View a markdown version of this page

Connect Customer のサービスにリンクされたロールとロールのアクセス許可を使用する - Amazon Connect Customer
サービスにリンクされたロール (SLR) とは何ですか。また、SLR が重要なのはなぜですか。サービスにリンクされたロールのアクセス許可Connect Customer のサービスにリンクされたロールを作成する2018 年 10 月より前に作成されたインスタンスの場合2025 年 1 月 31 日より前に作成され、データを暗号化するためにカスタマー KMS キーで設定された Customer Profile ドメインの場合Connect Customer のサービスにリンクされたロールを編集するサービスにリンクされたロールに Amazon Lex へのアクセス許可が付与されていることの確認Connect Customer のサービスにリンクされたロールを削除するConnect カスタマーサービスにリンクされたロールでサポートされているリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Connect Customer のサービスにリンクされたロールとロールのアクセス許可を使用する

サービスにリンクされたロール (SLR) とは何ですか。また、SLR が重要なのはなぜですか。

Connect Customer は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、Connect Customer インスタンスに直接リンクされた一意のタイプの IAM ロールです。

サービスにリンクされたロールは Connect Customer によって事前定義されており、Connect Customer がユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを有効にして、タグ付けのサポート、ユーザー管理プロファイルとルーティングプロファイルの新しいユーザーインターフェイス、CloudTrail サポートのキューなど、Connect Customer の新機能を使用できるようにする必要があります。

サービスにリンクされたロールをサポートするその他のサービスについては、「IAM と連携するAWS のサービス」を参照し、[Service-Linked Role] (サービスにリンクされたロール) 列が [Yes] (はい) になっているサービスを検索してください。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[はい] リンクを選択してください。

Connect Customer のサービスにリンクされたロールのアクセス許可

Connect Customer は、AWSServiceRoleForAmazonConnect_unique-id というプレフィックスが付いたサービスにリンクされたロールを使用します。ユーザーに代わって AWS リソースにアクセスするアクセス許可を Amazon Connect に付与します。

AWSServiceRoleForAmazonConnect をプレフィックスとする、サービスにリンクされたロールは、以下のサービスを信頼してロールを引き受けます。

  • connect.amazonaws.com

AmazonConnectServiceLinkedRolePolicy ロールのアクセス許可ポリシーにより、Connect Customer は指定されたリソースに対して次のアクションを実行できます。

  • アクション: すべての Connect Customer リソースに対するすべての Connect Customer アクションconnect:*、。

  • アクション: IAM iam:DeleteRole は、サービスにリンクされたロールの削除を許可します。

  • アクション: 録音した会話のために指定された S3 バケット向けの Amazon S3 s3:GetObjects3:DeleteObjects3:GetBucketLocationGetBucketAcl

    s3:PutObjects3:PutObjectAcls3:GetObjectAcl は、エクスポートされたレポートで指定されたバケットにも付与されます。

  • アクション: フローのログ記録用に指定した CloudWatch Logs グループに対する Amazon CloudWatch Logs の logs:CreateLogStreamlogs:DescribeLogStreamslogs:PutLogEvents

  • アクション:すべてのリージョンにわたってアカウントで作成したすべてのボットに対する Amazon Lex の lex:ListBotslex:ListBotAliases

  • アクション: すべての Connect Customer Profiles リソースprofile:*の Customer Profiles を、Connect Customer インスタンスに関連付けられたamazon-connect-ドメインプレフィックスとテンプレートリソースで接続します。ただし、明示的に拒否される以下のアクションを除きます。

    • profile:CreateDomain

    • profile:UpdateDomain

    • profile:DeleteDomain

    • profile:CreateEventStream

    • profile:DeleteEventStream

    • profile:DeleteWorkflow

    • profile:DeleteProfileKey

    • profile:UntagResource

    • profile:TagResource

    • profile:CreateIntegrationWorkflow

    さらに、すべてのリソースで、、profile:ListRecommenderRecipesprofile:ListAccountIntegrations、および のアクションが許可されますprofile:ListDomains

    注記

    各 Connect Customer インスタンスは、一度に 1 つのドメインにのみ関連付けることができます。ただし、任意のドメインを Connect Customer インスタンスにリンクできます。同じ AWS アカウントとリージョン内のクロスドメインアクセスは、amazon-connect- のプレフィックスで始まるすべてのドメインで自動的に有効になります。クロスドメインアクセスを制限するには、個別の Connect Customer インスタンスを使用してデータを論理的にパーティション分割するか、amazon-connect-プレフィックスで始まらない同じインスタンス内の Customer Profiles ドメイン名を使用して、クロスドメインアクセスを防ぐことができます。

