Amazon Connect で IAM が機能する仕組み - Amazon Connect
Amazon Connect での ID ベースのポリシーAmazon Connect タグに基づく認可Amazon Connect での IAM ロール

Amazon Connect で IAM が機能する仕組み

IAM を使用して Amazon Connect へのアクセスを管理する前に、Amazon Connect で利用可能な IAM 機能について理解しておく必要があります。Amazon Connect およびその他の AWS のサービスと IAM との連携の概要については、IAM ユーザーガイドの「IAM と連携する AWS のサービス」を参照してください。

Amazon Connect での ID ベースのポリシー

IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、アクションを許可または拒否する条件を指定できます。Amazon Connect では、特定のアクション、リソース、および条件キーがサポートされます。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「IAM JSON ポリシーの要素のリファレンス」を参照してください。

アクション

管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどんなリソースにどんな条件アクションを実行できるかということです。

JSON ポリシーのAction要素には、ポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。ポリシーアクションの名前は通常、関連する AWS API オペレーションと同じです。一致する API オペレーションのない許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは、依存アクションと呼ばれます。

このアクションは、関連付けられたオペレーションを実行するための権限を付与するポリシーで使用されます。

Amazon Connect のポリシーアクションでは、アクション connect: の前に、次のプレフィックスを付加します。ポリシーステートメントには、Action または NotAction 要素を含める必要があります。Amazon Connect は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。

単一ステートメントに複数アクションを指定するには、次のようにカンマで区切ります:

"Action": [
      "connect:action1",
      "connect:action2"

ワイルドカード (*) を使用して複数アクションを指定できます。例えば、Describe という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。

"Action": "connect:Describe*"

Amazon Connect アクションのリストを表示するには、「Amazon Connect のアクション、リソース、および条件キー」を参照してください。

リソース

Amazon Connect では、リソースレベルの (IAM ポリシーでリソース ARN を指定する) アクセス許可がサポートされます。Amazon Connect リソースのリストを以下に示します。

  • インスタンス

  • 問い合わせ

  • ユーザー

  • ルーティングプロファイル

  • セキュリティプロファイル

  • 階層グループ

  • キュー

  • File

  • フロー

  • オペレーション時間

  • 電話番号

  • タスクテンプレート

  • 顧客プロファイルのドメイン

  • 顧客プロファイルでのオブジェクトタイプ

  • アウトバウンドキャンペーン

管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースにどのような条件アクションを実行できるかということです。

Resource JSON ポリシー要素は、アクションが適用されるオブジェクトを指定します。ステートメントには、Resource または NotResource 要素を含める必要があります。ベストプラクティスとして、Amazon リソースネーム (ARN) を使用してリソースを指定します。これは、リソースレベルの許可と呼ばれる特定のリソースタイプをサポートするアクションに対して実行できます。

オペレーションのリスト化など、リソースレベルの権限をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (*) を使用します。

"Resource": "*"

Amazon Connect インスタンスのリソースには次のような ARN があります。

arn:${Partition}:connect:${Region}:${Account}:instance/${InstanceId}

ARN のフォーマットの詳細については、「Amazon リソースネーム (ARN) と AWS サービスの名前空間」を参照してください。

例えば、ステートメントで i-1234567890abcdef0 インスタンスを指定するには、次の ARN を使用します。

"Resource": "arn:aws:connect:us-east-1:123456789012:instance/i-1234567890abcdef0"

特定のアカウントに属するすべてのインスタンスを指定するには、ワイルドカード (*) を使用します。

"Resource": "arn:aws:connect:us-east-1:123456789012:instance/*"

リソースの作成用など、一部の Amazon Connect アクションは、特定のリソースでの実行はできません。このような場合は、ワイルドカード *を使用する必要があります。

"Resource": "*"

Amazon Connect API アクションの多くが複数のリソースと関連します。以下に例を挙げます。

複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。

"Resource": [
      "resource1",
      "resource2"

