Amazon Connect での階層アクセスコントロール (プレビュー) - Amazon Connect
背景API/ を使用した階層ベースのアクセスコントロールSDKAmazon Connect コンソールを使用した階層ベースのアクセスコントロール設定の制限階層ベースのアクセスコントロールのベストプラクティス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Connect での階層アクセスコントロール (プレビュー)

これはプレビューリリースのサービスに関するプレリリースドキュメントです。このドキュメントは変更される可能性があります。

ユーザーに割り当てられたエージェント階層に基づいて連絡先へのアクセスを制限できます。これには、[連絡先のアクセスを制限] などのアクセス許可を使用します。これらのアクセス許可に加えて、階層とタグを組み合わせて使用し、ユーザーなどのリソースに対するきめ細かなアクセスコントロールを適用することもできます。このページの残りの部分では、階層ベースのアクセスコントロール設定 (現在プレビュー中) に関する追加の詳細を説明します。

背景

階層ベースのアクセスコントロールを使用すると、ユーザーに割り当てられたエージェント階層に基づいて、特定のリソースへのきめ細かなアクセスを設定できます。階層ベースのアクセスコントロールは、サポートされているリソースに API/SDK または Amazon Connect コンソール内を使用して設定できます。 

現在、階層ベースのアクセスコントロールをサポートしているリソースはユーザーのみです。この認証モデルは、タグベースのアクセスコントロール と連動するため、ユーザーへのアクセスを制限できます。これにより、ユーザーは階層グループに属する他のユーザーと、特定のタグが関連付けられている他のユーザーのみを表示できます。

API/ を使用した階層ベースのアクセスコントロールSDK

階層を使用してアカウント AWS 内のリソースへのアクセスを制御するには、IAMポリシーの条件要素に階層の情報を指定する必要があります。例えば、特定の階層に属するユーザーへのアクセスを制御するには、connect:HierarchyGroupL3Id/hierarchyGroupId 条件キーと StringEquals などの特定の演算子を使用し、ユーザーが所属する階層グループを指定して、アクションを許可します。サポートされている条件キーは次のとおりです。

  1. connect:HierarchyGroupL1Id /hierarchyGroupId

  2. connect:HierarchyGroupL2Id/hierarchyGroupId

  3. connect:HierarchyGroupL3Id/hierarchyGroupId

  4. connect:HierarchyGroupL4Id/hierarchyGroupId

  5. connect:HierarchyGroupL5Id/hierarchyGroupId

ユーザーの階層構造の特定のレベルにある特定の階層グループの ID を表します。

階層ベースのアクセスコントロールの詳細については、IAM「 ユーザーガイド」の「タグを使用した AWS リソースへのアクセスの制御」を参照してください。

Amazon Connect コンソールを使用した階層ベースのアクセスコントロール

階層を使用して Amazon Connect インスタンスの管理ウェブサイト内のリソースへのアクセスをコントロールするには、特定のセキュリティプロファイル内のアクセスコントロールセクションを設定する必要があります。例えば、特定のユーザーが属する階層に基づいてきめ細かなアクセスコントロールアクセスを有効にするには、そのユーザーをアクセスコントロールリソースとして設定する必要があります。これは 2 つの方法で行うことができます。

  1. ユーザーの階層に基づいて階層ベースのアクセスコントロールを実施する: これにより、アクセスを付与されたユーザーは、自分の階層に属するユーザーのみを管理できるようになります。例えば、あるユーザーに対してこの設定を有効にすると、対象のユーザーは自分の階層グループまたはその子階層グループに属する他のユーザーを管理できるようになります。これにより、アクセスを付与されたユーザーは、自分の階層に属するユーザーのみを管理できるようになります。例えば、あるスーパーバイザーに対してこの設定を有効にすると、対象のスーパーバイザーは自分の階層グループまたはその子階層グループに属する他のユーザーを管理できるようになります。

  2. 特定の階層に基づいて階層ベースのアクセスコントロールを実施する: これにより、アクセスを付与されたユーザーは、セキュリティプロファイルで定義された階層に属するユーザーのみを管理できるようになります。例えば、あるユーザーに対してこの設定を有効にすると、対象のユーザーはセキュリティプロファイルで指定された階層グループまたはその子階層グループに属する他のユーザーを管理できるようになります。

