View a markdown version of this page

Connect Customer が IAM と連携する方法 - Amazon Connect Customer
Connect カスタマー ID ベースのポリシーConnect Customer タグに基づく認可お客様の IAM ロールを接続する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Connect Customer が IAM と連携する方法

IAM を使用して Connect Customer へのアクセスを管理する前に、Connect Customer で使用できる IAM 機能を理解しておく必要があります。Connect Customer およびその他の AWS のサービスが IAM と連携する方法の概要については、IAM ユーザーガイドAWS 「IAM と連携する のサービス」を参照してください。

Connect カスタマー ID ベースのポリシー

IAM アイデンティティベースのポリシーでは許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。Connect Customer は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「IAM JSON ポリシー要素のリファレンス」を参照してください。

アクション

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

JSON ポリシーの Action 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

Connect Customer のポリシーアクションは、アクションの前にプレフィックス を使用しますconnect:。ポリシーステートメントにはAction または NotAction 要素を含める必要があります。Connect Customer は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。

単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。

"Action": [
      "connect:action1",
      "connect:action2"

ワイルドカード (*) を使用して複数アクションを指定できます。例えば、Describe という単語で始まるすべてのアクションを指定するには次のアクションを含めます。

"Action": "connect:Describe*"

Connect Customer のアクション、アクション、リソース、および条件キーのリストを表示するには。

リソース

Connect Customer は、リソースレベルのアクセス許可 (IAM ポリシーでリソース ARN を指定) をサポートしています。Connect Customer リソースのリストを次に示します。

  • インスタンス

  • 問い合わせ

  • ユーザー

  • ルーティングプロファイル

  • セキュリティプロファイル

  • 階層グループ

  • [キュー]

  • システム

  • フロー

  • オペレーション時間

  • Phone number (電話番号)

  • タスクテンプレート

  • 顧客プロファイルのドメイン

  • 顧客プロファイルでのオブジェクトタイプ

  • アウトバウンドキャンペーン

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

Resource JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、Amazon リソースネーム (ARN) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (*) を使用します。

"Resource": "*"

Connect Customer インスタンスリソースには、次の ARN があります。

arn:${Partition}:connect:${Region}:${Account}:instance/${InstanceId}

ARNs「Amazon リソースネーム (ARNs AWS 「サービス名前空間」を参照してください。

例えば、ステートメントで i-1234567890abcdef0 インスタンスを指定するには、次の ARN を使用します。

"Resource": "arn:aws:connect:us-east-1:123456789012:instance/i-1234567890abcdef0"

特定のアカウントに属するすべてのインスタンスを指定するには、ワイルドカード (*) を使用します。

"Resource": "arn:aws:connect:us-east-1:123456789012:instance/*"

リソースを作成するためのアクションなど、一部の Connect Customer アクションは、特定のリソースで実行できません。このような場合はワイルドカード *を使用する必要があります。

"Resource": "*"

多くの Connect Customer; API アクションには複数のリソースが含まれます。以下に例を挙げます。

複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。

"Resource": [
      "resource1",
      "resource2"

Connect Customer リソースタイプとその ARNs「Connect Customer のアクション、リソース、および条件キー」を参照してください。同じ記事で、各リソースの ARN を指定できるアクションについても説明します。

条件キー

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

Condition 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの条件演算子を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、IAM ユーザーガイドAWS 「グローバル条件コンテキストキー」を参照してください。

Connect Customer は独自の条件キーのセットを定義し、いくつかのグローバル条件キーの使用もサポートしています。すべての AWS グローバル条件キーを確認するには、IAM ユーザーガイドAWS 「グローバル条件コンテキストキー」を参照してください。

すべての Amazon EC2 アクションは aws:RequestedRegion および ec2:Region 条件キーをサポートします。詳細については、「例: 特定のリージョンへのアクセスの制限」を参照してください。

Connect Customer 条件キーのリストを確認するには、「Connect Customer のアクション、リソース、および条件キー」を参照してください。

Connect Customer アイデンティティベースのポリシーの例については、「」を参照してくださいConnect Customer アイデンティティベースのポリシーの例

Connect Customer タグに基づく認可

Connect Customer リソースにタグをアタッチするか、Connect Customer へのリクエストでタグを渡すことができます。タグに基づいてアクセスを管理するには、connect:ResourceTag/key-nameaws:RequestTag/key-name、または aws:TagKeys の条件キーを使用して、ポリシーの条件要素でタグ情報を提供します。

リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースポリシーの例を表示するには、「タグに基づいて Connect Customer ユーザーを記述および更新する」を参照してください。

お客様の IAM ロールを接続する

IAM ロールは、特定のアクセス許可を持つ AWS アカウント内のエンティティです。

Connect Customer での一時的な認証情報の使用

一時的な認証情報を使用して、フェデレーションでサインインする、IAM 役割を引き受ける、またはクロスアカウント役割を引き受けることができます。一時的なセキュリティ認証情報を取得するには、AssumeRoleGetFederationToken などの AWS STS API オペレーションを呼び出します。

Connect Customer は、一時的な認証情報の使用をサポートしています。

サービスリンクロール

サービスにリンクされたロールを使用すると、 AWS サービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。

Connect Customer は、サービスにリンクされたロールをサポートしています。Connect Customer サービスにリンクされたロールの作成または管理の詳細については、「」を参照してくださいConnect Customer のサービスにリンクされたロールとロールのアクセス許可を使用する

Connect Customer での IAM ロールの選択

Connect Customer でリソースを作成するときは、Connect Customer がユーザーに代わって Amazon EC2 にアクセスすることを許可するロールを選択する必要があります。以前にサービスロールまたはサービスにリンクされたロールを作成している場合、Connect Customer は選択するロールのリストを提供します。Amazon EC2 インスタンスの起動と停止のためのアクセスを、許可するロールを選択することが重要です。