翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IP アドレス制限とセッションタイムアウトを設定する
注記
この機能はプレビューリリースであり、変更される可能性があります。この機能にアクセスするには、Amazon Connect ソリューションアーキテクト、テクニカルアカウントマネージャー、または にお問い合わせください AWS Support。
例えば、業界の要件や規制に準拠するために、コンタクトセンターをさらにロックダウンするには、IP アドレスの制限とセッションタイムアウトを設定できます。
-
IP アドレスの制限により、エージェントは からのみサインインするかVPN、特定の国またはサブネットからのアクセスをブロックする必要があります。
-
セッションタイムアウトでは、エージェントは Amazon Connect に再度ログインする必要があります。
Amazon Connect では、ログインしているエージェントの IP アドレス制限とセッション期間を設定するように認証プロファイルを設定します。認証プロファイルは、コンタクトセンターのユーザーの認証設定を保存するリソースです。
IP アドレス範囲とセッション期間を設定する
Amazon Connect インスタンスにはデフォルトの認証プロファイルが含まれています。この認証プロファイルは、コンタクトセンターのすべてのユーザーに自動的に適用されます。認証プロファイルを適用するために、ユーザーに認証プロファイルを割り当てる必要はありません。
デフォルトの認証プロファイルを設定するには、次の AWS SDKコマンドを使用します。
ヒント
これらのコマンドを実行するには、Amazon Connect インスタンス ID が必要です。インスタンス ID を検索する方法については、「」を参照してくださいAmazon Connect インスタンス ID/ を検索するARN。
-
インスタンスの認証プロファイルを一覧表示して、更新する認証プロファイルのプロファイル ID を取得します。を呼び出すListAuthenticationProfileAPIか、
list-authentication-profiles
CLI コマンドを実行できます。list-authentication-profiles
コマンドの例を次に示します。aws connect list-authentication-profiles --instance-id
your-instance-id
list-authentication-profiles
コマンドによって返されるデフォルトの認証プロファイルの例を次に示します。{ "AuthenticationProfileSummaryList": [ { "Arn": "arn:aws:connect:us-west-2:
account-id
:instance/your-instance-id
/authentication-profile/profile-id
", "Id": "profile-id
", "IsDefault": true, "LastModifiedRegion": "us-west-2", "LastModifiedTime": 1.719249173664E9, "Name": "Default Authentication Profile" } ], "NextToken": null } -
更新する認証プロファイルの設定を表示します。を呼び出すDescribeAuthenticationProfileか、 または
describe-authentication-profile
CLI コマンドを実行できます。describe-authentication-profile
コマンドの例を次に示します。aws connect describe-authentication-profile --instance-id
your-instance-id
--profile-idprofile-id
以下は、
describe-authentication-profile
コマンドによって返される情報の例です。{ "AuthenticationProfile": { "AllowedIps": [], "Arn": "arn:aws:connect:us-west-2:
account-id
:instance/your-instance-id
/authentication-profile/profile-id
", "BlockedIps": [], "CreatedTime": 1.718999177811E9, "Description": "A basic default Authentication Profile", "Id": "profile-id
", "IsDefault": true, "LastModifiedRegion": "us-west-2", "LastModifiedTime": 1.719249173664E9, "MaxSessionDuration": 720, "Name": "Default Authentication Profile", "PeriodicSessionDuration": 60 } }各フィールドの説明については、Amazon Connect APIリファレンスAuthenticationProfile」の「」を参照してください。
-
UpdateAuthenticationProfile API または
update-authentication-profile
CLI コマンドを使用して認証プロファイルを設定します。InstanceId
と を除くすべてのフィールドProfileId
はオプションです。API 呼び出しで定義した設定のみが変更されます。update-authentication-profile
コマンドの例を次に示します。すべてのユーザーに自動的に割り当てられるデフォルトの認証プロファイルを設定します。これにより、一部の IP アドレスを許可し、他の IP アドレスをブロックし、定期的なセッション時間を 60 分に設定します。aws connect update-authentication-profile --instance-id
your-instance-id
--profile-idprofile-id
--name "Default Authentication Profile" --description "A basic default Authentication Profile" --allowed-ips "ip-range-1" "ip-range-2" ... --blocked-ips "ip-range-3" "ip-range-4" ... --periodic-session-duration 60
IP ベースのアクセスコントロールを設定する
