Amazon Connect のサービスにリンクされたロールとロールのアクセス許可 - Amazon Connect

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Connect のサービスにリンクされたロールとロールのアクセス許可

サービスにリンクされたロール (SLR) とは何ですか。また、SLR が重要なのはなぜですか。

Amazon Connect は AWS Identity and Access Management 、(IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、Amazon Connect インスタンスに直接リンクされた固有のタイプの IAM ロールです。

サービスにリンクされたロールは Amazon Connect によって事前定義されており、Amazon Connect がユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

Amazon Connect の新機能 (タグ付けのサポート、ユーザー管理およびルーティングプロファイルの新しいユーザーインターフェイス) を使用するには、サービスにリンクされたロールを有効にする必要があります。

サービスにリンクされたロールをサポートするその他のサービスについては、「IAM と連携するAWS のサービス」を参照し、[Service-Linked Role] (サービスにリンクされたロール) 列が [Yes] (はい) になっているサービスを検索してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには [Yes] (はい) リンクを選択します。

Amazon Connect でのサービスにリンクされたロールのアクセス許可

Amazon Connect は、AWSServiceRoleForAmazonConnect_unique-id というプレフィックスが付いたサービスにリンクされたロールを使用します。これにより、ユーザーに代わって AWS リソースにアクセスするアクセス許可が Amazon Connect に付与されます。

AWSServiceRoleForAmazonConnect をプレフィックスとする、サービスにリンクされたロールは、以下のサービスを信頼してロールを引き受けます。

  • connect.amazonaws.com

AmazonConnectServiceLinkedRolePolicy ロールアクセス許可ポリシーは、Amazon Connect に、指定されたリソースに対して次のアクションを実行することを許可します。

  • アクション:すべての Amazon Connect リソースに対するすべての Amazon Connect アクション connect:*

  • アクション: IAM iam:DeleteRole は、サービスにリンクされたロールの削除を許可します。

  • アクション: 録音した会話のために指定された S3 バケット向けの Amazon S3 s3:GetObjects3:DeleteObjects3:GetBucketLocationGetBucketAcl

    s3:PutObjects3:PutObjectAcls3:GetObjectAcl は、エクスポートされたレポートで指定されたバケットにも付与されます。

  • アクション: フローのログ記録用に指定した CloudWatch Logs グループに対する Amazon CloudWatch Logs の logs:CreateLogStreamlogs:DescribeLogStreamslogs:PutLogEvents

  • アクション:すべてのリージョンにわたってアカウントで作成したすべてのボットに対する Amazon Lex の lex:ListBotslex:ListBotAliases

  • アクション: Amazon Connect Customer Profiles

    • profile:SearchProfiles

    • profile:CreateProfile

    • profile:UpdateProfile

    • profile:AddProfileKey

    • profile:ListProfileObjects

    • profile:ListAccountIntegrations

    • profile:ListProfileObjectTypeTemplates

    • profile:GetProfileObjectTypeTemplate

    • profile:ListProfileObjectTypes

    • profile:GetProfileObjectType

    • profile:ListCalculatedAttributeDefinitions

    • profile:GetCalculatedAttributeForProfile

    • profile:ListCalculatedAttributesForProfile

    • profile:GetDomain

    • profile:ListIntegrations

    • profile:GetIntegration

    • profile:PutIntegration

    • profile:DeleteIntegration

    • profile:CreateEventTrigger

    • profile:GetEventTrigger

    • profile:ListEventTriggers

    • profile:UpdateEventTrigger

    • profile:DeleteEventTrigger

    • profile:CreateCalculatedAttributeDefinition

    • profile:DeleteCalculatedAttributeDefinition

    • profile:GetCalculatedAttributeDefinition

    • profile:UpdateCalculatedAttributeDefinition

    • profile:PutProfileObject

    • profile:ListObjectTypeAttributes

    • profile:ListProfileAttributeValues

    • profile:BatchGetProfile

    • profile:BatchGetCalculatedAttributeForProfile

    • profile:ListSegmentDefinitions

    • profile:CreateSegmentDefinition

    • profile:GetSegmentDefinition

    • profile:DeleteSegmentDefinition

    • profile:CreateSegmentEstimate

    • profile:GetSegmentEstimate

    • profile:CreateSegmentSnapshot

    • profile:GetSegmentSnapshot

    • profile:GetSegmentMembership

    により、Amazon Connect のフローおよびエージェントエクスペリエンスアプリケーションで、デフォルトの Customer Profiles ドメイン (ドメインのプロファイルおよびすべてのオブジェクトタイプを含む) を使用します。

