サービスにリンクされたロール (SLR) とは何ですか。また、それらが重要なのはなぜですか。Amazon Connect でのサービスにリンクされたロールのアクセス許可 Amazon Connect のサービスにリンクされたロールを作成する 2018 年 10 月より前に作成されたインスタンスの場合 Amazon Connect のサービスにリンクされたロールを編集するサービスにリンクされたロールに Amazon Lex へのアクセス許可が付与されていることの確認 Amazon Connect のサービスにリンクされたロールの削除 Amazon Connect のサービスにリンクされたロールがサポートされているリージョン

Amazon Connect のサービスにリンクされたロールとロールアクセス許可を使用する

サービスにリンクされたロール (SLR) とは何ですか。また、それらが重要なのはなぜですか。

Amazon Connect は AWS Identity and Access Management 、 (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、Amazon Connect インスタンスに直接リンクされる一意のタイプのIAMロールです。

サービスにリンクされたロールは Amazon Connect によって事前定義されており、Amazon Connect がユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを有効にして、タグ付けのサポート、ユーザー管理とルーティングプロファイルの新しいユーザーインターフェイス、サポート付きキューなど、Amazon Connect の新機能を使用できるようにする必要があります。 CloudTrail

サービスにリンクされたロールをサポートする他のサービスの詳細については、AWS 「と連携するIAMサービス」を参照してください。また、「サービスにリンクされたロール」列で「はい」があるサービスを探します。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

Amazon Connect でのサービスにリンクされたロールのアクセス許可

Amazon Connect は、プレフィックス AWSServiceRoleForAmazonConnect_ でサービスにリンクされたロールを使用します。unique-id – お客様に代わって AWS リソースにアクセスするアクセス許可を Amazon Connect に付与します。

AWSServiceRoleForAmazonConnect プレフィックス付きサービスリンクロールは、次のサービスを信頼してロールを引き受けます。

connect.amazonaws.com

AmazonConnectServiceLinkedRolePolicy ロールアクセス許可ポリシーにより、Amazon Connect は指定されたリソースに対して次のアクションを実行できます。

アクション:すべての Amazon Connect リソースに対するすべての Amazon Connect アクション connect:*。
アクション: IAM iam:DeleteRole サービスにリンクされたロールの削除を許可します。
アクション: 録音した会話のために指定された S3 バケット向けの Amazon S3 s3:GetObject、s3:DeleteObject、s3:GetBucketLocation、GetBucketAcl。

s3:PutObject、s3:PutObjectAcl、s3:GetObjectAcl は、エクスポートされたレポートで指定されたバケットにも付与されます。
アクション: Amazon CloudWatch Logs logs:CreateLogStream、logs:DescribeLogStreams、および logs:PutLogEvents を、フローログ記録に指定された CloudWatch ロググループに保存します。
アクション:すべてのリージョンにわたってアカウントで作成したすべてのボットに対する Amazon Lex の lex:ListBots、lex:ListBotAliases。
アクション: Amazon Connect Customer Profiles
- profile:SearchProfiles
- profile:CreateProfile
- profile:UpdateProfile
- profile:AddProfileKey
- profile:ListProfileObjects
- profile:ListAccountIntegrations
- profile:ListProfileObjectTypeTemplates
- profile:GetProfileObjectTypeTemplate
- profile:ListProfileObjectTypes
- profile:GetProfileObjectType
- profile:ListCalculatedAttributeDefinitions
- profile:GetCalculatedAttributeForProfile
- profile:ListCalculatedAttributesForProfile
- profile:GetDomain
- profile:ListIntegrations
- profile:CreateCalculatedAttributeDefinition
- profile:DeleteCalculatedAttributeDefinition
- profile:GetCalculatedAttributeDefinition
- profile:UpdateCalculatedAttributeDefinition
- profile:PutProfileObject
により、Amazon Connect のフローおよびエージェントエクスペリエンスアプリケーションで、デフォルトの Customer Profiles ドメイン (ドメインのプロファイルおよびすべてのオブジェクトタイプを含む) を使用します。

注記
各 Amazon Connect インスタンスは、一度に 1 つのドメインにのみ関連付けることができます。ただし、任意のドメインを Amazon Connect インスタンスにリンクできます。同じAWSアカウントとリージョン内のクロスドメインアクセスは、プレフィックスで始まるすべてのドメインで自動的に有効になりますamazon-connect-。クロスドメインアクセスを制限するには、個別の Amazon Connect インスタンスを使用してデータを論理的にパーティション化するか、amazon-connect-プレフィックスで始まらない同じインスタンス内で Customer Profiles ドメイン名を使用して、クロスドメインアクセスを防ぐことができます。
Action: Amazon Connect Amazon Q in Connect
- wisdom:CreateContent
- wisdom:DeleteContent
- wisdom:CreateKnowledgeBase
- wisdom:GetAssistant
- wisdom:GetKnowledgeBase
- wisdom:GetContent
- wisdom:GetRecommendations
- wisdom:GetSession
- wisdom:NotifyRecommendationsReceived
- wisdom:QueryAssistant
- wisdom:StartContentUpload
- wisdom:UntagResource
- wisdom:TagResource
- wisdom:CreateSession
- wisdom:CreateQuickResponse
- wisdom:GetQuickResponse
- wisdom:SearchQuickResponses
- wisdom:StartImportJob
- wisdom:GetImportJob
- wisdom:ListImportJobs
- wisdom:ListQuickResponses
- wisdom:UpdateQuickResponse
- wisdom:DeleteQuickResponse
- wisdom:PutFeedback
- wisdom:ListContentAssociations
Amazon Connect インスタンスに関連付けられた Amazon Connect Amazon Q in Connect リソースすべてで、リソースタグ 'AmazonConnectEnabled':'True' を使用します。
- wisdom:ListAssistants
- wisdom:KnowledgeBases
上記はすべての Amazon Connect Amazon Q in Connect リソースで使用します。
アクション: インスタンスの Amazon Connect cloudwatch:PutMetricData 使用状況 CloudWatch メトリクスをアカウントに発行する Amazon メトリクス。 Amazon Connect
アクション: Amazon Pinpoint sms:DescribePhoneNumbersと sms:SendTextMessage を使用してAmazon Connect がを送信できるようにしますSMS。
アクション: Amazon Cognito ユーザープール cognito-idp:DescribeUserPool および cognito-idp:ListUserPoolClients を使用して、Amazon ConnectAmazonConnectEnabledタグを持つ Amazon Cognito ユーザープールリソースの読み取りオペレーションを選択できるようにします。
アクション: 'AmazonConnectEnabled':'True'リソースタグを持つすべての Amazon Chime SDK Voice Connector リソースでの Amazon Connect の読み取りアクセスchime:GetVoiceConnectorを許可する Amazon Chime SDK Voice Connector。
アクション: すべてのリージョンでアカウントで作成されたすべての Amazon Chime SDK Voice Connectors chime:ListVoiceConnectors用の Amazon Chime SDK Voice Connector。

