翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Connect のサービスにリンクされたロールとロールのアクセス許可
サービスにリンクされたロール (SLR) とは何ですか。また、SLR が重要なのはなぜですか。
Amazon Connect は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、Amazon Connect インスタンスに直接リンクされた固有のタイプの IAM ロールです。
サービスにリンクされたロールは Amazon Connect によって事前定義されており、Amazon Connect がユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
Amazon Connect の新機能 (タグ付けのサポート、ユーザー管理およびルーティングプロファイルの新しいユーザーインターフェイス) を使用するには、サービスにリンクされたロールを有効にする必要があります。
サービスにリンクされたロールをサポートするその他のサービスの詳細については、「IAM と連携するAWS サービス」を参照の上、[Service-Linked Role] (サービスにリンクされたロール) 列が [Yes] (はい) になっているサービスを検索してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには [Yes] (はい) リンクを選択します。
Amazon Connect でのサービスにリンクされたロールのアクセス許可
Amazon Connect は、AWSServiceRoleForAmazonConnect_unique-id というプレフィックスが付いたサービスにリンクされたロールを使用します。ユーザーに代わって AWS リソースにアクセスするアクセス許可を Amazon Connect に付与します。
AWSServiceRoleForAmazonConnect をプレフィックスとする、サービスにリンクされたロールは、以下のサービスを信頼してロールを引き受けます。
-
connect.amazonaws.com
AmazonConnectServiceLinkedRolePolicy ロールアクセス許可ポリシーは、Amazon Connect に、指定されたリソースに対して次のアクションを実行することを許可します。
-
アクション:すべての Amazon Connect リソースに対するすべての Amazon Connect アクション
connect:*。 -
アクション: IAM
iam:DeleteRoleは、サービスにリンクされたロールの削除を許可します。 -
アクション: 録音した会話のために指定された S3 バケット向けの Amazon S3
s3:GetObject、s3:DeleteObject、s3:GetBucketLocation、GetBucketAcl。s3:PutObject、s3:PutObjectAcl、s3:GetObjectAclは、エクスポートされたレポートで指定されたバケットにも付与されます。 -
アクション: フローのログ記録用に指定した CloudWatch Logs グループに対する Amazon CloudWatch Logs の
logs:CreateLogStream、logs:DescribeLogStreams、logs:PutLogEvents。 -
アクション:すべてのリージョンにわたってアカウントで作成したすべてのボットに対する Amazon Lex の
lex:ListBots、lex:ListBotAliases。 -
アクション: Amazon Connect Customer Profiles
-
profile:SearchProfiles -
profile:CreateProfile -
profile:UpdateProfile -
profile:AddProfileKey -
profile:ListProfileObjects -
profile:ListAccountIntegrations -
profile:ListProfileObjectTypeTemplates -
profile:GetProfileObjectTypeTemplate -
profile:ListProfileObjectTypes -
profile:GetProfileObjectType -
profile:ListCalculatedAttributeDefinitions -
profile:GetCalculatedAttributeForProfile -
profile:ListCalculatedAttributesForProfile -
profile:GetDomain -
profile:ListIntegrations -
profile:GetIntegration -
profile:PutIntegration -
profile:DeleteIntegration -
profile:CreateEventTrigger -
profile:GetEventTrigger -
profile:ListEventTriggers -
profile:UpdateEventTrigger -
profile:DeleteEventTrigger -
profile:CreateCalculatedAttributeDefinition -
profile:DeleteCalculatedAttributeDefinition -
profile:GetCalculatedAttributeDefinition -
profile:UpdateCalculatedAttributeDefinition -
profile:PutProfileObject -
profile:ListObjectTypeAttributes -
profile:ListProfileAttributeValues -
profile:BatchGetProfile -
profile:BatchGetCalculatedAttributeForProfile -
profile:ListSegmentDefinitions -
profile:CreateSegmentDefinition -
profile:GetSegmentDefinition -
profile:DeleteSegmentDefinition -
profile:CreateSegmentEstimate -
profile:GetSegmentEstimate -
profile:CreateSegmentSnapshot -
profile:GetSegmentSnapshot -
