Amazon Connect と の連携方法 IAM - Amazon Connect
Amazon Connect での ID ベースのポリシーAmazon Connect タグに基づく認可Amazon Connect IAMロール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Connect と の連携方法 IAM

IAM を使用して Amazon Connect へのアクセスを管理する前に、Amazon Connect で使用できるIAM機能を理解しておく必要があります。Amazon Connect およびその他の AWS のサービスが とどのように連携するかの概要についてはIAM、 IAM ユーザーガイドAWS 「 と連携する のサービスIAM」を参照してください。

Amazon Connect での ID ベースのポリシー

IAM ID ベースのポリシーでは、許可または拒否されたアクションとリソース、およびアクションが許可または拒否される条件を指定できます。Amazon Connect では、特定のアクション、リソース、および条件キーがサポートされます。JSON ポリシーで使用するすべての要素については、 IAM ユーザーガイドIAMJSON「ポリシー要素リファレンス」を参照してください。

アクション

管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

JSON ポリシーの Action要素は、ポリシー内のアクセスを許可または拒否するために使用できるアクションを記述します。ポリシーアクションは通常、関連付けられた AWS APIオペレーションと同じ名前です。一致するAPIオペレーションがないアクセス許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは、依存アクションと呼ばれます。

このアクションは、関連付けられたオペレーションを実行するための権限を付与するポリシーで使用されます。

Amazon Connect のポリシーアクションでは、アクション connect: の前に、次のプレフィックスを付加します。ポリシーステートメントには、Action または NotAction 要素を含める必要があります。Amazon Connect は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。

単一ステートメントに複数アクションを指定するには、次のようにカンマで区切ります:

"Action": [
      "connect:action1",
      "connect:action2"

ワイルドカード (*) を使用して複数アクションを指定できます。例えば、Describe という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。

"Action": "connect:Describe*"

Amazon Connect アクションのリストを表示するには、「Amazon Connect のアクション、リソース、および条件キー」を参照してください。

リソース

Amazon Connect は、リソースレベルのアクセス許可 (IAMポリシーARNでリソースを指定する) をサポートしています。Amazon Connect リソースのリストを以下に示します。

  • インスタンス

  • 問い合わせ

  • ユーザー

  • ルーティングプロファイル

  • セキュリティプロファイル

  • 階層グループ

  • キュー

  • File

  • フロー

  • オペレーション時間

  • 電話番号

  • タスクテンプレート

  • 顧客プロファイルのドメイン

  • 顧客プロファイルでのオブジェクトタイプ

  • アウトバウンドキャンペーン

管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

Resource JSON ポリシー要素は、アクションが適用されるオブジェクトを指定します。ステートメントには、Resource または NotResource 要素を含める必要があります。ベストプラクティスとして、Amazon リソースネーム (ARN) を使用してリソースを指定します。これは、リソースレベルの許可と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。

オペレーションのリスト化など、リソースレベルの権限をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (*) を使用します。

"Resource": "*"

Amazon Connect インスタンスリソースには、次の がありますARN。

arn:${Partition}:connect:${Region}:${Account}:instance/${InstanceId}

の形式の詳細についてはARNs、「Amazon リソースネーム (ARNs)」および AWS 「サービス名前空間」を参照してください。

例えば、 ステートメントでi-1234567890abcdef0インスタンスを指定するには、次の を使用しますARN。

"Resource": "arn:aws:connect:us-east-1:123456789012:instance/i-1234567890abcdef0"

特定のアカウントに属するすべてのインスタンスを指定するには、ワイルドカード (*) を使用します。

"Resource": "arn:aws:connect:us-east-1:123456789012:instance/*"

リソースの作成用など、一部の Amazon Connect アクションは、特定のリソースでの実行はできません。このような場合は、ワイルドカード *を使用する必要があります。

"Resource": "*"

多くの Amazon Connect ; APIアクションには複数のリソースが含まれます。例えば、 などです

1 つのステートメントで複数のリソースを指定するには、 をカンマARNsで区切ります。

"Resource": [
      "resource1",
      "resource2"

