示される

チャンネルの設定に適したロールを選択していることを確認してください。

ロールを確認するには

https://console.aws.amazon.com/support/app#/config から AWS Support Center Console にサインインします。
AWS サポートアプリで設定したチャンネルを選択します。
[Permissions] (アクセス許可) セクションで、選択した IAM ロールの名前を見つけます。
- ロールを変更するには、[Edit] (編集) をクリックし、別のロールを選択して [Save] (保存) を選択します。
- ロールまたはロールにアタッチしたポリシーを更新するときは、IAM コンソールにサインインします。

AWS サポートアプリに、Service Quotas の IAM ロールがない、と表示される

Service Quotas でクォータの引き上げをリクエストするときは、アカウントに AWSServiceRoleForServiceQuotas ロールが必要です。リソースの欠落に関するエラーが発生したときは、以下のいずれかの手順を実行します。

クォータの引き上げをリクエストするときは、Service Quotas のコンソールを使用します。リクエストが成功すると、Service Quotas が自動的にロールを作成します。次に、AWS サポートアプリを使って、Slack でクォータの引き上げをリクエストします。詳細については、「Requesting a quota increase」(クォータ引き上げのリクエスト) を参照してください。
ロールにアタッチされた IAM ポリシーを更新します。これにより、Service Quotas へのアクセス許可がロールに付与されます。IAM ポリシーの例の以下のセクションでは、AWS サポートアプリがユーザーに代わって Service Quotas ロールを作成することを許可します。
```
{
    "Effect": "Allow",
    "Action": "iam:CreateServiceLinkedRole",
    "Resource": "*",
    "Condition": {
        "StringEquals": {"iam:AWSServiceName": "servicequotas.amazonaws.com"}
     }
}
```

チャンネルに設定した IAM ロールを削除するときは、そのロールを手動で作成するか、AWS サポートアプリがユーザーに代わってロールを作成することを許可するように IAM ポリシーを更新する必要があります。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS サポートアプリウィジェットへのアクセスを管理する

Slack ワークスペースを承認する

AWS サポート アプリへのアクセスの管理

重要