Amazon Connect でのセキュリティのベストプラクティス - Amazon Connect
Amazon Connect の予防的セキュリティのベストプラクティスAmazon Connect 検出セキュリティのベストプラクティスAmazon Connect Chat セキュリティのベストプラクティス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Connect でのセキュリティのベストプラクティス

Amazon Connect には、独自のセキュリティポリシーを策定および実装する際に考慮すべき、さまざまなセキュリティ機能が用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを提供するものではありません。これらのベストプラクティスはお客様の環境に必ずしも適切または十分でない可能性があるため、処方箋ではなく、あくまで有用な検討事項とお考えください。

Amazon Connect の予防的セキュリティのベストプラクティス

  • すべてのプロファイル許可ができるだけ制限されていることを確認します。ユーザーのロールに絶対に必要なリソースのみへのアクセスを許可します。例えば、Amazon Connect でユーザーの作成、読み取り、または更新を行う許可をエージェントに付与しないでください。

  • ユースケースにより当てはまる場合は、SAML2.0 ID プロバイダーまたは Radius サーバーを介して多要素認証 (MFA) が設定されていることを確認してください。MFA を設定すると、Amazon Connect ログインページに 3 番目のテキストボックスが表示され、2 番目の要素が表示されます。

  • ID 管理に AWS Directory Service または SAMLベースの認証を使用して既存のディレクトリを使用する場合は、ユースケースに適したすべてのセキュリティ要件に従ってください。

  • AWS コンソールのURLインスタンスページでの緊急アクセスには、日常的な使用ではなく、緊急時にのみログインを使用します。詳細については、「Amazon Connect 管理者ウェブサイトへの緊急ログイン」を参照してください。

サービスコントロールポリシーを使用する (SCPs)

サービスコントロールポリシー (SCPs) は、組織内のアクセス許可を管理するために使用できる組織ポリシーの一種です。は、アカウントの管理者が影響を受けるアカウントのユーザーとロールに委任できるアクションのガードレールSCPを定義するか、制限を設定します。を使用してSCPs、Amazon Connect ワークロードに関連付けられた重要なリソースを保護できます。

サービスコントロールポリシーを設定して重要なリソースの削除を防止する

SAML 2.0 ベースの認証を使用していて、 AWS IAMAmazon Connect ユーザーの認証に使用されるロールを削除すると、ユーザーは Amazon Connect インスタンスにログインできなくなります。新しいロールに関連付けるには、ユーザーを削除して再作成する必要があります。これにより、対象のユーザーに関連付けられているすべてのデータが削除されます。

重要なリソースが誤って削除されるのを防ぎ、Amazon Connect インスタンスの可用性を保護するために、サービスコントロールポリシー (SCP) を追加コントロールとして設定できます。

Amazon Connect インスタンスと関連するロールの削除を防ぐために、 AWS アカウント、組織単位、または組織ルートに適用SCPできる例を次に示します。

{    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonConnectRoleDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "iam:DeleteRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/Amazon Connect user role"
      ]
    },
    {
      "Sid": "AmazonConnectInstanceDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "connect:DeleteInstance"         
      ],
      "Resource": [
        "Amazon Connect instance ARN"
      ]
    }
  ]
}

Amazon Connect 検出セキュリティのベストプラクティス

ログ記録とモニタリングは、コンタクトセンターの可用性、信頼性、そしてパフォーマンスにとって重要な要素です。Amazon Connect フローからの関連情報を に記録し CloudWatch 、それに基づいてアラートと通知を構築する必要があります。

ログの保持要件とライフサイクルポリシーを早期に定義し、可能になったらすぐにログファイルをコスト効率の良いストレージロケーションに移動するための、計画を策定しておきます。Amazon Connect パブリックAPIsログを に接続します CloudTrail。 CloudTrail ログに基づいてアクションを確認して自動化します。

ログデータの長期保存とアーカイブには Amazon S3 の使用が推奨されます。これは特に、ログデータをネイティブ形式で監査可能にすることが求められるような、コンプライアンスプログラムを持つ組織に適しています。ログデータが Amazon S3 バケットに入ったら、ライフサイクルルールを定義して、保持ポリシーを自動的に適用し、これらのオブジェクトを Amazon S3 Standard - 低頻度アクセス (Standard - IA) や Amazon S3 Glacier などのコスト効率の高い他のストレージクラスに移動します。

AWS Cloud は、高度なパートナーサービスとセルフマネージド型の集中ログ記録ソリューションの両方をサポートする柔軟なインフラストラクチャとツールを提供します。これには、Amazon OpenSearch Service や Amazon CloudWatch Logs などのソリューションが含まれます。

顧客の要件に応じて Amazon Connectのフローをカスタマイズすることで、着信問い合わせの不正の検出とその防止策を実装できます。例えば、着信問い合わせを DynamoDB の過去の問い合わせアクティビティと照合して、拒否リストに登録されている着信を切断するなどのアクションを実行できます。

Amazon Connect Chat セキュリティのベストプラクティス

Amazon Connect Participant Service と直接統合し (または Amazon Connect Chat Java Script ライブラリを使用)、 WebSocket エンドポイントまたはストリーミングエンドポイントを使用してフロントエンドアプリケーションまたはウェブサイトのメッセージを受信する場合、アプリケーションを DOMベースの XSS (クロスサイトスクリプティング) 攻撃から保護する必要があります。

以下のセキュリティ推奨事項は、XSS攻撃から保護するのに役立ちます。

  • 悪意のあるスクリプトの実行を防ぐために、適切な出力エンコーディングを実装します。

  • DOM 直接ミューテーションしないでください。例えば、 innerHTMLを使用してチャットレスポンスコンテンツをレンダリングしないでください。XSS 攻撃につながる可能性のある悪意のある Javascript コードが含まれている可能性があります。React などのフロントエンドライブラリを使用して、チャットレスポンスに含まれる実行可能コードをエスケープおよびサニタイズします。

  • コンテンツセキュリティポリシー (CSP) を実装して、アプリケーションがスクリプト、スタイル、その他のリソースをロードできるソースを制限します。これにより、保護のレイヤーが追加されます。