Amazon Connect のサービスにリンクされたロールとロールのアクセス許可
サービスにリンクされたロール (SLR) とは何ですか。また、SLR が重要なのはなぜですか。
Amazon Connect では、AWS Identity and Access Management IAM のサービスにリンクされたロールを使用できます。サービスにリンクされたロールは、Amazon Connect インスタンスに直接リンクされた固有のタイプの IAM ロールです。
サービスにリンクされたロールは Amazon Connect によって事前定義済みであり、Amazon Connect がユーザーに代わって他の AWS サービスを呼び出すために必要なすべての許可が含まれています。
Amazon Connect の新機能 (タグ付けのサポート、ユーザー管理およびルーティングプロファイルの新しいユーザーインターフェイス) を使用するには、サービスにリンクされたロールを有効にする必要があります。
サービスにリンクされたロールをサポートする他サービスの情報については、「IAM と連動する AWS」をご参照のうえ、サービスにリンクされたロールの欄内の「はい」と表記されたサービスをご確認ください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには [Yes] (はい) リンクを選択します。
Amazon Connect でのサービスにリンクされたロールのアクセス許可
Amazon Connect では、AWSServiceRoleForAmazonConnect_unique-id
をプレフィックスとする、サービスにリンクされたロールを使用します。このロールは、ユーザーに代わって AWS リソースにアクセスする許可を Amazon Connect に付与します。
AWSServiceRoleForAmazonConnect をプレフィックスとする、サービスにリンクされたロールは、以下のサービスを信頼してロールを引き受けます。
-
connect.amazonaws.com
AmazonConnectServiceLinkedRolePolicy ロールアクセス許可ポリシーは、Amazon Connect に、指定されたリソースに対して次のアクションを実行することを許可します。
-
アクション:すべての Amazon Connect リソースに対するすべての Amazon Connect アクション
connect:*
。 -
アクション: IAM
iam:DeleteRole
は、サービスにリンクされたロールの削除を許可します。 -
アクション: 録音した会話のために指定された S3 バケット向けの Amazon S3
s3:GetObject
、s3:DeleteObject
、s3:GetBucketLocation
、GetBucketAcl
。s3:PutObject
、s3:PutObjectAcl
、s3:GetObjectAcl
は、エクスポートされたレポートで指定されたバケットにも付与されます。 -
アクション: フローのログ記録用に指定した CloudWatch Logs グループに対する Amazon CloudWatch Logs の
logs:CreateLogStream
、logs:DescribeLogStreams
、logs:PutLogEvents
。 -
アクション:すべてのリージョンにわたってアカウントで作成したすべてのボットに対する Amazon Lex の
lex:ListBots
、lex:ListBotAliases
。 -
アクション: Amazon Connect Customer Profiles
-
profile:SearchProfiles
-
profile:CreateProfile
-
profile:UpdateProfile
-
profile:AddProfileKey
-
profile:ListProfileObjects
-
profile:ListAccountIntegrations
-
profile:ListProfileObjectTypeTemplates
-
profile:GetProfileObjectTypeTemplate
-
profile:ListProfileObjectTypes
-
profile:GetProfileObjectType
-
profile:ListCalculatedAttributeDefinitions
-
profile:GetCalculatedAttributeForProfile
-
profile:ListCalculatedAttributesForProfile
-
profile:GetDomain
-
profile:ListIntegrations
-
profile:CreateCalculatedAttributeDefinition
-
profile:DeleteCalculatedAttributeDefinition
-
profile:GetCalculatedAttributeDefinition
-
profile:UpdateCalculatedAttributeDefinition
-
profile:PutProfileObject
により、Amazon Connect のフローおよびエージェントエクスペリエンスアプリケーションで、デフォルトの Customer Profiles ドメイン (ドメインのプロファイルおよびすべてのオブジェクトタイプを含む) を使用します。
注記
各 Amazon Connect インスタンスは、一度に 1 つのドメインにのみ関連付けることができます。ただし、どんなドメインでも Amazon Connect インスタンスにリンクすることができます。同じ AWS アカウントとリージョン内のクロスドメインアクセスは、
amazon-connect-
のプレフィックスで始まるすべてのドメインで自動的に有効になります。クロスドメインアクセスを制限するには、別々の Amazon Connect インスタンスを使用してデータを論理的に分割するか、同じインスタンス内でもamazon-connect-
のプレフィックスで始まらない Customer Profile ドメイン名を使用して、クロスドメインアクセスを防ぐことができます。 -
-
Action: Amazon Connect Amazon Q in Connect
-
wisdom:CreateContent
-
wisdom:DeleteContent
-
wisdom:CreateKnowledgeBase
-
wisdom:GetAssistant
-
wisdom:GetKnowledgeBase
-
wisdom:GetContent
-
wisdom:GetRecommendations
-
wisdom:GetSession
-
wisdom:NotifyRecommendationsReceived
-
wisdom:QueryAssistant
-
wisdom:StartContentUpload
-
wisdom:UntagResource
-
wisdom:TagResource
-
wisdom:CreateSession
-
wisdom:CreateQuickResponse
-
wisdom:GetQuickResponse
-
wisdom:SearchQuickResponses
-
wisdom:StartImportJob
-
wisdom:GetImportJob
-
wisdom:ListImportJobs
-
wisdom:ListQuickResponses
-
wisdom:UpdateQuickResponse
-
wisdom:DeleteQuickResponse
-
wisdom:PutFeedback
-
wisdom:ListContentAssociations
Amazon Connect インスタンスに関連付けられた Amazon Connect Amazon Q in Connect リソースすべてで、リソースタグ
'AmazonConnectEnabled':'True'
を使用します。-
wisdom:ListAssistants
-
wisdom:KnowledgeBases
