翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Connect Customer に関連付けることができる AWS リソースを制限する
各 Connect Customer インスタンスは、インスタンスの作成時に IAM [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)に関連付けられます。Connect Customer は、通話記録ストレージ (Amazon S3 バケット)、自然言語ボット (Amazon Lex ボット)、データストリーミング (Amazon Kinesis Data Streams) などのユースケースのために他の AWS サービスと統合できます。Connect Customer は、これらの他のサービスとやり取りするために、サービスにリンクされたロールを引き受けます。ポリシーは、最初に Connect Customer Service の対応する APIs の一部としてサービスにリンクされたロールに追加されます (これは AWS 管理者コンソールによって呼び出されます)。例えば、Connect Customer インスタンスで特定の Amazon S3 バケットを使用する場合は、そのバケットを [ AssociateInstanceStorageConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_AssociateInstanceStorageConfig.html) API に渡す必要があります。
Connect Customer で定義される IAM アクションのセットについては、[「Connect Customer で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html#amazonconnect-actions-as-permissions)」を参照してください。
Connect Customer インスタンスに関連付けられている可能性のある他のリソースへのアクセスを制限する方法の例を以下に示します。これらは、Connect Customer APIs または Connect Customer コンソールとやり取りするユーザーまたはロールに適用する必要があります。
**注記**
これらの例では、明示的な `Deny` を使用するポリシーで、`Allow` ポリシーをオーバライドしています。
アクセスを制限するために使用できるリソース、条件キー、依存 APIs[「Connect Customer のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html)」を参照してください。
## 例 1: Connect Customer インスタンスに関連付けることができる Amazon S3 バケットを制限する
この例では、IAM プリンシパルが特定の Connect Customer インスタンス ARN の通話記録に Amazon S3 バケットと、 という名前の特定の Amazon S3 バケットを関連付けることを許可します`my-connect-recording-bucket`。`AttachRolePolicy` および `PutRolePolicy `アクションは、Connect Customer サービスにリンクされたロールに限定されます (この例ではワイルドカードが使用されますが、必要に応じてインスタンスのロール ARN を指定できます)。
**注記**
AWS KMS キーを使用してこのバケットの記録を暗号化するには、追加のポリシーが必要です。
## 例 2: Connect Customer インスタンスに関連付けることができる AWS Lambda 関数を制限する
AWS Lambda 関数は Connect Customer インスタンスに関連付けられていますが、Connect Customer サービスにリンクされたロールはそれらを呼び出すために使用されないため、変更されません。代わりに、指定された Connect Customer インスタンスが関数を呼び出すことを許可する `lambda:AddPermission` API を介してポリシーが関数に追加されます。
Connect Customer インスタンスに関連付けることができる関数を制限するには、ユーザーが を呼び出すために使用できる Lambda 関数 ARN を指定します`lambda:AddPermission`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"connect:AssociateLambdaFunction",
"lambda:AddPermission"
],
"Resource": [
"arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{instance-id}}",
"arn:aws:lambda:*:*:function:{{my-function}}"
]
}
]
}
```
------
## 例 3: Connect Customer インスタンスに関連付けることができる Amazon Kinesis Data Streams を制限する
この例は、Amazon S3 の例と同様のモデルを使用します。これにより、問い合わせレコードを配信するために、特定の Connect Customer インスタンスに関連付けることができる特定の Kinesis Data Streams が制限されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"connect:UpdateInstanceStorageConfig",
"connect:AssociateInstanceStorageConfig"
],
"Resource": "arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{instance-id}}",
"Condition": {
"StringEquals": {
"connect:StorageResourceType": "CONTACT_TRACE_RECORDS"
}
}
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"kinesis:DescribeStream",
"iam:PutRolePolicy"
],
"Resource": [
"arn:aws:iam::{{111122223333}}:role/aws-service-role/connect.amazonaws.com/*",
"arn:aws:kinesis:*:{{111122223333}}:stream/{{stream-name}}"
]
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": "kinesis:ListStreams",
"Resource": "*"
}
]
}
```
------