カスタム IAM ポリシーを使用して Amazon Connect コンソールへのアクセスを管理するために必要なアクセス許可

カスタムの IAM ポリシーを使用して Amazon Connect コンソールへのアクセスを管理する場合は、ユーザーが実行するタスクに応じて、この記事に記載されている権限の一部またはすべての権限が必要です。

注記

カスタムの IAM ポリシーで [connect: *]を指定すると、この記事に記載されている Amazon Connect へのアクセス許可のすべてがユーザーに付与されます。

注記

Amazon Connect コンソールの特定のページ (タスクおよび Customer Profiles など) では、インラインポリシーにアクセス許可を追加する必要があります。

AmazonConnect_FullAccess ポリシー

Amazon Connect に対する、完全な読み取りと書き込みのアクセスを許可するには、2 つのIAM ユーザー (グループまたはロール) にそれぞれポリシーをアタッチする必要があります。AmazonConnect_FullAccess ポリシーとカスタムポリシーを、次の内容を指定しながらアタッチします。

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
        { 
            "Sid": "AttachAnyPolicyToAmazonConnectRole", 
            "Effect": "Allow", 
            "Action": "iam:PutRolePolicy", 
            "Resource": "arn:aws:iam::*:role/aws-service-role/connect.amazonaws.com/AWSServiceRoleForAmazonConnect*" 
        } 
    ] 
} 

IAM ユーザーがインスタンスを作成できるようにするには、AmazonConnect_FullAccess ポリシーによって付与されているアクセス許可があることを確認してください。

AmazonConnect_FullAccess ポリシーを使用する場合は、以下の点に注意してください。

• 任意の名前での Amazon S3 バケットの作成や、既存のバケットを使用しながら、Amazon Connect コンソールによるインスタンスの作成または更新を行う際には、追加の権限が必要となります。通話録音、チャットのトランスクリプト、通話のトランスクリプトその他に、デフォルトの保存場所を選択した場合は、「amazon-connect-」がプレフィクスされます。

• aws/connect KMS キーを、デフォルトの暗号化オプションとして使用できます。カスタムの暗号化キーを使用するには、ユーザーに追加の KMS 権限を割り当てます。

• Amazon Polly、ライブメディアストリーミング、データストリーミング、および Lex ボットなど、他の AWS リソースを Amazon Connect インスタンスにアタッチするための、追加の権限をユーザーに割り当てます。

AmazonConnectReadOnlyAccess ポリシー

読み取り専用アクセスを許可するには、AmazonConnectReadOnlyAccess ポリシーのみをアタッチする必要があります。

Amazon Connect コンソールのホームページ

以下に、Amazon Connect コンソールのホームページのイメージ例を示します。

このページへのアクセスを管理するには、次の表に示すアクセス許可を使用します。

アクション/ユースケース	必要となる権限
インスタンスを一覧表示する	connect:ListInstances ds:DescribeDirectories
インスタンスの説明:インスタンス/現在の設定の詳細を表示します	connect:DescribeInstance connect:ListLambdaFunctions connect:ListLexBots connect:ListInstanceStorageConfigs connect:ListApprovedOrigins connect:ListSecurityKeys connect:DescribeInstanceAttributes connect:DescribeInstanceStorageConfig ds:DescribeDirectories
インスタンスの作成	connect:CreateInstance connect:DescribeInstance connect:ListInstances connect:AssociateInstanceStorageConfig connect:UpdateInstanceAttribute ds:CheckAlias ds:CreateAlias ds:AuthorizeApplication ds:UnauthorizeApplication ds:CreateIdentityPoolDirectory ds:CreateDirectory ds:DescribeDirectories iam:CreateServiceLinkedRole kms:CreateGrant kms:DescribeKey kms:ListAliases kms:RetireGrant logs:CreateLogGroup s3:CreateBucket s3:GetBucketLocation s3:ListAllMyBuckets servicequotas:GetServiceQuota profile:ListAccountIntegrations profile:GetDomain profile:ListDomains profile:GetProfileObjectType profile:ListProfileObjectTypeTemplates
インスタンスの削除	connect:DescribeInstance connect:DeleteInstance connect:ListInstances ds:DescribeDirectories ds:DeleteDirectory ds:UnauthorizeApplication

インスタンスの詳細ページ

次の図は、インスタンス詳細に関する各ページへの移動方法を示しています。

インスタンスの詳細ページにアクセスするには、Amazon Connect コンソールのホームページ (説明/一覧) へのアクセス許可が必要です。あるいは、AmazonConnectReadOnlyAccess ポリシーを使用します。