Amazon Connect リソースタイプとその のリストを確認するにはARNs、Amazon Connect のアクション、リソース、および条件キー」を参照してください。同じ記事では、各リソースARNの を指定できるアクションについて説明します。

条件キー

管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルが、どのリソースに対してどのような条件下でアクションを実行できるかということです。

Condition 要素 (または Condition ブロック) を使用すると、ステートメントが有効な条件を指定できます。Condition 要素はオプションです。イコールや未満などの 条件演算子 を使用して条件式を作成することで、ポリシーの条件とリクエスト内の値を一致させることができます。

1 つのステートメントに複数の Condition 要素を指定する場合、または 1 つの Condition 要素に複数のキーを指定する場合、 AWS では AND 論理演算子を使用してそれらを評価します。1 つの条件キーに複数の値を指定すると、 は論理ORオペレーションを使用して条件 AWS を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。例えば、IAMユーザー名でタグ付けされている場合にのみ、リソースにアクセスするアクセス許可をIAMユーザーに付与できます。詳細については、「 ユーザーガイド」のIAM「ポリシー要素: 変数とタグ」を参照してください。 IAM

AWS は、グローバル条件キーとサービス固有の条件キーをサポートします。すべての AWS グローバル条件キーを確認するには、 ユーザーガイドのAWS 「グローバル条件コンテキストキー」を参照してください。 IAM

Amazon Connect は条件キーのセットを独自に定義しており、同時に、一部のグローバル条件キーの使用もサポートしています。すべての AWS グローバル条件キーを確認するには、 IAM ユーザーガイドAWS 「グローバル条件コンテキストキー」を参照してください。

すべての Amazon EC2アクションは、 aws:RequestedRegion および ec2:Region条件キーをサポートしています。詳細については、「例: 特定のリージョンへのアクセスの制限」を参照してください。

Amazon Connect の条件キーのリストについては、「Amazon Connect のアクション、リソース、および条件キー」を参照してください。

Amazon Connect での ID ベースのポリシー例については、「Amazon Connect の ID ベースのポリシー例」を参照してください。

Amazon Connect タグに基づく認可

Amazon Connect リソースにタグをアタッチしたり、リクエストを通じてタグを Amazon Connect に渡したりできます。タグに基づいてアクセスを管理するには、connect:ResourceTag/key-nameaws:RequestTag/key-name、または aws:TagKeys の条件キーを使用して、ポリシーの 条件要素でタグ情報を提供します。

リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースポリシーの例を表示するには、「タグに基づいて、Amazon Connect ユーザーの詳細表示および更新を行う」を参照してください。

Amazon Connect IAMロール

IAM ロールは、特定のアクセス許可を持つ AWS アカウント内のエンティティです。

Amazon Connect での一時的な認証情報の使用

一時的な認証情報を使用して、フェデレーションでサインインしたり、IAMロールを引き受けたり、クロスアカウントロールを引き受けたりすることができます。AssumeRole や などのオペレーションを呼び出す AWS STS APIことで、一時的なセキュリティ認証情報を取得しますGetFederationToken

Amazon Connect では、一時的な認証情報の使用をサポートしています。

サービスリンクロール

サービスにリンクされたロールを使用すると、 AWS サービスが他のサービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスにリンクされたロールはIAMアカウントに表示され、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。

Amazon Connect では、サービスにリンクされたロールが使用できます。Amazon Connect でのサービスにリンクされたロールの作成または管理の詳細については、「Amazon Connect のサービスにリンクされたロールとロールアクセス許可を使用する」を参照してください。

Amazon Connect でのIAMロールの選択

Amazon Connect でリソースを作成するときは、Amazon Connect がEC2ユーザーに代わって Amazon にアクセスすることを許可するロールを選択する必要があります。サービスロールあるいはサービスにリンクされたロールを以前に作成している場合、Amazon Connect は選択できるロールを一覧表示します。Amazon EC2インスタンスを開始および停止するためのアクセスを許可するロールを選択することが重要です。