[アップデート] AWS Organizations に AWS Chatbot の利用を制限するチャットボットポリシーが追加されていたので試してみた

AWS Organizations に 5 個目のポリシーとなる「チャットボットポリシー」が追加されていることに気づいたため早速試してみました。

AWS Chatbot で利用するチャットツールを制限できる機能であり、Amazon Chime は許可しないが、Slack は許可するといったポリシーが適用できました。例えば、社内で採用しているチャットツール以外への投稿を制限したい場合などに利用できるのではないかと思います。また、Slack を許可する場合においても、特定のワークスペースのみ許可やプライベートチャンネルのみ許可といった記載もできそうでした（本ブログではサービス単位の許可までしか試していません）。

なお、チャットボットポリシーの説明は次のユーザーガイドのページに説明があります。

• Chatbot policies - AWS Organizations

チャットボットポリシーの例は次のページで紹介されています。

• Chatbot policy syntax and examples - AWS Organizations

チャットボットポリシーを試してみた

チャットボットポリシーを作成して AWS Chatbot で利用できるサービスを Slack だけに制限してみました。

ポリシーの作成と OU へのアタッチ

AWS Organizations のポリシー画面からチャットボットポリシーを選択します。

「チャットボットポリシーを有効にする」を選択して有効化します。

「ポリシーを作成」からチャットボットポリシーを作成します。

Visual Editor でポリシーを作成できます。Amazon Chime, Microsoft Teams, Slack の中から Slack だけを許可してみます。今回は設定しませんが、Slack では指定のワークスペースへのアクセスを許可する設定もできそうです。

上記の設定は JSON では次のポリシーとなっていました。slack の supported_channel_typesにおいて、パブリックチャンネルとプライベートチャンネルの両方が指定されていることが分かります。

{
    "chatbot": {
        "platforms": {
            "chime": {
                "client": {
                    "@@assign": "disabled"
                }
            },
            "slack": {
                "client": {
                    "@@assign": "enabled"
                },
                "default": {
                    "supported_channel_types": {
                        "@@assign": [
                            "private",
                            "public"
                        ]
                    }
                }
            },
            "microsoft_teams": {
                "client": {
                    "@@assign": "disabled"
                }
            }
        },
        "default": {
            "client": {
                "@@assign": "disabled"
            }
        }
    }
}

作成したポリシーを OU にアタッチします。後からポリシー名のスペルミスに気づきましたが、今回はテスト目的なのでこのまま進めました。

ポリシーテスト用の PolicyTest OU を選択してアタッチします。

PolicyTest OU の画面からアタッチされているポリシーも確認できました。以前から変更されていたのかもしれませんが、ポリシー画面がわかりやすくなっている気がします。

以上で、チャットボットポリシーの作成と OU へのアタッチは終わりです。

AWS Chatbot の動作確認

Slack 以外の利用を拒否するチャットボットポリシーを適用した PolicyTest OU 配下の AWS アカウントで、AWS Chatbot の動作を確認してみます。

AWS Chatbot において、新しいクライアントの設定を試してみます。

チャットボットポリシーで拒否している Amazon Chime と Microsoft Teams はこの時点でポリシーが適用され、設定を進めることができなくなることが分かりました。

許可している Slack はそのまま利用できました。

今回のチャットボットポリシーでは、ワークスペースの制限はしていないので、この後は通知先のチャンネルの設定をしてテスト通知まで実施できました。

さいごに

AWS Organizations に追加された 5 個目のポリシーであるチャットボットポリシーを試してみました。AWS Chatbot において、サービス単位で利用を制限できるところまで確認できました。今回は試しませんでしたが、Slack を許可する場合において、特定のワークスペースのみ許可やプライベートチャンネルのみ許可といった記載もできそうでした。

以上、このブログがどなたかのご参考になれば幸いです。