Amazon Connect のリソースタイプと対応する ARN のリストについては、「Amazon Connect のアクション、リソース、および条件キー」を参照してください。同じ記事で、各リソースの ARN を指定できるアクションについても説明します。

条件キー

管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどんなリソースにどんな条件アクションを実行できるかということです。

Condition 要素 (または Condition ブロック) を使用すると、ステートメントが有効な条件を指定できます。Condition 要素はオプションです。イコールや未満などの 条件演算子 を使用して条件式を作成することで、ポリシーの条件とリクエスト内の値を一致させることができます。

1 つのステートメントに複数の Condition 要素を指定する場合、または 1 つの Condition 要素に複数のキーを指定する場合、AWSでは AND 論理演算子を使用してそれらを評価します。単一の条件キーに複数の値を指定する場合、AWS では OR 論理演算子を使用して条件を評価します。ステートメントの権限が付与される前にすべての条件が満たされる必要があります。

条件を指定する際にプレースホルダー変数も使用できます。例えば IAM ユーザーに、IAM ユーザー名がタグ付けされている場合のみリソースにアクセスできる権限を付与することができます。詳細については、IAM ユーザーガイドの‭‬IAM ポリシーの要素: 変数およびタグ‭‬を参照してください。

AWS はグローバル条件キーとサービス固有の条件キーをサポートしています。すべての AWS グローバル条件キーを確認するには、IAM ユーザーガイド の「AWS グローバル条件コンテキストキー」を参照してください。

Amazon Connect は条件キーのセットを独自に定義しており、同時に、一部のグローバル条件キーの使用もサポートしています。すべてのAWSグローバル条件キーを確認するには、IAM ユーザーガイドのAWS グローバル条件コンテキストキー」を参照してください。

すべての Amazon EC2 アクションは、aws:RequestedRegion および ec2:Region 条件キーをサポートします。詳細については、「例: 特定のリージョンへのアクセスの制限」を参照してください。

Amazon Connect の条件キーのリストについては、「Amazon Connect のアクション、リソース、および条件キー」を参照してください。

Amazon Connect での ID ベースのポリシー例については、「Amazon Connect の ID ベースのポリシー例」を参照してください。

Amazon Connect タグに基づく認可

Amazon Connect リソースにタグをアタッチしたり、リクエストを通じてタグを Amazon Connect に渡したりできます。タグに基づいてアクセスを管理するには、connect:ResourceTag/key-nameaws:RequestTag/key-name、または aws:TagKeys の条件キーを使用して、ポリシーの 条件要素でタグ情報を提供します。

リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースポリシーの例を表示するには、「タグに基づいて、Amazon Connect ユーザーの詳細表示および更新を行う」を参照してください。

Amazon Connect での IAM ロール

IAM ロールは AWS アカウント内のエンティティで、特定の許可を持っています。

Amazon Connect での一時的な認証情報の使用

一時的な認証情報を使用して、フェデレーションでサインインする、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。一時的なセキュリティ認証情報を取得するには、AssumeRole または GetFederationToken などの AWS STS API オペレーションを呼び出します。

Amazon Connect では、一時的な認証情報の使用をサポートしています。

サービスリンクロール

サービスリンクロールは、AWS サービスが他のサービスのリソースにアクセスしてお客様の代わりにアクションを完了することを許可します。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。

Amazon Connect では、サービスにリンクされたロールが使用できます。Amazon Connect でのサービスにリンクされたロールの作成または管理の詳細については、「Amazon Connect のサービスにリンクされたロールとロールのアクセス許可」を参照してください。

Amazon Connect での IAM ロールの選択

Amazon Connect でリソースを作成する場合、ユーザーに代わり Amazon Connect が Amazon EC2 にアクセスすることを許可するロールを選択する必要があります。サービスロールあるいはサービスにリンクされたロールを以前に作成している場合、Amazon Connect は選択できるロールを一覧表示します。Amazon EC2 インスタンスの起動と停止のためのアクセスを、許可するロールを選択することが重要です。