IP アドレスに基づいてコンタクトセンターへのアクセスを設定する場合は、認証プロファイルの IP ベースのアクセスコントロール機能を使用できます。
認証プロファイルで設定できる IP 設定には、許可された IP アドレス範囲とブロックされた IP アドレス範囲の 2 種類があります。以下のポイントでは、IP ベースのアクセスコントロールの仕組みについて説明します。
-
IP アドレスは、 IPV4と の両方のIPV6形式にすることができます。
-
CIDR 表記で個々の IP アドレスと IP アドレス範囲の両方を定義できます。
-
ブロックされた IP 設定が常に優先されます。
-
IP アドレスが許可された IP リストで定義されている場合、それらの IP アドレスのみが許可されます。
-
これらの IP アドレスは、ブロックされた IP リストによってスコープダウンできます。
-
-
ブロックされた IP アドレスのみが定義されている場合、ブロックリストで定義されている IP アドレスを除き、任意の IP アドレスがインスタンスにアクセスできます。
-
IP アドレスが許可された IP アドレスリストとブロックされた IP アドレスリストの両方で定義されている場合、許可された範囲内で定義された IP アドレスからブロックされた範囲内の IP アドレスを引いたもののみが許可されます。
注記
IP アドレスベースのアクセスコントロールは、緊急管理者ログイン には適用されません。このユーザーに制限を適用するには、 API のIAMポリシーでSourceIp
制限を適用できますconnect:AdminGetEmergencyAccessToken
。
ユーザーの IP アドレスがインスタンスによってブロックされていると判断された場合、ユーザーのセッションは無効になります。ログアウトイベントは、ログイン/ログアウトレポート に発行されます。
IP アドレスチェックが失敗したときにユーザーがどのように体験するか
[エージェント]
エージェントが問い合わせコントロールパネル (CCP) でアクティブになると、その IP アドレスは定期的にチェックされます。Amazon Connect が IP アドレスをチェックする頻度は、認証プロファイルの定期的なセッション期間 の設定方法に基づいています。
IP アドレスがチェックに失敗すると、次のようになります。
-
エージェントがアクティブな通話中でない場合、IP アドレスが許可されていないアドレスに変更されると、エージェントはサインアウトされます。
-
エージェントがアクティブな通話中である場合、エージェントのセッションは無効になりますが、現在アクティブな通話は終了します。次の状況が発生します。
-
エージェントは、エージェントのステータスの変更、通話の転送、通話の保留、通話の終了、ケースの作成などのアクションを実行できなくなります。
-
エージェントには、 でアクションを実行する機能が制限CCPされていることが通知されます。
-
セッションが無効になった後に正常にログインすると、アクティブな呼び出しに戻り、再度アクションを実行できます。
-
管理者ウェブサイトを使用する Amazon Connect 管理者とユーザー
リソースへの更新の保存やアクティブな呼び出しへの割り込みなど、管理者ウェブサイトでアクションを実行する Amazon Connect 管理者や他のユーザーが IP アドレスチェックに失敗すると、自動的にログアウトされます。
IP アドレス設定の例
例 1: 許可された IP リストでのみ定義された IP アドレス
-
AllowedIps: [
111.222.0.0/16
] -
BlockedIps: [ ]
結果:
-
111.222.0.0
と の間の IP アドレスのみがインスタンス111.222.255.255
にアクセスできます。
例 2: ブロックされた IP リストでのみ定義された IP アドレス
-
AllowedIps: [ ]
-
BlockedIps: [
155.155.155.0/24
]
結果:
-
IP アドレス範囲
155.155.155.0 - 155.155.155.255
を除くすべての IP アドレスが許可されます。
例 3: 許可された IP リストとブロックされた IP リストの両方で定義された IP アドレス
-
AllowedIps: [
200.255.0.0/16
] -
BlockedIps: [
200.255.10.0/24, 200.255.40.50, 192.123.211.211
]
結果:
-
間の IP アドレス
200.255.0.0 - 200.255.255.255
は から を引いた値で指定できます(200.255.10.0 - 200.255.10.255 AND 200.255.40.50)
。 -
実質的に
200.255.0.0 - 200.255.9.255, 200.255.11.0 - 200.255.40.49, 200.255.40.51 - 200.255.255.255
が許可されます。 -
192.123.211.211
は、許可された範囲内にないため、事実上無視されます。
例 4: 許可された IP リストまたはブロックされた IP リストに IP アドレスが定義されていない
-
AllowedIps: [ ]
-
BlockedIps: [ ]
この場合、制限はありません。
重要
このallowedIps
リストは、空でない場合にのみコンタクトセンターでIPs許可される範囲を定義します。空の場合、blockedIps
リストによって明示的にブロックされていない限り、どの IP アドレスでもコンタクトセンターにアクセスできます。
セッション期間を設定する
組織の好みとセキュリティ要件に応じて、定期的なセッション期間を微調整できます。例えば、定期的なセッション時間を 20 分に設定して、エージェントの IP アドレスとセッション時間を の 20 分以内にチェックできますCCP。
Amazon Connect はトークンベースの認証モデルを使用します。コンタクトセンターのユーザーセッションに適用されるセッションタイムアウトは 2 つあります。
-
定期的なセッション期間 : コンタクトセンターユーザーが認証されるまでの最大期間。デフォルト = 60 分。このオプションは、10~60 の異なる値に設定できます。
注記
この設定では、ユーザーが認証されるまでに が通過できる最大間隔を定義しますが、特定の状況では認証が早くなる場合があります。例えば、 Amazon Connect 管理者ウェブサイトでは、ユーザーの作成やセキュリティプロファイルの変更など、特定のアクションが実行されるたびに認証も行われます。
-
最大セッション期間 : コンタクトセンターユーザーがログインできる最大期間。その後、再度サインインを強制されます。デフォルト = 12 時間。別の値に設定することはできません。