Amazon Connect でサービスにリンクされたロールを使用する - Amazon Connect
サービスにリンクされたロール (SLR) とは何ですか。また、SLR が重要なのはなぜですか。Amazon Connect でのサービスにリンクされたロールのアクセス許可Amazon Connect のサービスにリンクされたロールを作成する2018 年 10 月より前に作成されたインスタンスの場合Amazon Connect のサービスにリンクされたロールを編集するサービスにリンクされたロールに Amazon Lex へのアクセス許可が付与されていることの確認Amazon Connect のサービスにリンクされたロールの削除Amazon Connect のサービスにリンクされたロールがサポートされているリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Connect でサービスにリンクされたロールを使用する

サービスにリンクされたロール (SLR) とは何ですか。また、SLR が重要なのはなぜですか。

Amazon Connect は AWS Identity and Access Management 、 (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、Amazon Connect インスタンスに直接リンクされた固有のタイプの IAM ロールです。

サービスにリンクされたロールは、Amazon Connect によって事前定義されており、Amazon Connect がユーザーに代わって他の AWS のサービスを呼び出すために必要なすべてのアクセス許可が含まれています。

タグ付けサポート、ユーザー管理プロファイルとルーティングプロファイルの新しいユーザーインターフェイス、 CloudTrail サポート付きのキューなど、Amazon Connect の新機能を使用できるようにするには、サービスにリンクされたロールを有効にする必要があります。

サービスにリンクされたロールをサポートする他サービスの情報については、「IAM と連動するAWS」をご参照のうえ、サービスにリンクされたロールの欄内の「はい」と表記されたサービスをご確認ください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには [Yes] (はい) リンクを選択します。

Amazon Connect でのサービスにリンクされたロールのアクセス許可

Amazon Connect は、プレフィックス AWSServiceRoleForAmazonConnect_unique-id が付いたサービスにリンクされたロールを使用します。これにより、ユーザーに代わって AWS リソースにアクセスするためのアクセス許可が Amazon Connect に付与されます。

AWSServiceRoleForAmazonConnect プレフィックス付きのサービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

  • connect.amazonaws.com

AmazonConnectServiceLinkedRolePolicy ロールのアクセス許可ポリシーは、指定されたリソースに対して以下のアクションを実行することを Amazon Connect に許可します。

  • アクション:すべての Amazon Connect リソースに対するすべての Amazon Connect アクション connect:*

  • アクション: IAM iam:DeleteRole は、サービスにリンクされたロールの削除を許可します。

  • アクション: 録音した会話のために指定された S3 バケット向けの Amazon S3 s3:GetObjects3:DeleteObjects3:GetBucketLocationGetBucketAcl

    s3:PutObjects3:PutObjectAcls3:GetObjectAcl は、エクスポートされたレポートで指定されたバケットにも付与されます。

  • アクション: Amazon CloudWatch Logs の logs:CreateLogStreamlogs:DescribeLogStreams、および logs:PutLogEventsを、フローログ記録用に指定された CloudWatch Logs グループに記録します。

  • アクション:すべてのリージョンにわたってアカウントで作成したすべてのボットに対する Amazon Lex の lex:ListBotslex:ListBotAliases

  • アクション: Amazon Connect Customer Profiles

    • profile:SearchProfiles

    • profile:CreateProfile

    • profile:UpdateProfile

    • profile:AddProfileKey

    • profile:ListProfileObjects

    • profile:ListAccountIntegrations

    • profile:ListProfileObjectTypeTemplates

    • profile:GetProfileObjectTypeTemplate

    • profile:ListProfileObjectTypes

    • profile:GetProfileObjectType

    • profile:ListCalculatedAttributeDefinitions

    • profile:GetCalculatedAttributeForProfile

    • profile:ListCalculatedAttributesForProfile

    • profile:GetDomain

    • profile:ListIntegrations

    • profile:CreateCalculatedAttributeDefinition

    • profile:DeleteCalculatedAttributeDefinition

    • profile:GetCalculatedAttributeDefinition

    • profile:UpdateCalculatedAttributeDefinition

    により、Amazon Connect のフローおよびエージェントエクスペリエンスアプリケーションで、デフォルトの Customer Profiles ドメイン (ドメインのプロファイルおよびすべてのオブジェクトタイプを含む) を使用します。

  • Action: Amazon Connect Amazon Q in Connect

    • wisdom:CreateContent

    • wisdom:DeleteContent

    • wisdom:CreateKnowledgeBase

    • wisdom:GetAssistant

    • wisdom:GetKnowledgeBase

    • wisdom:GetContent

    • wisdom:GetRecommendations

    • wisdom:GetSession

    • wisdom:NotifyRecommendationsReceived

    • wisdom:QueryAssistant

    • wisdom:StartContentUpload

    • wisdom:UntagResource

    • wisdom:TagResource

    • wisdom:CreateSession

    • wisdom:CreateQuickResponse

    • wisdom:GetQuickResponse

    • wisdom:SearchQuickResponses

    • wisdom:StartImportJob

    • wisdom:GetImportJob

    • wisdom:ListImportJobs

    • wisdom:ListQuickResponses

    • wisdom:UpdateQuickResponse

    • wisdom:DeleteQuickResponse

    • wisdom:PutFeedback

    Amazon Connect インスタンスに関連付けられた Amazon Connect Amazon Q in Connect リソースすべてで、リソースタグ 'AmazonConnectEnabled':'True' を使用します。

