翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Connect で階層ベースのアクセスコントロールを適用する
<a name="hierarchy-based-access-control"></a>

ユーザーに割り当てられたエージェント階層に基づいて連絡先へのアクセスを制限できます。これを行うには、セキュリティプロファイルの [[連絡先のアクセスを制限]](contact-search.md#required-permissions-search-contacts) などのアクセス許可を使用します。これらのアクセス許可に加えて、階層を使用してユーザーなどのリソースに対するきめ細かなアクセスコントロールを適用したり、タグを使用したりもできます。

このトピックでは、階層ベースのアクセスコントロールの設定について説明します。

**Topics**
+ [概要](#hierarchy-based-access-control-background)
+ [API/SDK を使用して階層ベースのアクセスコントロールを適用する](#hierarchy-based-access-control-api-sdk)
+ [Connect Customer 管理ウェブサイトを使用して階層ベースのアクセスコントロールを適用する](#hierarchy-based-access-control-console)
+ [設定の制限](#hierarchy-based-access-control-config-limitations)
+ [階層ベースのアクセスコントロールのベストプラクティス](#hierarchy-based-access-control-best-practices)

## 概要
<a name="hierarchy-based-access-control-background"></a>

階層ベースのアクセスコントロールを使用すると、ユーザーに割り当てられた[エージェント階層](agent-hierarchy.md)に基づいて、特定のリソースへのきめ細かな アクセスを設定できます。階層ベースのアクセスコントロールは、API/SDK または Connect Customer 管理者ウェブサイトを使用して設定できます。 

階層ベースのアクセスコントロールをサポートしているリソースはユーザーのみです。この認可モデルは[タグベースのアクセスコントロール](tag-based-access-control.md)と連携して機能するため、ユーザーへのアクセスを制限して、同じ階層グループに属する、特定のタグが関連付けられた他のユーザーのみを表示できるようにすることができます。

**注記**  
階層ベースのアクセスコントロールをユーザーに適用すると、ユーザーは適用された階層グループとそのすべての下位グループ (子レベル以下) にアクセスできます。

## API/SDK を使用して階層ベースのアクセスコントロールを適用する
<a name="hierarchy-based-access-control-api-sdk"></a>

階層を使用して AWS アカウント内のリソースへのアクセスを制御するには、IAM ポリシーの条件要素に階層の情報を指定する必要があります。例えば、特定の階層に属するユーザーへのアクセスを制御するには、`connect:HierarchyGroupL3Id/hierarchyGroupId` 条件キーと `StringEquals` などの特定の演算子を使用して、ユーザーが所属する階層グループを指定し、アクションを許可します。

サポートされている条件キーは次のとおりです。

1. `connect:HierarchyGroupL1Id/hierarchyGroupId`

1. `connect:HierarchyGroupL2Id/hierarchyGroupId`

1. `connect:HierarchyGroupL3Id/hierarchyGroupId`

1. `connect:HierarchyGroupL4Id/hierarchyGroupId`

1. `connect:HierarchyGroupL5Id/hierarchyGroupId`

各キーは、ユーザーの階層構造の特定のレベルにある特定の階層グループの ID を表します。

## Connect Customer 管理ウェブサイトを使用して階層ベースのアクセスコントロールを適用する
<a name="hierarchy-based-access-control-console"></a>

 階層を使用して Connect Customer 管理ウェブサイトのリソースへのアクセスを制御するには、特定のセキュリティプロファイル内でアクセスコントロールセクションを設定します。

 例えば、特定のユーザーが属する階層に基づいてきめ細かなアクセスコントロールを有効にするには、そのユーザーをアクセスコントロール対象のリソースとして設定する必要があります。これを行うには、次の 2 つの方法があります。

1. **ユーザーの階層**に基づいて階層ベースのアクセスコントロールを適用する

   この方法を使うと、アクセスを付与されたユーザーは、この階層に属するユーザーのみを管理できるようになります。例えば、あるユーザーに対してこの設定を有効にすると、対象のユーザーは自分の階層グループまたはその子階層グループに属する他のユーザーを管理できるようになります。

1. **特定の階層**に基づいて階層ベースのアクセスコントロールを適用する

   この方法を使うと、アクセスを付与されたユーザーは、セキュリティプロファイルで定義された階層に属するユーザーのみを管理できるようになります。例えば、あるユーザーに対してこの設定を有効にすると、対象のユーザーはセキュリティプロファイルで指定された階層グループまたはその子階層グループに属する他のユーザーを管理できるようになります。

