翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Connect で IP アドレス制限とセッションタイムアウトを設定する
**注記**
この機能はプレビューリリースであり、変更される可能性があります。この機能にアクセスするには、Amazon Connect ソリューションアーキテクト、テクニカルアカウントマネージャー、または サポートにお問い合わせください。
コンタクトセンターをさらにロックダウンするには、例えば、業界の要件や規制に準拠するために、IP アドレスの制限とセッションタイムアウトを設定できます。
+ IP アドレスの制限により、エージェントは VPN からのみサインインする、または特定の国やサブネットからのアクセスをブロックする必要があります。
+ セッションタイムアウトの場合、エージェントは Amazon Connect に再度ログインする必要があります。
Amazon Connect では、ログインしているエージェントの IP アドレス制限とセッション期間を設定するために*認証プロファイル*を設定します。認証プロファイルは、コンタクトセンターにユーザーの認証設定を保存するリソースです。
## 認証プロファイルの開始方法
Amazon Connect インスタンスには、デフォルトの認証プロファイルが含まれています。この認証プロファイルは、デフォルトでコンタクトセンター**のすべてのユーザー**に適用され、割り当てる必要はありません。
現在、認証プロファイルは AWS SDK でのみ設定できます。デフォルトの認証プロファイルを設定するには、次のコマンドを使用します。
**ヒント**
これらのコマンドを実行するには、Amazon Connect インスタンス ID が必要です。インスタンス ID を見つける方法については、「[Amazon Connect インスタンスの ID または ARN の検索](find-instance-arn.md)」を参照してください。
1. インスタンスに認証プロファイルを一覧表示して、更新する認証プロファイルのプロファイル ID を取得します。[ListAuthenticationProfile](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListAuthenticationProfile.html) API を呼び出すか、`list-authentication-profiles` CLI コマンドを実行できます。
以下が `list-authentication-profiles` のコマンドの例です。
```
aws connect list-authentication-profiles --instance-id your-instance-id
```
以下は `list-authentication-profiles` のコマンドによって返されるデフォルトの認証プロファイルの例です。
```
{
"AuthenticationProfileSummaryList": [
{
"Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
"Id": "profile-id",
"IsDefault": true,
"LastModifiedRegion": "us-west-2",
"LastModifiedTime": 1.719249173664E9,
"Name": "Default Authentication Profile"
}
],
"NextToken": null
}
```
1. 更新する認証プロファイルの設定を表示します。[DescribeAuthenticationProfile](https://docs.aws.amazon.com/connect/latest/APIReference/API_DescribeAuthenticationProfile.html) `describe-authentication-profile` を呼び出すか、 CLI コマンドを実行できます。
以下が `describe-authentication-profile` のコマンドの例です。
```
aws connect describe-authentication-profile --instance-id your-instance-id --profile-id profile-id
```
以下は、 `describe-authentication-profile` コマンドによって返される情報の例です。
```
{
"AuthenticationProfile": {
"AllowedIps": [],
"Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
"BlockedIps": [],
"CreatedTime": 1.718999177811E9,
"Description": "A basic default Authentication Profile",
"Id": "profile-id",
"IsDefault": true,
"LastModifiedRegion": "us-west-2",
"LastModifiedTime": 1.719249173664E9,
"MaxSessionDuration": 720,
"Name": "Default Authentication Profile",
"PeriodicSessionDuration": 60,
"SessionInactivityDuration": 60,
"SessionInactivityHandlingEnabled": false
}
}
```
各フィールドの説明については、「*Amazon Connect API リファレンス*」の「[AuthenticationProfile](https://docs.aws.amazon.com/connect/latest/APIReference/API_AuthenticationProfile.html)」を参照してください。
1. [UpdateAuthenticationProfile](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateAuthenticationProfile.html) API または `update-authentication-profile` CLI コマンドを使用して認証プロファイルを設定します。`InstanceId` と `ProfileId` 以外のすべてのフィールドはオプションです。API コールで定義した設定のみが変更されます。
以下は `update-authentication-profile` のコマンドの例です。すべてのユーザーに自動的に割り当てられるデフォルトの認証プロファイルを設定します。これは、一部の IP アドレスを許可し、他の IP アドレスをブロックし、ユーザーの非アクティブ時の自動ログアウトを有効にし、[セッション非アクティブ時間を](#configure-session-timeouts) 60 分に設定します。
```
aws connect update-authentication-profile
--instance-id your-instance-id
--profile-id profile-id
--name "Default Authentication Profile"
--description "A basic default Authentication Profile"
--allowed-ips "ip-range-1" "ip-range-2" ...
