翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Connect でサービスにリンクされたロールを使用する
サービスにリンクされたロール (SLR) とは何ですか。また、SLR が重要なのはなぜですか。
Amazon Connect は AWS Identity and Access Management 、 (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、Amazon Connect インスタンスに直接リンクされた固有のタイプの IAM ロールです。
サービスにリンクされたロールは、Amazon Connect によって事前定義されており、Amazon Connect がユーザーに代わって他の AWS のサービスを呼び出すために必要なすべてのアクセス許可が含まれています。
タグ付けサポート、ユーザー管理プロファイルとルーティングプロファイルの新しいユーザーインターフェイス、 CloudTrail サポート付きのキューなど、Amazon Connect の新機能を使用できるようにするには、サービスにリンクされたロールを有効にする必要があります。
サービスにリンクされたロールをサポートする他サービスの情報については、「IAM と連動するAWS」をご参照のうえ、サービスにリンクされたロールの欄内の「はい」と表記されたサービスをご確認ください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには [Yes] (はい) リンクを選択します。
Amazon Connect でのサービスにリンクされたロールのアクセス許可
Amazon Connect は、プレフィックス AWSServiceRoleForAmazonConnect_unique-id
が付いたサービスにリンクされたロールを使用します。これにより、ユーザーに代わって AWS リソースにアクセスするためのアクセス許可が Amazon Connect に付与されます。
AWSServiceRoleForAmazonConnect プレフィックス付きのサービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。
-
connect.amazonaws.com
AmazonConnectServiceLinkedRolePolicy ロールのアクセス許可ポリシーは、指定されたリソースに対して以下のアクションを実行することを Amazon Connect に許可します。
-
アクション:すべての Amazon Connect リソースに対するすべての Amazon Connect アクション
connect:*
。 -
アクション: IAM
iam:DeleteRole
は、サービスにリンクされたロールの削除を許可します。 -
アクション: 録音した会話のために指定された S3 バケット向けの Amazon S3
s3:GetObject
、s3:DeleteObject
、s3:GetBucketLocation
、GetBucketAcl
。s3:PutObject
、s3:PutObjectAcl
、s3:GetObjectAcl
は、エクスポートされたレポートで指定されたバケットにも付与されます。 -
アクション: Amazon CloudWatch Logs の
logs:CreateLogStream
、logs:DescribeLogStreams
、およびlogs:PutLogEvents
を、フローログ記録用に指定された CloudWatch Logs グループに記録します。 -
アクション:すべてのリージョンにわたってアカウントで作成したすべてのボットに対する Amazon Lex の
lex:ListBots
、lex:ListBotAliases
。 -
アクション: Amazon Connect Customer Profiles
-
profile:SearchProfiles
-
profile:CreateProfile
-
profile:UpdateProfile
-
profile:AddProfileKey
-
profile:ListProfileObjects
-
profile:ListAccountIntegrations
-
profile:ListProfileObjectTypeTemplates
-
profile:GetProfileObjectTypeTemplate
-
profile:ListProfileObjectTypes
-
profile:GetProfileObjectType
-
profile:ListCalculatedAttributeDefinitions
-
profile:GetCalculatedAttributeForProfile
-
profile:ListCalculatedAttributesForProfile
-
profile:GetDomain
-
profile:ListIntegrations
-
profile:CreateCalculatedAttributeDefinition
-
profile:DeleteCalculatedAttributeDefinition
-
profile:GetCalculatedAttributeDefinition
-
profile:UpdateCalculatedAttributeDefinition
により、Amazon Connect のフローおよびエージェントエクスペリエンスアプリケーションで、デフォルトの Customer Profiles ドメイン (ドメインのプロファイルおよびすべてのオブジェクトタイプを含む) を使用します。
-
-
Action: Amazon Connect Amazon Q in Connect
-
wisdom:CreateContent
-
wisdom:DeleteContent
-
wisdom:CreateKnowledgeBase
-
wisdom:GetAssistant
-
wisdom:GetKnowledgeBase
-
wisdom:GetContent
-
wisdom:GetRecommendations
-
wisdom:GetSession
-
wisdom:NotifyRecommendationsReceived
-
wisdom:QueryAssistant
-
wisdom:StartContentUpload
-
wisdom:UntagResource
-
wisdom:TagResource
-
wisdom:CreateSession
-
wisdom:CreateQuickResponse
-
wisdom:GetQuickResponse
-
wisdom:SearchQuickResponses
-
wisdom:StartImportJob
-
wisdom:GetImportJob
-
wisdom:ListImportJobs
-
wisdom:ListQuickResponses
-
wisdom:UpdateQuickResponse
-
wisdom:DeleteQuickResponse
-
wisdom:PutFeedback
