AWS Support Plans へのアクセスを管理する - AWS Support
サポートプランのコンソールのアクセス許可サポートプランアクションサポートプランのIAMポリシーの例トラブルシューティング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Support Plans へのアクセスを管理する

サポートプランのコンソールのアクセス許可

サポートプランのコンソールにアクセスするには、一連の、最小限のアクセス許可が必要です。これらの許可により、ユーザーは AWS アカウントにあるサポートプランリソースの詳細を、リスト化し表示することができます。

supportplans 名前空間を使用して AWS Identity and Access Management (IAM) ポリシーを作成できます。このポリシーを使用して、アクションとリソースの許可を指定できます。

ポリシーを作成するときに、アクションを許可または拒否するサービスの名前空間を指定できます。サポートプランの名前空間は supportplans です。

AWS マネージドポリシーを使用してエンティティにアタッチできますIAM。詳細については、「AWSAWS Support Plans の マネージドポリシー」を参照してください。

サポートプランアクション

コンソールで、次のサポートプランアクションを実行できます。これらの Support Plans アクションをIAMポリシーで指定して、特定のアクションを許可または拒否することもできます。

[アクション] 説明

GetSupportPlan

この AWS アカウントにおける現在のサポートプランの詳細を表示する許可を付与します。

GetSupportPlanUpdateStatus

サポートプランの更新をリクエストするために、ステータスに関する詳細を表示する許可を付与します。

StartSupportPlanUpdate

この AWS アカウントのサポートプランを更新するリクエストを実行する許可を付与します。

CreateSupportPlanSchedule

この AWS アカウントのための、サポートプランスケジュールを作成する許可を付与します。

ListSupportPlanModifiers

この のすべてのサポートプラン修飾子のリストを表示するアクセス許可を付与します AWS アカウント。

サポートプランのIAMポリシーの例

次のポリシーの例を活用して、サポートプランへのアクセスを管理できます。

サポートプランへのフルアクセス

次のポリシーは、サポートプランへのフルアクセスをユーザーに許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "supportplans:*",
            "Resource": "*"
        }
    ]
}

サポートプランへの読み取り専用アクセス

次のポリシーは、サポートプランへの読み取り専用アクセスを許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "supportplans:Get*",
            "Resource": "*"
        },
        {       
            "Effect": "Allow",
            "Action": "supportplans:List*",
            "Resource": "*"
        },
    ]
}

サポートプランへアクセスの拒否

次のポリシーは、サポートプランへのユーザーのアクセスを拒否します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "supportplans:*",
            "Resource": "*"
        }
    ]
}

トラブルシューティング

サポートプランへのアクセスの管理については、以下のトピックを参照してください。

サポートプランを表示または変更しようとすると、サポートプランのコンソールに GetSupportPlan アクセス許可がないことが表示されます。

IAM ユーザーは、サポートプランコンソールにアクセスするために必要なアクセス許可を持っている必要があります。IAM ポリシーを更新して、欠落しているアクセス許可を含めるか、 などの マネージドポリシーを使用できます AWS 。AWSSupportPlansFullAccess または AWSSupportPlansReadOnlyAccess。 詳細については、「」を参照してくださいAWSAWS Support Plans の マネージドポリシー

IAM ポリシーを更新するアクセス権限がない場合は、管理者にお問い合わせください AWS アカウント 。

詳細については、 IAM ユーザーガイドの以下のトピックを参照してください。

サポートプランへの適切なアクセス許可を持っていますが、同じエラーが引き続き表示されます

AWS アカウント が の一部であるメンバーアカウントである場合 AWS Organizations、サービスコントロールポリシー (SCP) を更新する必要がある場合があります。SCPs は、組織内のアクセス許可を管理するポリシーの一種です。

サポートプgランはグローバルサービスであるため、 AWS リージョン を制限するポリシーにより、メンバーアカウントがサポートプランを表示または変更できない場合があります。IAM や Support Plans など、組織のグローバルサービスを許可するには、該当する の除外リストにサービスを追加する必要がありますSCP。これは、 が指定された SCP を拒否した場合でも、組織内のアカウントがこれらのサービスにアクセスできることを意味します AWS リージョン。

サポートプランを例外として追加するには、 の "NotAction"リスト"supportplans:*"に を入力しますSCP。

"supportplans:*",

は、次のポリシースニペットとして表示されるSCP場合があります。

例 : 組織内の Support Plans アクセスSCPを許可する
{ "Version":  "2012-10-17",
   "Statement": [
     { "Sid":  "GRREGIONDENY",
       "Effect":  "Deny",
       "NotAction": [    
         "aws-portal:*",
         "budgets:*",
         "chime:*"
         "iam:*",
         "supportplans:*",
         ....

メンバーアカウントがあり、 を更新できない場合はSCP、管理者にお問い合わせください AWS アカウント 。管理アカウントは、すべてのメンバーアカウントがサポートプランにアクセスできるSCPように を更新する必要がある場合があります。

のメモ AWS Control Tower

  • 組織が SCPで を使用している場合は AWS Control Tower、リクエストされたコントロール (一般的にリージョン拒否コントロールと呼ばれます) AWS に基づいて、 へのアクセス AWS リージョン拒否を更新できます。

  • を許可 AWS Control Tower するために SCPの を更新するとsupportplans、ドリフトを修復すると、 の更新が削除されますSCP。詳細については、「」の「ドリフトの検出と解決 AWS Control Tower」を参照してください。

詳細については、以下の各トピックを参照してください。