profile:GetSegmentMembership -
profile:CreateDomainLayout -
profile:UpdateDomainLayout -
profile:DeleteDomainLayout -
profile:GetDomainLayout -
profile:ListDomainLayouts -
profile:GetSimilarProfiles -
profile:GetUploadJob -
profile:GetUploadJobPath -
profile:StartUploadJob -
profile:StopUploadJob -
profile:CreateUploadJob -
profile:ListUploadJobs -
profile:DetectProfileObjectType
により、Amazon Connect のフローおよびエージェントエクスペリエンスアプリケーションで、デフォルトの Customer Profiles ドメイン (ドメインのプロファイルおよびすべてのオブジェクトタイプを含む) を使用します。
注記
各 Amazon Connect インスタンスは、一度に 1 つのドメインにのみ関連付けることができます。ただし、どんなドメインでも Amazon Connect インスタンスにリンクすることができます。同じ AWS アカウントとリージョン内のクロスドメインアクセスは、
amazon-connect-のプレフィックスで始まるすべてのドメインで自動的に有効になります。クロスドメインアクセスを制限するには、別々の Amazon Connect インスタンスを使用してデータを論理的に分割するか、同じインスタンス内でもamazon-connect-のプレフィックスで始まらない Customer Profile ドメイン名を使用して、クロスドメインアクセスを防ぐことができます。 -
-
アクション: Amazon Q in Connect
-
wisdom:CreateContent -
wisdom:DeleteContent -
wisdom:CreateKnowledgeBase -
wisdom:GetAssistant -
wisdom:GetKnowledgeBase -
wisdom:GetContent -
wisdom:GetRecommendations -
wisdom:GetSession -
wisdom:NotifyRecommendationsReceived -
wisdom:QueryAssistant -
wisdom:StartContentUpload -
wisdom:UntagResource -
wisdom:TagResource -
wisdom:CreateSession -
wisdom:CreateQuickResponse -
wisdom:GetQuickResponse -
wisdom:SearchQuickResponses -
wisdom:StartImportJob -
wisdom:GetImportJob -
wisdom:ListImportJobs -
wisdom:ListQuickResponses -
wisdom:UpdateQuickResponse -
wisdom:DeleteQuickResponse -
wisdom:PutFeedback -
wisdom:ListContentAssociations -
wisdom:CreateMessageTemplate -
wisdom:UpdateMessageTemplate -
wisdom:UpdateMessageTemplateMetadata -
wisdom:GetMessageTemplate -
wisdom:DeleteMessageTemplate -
wisdom:ListMessageTemplates -
wisdom:SearchMessageTemplates -
wisdom:ActivateMessageTemplate -
wisdom:DeactivateMessageTemplate -
wisdom:CreateMessageTemplateVersion -
wisdom:ListMessageTemplateVersions -
wisdom:CreateMessageTemplateAttachment -
wisdom:DeleteMessageTemplateAttachment -
wisdom:RenderMessageTemplate -
wisdom:CreateAIAgent -
wisdom:CreateAIAgentVersion -
wisdom:DeleteAIAgent -
wisdom:DeleteAIAgentVersion -
wisdom:UpdateAIAgent -
wisdom:UpdateAssistantAIAgent -
wisdom:RemoveAssistantAIAgent -
wisdom:GetAIAgent -
wisdom:ListAIAgents -
wisdom:ListAIAgentVersions -
wisdom:CreateAIPrompt -
wisdom:CreateAIPromptVersion -
wisdom:DeleteAIPrompt -
wisdom:DeleteAIPromptVersion -
wisdom:UpdateAIPrompt -
wisdom:GetAIPrompt -
wisdom:ListAIPrompts -
wisdom:ListAIPromptVersions -
wisdom:CreateAIGuardrail -
wisdom:CreateAIGuardrailVersion -
wisdom:DeleteAIGuardrail -
wisdom:DeleteAIGuardrailVersion -
wisdom:UpdateAIGuardrail -
wisdom:GetAIGuardrail -
wisdom:ListAIGuardrails -
wisdom:ListAIGuardrailVersions -
wisdom:CreateAssistant -
wisdom:ListTagsForResource -
wisdom:SendMessage -
wisdom:GetNextMessage -
wisdom:ListMessages -
wisdom:Retrieve -
wisdom:ListAssistantAssociations
Amazon Connect インスタンスに関連付けられた Amazon Connect Amazon Q in Connect リソースすべてで、リソースタグ
'AmazonConnectEnabled':'True'を使用します。-