    • wisdom:ListAssistants

    • wisdom:KnowledgeBases

    上記はすべての Amazon Connect Amazon Q in Connect リソースで使用します。

  • アクション: インスタンスの Amazon Connect cloudwatch:PutMetricData 使用状況 CloudWatch メトリクスをアカウントに発行するための Amazon メトリクス。 Amazon Connect

  • アクション: Amazon Pinpoint sms:DescribePhoneNumberssms:SendTextMessage は、Amazon Connect に SMS の送信を許可します。

Amazon Connect で追加機能を有効にすると、インラインポリシーを使用してこのような追加機能に関連付けられたリソースにアクセスするためのサービスにリンクされたロールに次のアクセス許可が追加されます。

  • アクション: Amazon Data Firehose firehose:DescribeDeliveryStreamfirehose:PutRecord、およびエージェントイベントストリームと問い合わせレコードに定義された配信ストリームfirehose:PutRecordBatch用 。

  • アクション: エージェントのイベントストリームと問い合わせレコードに指定したストリームに対する Amazon Kinesis Data Streams の kinesis:PutRecordkinesis:PutRecordskinesis:DescribeStream

  • アクション: インスタンスに追加したボットに対する Amazon Lex の lex:PostContent

  • アクション: インスタンスに関連付けた Voice ID ドメインに対する Amazon Connect Voice-ID の voiceid:*

  • アクション: EventBridge events:PutRule 関連付けられた Voice ID ドメインevents:PutTargetsの CTR レコードを発行するための Amazon Connect マネージド EventBridge ルールの と 。

  • アクション: アウトバウンドキャンペーン

    • connect-campaigns:CreateCampaign

    • connect-campaigns:DeleteCampaign

    • connect-campaigns:DescribeCampaign

    • connect-campaigns:UpdateCampaignName

    • connect-campaigns:GetCampaignState

    • connect-campaigns:GetCampaignStateBatch

    • connect-campaigns:ListCampaigns

    • connect-campaigns:UpdateOutboundCallConfig

    • connect-campaigns:UpdateDialerConfig

    • connect-campaigns:PauseCampaign

    • connect-campaigns:ResumeCampaign

    • connect-campaigns:StopCampaign

    アウトバウンドキャンペーンに関連するすべてのオペレーションが対象。

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクロールのアクセス許可」を参照してください。

Amazon Connect のサービスにリンクされたロールを作成する

サービスリンクロールを手動で作成する必要はありません。で Amazon Connect に新しいインスタンスを作成すると AWS Management Console、Amazon Connect によってサービスにリンクされたロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。Amazon Connect で新しいインスタンスを作成する際に、Amazon Connect によってサービスにリンクされたロールが自動的に再作成されます。

また、IAM コンソールを使用して、Amazon Connect - Full access ユースケースにより、サービスにリンクされたロールを作成することもできます。IAM CLI または IAM API で、connect.amazonaws.com サービス名でサービスリンクロールを作成します。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの作成」を参照してください。このサービスにリンクされたロールを削除しても、この同じプロセスを使用して、もう一度ロールを作成できます。

2018 年 10 月より前に作成されたインスタンスの場合

2018 年 10 月より前に作成された Amazon Connect インスタンスを使用している場合、サービスにリンクされたロールはセットアップされていません。サービスにリンクされたロールを作成するには、次の画像に示すように、[アカウントの概要] ページで、[サービスにリンクされたロールの作成] を選択します。

[アカウントの概要] ページ、[サービスにリンクされたロールの作成] ボタン。

サービスにリンクされたロールの作成に必要な IAM アクセス許可の一覧については、「カスタム IAM ポリシーを使用して Amazon Connect 管理ウェブサイトへのアクセスを管理するために必要なアクセス許可」のトピックにある 「概要ページ」を参照してください。

Amazon Connect のサービスにリンクされたロールを編集する

Amazon Connect では、 AWSServiceRoleForAmazonConnect プレフィックス付きのサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

サービスにリンクされたロールに Amazon Lex へのアクセス許可が付与されていることの確認

  1. IAM コンソールのナビゲーションペインで、[Roles] (ロール) をクリックします。

  2. 変更するロールの名前を選択します。

Amazon Connect のサービスにリンクされたロールの削除

AWSServiceRoleForAmazonConnect プレフィックス付きのロールを手動で削除する必要はありません。で Amazon Connect インスタンスを削除すると AWS Management Console、Amazon Connect によってリソースがクリーンアップされ、サービスにリンクされたロールが削除されます。

Amazon Connect のサービスにリンクされたロールがサポートされているリージョン

Amazon Connect は、このサービスが提供されているすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、「AWS リージョンとエンドポイント」を参照してください。