Amazon Connect で IP アドレス制限とセッションタイムアウトを設定する - Amazon Connect
認証プロファイルの開始方法IP ベースのアクセスコントロールを設定するIP アドレス設定の例ユーザーセッションタイムアウトを設定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Connect で IP アドレス制限とセッションタイムアウトを設定する

注記

この機能はプレビューリリースであり、変更される可能性があります。この機能にアクセスするには、Amazon Connect ソリューションアーキテクト、テクニカルアカウントマネージャー、または サポートにお問い合わせください。

コンタクトセンターをさらにロックダウンするには、例えば、業界の要件や規制に準拠するために、IP アドレスの制限とセッションタイムアウトを設定できます。

  • IP アドレスの制限により、エージェントは VPN からのみサインインする、または特定の国やサブネットからのアクセスをブロックする必要があります。

  • セッションタイムアウトの場合、エージェントは Amazon Connect に再度ログインする必要があります。

Amazon Connect では、ログインしているエージェントの IP アドレス制限とセッション期間を設定するために認証プロファイルを設定します。認証プロファイルは、コンタクトセンターにユーザーの認証設定を保存するリソースです。

認証プロファイルの開始方法

Amazon Connect インスタンスには、デフォルトの認証プロファイルが含まれています。この認証プロファイルは、デフォルトでコンタクトセンターのすべてのユーザーに適用され、割り当てる必要はありません。

現在、認証プロファイルは AWS SDK でのみ設定できます。デフォルトの認証プロファイルを設定するには、次のコマンドを使用します。

ヒント

これらのコマンドを実行するには、Amazon Connect インスタンス ID が必要です。インスタンス ID を見つける方法については、「Amazon Connect インスタンスの ID または ARN の検索」を参照してください。

  1. インスタンスに認証プロファイルを一覧表示して、更新する認証プロファイルのプロファイル ID を取得します。ListAuthenticationProfile API を呼び出すか、list-authentication-profiles CLI コマンドを実行できます。

    以下が list-authentication-profiles のコマンドの例です。

    aws connect list-authentication-profiles --instance-id your-instance-id

    以下は list-authentication-profiles のコマンドによって返されるデフォルトの認証プロファイルの例です。

    {
    "AuthenticationProfileSummaryList": [
        {
        "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
        "Id": "profile-id",
        "IsDefault": true,
        "LastModifiedRegion": "us-west-2",
        "LastModifiedTime": 1.719249173664E9,
        "Name": "Default Authentication Profile"
        }
    ],
    "NextToken": null
}

  2. 更新する認証プロファイルの設定を表示します。DescribeAuthenticationProfile describe-authentication-profile を呼び出すか、 CLI コマンドを実行できます。

    以下が describe-authentication-profile のコマンドの例です。

    aws connect describe-authentication-profile --instance-id your-instance-id --profile-id profile-id

    以下は、 describe-authentication-profile コマンドによって返される情報の例です。

    {
    "AuthenticationProfile": {
    "AllowedIps": [],
    "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
    "BlockedIps": [],
    "CreatedTime": 1.718999177811E9,
    "Description": "A basic default Authentication Profile",
    "Id": "profile-id",
    "IsDefault": true,
    "LastModifiedRegion": "us-west-2",
    "LastModifiedTime": 1.719249173664E9,
    "MaxSessionDuration": 720,
    "Name": "Default Authentication Profile",
    "PeriodicSessionDuration": 60,
    "SessionInactivityDuration": 60,
    "SessionInactivityHandlingEnabled": false
    }
}

    各フィールドの説明については、「Amazon Connect API リファレンス」の「AuthenticationProfile」を参照してください。

  3. UpdateAuthenticationProfile API または update-authentication-profile CLI コマンドを使用して認証プロファイルを設定します。InstanceIdProfileId 以外のすべてのフィールドはオプションです。API コールで定義した設定のみが変更されます。