  • アクション: すべての Connect Customer Connect AI エージェントリソースwisdom:*の AI エージェントを、Connect Customer インスタンス'AmazonConnectEnabled':'True'に関連付けられたリソースタグで接続します。ただし、明示的に拒否される以下のアクションを除きます。

    • wisdom:DeleteAssistant

    • wisdom:DeleteKnowledgeBase

  • アクション: インスタンスの Connect Customer 使用状況メトリクスをアカウントにcloudwatch:PutMetricData発行する Amazon CloudWatch Metrics。

  • アクション: Amazon Pinpoint SMS と音声sms-voice:DescribePhoneNumbers、および sms-voice:SendTextMessageを使用して、Connect Customer が SMS を送信できるようにします。

  • アクション: Connect Customer mobiletargeting:SendMessagesがプッシュ通知を送信できるようにする Amazon Pinpoint。

  • アクション: Amazon Cognito ユーザープールcognito-idp:DescribeUserPoolcognito-idp:ListUserPoolClients を使用して、Connect Customer がAmazonConnectEnabledリソースタグを持つ Amazon Cognito ユーザープールリソースの読み取りオペレーションを選択できるようにします。

  • アクション: 'AmazonConnectEnabled':'True'リソースタグを持つすべての Amazon Chime SDK Voice Connector リソースで Connect Customer の読み取りアクセスchime:GetVoiceConnectorを許可する Amazon Chime SDK Voice Connector。

  • アクション: 全リージョンをまたぐアカウントで作成されたすべての Amazon Chime SDK Voice Connector のための Amazon Chime SDK Voice Connector chime:ListVoiceConnectors

  • アクション: カスタマーメッセージング WhatsApp 統合を接続します。次の AWS エンドユーザーメッセージングソーシャル APIs。

    • social-messaging:SendWhatsAppMessage

    • social-messaging:PostWhatsAppMessageMedia

    • social-messaging:GetWhatsAppMessageMedia

    • social-messaging:GetLinkedWhatsAppBusinessAccountPhoneNumber

    ソーシャル APIs は、Connect Customer で有効になっている電話番号リソースに制限されています。電話番号は、Connect Customer インスタンスにインポートAmazonConnectEnabled : Trueされると でタグ付けされます。

  • アクション: カスタマーメッセージング WhatsApp メッセージテンプレート統合を接続します。Connect Customer に AWS End User Messaging Social APIs。 AWS アカウントの WhatsApp ビジネスアカウントが一覧表示される場合があります。さらに、WhatsApp ビジネスアカウントのテンプレートが一覧表示され、WhatsApp ビジネスアカウントに AmazonConnectEnabled: True がタグ付けされている場合、テンプレートの詳細を取得できます。

    • social-messaging:ListLinkedWhatsAppBusinessAccounts

    • social-messaging:GetWhatsAppMessageTemplate

    • social-messaging:ListWhatsAppMessageTemplates

  • アクション: Amazon SES

    • ses:DescribeReceiptRule

    • ses:UpdateReceiptRule

    すべての Amazon SES 受信ルール。E メールの送受信に使用されます。

    • ses:DeleteEmailIdentity: {instance-alias}.email.connect.aws SES ドメイン ID 用。Connect Customer が提供する E メールドメイン管理に使用されます。

    • ses:SendRawEmail Connect Customer が提供する SES 設定セット (configuration-set-for-connect-DO-NOT-DELETE) を使用して E メールを送信するための 。

    • iam:PassRole: Amazon SES で使用される AmazonConnectEmailSESAccessRole サービスロール用。Amazon SES 受信ルール管理については、Amazon SES は引き受けるロールを渡す必要があります。

  • アクション: Amazon Polly

    • polly:ListLexicons

    • polly:DescribeVoices

    • polly:SynthesizeSpeech

Connect Customer で追加機能を有効にすると、インラインポリシーを使用して、サービスにリンクされたロールがそれらの機能に関連付けられたリソースにアクセスするための次のアクセス許可が追加されます。

  • アクション: エージェントのイベントストリームとコンタクトレコードに定義した配信ストリームに対する Amazon Data Firehose の firehose:DescribeDeliveryStreamfirehose:PutRecordfirehose:PutRecordBatch

  • アクション: エージェントのイベントストリームと問い合わせレコードに指定したストリームに対する Amazon Kinesis Data Streams の kinesis:PutRecordkinesis:PutRecordskinesis:DescribeStream

  • アクション: インスタンスに追加したボットに対する Amazon Lex の lex:PostContent

  • アクション: インスタンスに関連付けられた Voice ID ドメインvoiceid:*の Customer Voice-ID を接続します。

  • アクション: EventBridge 関連付けられた Voice ID ドメインevents:PutTargetsの CTR レコードを発行するための Connect カスタマーマネージド EventBridge ルールの EventBridge events:PutRuleと 。