    注記

    各 Amazon Connect インスタンスは、一度に 1 つのドメインにのみ関連付けることができます。ただし、どんなドメインでも Amazon Connect インスタンスにリンクすることができます。同じ AWS アカウントとリージョン内のクロスドメインアクセスは、amazon-connect- のプレフィックスで始まるすべてのドメインで自動的に有効になります。クロスドメインアクセスを制限するには、別々の Amazon Connect インスタンスを使用してデータを論理的に分割するか、同じインスタンス内でも amazon-connect- のプレフィックスで始まらない Customer Profile ドメイン名を使用して、クロスドメインアクセスを防ぐことができます。

  • アクション: Amazon Q in Connect

    • wisdom:CreateContent

    • wisdom:DeleteContent

    • wisdom:CreateKnowledgeBase

    • wisdom:GetAssistant

    • wisdom:GetKnowledgeBase

    • wisdom:GetContent

    • wisdom:GetRecommendations

    • wisdom:GetSession

    • wisdom:NotifyRecommendationsReceived

    • wisdom:QueryAssistant

    • wisdom:StartContentUpload

    • wisdom:UntagResource

    • wisdom:TagResource

    • wisdom:CreateSession

    • wisdom:CreateQuickResponse

    • wisdom:GetQuickResponse

    • wisdom:SearchQuickResponses

    • wisdom:StartImportJob

    • wisdom:GetImportJob

    • wisdom:ListImportJobs

    • wisdom:ListQuickResponses

    • wisdom:UpdateQuickResponse

    • wisdom:DeleteQuickResponse

    • wisdom:PutFeedback

    • wisdom:ListContentAssociations

    • wisdom:CreateMessageTemplate

    • wisdom:UpdateMessageTemplate

    • wisdom:UpdateMessageTemplateMetadata

    • wisdom:GetMessageTemplate

    • wisdom:DeleteMessageTemplate

    • wisdom:ListMessageTemplates

    • wisdom:SearchMessageTemplates

    • wisdom:ActivateMessageTemplate

    • wisdom:DeactivateMessageTemplate

    • wisdom:CreateMessageTemplateVersion

    • wisdom:ListMessageTemplateVersions

    • wisdom:CreateMessageTemplateAttachment

    • wisdom:DeleteMessageTemplateAttachment

    • wisdom:RenderMessageTemplate

    • wisdom:CreateAIAgent

    • wisdom:CreateAIAgentVersion

    • wisdom:DeleteAIAgent

    • wisdom:DeleteAIAgentVersion

    • wisdom:UpdateAIAgent

    • wisdom:UpdateAssistantAIAgent

    • wisdom:RemoveAssistantAIAgent

    • wisdom:GetAIAgent

    • wisdom:ListAIAgents

    • wisdom:ListAIAgentVersions

    • wisdom:CreateAIPrompt

    • wisdom:CreateAIPromptVersion

    • wisdom:DeleteAIPrompt

    • wisdom:DeleteAIPromptVersion

    • wisdom:UpdateAIPrompt

    • wisdom:GetAIPrompt

    • wisdom:ListAIPrompts

    • wisdom:ListAIPromptVersions

    • wisdom:CreateAIGuardrail

    • wisdom:CreateAIGuardrailVersion

    • wisdom:DeleteAIGuardrail

    • wisdom:DeleteAIGuardrailVersion

    • wisdom:UpdateAIGuardrail

    • wisdom:GetAIGuardrail

    • wisdom:ListAIGuardrails

    • wisdom:ListAIGuardrailVersions

    • wisdom:CreateAssistant

    • wisdom:ListTagsForResource

    Amazon Connect インスタンスに関連付けられた Amazon Connect Amazon Q in Connect リソースすべてで、リソースタグ 'AmazonConnectEnabled':'True' を使用します。

    • wisdom:ListAssistants

    • wisdom:KnowledgeBases

    すべての Amazon Q in Connect リソースの 。

  • アクション: インスタンスの Amazon Connect 使用状況メトリクスをアカウントに公開するための Amazon CloudWatch メトリクス cloudwatch:PutMetricData

