翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Connect でタグベースのアクセスコントロールを適用する
<a name="tag-based-access-control"></a>

タグベースのアクセスコントロールを使用することで、割り当てられたリソースタグに基づいて特定のリソースへのアクセスをきめ細かく設定できます。サポートされているリソースの API/SDK または Amazon Connect 管理ウェブサイトを使用して、タグベースのアクセスコントロールを設定できます。

## API/SDK を使用してタグベースのアクセスコントロールを適用する
<a name="tag-based-access-control-api-sdk"></a>

タグを使用して、AWS アカウント内のリソースへのアクセスを制御するには、IAM ポリシーの条件要素の中でタグ情報を指定する必要があります。例えば、Voice ID ドメインに割り当てたタグに基づいてそのドメインへのアクセスをコントロールするには、`aws:ResourceTag/key-name` 条件キーを、ドメインにアタッチする必要があるタグ*キーと値*のペアを指定する、`StringEquals` などの特定の演算子と使用し、これにより必要なアクションを許可します。

タグベースのアクセスコントロールの詳細については、「*IAM ユーザーガイド*」の「[タグを使用した AWS リソースへのアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)」を参照してください。

## Amazon Connect 管理ウェブサイトを使用してタグベースのアクセスコントロールを適用する
<a name="tag-based-access-control-connect-ui"></a>

*リソース*タグは、リソースに追加して識別、整理、検索を容易にするための、カスタムなメタデータラベルです。Amazon Connect SDK/API を使用してプログラムでタグを適用でき、特定のリソースについては、Amazon Connect コンソール内からタグを適用できます。リソースタグの詳細については、「[Amazon Connect でリソースにタグを追加する](tagging.md)」を参照してください。

アクセスコントロールタグは、同じ*キーと値*構造を使用するという点でリソースタグと似ています。ただし、アクセスコントロールタグとの違いは、ユーザーのアクセスを、同じ*キー:値*のペアを持つリソースタグを含む特定のリソースのみに制限する認可コントロールが導入されることです。アクセスコントロールタグは、まず、アクセスをコントロールするリソース (ルーティングプロファイル、キュー、ユーザーなど) を選択し、次に照合する*キーと値*のペアを定義して、セキュリティプロファイル内で定義されます。アクセスコントロールタグ付きのセキュリティプロファイルをユーザーに適用すると、選択したリソースとアクセスコントロールタグ (*キーと値*) の定義された組み合わせに基づいてユーザーのアクセスが制限されます。アクセスコントロールタグを適用しなくても、アクセス許可を与えられていれば、ユーザーはすべてのリソースを見ることができます。

タグを使用して Amazon Connect インスタンスの管理ウェブサイト内のリソースへのアクセスをコントロールするには、特定のセキュリティプロファイルの中でアクセスコントロールセクションを設定する必要があります。例えば、割り当てたタグに基づいてルーティングプロファイルへのアクセスをコントロールするには、ルーティングプロファイルをアクセスコントロールリソースとして指定し、アクセスを有効にするタグ*キーと値*のペアを指定します。

## 設定の制限
<a name="tag-based-access-control-config-limitations"></a>

アクセスコントロールタグはセキュリティプロファイルで設定されます。単一のセキュリティプロファイルに追加できるアクセスコントロールタグは、最大 4 タグまでです。アクセスコントロールタグを追加すると、そのセキュリティプロファイルの制限が厳しくなります。例えば、`Department:X` と `Country:Y` など 2 つのアクセスコントロールタグを追加した場合、ユーザーには両方のタグを含むリソースしか表示されません。

ユーザーには、アクセスコントロールタグを含むセキュリティプロファイルを最大 3 つ割り当てることができます。アクセスコントロールタグを含む複数のセキュリティプロファイルを単一のユーザーに割り当てると、タグベースのアクセスコントロールの制限が緩和されます。例えば、`Country:USA` などのアクセスコントロールタグを含むセキュリティプロファイルと、`Country:Argentina` などのアクセスコントロールタグを含む別のセキュリティプロファイルがユーザーが割り当てられた場合、`Country:USA` または `Country:Argentina` のタグが付けられたリソースがユーザーに表示されます。追加するセキュリティプロファイルにタグが含まれていない限り、ユーザーにはさらにセキュリティプロファイルを割り当てることができます。複数のセキュリティプロファイルがあり、リソースのアクセス権限が重複しているシナリオの場合、タグベースのアクセスコントロールのないセキュリティプロファイルが、タグベースのアクセスコントロールのあるセキュリティプロファイルよりも優先的に適用されます。