Amazon Connect で追加機能を有効にすると、インラインポリシーを使用してこのような追加機能に関連付けられたリソースにアクセスするためのサービスにリンクされたロールに次のアクセス許可が追加されます。

アクション: エージェントのイベントストリームとコンタクトレコードに定義した配信ストリームに対する Amazon Data Firehose の firehose:DescribeDeliveryStream、firehose:PutRecord、firehose:PutRecordBatch。
アクション: エージェントのイベントストリームと問い合わせレコードに指定したストリームに対する Amazon Kinesis Data Streams の kinesis:PutRecord、kinesis:PutRecords、kinesis:DescribeStream。
アクション: インスタンスに追加したボットに対する Amazon Lex の lex:PostContent。
アクション: インスタンスに関連付けた Voice ID ドメインに対する Amazon Connect Voice-ID の voiceid:*。
アクション： EventBridge events:PutRule 関連付けられた Voice ID ドメインevents:PutTargetsのCTRレコードを発行するための Amazon Connect マネージド EventBridge ルールのおよび。
アクション: アウトバウンドキャンペーン
- connect-campaigns:CreateCampaign
- connect-campaigns:DeleteCampaign
- connect-campaigns:DescribeCampaign
- connect-campaigns:UpdateCampaignName
- connect-campaigns:GetCampaignState
- connect-campaigns:GetCampaignStateBatch
- connect-campaigns:ListCampaigns
- connect-campaigns:UpdateOutboundCallConfig
- connect-campaigns:UpdateDialerConfig
- connect-campaigns:PauseCampaign
- connect-campaigns:ResumeCampaign
- connect-campaigns:StopCampaign
アウトバウンドキャンペーンに関連するすべてのオペレーションが対象。

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、または削除できるようにするアクセス許可を設定する必要があります。詳細については、「ユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。 IAM

Amazon Connect のサービスにリンクされたロールを作成する

サービスリンクロールを手動で作成する必要はありません。で Amazon Connect に新しいインスタンスを作成すると AWS Management Console、Amazon Connect はサービスにリンクされたロールを作成します。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。Amazon Connect で新しいインスタンスを作成する際に、Amazon Connect によってサービスにリンクされたロールが自動的に再作成されます。

IAM コンソールを使用して、Amazon Connect - フルアクセスのユースケースでサービスにリンクされたロールを作成することもできます。IAM CLI または IAM でAPI、サービス名を使用してconnect.amazonaws.comサービスにリンクされたロールを作成します。詳細については、「ユーザーガイド」の「サービスにリンクされたロールの作成」を参照してください。 IAM このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

2018 年 10 月より前に作成されたインスタンスの場合

ヒント

AWS アカウントを管理するためにサインインする際に問題がありますか？ AWS 誰がアカウントを管理しているのかわからない場合詳細については、「アカウントのサインインに関する問題のトラブルシューティング AWS」を参照してください。

2018 年 10 月より前に作成された Amazon Connect インスタンスを使用している場合、サービスにリンクされたロールはセットアップされていません。サービスにリンクされたロールを作成するには、次の画像に示すように、[アカウントの概要] ページで、[サービスにリンクされたロールの作成] を選択します。

サービスにリンクされたロールの作成に必要なIAMアクセス許可のリストについては、概要ページカスタムIAMポリシーを使用して Amazon Connect 管理者ウェブサイトへのアクセスを管理するために必要なアクセス許可トピックの「」を参照してください。

Amazon Connect のサービスにリンクされたロールを編集する

Amazon Connect では、 AWSServiceRoleForAmazonConnect プレフィックス付きサービスリンクロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、を使用してロールの説明を編集できますIAM。詳細については、IAM「ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

サービスにリンクされたロールに Amazon Lex へのアクセス許可が付与されていることの確認

IAM コンソールのナビゲーションペインで、ロール を選択します。
変更するロールの名前を選択します。

Amazon Connect のサービスにリンクされたロールの削除

AWSServiceRoleForAmazonConnect プレフィックス付きロールを手動で削除する必要はありません。で Amazon Connect インスタンスを削除すると AWS Management Console、Amazon Connect はリソースをクリーンアップし、サービスにリンクされたロールを削除します。

Amazon Connect のサービスにリンクされたロールがサポートされているリージョン

Amazon Connect は、このサービスが提供されているすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、「AWS リージョンとエンドポイント」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

トラブルシューティング

アウトバウンドキャンペーン用のサービスにリンクされたロールを使用する