翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Connect に関連付けることができる AWS リソースを制限する
各 Amazon Connect インスタンスは、インスタンスの作成時にIAMサービスにリンクされたロールに関連付けられます。 https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-roleAmazon Connectは、通話記録用のストレージ (Amazon S3 バケット) 、自然言語によるボット (Amazon Lex ボット) 、データストリーミング (Amazon Kinesis Data Streams) などのユースケースに対応するため、他の AWS のサービスと統合することができます、Amazon Connect は、これらの他のサービスと対話するために、サービスにリンクされたロールを引き継ぎます。ポリシーは、まず Amazon Connect サービス ( AWS 管理者ウェブサイトによって呼び出される) APIsの対応する の一部としてサービスにリンクされたロールに追加されます。例えば、Amazon Connect インスタンスで特定の Amazon S3 バケットを使用する場合は、バケットを AssociateInstanceStorageConfig に渡す必要がありますAPI。
Amazon Connect で定義される一連のIAMアクションについては、Amazon Connect で定義されるアクション」を参照してください。 Amazon Connect
Amazon Connect インスタンスに関連付けられている可能性がある他のリソースへのアクセスを、制限する方法の例を次に示します。Amazon Connect または Amazon Amazon Connect 管理者ウェブサイトとやり取りするユーザーAPIsまたはロールに適用する必要があります。
注記
これらの例では、明示的な Deny
を使用するポリシーで、Allow
ポリシーをオーバライドしています。
アクセスの制限APIsに使用できるリソース、条件キー、依存関係の詳細については、Amazon Connect のアクション、リソース、および条件キー」を参照してください。
例 1: Amazon Connect インスタンスに関連付けることができる Amazon S3 バケットを制限する
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:UpdateInstanceStorageConfig", "connect:AssociateInstanceStorageConfig" ], "Resource": "arn:aws:connect:
region
:account-id
:instance/instance-id
", "Condition": { "StringEquals": { "connect:StorageResourceType": "CALL_RECORDINGS" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:iam::account-id
:role/aws-service-role/connect.amazonaws.com/*", "arn:aws:s3:::amzn-s3-demo-bucket
" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "*" } ] }
この例では、IAMプリンシパルが特定の Amazon Connect インスタンス の通話録音に Amazon S3 バケットとARN、 という名前の特定の Amazon S3 バケットを関連付けることができますmy-connect-recording-bucket
。 Amazon Connect AttachRolePolicy
および PutRolePolicy
アクションは、Amazon Connect サービスにリンクされたロールにスコープされます (この例ではワイルドカードが使用されますが、必要に応じてインスタンスARNのロールを指定できます)。
注記
AWS KMS キーを使用してこのバケットの録画を暗号化するには、追加のポリシーが必要です。
例 2: Amazon Connect インスタンスに関連付けることができる AWS Lambda 関数を制限する
AWS Lambda 関数は Amazon Connect インスタンスに関連付けられていますが、Amazon Connect サービスにリンクされたロールは呼び出しに使用されないため、変更されません。代わりに、特定の Amazon Connect インスタンスが関数を呼び出すlambda:AddPermission
APIことを可能にするポリシーが を介して関数に追加されます。
Amazon Connect インスタンスに関連付けることができる関数を制限するには、ARNユーザーが を呼び出すために使用できる Lambda 関数を指定しますlambda:AddPermission
。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:AssociateLambdaFunction", "lambda:AddPermission" ], "Resource": [ "arn:aws:connect:
region
:account-id
:instance/instance-id
", "arn:aws:lambda:*:*:function:my-function
" ] } ] }
例 3: Amazon Connect インスタンスに関連付けることができる Amazon Kinesis Data Streams を制限する
この例は、Amazon S3 の例と同様のモデルを使用します。問い合わせレコードを配信するために、指定された Amazon Connect インスタンスに関連付けることができる Kinesis Data Streams を、特定のものに制限します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:UpdateInstanceStorageConfig", "connect:AssociateInstanceStorageConfig" ], "Resource": "arn:aws:connect:
region
:account-id
:instance/instance-id
", "Condition": { "StringEquals": { "connect:StorageResourceType": "CONTACT_TRACE_RECORDS" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "kinesis:DescribeStream", "iam:PutRolePolicy" ], "Resource": [ "arn:aws:iam::account-id
:role/aws-service-role/connect.amazonaws.com/*", "arn:aws:kinesis:*:account-id
:stream/stream-name
" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": "kinesis:ListStreams", "Resource": "*" } ] }