[リソースタグ](https://docs.aws.amazon.com/connect/latest/adminguide/tagging.html)または[アクセスコントロールタグ](https://docs.aws.amazon.com/connect/latest/adminguide/tag-based-access-control.html)を設定するには、サービスにリンクされたロールが必要です。インスタンスが 2018 年 10 月以降に作成された場合、Amazon Connect インスタンスでデフォルトで使用できます。ただし、これより古いインスタンスを使用している場合は、サービスにリンクされたロールを有効にする方法について、「[Amazon Connect サービスにリンクされたロールを使用する](https://docs.aws.amazon.com/connect/latest/adminguide/connect-slr.html)」を参照してください。

## タグベースのアクセスコントロールのベストプラクティス
<a name="tag-based-access-control-best-practices"></a>

タグベースのアクセスコントロールの適用は、Amazon Connect でサポートされ、責任 AWS 共有モデルに従う高度な設定機能です。必要な認可ニーズを満たすようにインスタンスを正しく設定していることを確認することが重要です。詳細については、「[AWS 責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)」を参照してください。

タグベースのアクセスコントロールを有効にするリソースについて、少なくとも**[表示] アクセス権限が有効になっていることを確認します。これにより、アクセス要求が拒否される原因となるアクセス許可の不一致を避けることができます。

タグベースのアクセスコントロールはリソースレベルで有効になるため、各リソースについて個別にコントロールを設定できます。特定のユースケースではこれが許容される場合があるとはいえ、すべてのリソースへのタグベースのアクセスコントロールを一括して有効にすることが、ベストプラクティスであると考えられます。例えば、ユーザーへのアクセスを有効にしてセキュリティプロファイルには有効にしない場合、ユーザーは意図したユーザーアクセスコントロール設定よりも優先される権限を持つセキュリティプロファイルを作成できます。

タグベースのアクセスコントロールを適用した状態で Amazon Connect コンソールにログインすると、ユーザーは制限されているリソースの変更履歴ログにアクセスできなくなります。

Amazon Connect コンソールでタグベースのアクセスコントロールを適用する場合、次のリソースまたはモジュールへのアクセスを無効にしておくことが、ベストプラクティスです。このようなリソースへのアクセスを無効にしないと、特定のリソースに対してタグベースのアクセスコントロールが設定されているユーザーがこれらのページを表示した場合に、ユーザー、セキュリティプロファイル、ルーティングプロファイル、キュー、フロー、またはフローモジュールが無制限に一覧表示される可能性があります。アクセス許可を管理する方法の詳細については、「[Amazon Connect のセキュリティプロファイル許可のリスト](security-profile-list.md)」を参照してください。


| モジュール | アクセスを無効にするアクセス許可 | 
| --- | --- | 
| コンタクトの検索 | コンタクトの検索 | 
| ダッシュボード | メトリクスへのアクセス | 
| フロー | フロー - 表示 | 
| フローモジュール | フローモジュール - 表示 | 
| 予測 | 予測 | 
| 履歴変更/監査ポータル | メトリクスへのアクセス | 
| オペレーション時間 | オペレーション時間 - 表示 | 
| ログイン/ログアウトレポート | ログイン/ログアウトレポート - 表示 | 
| アウトバウンドキャンペーン | キャンペーン - 表示 | 
| プロンプト | プロンプト - 表示 | 
| クイック接続 | クイック接続 - 表示 | 
| Rules | ルール - 表示 | 
| 保存されたレポート | 保存されたレポート - 表示 | 
| スケジューリング | スケジュールマネージャー | 
| スケジューリング | 公開されたスケジュールカレンダー |