翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Connect でのセキュリティのベストプラクティス
Amazon Connect には、独自のセキュリティポリシーを策定および実装する際に考慮すべき、さまざまなセキュリティ機能が用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを提供するものではありません。これらのベストプラクティスはお客様の環境に必ずしも適切または十分でない可能性があるため、処方箋ではなく、あくまで有用な検討事項とお考えください。
内容
Amazon Connect での予防的セキュリティのベストプラクティス
-
すべてのプロファイル許可ができるだけ制限されていることを確認します。ユーザーのロールに絶対に必要なリソースのみへのアクセスを許可します。例えば、Amazon Connect でユーザーの作成、読み取り、または更新を行う許可をエージェントに付与しないでください。
-
多要素認証 (MFA) が SAML 2.0 ID プロバイダーまたは Radius サーバー (ユースケースに適している場合) を介して設定されていることを確認します。MFA が設定されると、Amazon Connect のログインページには、(2 つ目の要素を表示している) 3 つ目のテキストボックスが表示されます。
-
ID 管理に AWS Directory Service または SAML ベースの認証を使用して既存のディレクトリを使用する場合は、ユースケースに適したすべてのセキュリティ要件に従ってください。
-
AWS コンソールのインスタンスページの緊急アクセス URL のログインは、日常的な使用ではなく、緊急事態にのみ使用します。詳細については、「Amazon Connect 管理ウェブサイトへの緊急ログイン」を参照してください。
サービスコントロールポリシー (SCP) を使用する
サービスコントロールポリシー (SCP) は、組織のアクセス許可の管理に使用できる組織ポリシーの一種です。SCP は、影響を受けるアカウントのユーザーおよびロールに対しアカウントの管理者が委任するアクションのために、ガードレールを定義するか制限を設定します。SCP を使用すると、Amazon Connect ワークロードに関連する重要なリソースを保護できます。
サービスコントロールポリシーを設定して重要なリソースの削除を防止する
SAML 2.0 ベースの認証を使用していて、Amazon Connect ユーザーの認証に使用される AWS IAM ロールを削除すると、ユーザーは Amazon Connect インスタンスにログインできなくなります。新しいロールに関連付けるには、ユーザーを削除して再作成する必要があります。これにより、対象のユーザーに関連付けられているすべてのデータが削除されます。
重要なリソースが誤って削除されるのを防ぎ、Amazon Connect インスタンスの可用性を保護するために、サービスコントロールポリシー (SCP) を設定し追加のコントロールとして使用します。
以下は、Amazon Connect インスタンスと関連するロールの削除を防ぐために、 AWS アカウント、組織単位、または組織ルートに適用できる SCP の例です。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AmazonConnectRoleDenyDeletion",
"Effect": "Deny",
"Action": [
"iam:DeleteRole"
],
"Resource": [
"arn:aws:iam::*:role/Amazon Connect user role"
]
},
{
"Sid": "AmazonConnectInstanceDenyDeletion",
"Effect": "Deny",
"Action": [
"connect:DeleteInstance"
],
"Resource": [
"Amazon Connect instance ARN"
]
}
]
} Amazon Connect Detective セキュリティのベストプラクティス
ログ記録とモニタリングは、コンタクトセンターの可用性、信頼性、そしてパフォーマンスにとって重要な要素です。Amazon Connect のフローから関連情報を CloudWatch に記録し、その情報に基づいてアラートと通知を作成する必要があります。
ログの保持要件とライフサイクルポリシーを早期に定義し、可能になったらすぐにログファイルをコスト効率の良いストレージロケーションに移動するための、計画を策定しておきます。Amazon Connect パブリック API のログを CloudTrail に記録します。CloudTrail のログに基づいて、アクションを確認および自動化します。
ログデータの長期保存とアーカイブには Amazon S3 の使用が推奨されます。これは特に、ログデータをネイティブ形式で監査可能にすることが求められるような、コンプライアンスプログラムを持つ組織に適しています。ログデータが Amazon S3 バケットに格納されたら、ライフサイクルルールを定義することで保持ポリシーを自動的に適用します。これらの格納されたオブジェクトは、Amazon S3 Standard - 低頻度アクセス (標準-IA) や Amazon S3 Glacier などの、費用対効果の高い他のストレージクラスに移動します。
AWS クラウドは、高度なパートナーサービスとセルフマネージド型の集中ロギングソリューションの両方をサポートする柔軟なインフラストラクチャとツールを提供します。これのソリューションには、Amazon OpenSearch Service や Amazon CloudWatch Logs などが含まれます。
顧客の要件に応じて Amazon Connectのフローをカスタマイズすることで、着信問い合わせの不正の検出とその防止策を実装できます。例えば、着信問い合わせを DynamoDB の過去の問い合わせアクティビティと照合して、拒否リストに登録されている着信を切断するなどのアクションを実行できます。
Amazon Connect チャットセキュリティのベストプラクティス
Amazon Connect Participant Service と直接統合 (または Amazon Connect Chat Java Script ライブラリを使用) し、WebSocket またはストリーミングエンドポイントを使用してフロントエンドアプリケーションまたはウェブサイトのメッセージを受信する場合、アプリケーションを DOM ベースの XSS (クロスサイトスクリプティング) 攻撃から保護する必要があります。
以下のセキュリティ推奨事項は、XSS 攻撃からの保護に役立ちます。
-
悪質なスクリプトの実行を防ぐために、適切な出力エンコーディングを実装します。
-
DOM を直接変更しないでください。例えば、
innerHTMLを使用してチャットレスポンスコンテンツをレンダリングしないでください。XSS 攻撃につながる悪意のある Javascript コードが含まれている可能性があります。React などのフロントエンドライブラリを使用して、チャットレスポンスに含まれる実行可能コードをエスケープおよびサニタイズします。 -
コンテンツセキュリティポリシー (CSP) を実装して、アプリケーションがスクリプト、スタイル、その他のリソースをロードできるソースを制限します。これにより、保護のレイヤーが追加されます。