設定の制限

きめ細かいアクセスコントロールはセキュリティプロファイルで設定します。ユーザーには、きめ細かいアクセスコントロールを適用するためのセキュリティプロファイルを最大 2 つまで割り当てることができます。そうすることで、アクセス許可の制限は緩和され、両方のアクセス許可セットを組み合わせたものとして機能します。例えば、あるセキュリティプロファイルで階層ベースのアクセスコントロールを実施し、別のセキュリティプロファイルでタグベースのアクセスコントロールを実施する場合、対象のユーザーは同じ階層に属する、または特定のタグでタグ付けされた任意のユーザを管理できます。タグベースのアクセスコントロールと階層ベースのアクセスコントロールを同じセキュリティプロファイルの一部として設定する場合は、両方の条件を満たす必要があります。その場合、ユーザーは同じ階層に属し、特定のタグでタグ付けされたユーザーのみを管理できます。 

追加のセキュリティプロファイルできめ細かいアクセスコントロールを実施していない限り、ユーザーには 3 つ以上のセキュリティプロファイルを割り当てることができます。複数のセキュリティプロファイルがあり、リソースのアクセス許可が重複している場合、階層ベースのアクセスコントロールのないセキュリティプロファイルが、階層ベースのアクセスコントロールのあるセキュリティプロファイルよりも優先的に適用されます。

階層ベースのアクセスコントロールを設定するには、サービスにリンクされたロールが必要です。インスタンスが 2018 年 10 月以降に作成された場合、Amazon Connect インスタンスでデフォルトで使用できます。ただし、これより古いインスタンスを使用している場合は、サービスにリンクされたロールを有効にする方法について、「Amazon Connect サービスにリンクされたロールを使用する」を参照してください。

階層ベースのアクセスコントロールのベストプラクティス

階層ベースのアクセスコントロールの適用は、Amazon Connect でサポートされ、責任 AWS 共有モデルに従う高度な設定機能です。必要な認可ニーズを満たすようにインスタンスを正しく設定していることを確認することが重要です。詳細については、「AWS 責任共有モデル」を参照してください。

階層ベースのアクセスコントロールを有効にするリソースについて、少なくとも [表示] アクセス許可が有効になっていることを確認します。これにより、アクセス要求が拒否される原因となるアクセス許可の不一致を避けることができます。階層ベースのアクセスコントロールはリソースレベルで有効になるため、各リソースについて個別にコントロールを設定できます。階層ベースのアクセスコントロールが強制されるときに付与されるアクセス許可を慎重に確認することが重要です。例えば、階層がユーザーへのアクセスを制限し、意図したユーザーアクセスコントロール設定に優先する権限を持つview/edit permissions security profiles, would allow a user to create/updateセキュリティプロファイルを有効にするなどです。

階層ベースのアクセスコントロールを適用した状態で Amazon Connect コンソールにログインすると、ユーザーは制限されているリソースの変更履歴ログにアクセスできなくなります。

子リソースを階層ベースのアクセスコントロールを持つ親リソースに割り当てようとすると、子リソースが階層に属していない場合は操作が拒否されます。例えば、クイック接続にユーザーを割り当てようとしても、そのユーザーの階層にアクセスできない場合、操作は失敗します。ただし、関連付け解除はこの限りではありません。クイック接続にアクセスできる場合、階層ベースのアクセスコントロールが適用されている場合でも、ユーザーの関連付けを自由に解除できます。これは、(新しい関連付けとは異なり) 関連付け解除が 2 つのリソース間の既存の関係を破棄するもので、ユーザーがすでにアクセス許可を持っている親リソース (この場合はクイック接続) の一部としてモデル化されるためです。そのため、ユーザーリソースに階層ベースのアクセスコントロールを適用する場合、親リソースに付与されるアクセス許可を慎重に検討することが重要です。これは、ユーザーやスーパーバイザーが気付かないうちにユーザーの関連付けが解除される可能性があるためです。

Amazon Connect コンソールで階層ベースのアクセスコントロールを適用する場合、ベストプラクティスとして、次のリソースまたはモジュールへのアクセスを無効にします。これらのリソースへのアクセスを無効にしない場合、特定のリソースに対して階層ベースのアクセスコントロールが設定されているユーザーがこれらのページを表示すると、ユーザーが無制限に一覧表示される可能性があります。アクセス許可の管理方法の詳細については、「List of security profile permissions」を参照してください。

モジュール アクセスを無効にするアクセス許可
コンタクトの検索 コンタクトの検索 - 表示
履歴変更/監査ポータル メトリクスへのアクセス - アクセス
リアルタイムメトリクス リアルタイムメトリクス - アクセス
履歴メトリクス 履歴メトリクス - アクセス
ログイン/ログアウトレポート ログイン/ログアウトレポート - 表示
ルール ルール - 表示
保存されたレポート 保存されたレポート - 表示
エージェント階層 エージェント階層 - 表示
フロー/フローモジュール フローモジュール - 表示
スケジューリング スケジュールマネージャー - 表示