Amazon Connect で階層ベースのアクセスコントロールを適用する (プレビュー) - Amazon Connect
概要API/SDK を使用して階層ベースのアクセスコントロールを適用するAmazon Connect 管理ウェブサイトを使用して階層ベースのアクセスコントロールを適用する設定の制限階層ベースのアクセスコントロールのベストプラクティス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Connect で階層ベースのアクセスコントロールを適用する (プレビュー)

注記

これはプレビューリリースのサービスに関するプレリリースドキュメントです。このドキュメントは変更される可能性があります。

ユーザーに割り当てられたエージェント階層に基づいて連絡先へのアクセスを制限できます。これを行うには、問い合わせアクセスの制限などのセキュリティプロファイルのアクセス許可を使用します。これらのアクセス許可に加えて、階層を使用してユーザーなどのリソースのきめ細かなアクセスコントロールを適用したり、タグを使用したりできます。

このトピックでは、階層ベースのアクセスコントロール (現在プレビュー中) の設定について説明します。

概要

階層ベースのアクセスコントロールを使用すると、ユーザーに割り当てられたエージェント階層に基づいて、特定のリソースへのきめ細かなアクセスを設定できます。階層ベースのアクセスコントロールは、API/SDK または Amazon Connect 管理者ウェブサイトを使用して設定できます。 

階層ベースのアクセスコントロールをサポートする唯一のリソースはユーザーです。この認可モデルはタグベースのアクセスコントロールと連携するため、ユーザーへのアクセスを制限して、同じ階層グループに属し、特定のタグが関連付けられている他のユーザーのみを表示できます。

注記

階層ベースのアクセスコントロールをユーザーに適用すると、ユーザーは階層グループとそのすべての子孫 (子レベル以外) にアクセスできます。

API/SDK を使用して階層ベースのアクセスコントロールを適用する

階層を使用して AWS アカウント内のリソースへのアクセスを制御するには、IAM ポリシーの条件要素で階層の情報を指定する必要があります。例えば、特定の階層に属するユーザーへのアクセスを制御するには、 条件キーと、 のような特定の演算子を使用してconnect:HierarchyGroupL3Id/hierarchyGroupId、ユーザーが属する必要がある階層グループStringEqualsを指定し、特定のアクションを許可します。

サポートされている条件キーは次のとおりです。

  1. connect:HierarchyGroupL1Id/hierarchyGroupId

  2. connect:HierarchyGroupL2Id/hierarchyGroupId

  3. connect:HierarchyGroupL3Id/hierarchyGroupId

  4. connect:HierarchyGroupL4Id/hierarchyGroupId

  5. connect:HierarchyGroupL5Id/hierarchyGroupId

各キーは、ユーザーの階層構造の特定のレベルにある特定の階層グループの ID を表します。

階層ベースのアクセスコントロールの詳細については、「IAM ユーザーガイド」の「タグを使用した AWS リソースへのアクセスの制御」を参照してください。

Amazon Connect 管理ウェブサイトを使用して階層ベースのアクセスコントロールを適用する

階層を使用して Amazon Connect 管理ウェブサイトのリソースへのアクセスを制御するには、特定のセキュリティプロファイル内でアクセスコントロールセクションを設定します。

例えば、特定のユーザーが属する階層に基づいてきめ細かなアクセスコントロールを有効にするには、そのユーザーをアクセスコントロールされたリソースとして設定します。これを行うには、次の 2 つのオプションがあります。

  1. ユーザーの階層に基づいて階層ベースのアクセスコントロールを適用する

    このオプションにより、アクセス権が付与されているユーザーは、自分の階層に属するユーザーのみを管理できます。例えば、特定のユーザーに対してこの設定を有効にすると、ユーザーは自分の階層グループまたは子階層グループに属する他のユーザーを管理できます。これにより、アクセス権が付与されたユーザーは、自分の階層に属するユーザーのみを管理できます。例えば、スーパーバイザーに対してこの設定を有効にすると、スーパーバイザーは自分の階層グループまたは子階層グループに属する他のユーザーを管理できます。

  2. 特定の階層に基づいて階層ベースのアクセスコントロールを適用する

    このオプションにより、アクセスが付与されたユーザーは、セキュリティプロファイルで定義された階層に属するユーザーのみを管理できます。たとえば、特定のユーザーに対してこの設定を有効にすると、セキュリティプロファイルで指定された階層グループまたは子階層グループに属する他のユーザーを管理できます。

設定の制限

きめ細かなアクセスコントロールは、セキュリティプロファイルで設定されます。ユーザーには、きめ細かなアクセスコントロールを適用する最大 2 つのセキュリティプロファイルを割り当てることができます。この場合、アクセス許可の制限は小さくなり、両方のアクセス許可セットの結合として機能します。

