カスタム IAM ポリシーを使用して Amazon Connect コンソールへのアクセスを管理するために必要なアクセス許可 - Amazon Connect

カスタム IAM ポリシーを使用して Amazon Connect コンソールへのアクセスを管理するために必要なアクセス許可

カスタムの IAM ポリシーを使用して Amazon Connect コンソールへのアクセスを管理する場合は、ユーザーが実行するタスクに応じて、この記事に記載されている権限の一部またはすべての権限が必要です。

注記

カスタムの IAM ポリシーで [connect: *]を指定すると、この記事に記載されている Amazon Connect へのアクセス許可のすべてがユーザーに付与されます。

注記

Amazon Connect コンソールの特定のページ (タスクおよび Customer Profiles など) では、インラインポリシーにアクセス許可を追加する必要があります。

AmazonConnect_FullAccess ポリシー

Amazon Connect に対する、完全な読み取りと書き込みのアクセスを許可するには、2 つのIAM ユーザー (グループまたはロール) にそれぞれポリシーをアタッチする必要があります。AmazonConnect_FullAccess ポリシーとカスタムポリシーを、次の内容を指定しながらアタッチします。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AttachAnyPolicyToAmazonConnectRole", "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/connect.amazonaws.com/AWSServiceRoleForAmazonConnect*" } ] }

IAM ユーザーがインスタンスを作成できるようにするには、AmazonConnect_FullAccess ポリシーによって付与されているアクセス許可があることを確認してください。

AmazonConnect_FullAccess ポリシーを使用する場合は、以下の点に注意してください。

  • 任意の名前での Amazon S3 バケットの作成や、既存のバケットを使用しながら、Amazon Connect コンソールによるインスタンスの作成または更新を行う際には、追加の権限が必要となります。通話録音、チャットのトランスクリプト、通話のトランスクリプトその他に、デフォルトの保存場所を選択した場合は、「amazon-connect-」がプレフィクスされます。

  • aws/connect KMS キーを、デフォルトの暗号化オプションとして使用できます。カスタムの暗号化キーを使用するには、ユーザーに追加の KMS 権限を割り当てます。

  • Amazon Polly、ライブメディアストリーミング、データストリーミング、および Lex ボットなど、他の AWS リソースを Amazon Connect インスタンスにアタッチするための、追加の権限をユーザーに割り当てます。

AmazonConnectReadOnlyAccess ポリシー

読み取り専用アクセスを許可するには、AmazonConnectReadOnlyAccess ポリシーのみをアタッチする必要があります。

Amazon Connect コンソールのホームページ

以下に、Amazon Connect コンソールのホームページのイメージ例を示します。

このページへのアクセスを管理するには、次の表に示すアクセス許可を使用します。

アクション/ユースケース 必要となる権限

インスタンスを一覧表示する

connect:ListInstances

ds:DescribeDirectories

インスタンスの説明:インスタンス/現在の設定の詳細を表示します

connect:DescribeInstance

connect:ListLambdaFunctions

connect:ListLexBots

connect:ListInstanceStorageConfigs

connect:ListApprovedOrigins

connect:ListSecurityKeys

connect:DescribeInstanceAttributes

connect:DescribeInstanceStorageConfig

ds:DescribeDirectories

インスタンスの作成

connect:CreateInstance

connect:DescribeInstance

connect:