  • アクション: アウトバウンドキャンペーン

    • connect-campaigns:CreateCampaign

    • connect-campaigns:DeleteCampaign

    • connect-campaigns:DescribeCampaign

    • connect-campaigns:UpdateCampaignName

    • connect-campaigns:GetCampaignState

    • connect-campaigns:GetCampaignStateBatch

    • connect-campaigns:ListCampaigns

    • connect-campaigns:UpdateOutboundCallConfig

    • connect-campaigns:UpdateDialerConfig

    • connect-campaigns:PauseCampaign

    • connect-campaigns:ResumeCampaign

    • connect-campaigns:StopCampaign

    アウトバウンドキャンペーンに関連するすべてのオペレーションが対象。

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細についてはIAM ユーザーガイド の「サービスにリンクされた役割のアクセス許可」を参照してください。

Connect Customer のサービスにリンクされたロールを作成する

サービスリンクロールを手動で作成する必要はありません。で Amazon Connect に新しいインスタンスを作成すると AWS マネジメントコンソール、Connect Customer がサービスにリンクされたロールを作成します。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。Amazon Connect で新しいインスタンスを作成すると、Connect Customer によってサービスにリンクされたロールが再度作成されます。

また、IAM コンソールを使用して、Amazon Connect - Full access ユースケースにより、サービスにリンクされたロールを作成することもできます。IAM CLI または IAM API で、connect.amazonaws.com サービス名でサービスリンクロールを作成します。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

2018 年 10 月より前に作成されたインスタンスの場合

ヒント

AWS アカウントの管理にサインインできませんか? AWS アカウントの管理者がわからない場合 ヘルプについては、AWS アカウントのサインインの問題のトラブルシューティングを参照してください。

Connect Customer インスタンスが 2018 年 10 月より前に作成された場合は、サービスにリンクされたロールが設定されていません。サービスにリンクされたロールを作成するには、次の画像に示すように、[アカウントの概要] ページで、[サービスにリンクされたロールの作成] を選択します。

[アカウントの概要] ページ、[サービスにリンクされたロールの作成] ボタン。

サービスにリンクされたロールの作成に必要な IAM アクセス許可の一覧については、「カスタム IAM ポリシーを使用して Connect Customer コンソールへのアクセスを管理するために必要なアクセス許可」のトピックにある 「概要ページ」を参照してください。

2025 年 1 月 31 日より前に作成され、データを暗号化するためにカスタマー KMS キーを使用して設定された Customer Profile ドメインの場合、Amazon Connect インスタンスに追加の KMS アクセス許可を付与する必要があります。

関連付けられた Customer Profile ドメインが 2025 年 1 月 31 日より前に作成され、ドメインが暗号化にカスタマーマネージド KMS キー (CMK) を使用して Connect インスタンスによる CMK の適用を有効にしている場合は、以下のアクションを実行します。

  1. AWS マネジメントコンソールの Customer Profiles のページに移動して、Customer Profiles ドメインの AWS KMS キーを使用するための Connect Customer インスタンスのサービスにリンクされたロール (SLR) Connect Customerアクセス許可を付与し、KMS アクセス許可の更新を選択します。

    KMS アクセス許可の更新ボタンを選択して、Connect Customer インスタンスのサービスにリンクされたロールに KMS アクセス許可を付与します。

  2. Connect Customer Profiles チームでサポートチケットを作成し、アカウントの CMK アクセス許可の適用をリクエストします。

Connect Customer インスタンスを更新する IAM アクセス許可のリストについては、 のカスタム IAM ポリシーに必要なアクセス許可を参照してください顧客プロファイルページ

Connect Customer のサービスにリンクされたロールを編集する

Connect Customer では、AWSServiceRoleForAmazonConnect プレフィックス付きサービスリンクロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

サービスにリンクされたロールに Amazon Lex へのアクセス許可が付与されていることの確認

  1. IAM コンソールのナビゲーションペインで、[Roles] (ロール) をクリックします。

  2. 変更するロールの名前を選択します。

Connect Customer のサービスにリンクされたロールを削除する

AWSServiceRoleForAmazonConnect をプレフィックスとするロールを手動で削除する必要はありません。で Amazon Connect インスタンスを削除すると AWS マネジメントコンソール、Connect Customer はリソースをクリーンアップし、サービスにリンクされたロールを削除します。

Connect カスタマーサービスにリンクされたロールでサポートされているリージョン

Connect Customer は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートしています。詳細については、「AWS リージョンとエンドポイント」を参照してください。