--blocked-ips "ip-range-3" "ip-range-4" ...
--session-inactivity-handling-enabled
--session-inactivity-duration 60
```
## IP ベースのアクセスコントロールを設定する
IP アドレスに基づいてコンタクトセンターへのアクセスを設定する場合は、認証プロファイルの IP ベースのアクセスコントロール機能を使用できます。
認証プロファイルで設定できる IP 設定には、許可された IP アドレスの範囲とブロックされた IP アドレスの範囲の 2 種類があります。以下のポイントは、IP ベースのアクセスコントロールの仕組みを示しています。
+ IP アドレスは、IPV4 *と* IPV6 の両方の形式にすることができます。
+ CIDR 表記では、個々の IP アドレス*と *IP アドレスの範囲の両方を定義できます。
+ ブロックされた IP 設定が常に優先されます。
+ 許可された IP リストに IP アドレスが定義されている場合は、それらの IP アドレス*のみが*許可されます。
+ これらの IP アドレスは、ブロックされた IP リストでスコープダウンできます。
+ ブロックされた IP アドレスのみが定義されている場合、ブロックリストで定義されているものを*除き*、どの IP アドレスでもインスタンスにアクセスできます。
+ IP アドレスが許可された IP アドレスリストとブロックされた IP アドレスリストの両方で定義されている場合、許可された範囲で定義された IP アドレス*のみ*が許可され、ブロックされた範囲の IP アドレスは*除外*されます。
**注記**
IP アドレスベースのアクセスコントロールは、[緊急管理者ログイン](emergency-admin-login.md)には適用されません。このユーザーに制限を適用するには、API `connect:AdminGetEmergencyAccessToken` の [IAM ポリシーで `SourceIp` の制限を適用](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html)します。
ユーザーの IP アドレスがインスタンスによってブロックされていると判断されると、ユーザーのセッションは無効になります。ログアウトイベントは、[Login/Logout レポート](login-logout-reports.md)に公開されます。
### IP アドレスチェックが失敗した場合
**[エージェント]**
エージェントがコンタクトコントロールパネル (CCP) でアクティブになっている場合、その IP アドレスは定期的にチェックされます。
IP アドレスがチェックに失敗すると、以下の状況が発生します。
+ エージェントがアクティブな通話中でない場合、IP アドレスが許可されていないアドレスに変更されると、エージェントはサインアウトされます。
+ エージェントがアクティブな通話中である場合、エージェントのセッションは無効になります。ただし、現在アクティブな呼び出しは終了しません。次の状況が発生します。
1. エージェントは、エージェントステータスの変更、通話の転送、通話の保留、通話の終了、ケースの作成などのアクションを実行できなくなります。
1. エージェントには、CCP においてアクションを実行する機能が制限されていることが通知されます。
1. セッションが無効になった後に正常にログインすると、アクティブな通話に戻り、再度アクションを実行できるようになります。
**管理者ウェブサイトを使用する Amazon Connect 管理者とユーザー**
管理者や他のユーザーが、 Amazon Connect 管理ウェブサイトでリソースの更新の保存やアクティブな通話への割り込みなどのアクションを実行する際に IP アドレスチェックに失敗すると、そのユーザーは自動的にログアウトされます。
## IP アドレス設定の例
### 例 1: 許可された IP リストでのみ定義される IP アドレス
+ AllowedIps: [ `111.222.0.0/16` ]
+ BlockedIps: [ ]
結果:
+ `111.222.0.0` と `111.222.255.255` の間の IP アドレスだけがインスタンスへのアクセスを許可されます。
### 例 2: ブロックされた IP リストでのみ定義される IP アドレス
+ AllowedIps: [ ]
+ BlockedIps: [`155.155.155.0/24` ]
結果:
+ IP アドレス `155.155.155.0 - 155.155.155.255` までの範囲を*除いて*、すべての IP アドレスが許可されます。
### 例 3: 許可された IP リストとブロックされた IP リストの両方で定義された IP アドレス
+ AllowedIps: [` 200.255.0.0/16` ]