Amazon Connect インスタンスに関連付けられた Amazon Connect Amazon Q in Connect リソースすべてで、リソースタグ
'AmazonConnectEnabled':'True'
を使用します。-
wisdom:ListAssistants
-
wisdom:KnowledgeBases
上記はすべての Amazon Connect Amazon Q in Connect リソースで使用します。
-
-
アクション: インスタンスの Amazon Connect
cloudwatch:PutMetricData
使用状況 CloudWatch メトリクスをアカウントに発行するための Amazon メトリクス。 Amazon Connect -
アクション: Amazon Pinpoint
sms:DescribePhoneNumbers
とsms:SendTextMessage
は、Amazon Connect に SMS の送信を許可します。
Amazon Connect で追加機能を有効にすると、インラインポリシーを使用してこのような追加機能に関連付けられたリソースにアクセスするためのサービスにリンクされたロールに次のアクセス許可が追加されます。
-
アクション: Amazon Data Firehose
firehose:DescribeDeliveryStream
とfirehose:PutRecord
、およびエージェントイベントストリームと問い合わせレコードに定義された配信ストリームfirehose:PutRecordBatch
用 。 -
アクション: エージェントのイベントストリームと問い合わせレコードに指定したストリームに対する Amazon Kinesis Data Streams の
kinesis:PutRecord
、kinesis:PutRecords
、kinesis:DescribeStream
。 -
アクション: インスタンスに追加したボットに対する Amazon Lex の
lex:PostContent
。 -
アクション: インスタンスに関連付けた Voice ID ドメインに対する Amazon Connect Voice-ID の
voiceid:*
。 -
アクション: EventBridge
events:PutRule
関連付けられた Voice ID ドメインevents:PutTargets
の CTR レコードを発行するための Amazon Connect マネージド EventBridge ルールの と 。 -
アクション: アウトバウンドキャンペーン
-
connect-campaigns:CreateCampaign
-
connect-campaigns:DeleteCampaign
-
connect-campaigns:DescribeCampaign
-
connect-campaigns:UpdateCampaignName
-
connect-campaigns:GetCampaignState
-
connect-campaigns:GetCampaignStateBatch
-
connect-campaigns:ListCampaigns
-
connect-campaigns:UpdateOutboundCallConfig
-
connect-campaigns:UpdateDialerConfig
-
connect-campaigns:PauseCampaign
-
connect-campaigns:ResumeCampaign
-
connect-campaigns:StopCampaign
アウトバウンドキャンペーンに関連するすべてのオペレーションが対象。
-
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクロールのアクセス許可」を参照してください。
Amazon Connect のサービスにリンクされたロールを作成する
サービスリンクロールを手動で作成する必要はありません。で Amazon Connect に新しいインスタンスを作成すると AWS Management Console、Amazon Connect によってサービスにリンクされたロールが作成されます。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。Amazon Connect で新しいインスタンスを作成する際に、Amazon Connect によってサービスにリンクされたロールが自動的に再作成されます。
また、IAM コンソールを使用して、Amazon Connect - Full access ユースケースにより、サービスにリンクされたロールを作成することもできます。IAM CLI または IAM API で、connect.amazonaws.com
サービス名でサービスリンクロールを作成します。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの作成」を参照してください。このサービスにリンクされたロールを削除しても、この同じプロセスを使用して、もう一度ロールを作成できます。
2018 年 10 月より前に作成されたインスタンスの場合
2018 年 10 月より前に作成された Amazon Connect インスタンスを使用している場合、サービスにリンクされたロールはセットアップされていません。サービスにリンクされたロールを作成するには、次の画像に示すように、[アカウントの概要] ページで、[サービスにリンクされたロールの作成] を選択します。
サービスにリンクされたロールの作成に必要な IAM アクセス許可の一覧については、「カスタム IAM ポリシーを使用して Amazon Connect 管理ウェブサイトへのアクセスを管理するために必要なアクセス許可」のトピックにある 「概要ページ」を参照してください。
Amazon Connect のサービスにリンクされたロールを編集する
Amazon Connect では、 AWSServiceRoleForAmazonConnect プレフィックス付きのサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。
サービスにリンクされたロールに Amazon Lex へのアクセス許可が付与されていることの確認
-
IAM コンソールのナビゲーションペインで、[Roles] (ロール) をクリックします。
-
変更するロールの名前を選択します。
Amazon Connect のサービスにリンクされたロールの削除
AWSServiceRoleForAmazonConnect プレフィックス付きのロールを手動で削除する必要はありません。で Amazon Connect インスタンスを削除すると AWS Management Console、Amazon Connect によってリソースがクリーンアップされ、サービスにリンクされたロールが削除されます。
Amazon Connect のサービスにリンクされたロールがサポートされているリージョン
Amazon Connect は、このサービスが提供されているすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、「AWS リージョンとエンドポイント」を参照してください。