以下の表に、インスタンス詳細の各ページに対する詳細なアクセス許可を示します。

注記

[編集] アクションを実行するユーザーには、[一覧表示] および [説明] のアクセス許可も必要です。

概要ページ

アクション/ユースケース	必要となる権限
サービスにリンクされたロールを作成します	connect:DescribeInstance connect:ListInstances connect:DescribeInstanceAttribute connect:UpdateInstanceAttribute connect:ListIntegrationAssociations profile:ListAccountIntegrations ds:DescribeDirectories iam:CreateServiceLinkedRole iam:PutRolePolicy

テレフォニーページ

アクション/ユースケース	必要となる権限
テレフォニーオプションの表示	connect:DescribeInstance
テレフォニーオプションの有効化/無効化	connect:UpdateInstanceAttribute

データストレージページ

通話の記録セクション

アクション/ユースケース	必要となる権限
通話の記録の表示	connect:DescribeInstance connect:ListInstanceStorageConfigs connect:DescribeInstanceStorageConfig
通話の記録の編集	connect:AssociateInstanceStorageConfig connect:UpdateInstanceStorageConfig connect:DisassociateInstanceStorageConfig s3:ListAllMyBuckets s3:GetBucketLocation s3:GetBucketAcl s3:CreateBucket kms:CreateGrant kms:DescribeKey kms:ListAliases kms:RetireGrant

チャットのトランスクリプトのセクション

アクション/ユースケース	必要となる権限
チャットのトランスクリプトの表示	connect:DescribeInstance connect:DescribeInstanceStorageConfig connect:ListInstanceStorageConfigs
チャットのトランスクリプトの編集	connect:AssociateInstanceStorageConfig connect:UpdateInstanceStorageConfig connect:DisassociateInstanceStorageConfig s3:ListAllMyBuckets s3:GetBucketLocation s3:GetBucketAcl s3:CreateBucket kms:CreateGrant kms:DescribeKey kms:ListAliases kms:RetireGrant

添付ファイルのセクション

アクション/ユースケース	必要となる権限
チャットの添付ファイルの表示	connect:DescribeInstance connect:DescribeInstanceStorageConfig connect:ListInstanceStorageConfigs
チャットの添付ファイルの編集	connect:AssociateInstanceStorageConfig connect:UpdateInstanceStorageConfig connect:DisassociateInstanceStorageConfig s3:ListAllMyBuckets s3:GetBucketLocation s3:CreateBucket s3:GetBucketAcl kms:CreateGrant kms:DescribeKey kms:ListAliases kms:RetireGrant

ライブメディアストリーミングのセクション

アクション/ユースケース	必要となる権限
ライブメディアストリーミングの表示	connect:DescribeInstance connect:ListInstanceStorageConfigs connect:DescribeInstanceStorageConfig
ライブメディアストリーミングの編集	connect:AssociateInstanceStorageConfig connect:UpdateInstanceStorageConfig connect:DisassociateInstanceStorageConfig kms:CreateGrant kms:DescribeKey kms:RetireGrant

エクスポート済みレポートのセクション

アクション/ユースケース	必要となる権限
エクスポート済みレポートの表示	connect:DescribeInstance connect:ListInstanceStorageConfigs connect:DescribeInstanceStorageConfig
エクスポート済みレポートの編集	connect:AssociateInstanceStorageConfig connect:UpdateInstanceStorageConfig connect: DisassociateInstanceStorageConfig s3:ListAllMyBuckets s3:GetBucketLocation s3:CreateBucket kms:DescribeKey kms:ListAliases kms:RetireGrant kms:CreateGrant

データストリーミングページ

問い合わせレコードセクション

アクション/ユースケース	必要となる権限
データストリーミングの表示 – 問い合わせレコード	connect:DescribeInstance connect:ListInstanceStorageConfigs connect:DescribeInstanceStorageConfig
問い合わせレコードの編集	connect:AssociateInstanceStorageConfig connect:UpdateInstanceStorageConfig connect:DisassociateInstanceStorageConfig firehose:ListDeliveryStreams firehose:DescribeDeliveryStream kinesis:ListStreams kinesis:DescribeStream

エージェントイベントのセクション

アクション/ユースケース	必要となる権限
データストリーミングの表示 – エージェントイベント	connect:DescribeInstance connect:ListInstanceStorageConfigs connect:DescribeInstanceStorageConfig
エージェントイベントの編集	connect:AssociateInstanceStorageConfig connect:UpdateInstanceStorageConfig connect:DisassociateInstanceStorageConfig kinesis:ListStreams kinesis: DescribeStream

アプリケーション統合ページ

アクション/ユースケース	必要となる権限
承認された発信者の表示	connect:DescribeInstance connect:ListApprovedOrigins
承認された発信者の編集	connect: AssociateApprovedOrigin connect:ListApprovedOrigins connect:DisassociateApprovedOrigin