+ BlockedIps: [`200.255.10.0/24, 200.255.40.50, 192.123.211.211` ]
結果:
+ `(200.255.10.0 - 200.255.10.255 AND 200.255.40.50)` を除いた、`200.255.0.0 - 200.255.255.255` までの IP アドレスが許可されます。
+ つまり、`200.255.0.0 - 200.255.9.255, 200.255.11.0 - 200.255.40.49, 200.255.40.51 - 200.255.255.255` が許可されます。
+ `192.123.211.211` は許可された範囲内にないため無視されます。
### 例 4: 許可された IP リストまたはブロックされた IP リストに IP アドレスが定義されていない
+ AllowedIps: [ ]
+ BlockedIps: [ ]
この場合、制限はありません。
**重要**
この `allowedIps` リストは、空でない*場合*にのみコンタクトセンターで許可される IP の範囲を定義します。空の場合、`blockedIps` リストによって明示的にブロックされていない限り、*どの* IP アドレスでもコンタクトセンターへのアクセスが許可されます。
## ユーザーセッションタイムアウトを設定する
Amazon Connect セッションは、コンタクトセンターのウェブサイトへの継続的な認証アクセス期間として定義されます。コンタクトセンターのユーザーセッションに適用されるセッションタイムアウトは 2 つあります。
+ **最大セッション期間**: この値は、コンタクトセンターユーザーが再度サインインを強制される前にログインできる最大期間を表します。この値はデフォルトで 12 時間であり、設定できません。
+ **セッション非アクティブ期間: **: この値は、エージェントが非アクティブになったときにコンタクトセンターから自動的にサインアウトされるまでの期間を表します。
デフォルトでは、Amazon Connect インスタンスのユーザーは最大セッション期間が 12 時間経過するまでサインインしたままになり、非アクティブ状態の自動ログアウトはありません。ただし、セキュリティとコンプライアンスの要件が厳しい組織は、認証プロファイルを活用して、ユーザーが非アクティブになったときに自動サインアウトを有効にすることができます。有効にすると、この機能はユーザーアクティビティパターンをモニタリングし、設定されたセッション非アクティブ時間が経過するとセッションを自動的に終了します。
コンタクトセンターユーザーは、次のいずれかのアクションを実行すると、アクティブと見なされます。
+ 問い合わせコントロールパネル (CCP)、エージェントワークスペース、または管理者ウェブサイトでのマウスとキーボードのアクティビティ
+ アクティブな音声コンタクトの有無
ユーザーが非アクティブであると判断された場合、非アクティブが原因でセッションの有効期限が切れようとしていることを警告するポップアップが画面に表示されます。ユーザーは、ログインしたままにするかログアウトするかを選択できます。
ユーザー非アクティブ時の自動ログアウトにオプトインするには、Amazon Connect SDK を使用してインスタンスの認証プロファイルで次の API コールを実行します。
```
aws connect update-authentication-profile
--instance-id
--profile-id
--session-inactivity-handling-enabled
--session-inactivity-duration
```
**注記**
コンタクトセンターをサードパーティーベンダー (Salesforce Service Cloud Voice (SCV) など) と統合するお客様は、非アクティブ時の自動ログアウトを有効にする前に、ベンダーのドキュメントを参照してこの機能がサポートされているかどうかを判断する必要があります。
**注記**
AmazonConnectStreams または AmazonConnectSDK を活用して既存のウェブアプリケーションを Amazon Connect と統合するお客様は、ユーザー非アクティブ時の自動ログアウトを有効にする前に、統合の一環としてアクティビティ処理を実装する必要があります。詳細については、AmazonConnectStreams または AmazonConnectSDK のドキュメントを参照してください。
**注記**
[分割 CCP モデルで Virtual Desktop Infrastructure (VDI) ](using-ccp-vdi.md#use-split-ccp)で Amazon Connect を使用する場合、ユーザー非アクティブ時の自動ログアウトはサポートされていません。