例えば、あるセキュリティプロファイルが階層ベースのアクセスコントロールを強制し、別のセキュリティプロファイルがタグベースのアクセスコントロールを強制する場合、ユーザーは同じ階層に属する、または特定のタグでタグ付けされたすべてのユーザーを管理できます。タグベースと階層ベースの両方のアクセスコントロールが同じセキュリティプロファイルの一部として設定されている場合は、両方の条件を満たす必要があります。この場合、ユーザーは同じ階層に属し、特定のタグが付けられたユーザーのみを管理できます。 

追加のセキュリティプロファイルできめ細かいアクセスコントロールを実施していない限り、ユーザーには 3 つ以上のセキュリティプロファイルを割り当てることができます。リソースのアクセス許可が重複する複数のセキュリティプロファイルが存在する場合、階層ベースのアクセスコントロールのないセキュリティプロファイルは、階層ベースのアクセスコントロールを持つプロファイルに適用されます。

階層ベースのアクセスコントロールを設定するには、サービスにリンクされたロールが必要です。インスタンスが 2018 年 10 月以降に作成された場合、これはデフォルトで Amazon Connect インスタンスで使用できます。ただし、これより古いインスタンスを使用している場合は、サービスにリンクされたロールを有効にする方法について、「Amazon Connect サービスにリンクされたロールを使用する」を参照してください。

階層ベースのアクセスコントロールのベストプラクティス

  • AWS 責任共有モデルを確認します。

    階層ベースのアクセスコントロールの適用は、Amazon Connect でサポートされ、 責任 AWS 共有モデルに従う高度な設定機能です。必要な認可ニーズを満たすようにインスタンスを正しく設定していることを確認することが重要です。

  • 階層ベースのアクセスコントロールを有効にするリソースについて、少なくとも [表示] アクセス許可が有効になっていることを確認します。

    これにより、アクセス要求が拒否される原因となるアクセス許可の不一致を避けることができます。階層ベースのアクセスコントロールはリソースレベルで有効になるため、各リソースについて個別にコントロールを設定できます。

  • 階層ベースのアクセスコントロールが適用されたときに付与されるアクセス許可を慎重に確認します。

    例えば、ユーザーへの階層制限付きアクセスと、アクセス許可のセキュリティプロファイルの表示/編集を有効にすると、ユーザーは、意図したユーザーのアクセスコントロール設定に優先する権限を持つセキュリティプロファイルを作成/更新できます。

    • 階層ベースのアクセスコントロールを適用した状態で Amazon Connect コンソールにログインすると、ユーザーは制限されているリソースの変更履歴ログにアクセスできなくなります。

    • 子リソースを階層ベースのアクセスコントロールを持つ親リソースに割り当てようとすると、子リソースが階層に属していない場合は操作が拒否されます。

      たとえば、クイック接続にユーザーを割り当てようとしても、ユーザーの階層にアクセスできない場合、オペレーションは失敗します。ただし、関連付け解除はこの限りではありません。クイック接続にアクセスできると仮定して階層ベースのアクセスコントロールが適用されていても、ユーザーの関連付けを自由に解除できます。これは、関連付けの解除は、2 つのリソース間の既存のリレーション (新しい関連付けではなく) を破棄することであり、ユーザーが既にアクセスできる親リソース (この場合はクイック接続) の一部としてモデル化されるためです。

  • 親リソースに付与されるアクセス許可については、ユーザーの関連付けが、スーパーバイザーの知識なしに解除される可能性があるため、十分に考慮してください。

  • Amazon Connect 管理ウェブサイトで階層ベースのアクセスコントロールを適用する場合は、次の機能へのアクセスを無効にします。

    機能 アクセスを無効にするセキュリティプロファイルのアクセス許可
    コンタクトの検索 コンタクトの検索 - 表示
    履歴変更/監査ポータル メトリクスへのアクセス - アクセス
    リアルタイムメトリクス リアルタイムメトリクス - アクセス
    履歴メトリクス 履歴メトリクス - アクセス
    ログイン/ログアウトレポート ログイン/ログアウトレポート - 表示
    ルール ルール - 表示
    保存されたレポート 保存されたレポート - 表示
    エージェント階層 エージェント階層 - 表示
    フロー/フローモジュール フローモジュール - 表示
    スケジューリング スケジュールマネージャー - 表示

    これらのリソースへのアクセスを無効にしない場合、 Amazon Connect 管理ウェブサイトでこれらのページを表示する特定のリソースに対する階層ベースのアクセスコントロールを持つユーザーには、無制限のユーザーリストが表示されることがあります。アクセス許可を管理する方法の詳細については、「セキュリティプロファイルのアクセス許可のリスト」を参照してください。