タスクページ

アクション/ユースケース	必要となる権限
タスク統合の表示	app-integrations:GetEventIntegration connect:ListIntegrationAssociations
タスク統合の編集	app-integrations:CreateEventIntegration app-integrations:GetEventIntegration app-integrations:ListEventIntegrations app-integrations:DeleteEventIntegrationAssociation app-integrations:CreateEventIntegrationAssociation appflow:CreateFlow appflow:CreateConnectorProfile appflow:DescribeFlow appflow:DeleteFlow appflow:DeleteConnectorProfile appflow:DescribeConnectorEntity appflow:ListFlows appflow:ListConnectorEntities appflow:StartFlow connect:ListIntegrationAssociations connect:DeleteIntegrationAssociation connect:ListUseCases connect:DeleteUseCase events:ActivateEventSource events:CreateEventBus events:DescribeEventBus events:DescribeEventSource events:ListEventSources events:ListTargetsByRule events:PutRule events:PutTargets events:DeleteRule events:RemoveTargets kms:CreateGrant kms:DescribeKey kms:ListAliases kms:ListKeys kms:ListGrants

顧客プロファイルページ

アクション/ユースケース	必要となる権限
顧客プロファイルの表示	appflow:DescribeFlow appflow:DescribeConnectorEntity appflow:ListFlows appflow:ListConnectorEntities appflow:ListConnectorProfiles kms:ListKeys profile:ListDomains profile:ListAccountIntegrations sqs:ListQueues
顧客プロファイルの編集	appflow:CreateFlow appflow:CreateConnectorProfile appflow:DescribeFlow appflow:DeleteFlow appflow:DescribeConnectorEntity appflow:ListFlows appflow:ListConnectorEntities appflow:ListConnectorProfiles appflow:StartFlow appflow:StopFlow kms:ListKeys profile:CreateDomain profile:DeleteIntegration profile:DeleteDomain profile:ListDomains profile:ListAccountIntegrations profile:PutIntegration profile:UpdateDomain kms:ListGrants kms:DescribeKey kms:ListAliases kms:ListKeys sqs:ListQueues

Voice ID ページ

アクション/ユースケース	必要となる権限
Voice ID での統合の表示	voiceid:DescribeDomain voiceid:ListDomains voiceid:RegisterComplianceConsent voiceid:DescribeComplianceConsent connect:ListIntegrationAssociations
Voice ID での統合の編集	voiceid:DescribeDomain voiceid:ListDomains voiceid:RegisterComplianceConsent voiceid:DescribeComplianceConsent voiceid:UpdateDomain voiceid:CreateDomain connect:ListIntegrationAssociations connect:CreateIntegrationAssociation connect:DeleteIntegrationAssociation events:PutRule events:DeleteRule events:PutTargets events:RemoveTargets

問い合わせフローページ

問い合わせフローのセキュリティキーのセクション

アクション/ユースケース	必要となる権限
問い合わせフローのセキュリティキーの表示	connect:DescribeInstance connect:ListSecurityKeys
問い合わせフローのセキュリティキーの追加/削除	connect:AssociateSecurityKey connect:DisassociateSecurityKey

Lex ボットセクション

アクション/ユースケース	必要となる権限
Lex ボットの表示	connect:ListLexBots connect:ListBots
Lex ボットの追加/削除	lex:GetBots lex:GetBot lex:CreateResourcePolicy lex:DeleteResourcePolicy lex:UpdateResourcePolicy lex:DescribeBotAlias lex:ListBotAliases lex:ListBots connect:AssociateBot connect:DisassociateBot connect:ListBots connect:AssociateLexBot connect:DisassociateLexBot connect:ListLexBots

Lambda 関数のセクション

アクション/ユースケース	必要となる権限
Lambda 関数の表示	connect:ListLambdaFunctions
Lambda 関数の追加/削除	connect:ListLambdaFunctions connect:AssociateLambdaFunction connect:DisassociateLambdaFunction lambda:ListFunctions lambda:AddPermission lambda:RemovePermission

問い合わせフローのログのセクション

アクション/ユースケース	必要となる権限
問い合わせフローのログ設定の表示	connect:DescribeInstance connect:DescribeInstanceAttribute
問い合わせフローのログの有効化/無効化	logs:CreateLogGroup

Amazon Polly セクション

アクション/ユースケース	必要となる権限
Amazon Polly のオプションの表示	connect:DescribeInstance connect:DescribeInstanceAttribute
Amazon Polly のオプションの更新	connect:UpdateInstanceAttribute

フェデレーション

SAML フェデレーション

アクション/ユースケース	必要となる権限
SAML フェデレーション	connect:GetFederationToken

管理者/緊急フェデレーション

アクション/ユースケース	必要となる権限
管理者/緊急フェデレーション	connect:GetFederationTokens