    以下は update-authentication-profile のコマンドの例です。すべてのユーザーに自動的に割り当てられるデフォルトの認証プロファイルを設定します。これにより、一部の IP アドレスを許可し、他の IP アドレスをブロックし、ユーザーの非アクティブ時の自動ログアウトを有効にし、セッション非アクティブ時間を 60 分に設定します。

    aws connect update-authentication-profile 
    --instance-id your-instance-id 
    --profile-id profile-id
    --name "Default Authentication Profile"
    --description "A basic default Authentication Profile"
    --allowed-ips "ip-range-1" "ip-range-2" ...
    --blocked-ips "ip-range-3" "ip-range-4" ...
    --session-inactivity-handling-enabled
    --session-inactivity-duration 60

IP ベースのアクセスコントロールを設定する

IP アドレスに基づいてコンタクトセンターへのアクセスを設定する場合は、認証プロファイルの IP ベースのアクセスコントロール機能を使用できます。

認証プロファイルで設定できる IP 設定には、許可された IP アドレスの範囲とブロックされた IP アドレスの範囲の 2 種類があります。以下のポイントは、IP ベースのアクセスコントロールの仕組みを示しています。

  • IP アドレスは、IPV4 IPV6 の両方の形式にすることができます。

  • CIDR 表記では、個々の IP アドレスIP アドレスの範囲の両方を定義できます。

  • ブロックされた IP 設定が常に優先されます。

  • 許可された IP リストに IP アドレスが定義されている場合は、それらの IP アドレスのみが許可されます。

    • これらの IP アドレスは、ブロックされた IP リストでスコープダウンできます。

  • ブロックされた IP アドレスのみが定義されている場合、ブロックリストで定義されているものを除き、どの IP アドレスでもインスタンスにアクセスできます。

  • IP アドレスが許可された IP アドレスリストとブロックされた IP アドレスリストの両方で定義されている場合、許可された範囲で定義された IP アドレスのみが許可され、ブロックされた範囲の IP アドレスは除外されます。

注記

IP アドレスベースのアクセスコントロールは、緊急管理者ログインには適用されません。このユーザーに制限を適用するには、API connect:AdminGetEmergencyAccessTokenIAM ポリシーで SourceIp の制限を適用します。

ユーザーの IP アドレスがインスタンスによってブロックされていると判断されると、ユーザーのセッションは無効になります。ログアウトイベントは、Login/Logout レポートに公開されます。

IP アドレスチェックが失敗した場合

[エージェント]  

エージェントがコンタクトコントロールパネル (CCP) でアクティブになっている場合、その IP アドレスは定期的にチェックされます。

IP アドレスがチェックに失敗すると、以下の状況が発生します。

  • エージェントがアクティブな通話中でない場合、IP アドレスが許可されていないアドレスに変更されると、エージェントはサインアウトされます。

  • エージェントがアクティブな通話中である場合、エージェントのセッションは無効になります。ただし、現在アクティブな呼び出しは終了しません。次の状況が発生します。

    1. エージェントは、エージェントステータスの変更、通話の転送、通話の保留、通話の終了、ケースの作成などのアクションを実行できなくなります。

    2. エージェントには、CCP においてアクションを実行する機能が制限されていることが通知されます。

    3. セッションが無効になった後に正常にログインすると、アクティブな通話に戻り、再度アクションを実行できるようになります。

管理者ウェブサイトを使用する Amazon Connect 管理者とユーザー

管理者や他のユーザーが、 Amazon Connect 管理ウェブサイトでリソースの更新の保存やアクティブな通話への割り込みなどのアクションを実行する際に IP アドレスチェックに失敗すると、そのユーザーは自動的にログアウトされます。

IP アドレス設定の例

例 1: 許可された IP リストでのみ定義される IP アドレス

  • AllowedIps: [ 111.222.0.0/16 ]

  • BlockedIps: [ ]

結果:

  • 111.222.0.0111.222.255.255 の間の IP アドレスだけがインスタンスへのアクセスを許可されます。

例 2: ブロックされた IP リストでのみ定義される IP アドレス

  • AllowedIps: [ ]

  • BlockedIps: [155.155.155.0/24 ]

結果:

