翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Connect Customer に関連付けることができる AWS リソースを制限する
各 Connect Customer インスタンスは、インスタンスの作成時に IAM サービスにリンクされたロールに関連付けられます。Connect Customer は、通話記録ストレージ (Amazon S3 バケット)、自然言語ボット (Amazon Lex ボット)、データストリーミング (Amazon Kinesis Data Streams) などのユースケースのために他の AWS サービスと統合できます。Connect Customer は、これらの他のサービスとやり取りするために、サービスにリンクされたロールを引き受けます。ポリシーは、最初に Connect Customer Service の対応する APIs の一部としてサービスにリンクされたロールに追加されます (これは AWS 管理者コンソールによって呼び出されます)。例えば、Connect Customer インスタンスで特定の Amazon S3 バケットを使用する場合は、そのバケットを AssociateInstanceStorageConfig API に渡す必要があります。
Connect Customer で定義される IAM アクションのセットについては、「Connect Customer で定義されるアクション」を参照してください。
Connect Customer インスタンスに関連付けられている可能性のある他のリソースへのアクセスを制限する方法の例を以下に示します。これらは、Connect Customer APIs または Connect Customer コンソールとやり取りするユーザーまたはロールに適用する必要があります。
注記
これらの例では、明示的な Deny を使用するポリシーで、Allow ポリシーをオーバライドしています。
アクセスを制限するために使用できるリソース、条件キー、依存 APIs「Connect Customer のアクション、リソース、および条件キー」を参照してください。
例 1: Connect Customer インスタンスに関連付けることができる Amazon S3 バケットを制限する
この例では、IAM プリンシパルが特定の Connect Customer インスタンス ARN の通話記録に Amazon S3 バケットと、 という名前の特定の Amazon S3 バケットを関連付けることを許可しますmy-connect-recording-bucket。AttachRolePolicy および PutRolePolicy アクションは、Connect Customer サービスにリンクされたロールに限定されます (この例ではワイルドカードが使用されますが、必要に応じてインスタンスのロール ARN を指定できます)。
注記
AWS KMS キーを使用してこのバケットの記録を暗号化するには、追加のポリシーが必要です。
例 2: Connect Customer インスタンスに関連付けることができる AWS Lambda 関数を制限する
AWS Lambda 関数は Connect Customer インスタンスに関連付けられていますが、Connect Customer サービスにリンクされたロールはそれらを呼び出すために使用されないため、変更されません。代わりに、指定された Connect Customer インスタンスが関数を呼び出すことを許可する lambda:AddPermission API を介してポリシーが関数に追加されます。
Connect Customer インスタンスに関連付けることができる関数を制限するには、ユーザーが を呼び出すために使用できる Lambda 関数 ARN を指定しますlambda:AddPermission。
例 3: Connect Customer インスタンスに関連付けることができる Amazon Kinesis Data Streams を制限する
この例は、Amazon S3 の例と同様のモデルを使用します。これにより、問い合わせレコードを配信するために、特定の Connect Customer インスタンスに関連付けることができる特定の Kinesis Data Streams が制限されます。