  • アクション: Amazon Pinpoint sms:DescribePhoneNumberssms:SendTextMessage は、Amazon Connect に SMS の送信を許可します。

  • アクション: Amazon Connect がプッシュ通知を送信できるようにする Amazon Pinpoint。 mobiletargeting:SendMessages Amazon Connect

  • アクション: Amazon Connect のアクセスが AmazonConnectEnabled リソースタグを持つ Amazon Cognito ユーザープールのリソースに対する読み取り操作を選択できるようにする Amazon Cognito ユーザープール cognito-idp:DescribeUserPoolcognito-idp:ListUserPoolClients

  • アクション: 'AmazonConnectEnabled':'True' リソースタグを持つすべての Amazon Chime SDK Voice Connector のリソース上で、Amazon Connect の読み取りアクセスを許可する Amazon Chime SDK Voice Connector chime:GetVoiceConnector

  • アクション: 全リージョンをまたぐアカウントで作成されたすべての Amazon Chime SDK Voice Connector のための Amazon Chime SDK Voice Connector chime:ListVoiceConnectors

  • アクション: Amazon Connect Messaging WhatsApp 統合。Amazon Connect に、次の AWS End User Messaging Social APIs。

    • social-messaging:SendWhatsAppMessage

    • social-messaging:PostWhatsAppMessageMedia

    • social-messaging:GetWhatsAppMessageMedia

    • social-messaging:GetLinkedWhatsAppBusinessAccountPhoneNumber

    ソーシャル APIsは、Amazon Connect が有効になっている電話番号リソースに制限されます。電話番号は、Amazon Connect インスタンスにインポートAmazonConnectEnabled : trueされると でタグ付けされます。

  • アクション: Amazon Connect Messaging WhatsApp 統合。次の End User Messaging Social API に対する Amazon Connect アクセス許可を付与します。 APIs

    • social-messaging:SendWhatsAppMessage

    • social-messaging:PostWhatsAppMessageMedia

    • social-messaging:GetWhatsAppMessageMedia

    • social-messaging:GetLinkedWhatsAppBusinessAccountPhoneNumber

    ソーシャル APIsは、Amazon Connect が有効になっている電話番号リソースに制限されます。電話番号は、Amazon Connect インスタンスにインポートAmazonConnectEnabled : trueされると でタグ付けされます。

  • アクション: Amazon SES

    • ses:DescribeReceiptRule

    • ses:UpdateReceiptRule

    すべての Amazon SES 受信ルールの 。E メールの送受信に使用されます。

    • ses:DeleteEmailIdentity {instance-alias}.email.connect.aws SES ドメイン ID の 。Amazon Connect が提供する E メールドメイン管理に使用されます。

    • ses:SendRawEmail Amazon Connect が提供する SES 設定セット (configuration-set-for-connect-DO-NOT-DELETE) を使用して E メールを送信するための 。

    • iam:PassRole Amazon SES で使用される AmazonConnectEmailSESAccessRole Amazon SES サービスロール用の 。Amazon SES 受信ルール管理の場合、Amazon SES は引き受けるロールを渡す必要があります。

Amazon Connect で追加機能を有効にすると、インラインポリシーを使用してこのような追加機能に関連付けられたリソースにアクセスするためのサービスにリンクされたロールに次のアクセス許可が追加されます。

  • アクション: エージェントのイベントストリームとコンタクトレコードに定義した配信ストリームに対する Amazon Data Firehose の firehose:DescribeDeliveryStreamfirehose:PutRecordfirehose:PutRecordBatch

  • アクション: エージェントのイベントストリームと問い合わせレコードに指定したストリームに対する Amazon Kinesis Data Streams の kinesis:PutRecordkinesis:PutRecordskinesis:DescribeStream

  • アクション: インスタンスに追加したボットに対する Amazon Lex の lex:PostContent

  • アクション: インスタンスに関連付けた Voice ID ドメインに対する Amazon Connect Voice-ID の voiceid:*

  • アクション: 関連付けた Voice ID ドメインに CTR レコードを公開するための Amazon Connect マネージドの EventBridge ルールに対する EventBridge の events:PutRuleevents:PutTargets