wisdom:ListAssistants -
wisdom:KnowledgeBases
すべての Amazon Q in Connect リソースが対象。
-
-
アクション: インスタンスの Amazon Connect 使用状況メトリクスをアカウントに公開するための Amazon CloudWatch メトリクス
cloudwatch:PutMetricData。 -
アクション: Amazon Pinpoint SMS と音声の
sms-voice:DescribePhoneNumbersとsms-voice:SendTextMessageは、Amazon Connect に SMS の送信を許可します。 -
アクション: Amazon Pinpoint の
mobiletargeting:SendMessagesにより、Amazon Connect はプッシュ通知を送信できます。 -
アクション: Amazon Connect のアクセスが
AmazonConnectEnabledリソースタグを持つ Amazon Cognito ユーザープールのリソースに対する読み取り操作を選択できるようにする Amazon Cognito ユーザープールcognito-idp:DescribeUserPoolとcognito-idp:ListUserPoolClients。 -
アクション:
'AmazonConnectEnabled':'True'リソースタグを持つすべての Amazon Chime SDK Voice Connector のリソース上で、Amazon Connect の読み取りアクセスを許可する Amazon Chime SDK Voice Connectorchime:GetVoiceConnector。 -
アクション: 全リージョンをまたぐアカウントで作成されたすべての Amazon Chime SDK Voice Connector のための Amazon Chime SDK Voice Connector
chime:ListVoiceConnectors。 -
アクション: Amazon Connect Messaging WhatsApp 統合。次の AWS エンドユーザーメッセージングソーシャル API に Amazon Connect アクセス許可を付与します。 APIs
-
social-messaging:SendWhatsAppMessage -
social-messaging:PostWhatsAppMessageMedia -
social-messaging:GetWhatsAppMessageMedia -
social-messaging:GetLinkedWhatsAppBusinessAccountPhoneNumber
Social API は、Amazon Connect で有効になっている電話番号リソースに制限されています。電話番号は、Amazon Connect インスタンスにインポートされる際
AmazonConnectEnabled : Trueでタグ付けされます。 -
-
アクション: Amazon Connect Messaging WhatsApp メッセージテンプレート統合。API を呼び出すアクセス許可を Amazon Connect に付与します。 AWS End User Messaging Social APIs AWS アカウントの WhatsApp ビジネスアカウントが一覧表示される場合があります。さらに、WhatsApp ビジネスアカウントのテンプレートが一覧表示され、WhatsApp ビジネスアカウントに
AmazonConnectEnabled: Trueがタグ付けされている場合、テンプレートの詳細を取得できます。-
social-messaging:ListLinkedWhatsAppBusinessAccounts -
social-messaging:GetWhatsAppMessageTemplate -
social-messaging:ListWhatsAppMessageTemplates
-
-
アクション: Amazon SES
-
ses:DescribeReceiptRule -
ses:UpdateReceiptRule
すべての Amazon SES 受信ルール。E メールの送受信に使用されます。
-
ses:DeleteEmailIdentity: {instance-alias}.email.connect.aws SES ドメイン ID 用。Amazon Connect が提供する E メールドメイン管理に使用されます。
-
ses:SendRawEmail: Amazon Connect (configuration-set-for-connect-DO-NOT-DELETE) で提供される SES 設定を含む E メールの送信用。
-
iam:PassRole: Amazon SES で使用されるAmazonConnectEmailSESAccessRoleサービスロール用。Amazon SES 受信ルール管理については、Amazon SES は引き受けるロールを渡す必要があります。
-
-
アクション: Amazon Polly
-
polly:ListLexicons -
polly:DescribeVoices -
polly:SynthesizeSpeech
-
Amazon Connect で追加機能を有効にすると、インラインポリシーを使用してこのような追加機能に関連付けられたリソースにアクセスするためのサービスにリンクされたロールに次のアクセス許可が追加されます。
-
アクション: エージェントのイベントストリームとコンタクトレコードに定義した配信ストリームに対する Amazon Data Firehose の
firehose:DescribeDeliveryStream、firehose:PutRecord、firehose:PutRecordBatch。 -
アクション: エージェントのイベントストリームと問い合わせレコードに指定したストリームに対する Amazon Kinesis Data Streams の
kinesis:PutRecord、kinesis:PutRecords、kinesis:DescribeStream。 -
アクション: インスタンスに追加したボットに対する Amazon Lex の
lex:PostContent。 -
アクション: インスタンスに関連付けた Voice ID ドメインに対する Amazon Connect Voice-ID の
voiceid:*。 -
アクション: 関連付けた Voice ID ドメインに CTR レコードを公開するための Amazon Connect マネージドの EventBridge ルールに対する EventBridge の