  • IP アドレス 155.155.155.0 - 155.155.155.255 までの範囲を除いて、すべての IP アドレスが許可されます。

例 3: 許可された IP リストとブロックされた IP リストの両方で定義された IP アドレス

  • AllowedIps: [ 200.255.0.0/16 ]

  • BlockedIps: [200.255.10.0/24, 200.255.40.50, 192.123.211.211 ]

結果:

  • (200.255.10.0 - 200.255.10.255 AND 200.255.40.50) を除いた、200.255.0.0 - 200.255.255.255 までの IP アドレスが許可されます。

  • つまり、200.255.0.0 - 200.255.9.255, 200.255.11.0 - 200.255.40.49, 200.255.40.51 - 200.255.255.255 が許可されます。

  • 192.123.211.211 は許可された範囲内にないため無視されます。

例 4: 許可された IP リストまたはブロックされた IP リストに IP アドレスが定義されていない

  • AllowedIps: [ ]

  • BlockedIps: [ ]

この場合、制限はありません。

重要

この allowedIps リストは、空でない場合にのみコンタクトセンターで許可される IP の範囲を定義します。空の場合、blockedIps リストによって明示的にブロックされていない限り、どの IP アドレスでもコンタクトセンターへのアクセスが許可されます。

ユーザーセッションタイムアウトを設定する

Amazon Connect セッションは、コンタクトセンターのウェブサイトへの継続的な認証アクセス期間として定義されます。コンタクトセンターのユーザーセッションに適用されるセッションタイムアウトは 2 つあります。

  • 最大セッション期間: この値は、コンタクトセンターユーザーが再度サインインを強制される前にログインできる最大期間を表します。この値はデフォルトで 12 時間であり、設定できません。

  • セッション非アクティブ期間: : この値は、エージェントが非アクティブになったときにコンタクトセンターから自動的にサインアウトされるまでの期間を表します。

デフォルトでは、Amazon Connect インスタンスのユーザーは最大セッション期間が 12 時間経過するまでサインインしたままで、非アクティブ状態の自動ログアウトはありません。ただし、セキュリティとコンプライアンスの要件が厳しい組織は、認証プロファイルを活用して、ユーザーが非アクティブになったときに自動サインアウトを有効にすることができます。有効にすると、この機能はユーザーアクティビティパターンをモニタリングし、設定されたセッション非アクティブ期間が経過するとセッションを自動的に終了します。

コンタクトセンターのユーザーは、次のいずれかのアクションを実行するとアクティブと見なされます。

  • 問い合わせコントロールパネル (CCP)、エージェントワークスペース、または管理者ウェブサイトでのマウスとキーボードのアクティビティ

  • アクティブな音声コンタクトの有無

ユーザーが非アクティブであると判断された場合、非アクティブが原因でセッションの有効期限が切れようとしていることを警告するポップアップが画面に表示されます。ユーザーは、ログインしたままにするかログアウトするかを選択できます。

ユーザー非アクティブ時の自動ログアウトにオプトインするには、Amazon Connect SDK を使用してインスタンスの認証プロファイルで次の API コールを実行します。

aws connect update-authentication-profile 
    --instance-id <your-instance-id> 
    --profile-id <profile-id>
    --session-inactivity-handling-enabled
    --session-inactivity-duration <minutes between 15 and 720>
注記

コンタクトセンターをサードパーティーベンダー (Salesforce Service Cloud Voice (SCV) など) と統合するお客様は、非アクティブ時の自動ログアウトを有効にする前に、ベンダーのドキュメントを参照して、この機能がサポートされているかどうかを判断する必要があります。

注記

AmazonConnectStreams または AmazonConnectSDK を活用して既存のウェブアプリケーションを Amazon Connect と統合するお客様は、ユーザー非アクティブ時の自動ログアウトを有効にする前に、統合の一環としてアクティビティ処理を実装する必要があります。詳細については、AmazonConnectStreams または AmazonConnectSDK のドキュメントを参照してください。

注記

分割 CCP モデルで仮想デスクトップインフラストラクチャ (VDI) で Amazon Connect を使用する場合、ユーザー非アクティブ時の自動ログアウトはサポートされていません。