  • アクション: アウトバウンドキャンペーン

    • connect-campaigns:CreateCampaign

    • connect-campaigns:DeleteCampaign

    • connect-campaigns:DescribeCampaign

    • connect-campaigns:UpdateCampaignName

    • connect-campaigns:GetCampaignState

    • connect-campaigns:GetCampaignStateBatch

    • connect-campaigns:ListCampaigns

    • connect-campaigns:UpdateOutboundCallConfig

    • connect-campaigns:UpdateDialerConfig

    • connect-campaigns:PauseCampaign

    • connect-campaigns:ResumeCampaign

    • connect-campaigns:StopCampaign

    アウトバウンドキャンペーンに関連するすべてのオペレーションが対象。

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクロールのアクセス許可」を参照してください。

Amazon Connect のサービスにリンクされたロールを作成する

サービスにリンクされたロールを手動で作成する必要はありません。で Amazon Connect に新しいインスタンスを作成すると AWS Management Console、Amazon Connect によってサービスにリンクされたロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。Amazon Connect で新しいインスタンスを作成する際に、Amazon Connect によってサービスにリンクされたロールが自動的に再作成されます。

また、IAM コンソールを使用して、Amazon Connect - Full access ユースケースにより、サービスにリンクされたロールを作成することもできます。IAM CLI または IAM API で、connect.amazonaws.com サービス名でサービスリンクロールを作成します。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

2018 年 10 月より前に作成されたインスタンスの場合

ヒント

AWS アカウントの管理にサインインできない場合は、 AWS アカウントの管理者がわからない場合 ヘルプについては、AWS アカウントのサインインの問題のトラブルシューティングを参照してください。

2018 年 10 月より前に作成された Amazon Connect インスタンスを使用している場合、サービスにリンクされたロールはセットアップされていません。サービスにリンクされたロールを作成するには、次の画像に示すように、[アカウントの概要] ページで、[サービスにリンクされたロールの作成] を選択します。

[アカウントの概要] ページ、[サービスにリンクされたロールの作成] ボタン。

サービスにリンクされたロールの作成に必要な IAM アクセス許可の一覧については、「カスタム IAM ポリシーを使用して Amazon Connect コンソールへのアクセスを管理するために必要なアクセス許可」のトピックにある 「概要ページ」を参照してください。

2025 年 1 月 31 日より前に作成され、データを暗号化するためにカスタマー KMS キーで設定された Customer Profile ドメインの場合、Amazon Connect インスタンスに追加の KMS アクセス許可を付与する必要があります。

関連付けられた Customer Profile ドメインが 2025 年 1 月 31 日より前に作成され、ドメインが暗号化に Customer-Managed KMS キー (CMK) を使用して Connect インスタンスによる CMK 適用を有効にする場合は、次のアクションを実行します。

  1. AWS マネジメントコンソールの Customer Profile のページに移動し、KMS アクセス AWS KMS 許可の更新を選択して、 Amazon Connect インスタンスのサービスにリンクされたロール (SLR) Amazon Connectのアクセス許可を付与します。

    KMS アクセス許可の更新ボタンを選択すると、Amazon Connect インスタンスのサービスにリンクされたロールに KMS アクセス許可が付与されます。
  2. Customer Profiles チームへのチケットを作成して、アカウントの CMK アクセス許可の適用をリクエストします。

Amazon Connect インスタンスを更新する IAM アクセス許可のリストについては、 のカスタム IAM ポリシーに必要なアクセス許可を参照してください顧客プロファイルページ

Amazon Connect のサービスにリンクされたロールを編集する

Amazon Connect では、AWSServiceRoleForAmazonConnect をプレフィックスとする、サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

サービスにリンクされたロールに Amazon Lex へのアクセス許可が付与されていることの確認

  1. IAM コンソールのナビゲーションペインで、[Roles] (ロール) をクリックします。

  2. 変更するロールの名前を選択します。

Amazon Connect のサービスにリンクされたロールの削除

AWSServiceRoleForAmazonConnect をプレフィックスとするロールを手動で削除する必要はありません。で Amazon Connect インスタンスを削除すると AWS Management Console、Amazon Connect はリソースをクリーンアップし、サービスにリンクされたロールを削除します。

Amazon Connect のサービスにリンクされたロールがサポートされているリージョン

Amazon Connect は、このサービスが提供されているすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、AWS リージョンとエンドポイントを参照してください。