events:PutRuleとevents:PutTargets。 -
アクション: アウトバウンドキャンペーン
-
connect-campaigns:CreateCampaign -
connect-campaigns:DeleteCampaign -
connect-campaigns:DescribeCampaign -
connect-campaigns:UpdateCampaignName -
connect-campaigns:GetCampaignState -
connect-campaigns:GetCampaignStateBatch -
connect-campaigns:ListCampaigns -
connect-campaigns:UpdateOutboundCallConfig -
connect-campaigns:UpdateDialerConfig -
connect-campaigns:PauseCampaign -
connect-campaigns:ResumeCampaign -
connect-campaigns:StopCampaign
アウトバウンドキャンペーンに関連するすべてのオペレーションが対象。
-
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクロールのアクセス許可」を参照してください。
Amazon Connect のサービスにリンクされたロールを作成する
サービスリンクロールを手動で作成する必要はありません。で Amazon Connect に新しいインスタンスを作成すると AWS マネジメントコンソール、Amazon Connect によってサービスにリンクされたロールが作成されます。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。Amazon Connect で新しいインスタンスを作成する際に、Amazon Connect によってサービスにリンクされたロールが自動的に再作成されます。
また、IAM コンソールを使用して、Amazon Connect - Full access ユースケースにより、サービスにリンクされたロールを作成することもできます。IAM CLI または IAM API で、connect.amazonaws.com サービス名でサービスリンクロールを作成します。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。
2018 年 10 月より前に作成されたインスタンスの場合
ヒント
AWS アカウントの管理にサインインできませんか? AWS アカウントの管理者がわからない場合 ヘルプについては、AWS アカウントのサインインの問題のトラブルシューティングを参照してください。
2018 年 10 月より前に作成された Amazon Connect インスタンスを使用している場合、サービスにリンクされたロールはセットアップされていません。サービスにリンクされたロールを作成するには、次の画像に示すように、[アカウントの概要] ページで、[サービスにリンクされたロールの作成] を選択します。
![[アカウントの概要] ページ、[サービスにリンクされたロールの作成] ボタン。](images/slr-create-slr.png)
サービスにリンクされたロールの作成に必要な IAM アクセス許可の一覧については、「カスタム IAM ポリシーを使用して Amazon Connect コンソールへのアクセスを管理するために必要なアクセス許可」のトピックにある 「概要ページ」を参照してください。
2025 年 1 月 31 日より前に作成され、データを暗号化するためにカスタマー KMS キーを使用して設定された Customer Profile ドメインの場合、Amazon Connect インスタンスに追加の KMS アクセス許可を付与する必要があります。
関連付けられた Customer Profile ドメインが 2025 年 1 月 31 日より前に作成され、ドメインが暗号化にカスタマーマネージド KMS キー (CMK) を使用して Connect インスタンスによる CMK の適用を有効にしている場合は、以下のアクションを実行します。
-
AWS マネジメントコンソールの Customer Profiles のページに移動して、Customer Profiles ドメインの AWS KMS キーを使用するための Amazon Connect インスタンスのサービスにリンクされたロール (SLR) Amazon Connectアクセス許可を付与し、KMS アクセス許可の更新を選択します。
![[KMS アクセス許可の更新] ボタンを選択して、Amazon Connect インスタンスのサービスリンクロールに KMS アクセス許可を付与します。](images/kms-permissions-slr-1.png)
-
Amazon Connect Customer Profiles チームでサポートチケット
を作成し、アカウントの CMK アクセス許可の適用をリクエストします。
Amazon Connect インスタンスを更新する IAM アクセス許可のリストについては、 のカスタム IAM ポリシーに必要なアクセス許可を参照してください顧客プロファイルページ 。
Amazon Connect のサービスにリンクされたロールを編集する
Amazon Connect では、AWSServiceRoleForAmazonConnect をプレフィックスとする、サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。
サービスにリンクされたロールに Amazon Lex へのアクセス許可が付与されていることの確認
-
IAM コンソールのナビゲーションペインで、[Roles] (ロール) をクリックします。
-
変更するロールの名前を選択します。
Amazon Connect のサービスにリンクされたロールの削除
AWSServiceRoleForAmazonConnect をプレフィックスとするロールを手動で削除する必要はありません。で Amazon Connect インスタンスを削除すると AWS マネジメントコンソール、Amazon Connect はリソースをクリーンアップし、サービスにリンクされたロールを削除します。
Amazon Connect のサービスにリンクされたロールがサポートされているリージョン
Amazon Connect は、このサービスが提供されているすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、「AWS リージョンとエンドポイント」を参照してください。