上記はすべての Amazon Connect Amazon Q in Connect リソースで使用します。
-
-
アクション: インスタンスの Amazon Connect 使用状況メトリクスをアカウントに公開するための Amazon CloudWatch メトリクス
cloudwatch:PutMetricData
。 -
アクション: Amazon Pinpoint
sms:DescribePhoneNumbers
とsms:SendTextMessage
は、Amazon Connect に SMS の送信を許可します。 -
アクション: Amazon Connect のアクセスが
AmazonConnectEnabled
リソースタグを持つ Amazon Cognito ユーザープールのリソースに対する読み取り操作を選択できるようにする Amazon Cognito ユーザープールcognito-idp:DescribeUserPool
とcognito-idp:ListUserPoolClients
。 -
アクション:
'AmazonConnectEnabled':'True'
リソースタグを持つすべての Amazon Chime SDK Voice Connector のリソース上で、Amazon Connect の読み取りアクセスを許可する Amazon Chime SDK Voice Connectorchime:GetVoiceConnector
。 -
アクション: 全リージョンをまたぐアカウントで作成されたすべての Amazon Chime SDK Voice Connector のための Amazon Chime SDK Voice Connector
chime:ListVoiceConnectors
。
Amazon Connect で追加機能を有効にすると、インラインポリシーを使用してこのような追加機能に関連付けられたリソースにアクセスするためのサービスにリンクされたロールに次のアクセス許可が追加されます。
-
アクション: エージェントのイベントストリームとコンタクトレコードに定義した配信ストリームに対する Amazon Data Firehose の
firehose:DescribeDeliveryStream
、firehose:PutRecord
、firehose:PutRecordBatch
。 -
アクション: エージェントのイベントストリームと問い合わせレコードに指定したストリームに対する Amazon Kinesis Data Streams の
kinesis:PutRecord
、kinesis:PutRecords
、kinesis:DescribeStream
。 -
アクション: インスタンスに追加したボットに対する Amazon Lex の
lex:PostContent
。 -
アクション: インスタンスに関連付けた Voice ID ドメインに対する Amazon Connect Voice-ID の
voiceid:*
。 -
アクション: 関連付けた Voice ID ドメインに CTR レコードを公開するための Amazon Connect マネージドの EventBridge ルールに対する EventBridge の
events:PutRule
とevents:PutTargets
。 -
アクション: アウトバウンドキャンペーン
-
connect-campaigns:CreateCampaign
-
connect-campaigns:DeleteCampaign
-
connect-campaigns:DescribeCampaign
-
connect-campaigns:UpdateCampaignName
-
connect-campaigns:GetCampaignState
-
connect-campaigns:GetCampaignStateBatch
-
connect-campaigns:ListCampaigns
-
connect-campaigns:UpdateOutboundCallConfig
-
connect-campaigns:UpdateDialerConfig
-
connect-campaigns:PauseCampaign
-
connect-campaigns:ResumeCampaign
-
connect-campaigns:StopCampaign
アウトバウンドキャンペーンに関連するすべてのオペレーションが対象。
-
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクロールのアクセス許可」を参照してください。
Amazon Connect のサービスにリンクされたロールを作成する
サービスリンクロールを手動で作成する必要はありません。サービスにリンクされたロールは、AWS Management Console により、Amazon Connect の新しいインスタンスを作成する際に、Amazon Connect によって自動的に作成されます。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。Amazon Connect で新しいインスタンスを作成する際に、Amazon Connect によってサービスにリンクされたロールが自動的に再作成されます。
また、IAM コンソールを使用して、Amazon Connect - Full access ユースケースにより、サービスにリンクされたロールを作成することもできます。IAM CLI または IAM API で、connect.amazonaws.com
サービス名でサービスリンクロールを作成します。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。
2018 年 10 月より前に作成されたインスタンスの場合
ヒント
AWS アカウント管理のためのサインインに問題がある場合 AWS アカウントの管理者がわからない場合 ヘルプについては、AWS アカウントのサインインの問題のトラブルシューティングを参照してください。
2018 年 10 月より前に作成された Amazon Connect インスタンスを使用している場合、サービスにリンクされたロールはセットアップされていません。サービスにリンクされたロールを作成するには、次の画像に示すように、[アカウントの概要] ページで、[サービスにリンクされたロールの作成] を選択します。
サービスにリンクされたロールの作成に必要な IAM アクセス許可の一覧については、「カスタム IAM ポリシーを使用して Amazon Connect 管理ウェブサイトへのアクセスを管理するために必要なアクセス許可」のトピックにある 「概要ページ」を参照してください。
Amazon Connect のサービスにリンクされたロールを編集する
Amazon Connect では、AWSServiceRoleForAmazonConnect をプレフィックスとする、サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。
サービスにリンクされたロールに Amazon Lex へのアクセス許可が付与されていることの確認
-
IAM コンソールのナビゲーションペインで、[Roles] (ロール) をクリックします。
-
変更するロールの名前を選択します。
Amazon Connect のサービスにリンクされたロールの削除
AWSServiceRoleForAmazonConnect をプレフィックスとするロールを手動で削除する必要はありません。AWS Management Console により、Amazon Connect インスタンスを削除すると、リソースが Amazon Connect によってクリーンアップされ、サービスにリンクされたロールも自動的に削除されます。
Amazon Connect のサービスにリンクされたロールがサポートされているリージョン
Amazon Connect は、このサービスが提供されているすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、「AWS リージョンとエンドポイント」を参照してください。