## 設定の制限
<a name="hierarchy-based-access-control-config-limitations"></a>

 きめ細かいアクセスコントロールはセキュリティプロファイルで設定します。ユーザーには、きめ細かいアクセスコントロールを適用するためのセキュリティプロファイルを最大 2 つまで割り当てることができます。そうすることで、アクセス許可の制限は緩和され、両方のアクセス許可がセットで機能します。

例えば、一方のセキュリティプロファイルで階層ベースのアクセスコントロールを実施し、もう一方のセキュリティプロファイルでタグベースのアクセスコントロールを実施すると、対象のユーザーは同じ階層に属する、または特定のタグでタグ付けされた任意のユーザーを管理できます。タグベースのアクセスコントロールと階層ベースのアクセスコントロールを同じセキュリティプロファイルの一部として設定する場合は、両方の条件を満たす必要があります。その場合、ユーザーが管理できるのは、同じ階層に属し、かつ特定のタグでタグ付けされたユーザーのみとなります。 

追加のセキュリティプロファイルできめ細かいアクセスコントロールを実施していない限り、ユーザーには 3 つ以上のセキュリティプロファイルを割り当てることができます。複数のセキュリティプロファイルがあり、リソースのアクセス許可が重複している場合は、階層ベースのアクセスコントロールのないセキュリティプロファイルが、階層ベースのアクセスコントロールのあるセキュリティプロファイルよりも優先的に適用されます。

階層ベースのアクセスコントロールを設定するには、サービスにリンクされたロールが必要です。インスタンスが 2018 年 10 月以降に作成された場合は、Amazon Connect インスタンスでデフォルトで使用できます。ただし、これより古いインスタンスを使用している場合は、サービスにリンクされたロールを有効にする方法について、「[Amazon Connect サービスにリンクされたロールを使用する](connect-slr.md)」を参照してください。

## 階層ベースのアクセスコントロールのベストプラクティス
<a name="hierarchy-based-access-control-best-practices"></a>
+ [AWS 責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)を確認します。

  階層ベースのアクセスコントロールの適用は、Amazon Connect でサポートされ、責任 AWS 共有モデルに従う高度な設定機能です。必要な認可ニーズを満たすようにインスタンスを正しく設定していることを確認することが重要です。
+ 階層ベースのアクセスコントロールを有効にするリソースについて、少なくとも **[表示] アクセス許可が有効になっていることを確認します。

  これにより、アクセス要求が拒否される原因となるアクセス許可の不一致を避けることができます。階層ベースのアクセスコントロールはリソースレベルで有効になるため、各リソースについて個別にコントロールを設定できます。
+ 階層ベースのアクセスコントロールが適用されたときに付与されるアクセス許可を慎重に確認します。

  例えば、階層ベースでユーザーのアクセスを制限し、アクセス許可セキュリティプロファイルの表示/編集も許可すると、ユーザーは意図したユーザーアクセスコントロール設定よりも高い権限を持つセキュリティプロファイルを作成/更新できるようになります。
  + 階層ベースのアクセスコントロールを適用した状態で Amazon Connect コンソールにログインすると、ユーザーは制限されているリソースの変更履歴ログにアクセスできなくなります。
  +  子リソースを階層ベースのアクセスコントロールを持つ親リソースに割り当てようとすると、子リソースが階層に属していない場合は操作が拒否されます。

    例えば、クイック接続にユーザーを割り当てようとしても、そのユーザーの階層にアクセスできない場合、操作は失敗します。ただし、関連付け解除はこの限りではありません。クイック接続にアクセスできる場合、階層ベースのアクセスコントロールが適用されていても、ユーザーの関連付けを自由に解除できます。これは、(新しい関連付けとは異なり) 関連付け解除が 2 つのリソース間の既存の関係を破棄するもので、ユーザーがすでにアクセス許可を持っている親リソース (この場合はクイック接続) の一部としてモデル化されるためです。
+ スーパーバイザーが気付かないうちにユーザーの関連付けが解除される可能性があるため、親リソースに付与されるアクセス許可について慎重に検討します。
+  Connect Customer 管理ウェブサイトで階層ベースのアクセスコントロールを適用する場合、次の機能へのアクセスを無効にします。    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/connect/latest/adminguide/hierarchy-based-access-control.html)

  これらのリソースへのアクセスを無効にしない場合、 Connect Customer 管理ウェブサイトでこれらのページを表示する特定のリソースに階層ベースのアクセスコントロールを持つユーザーには、無制限のユーザーリストが表示されることがあります。アクセス許可を管理する方法の詳細については、「[セキュリティプロファイルのアクセス許可のリスト](security-profile-list.md)」を参照してください。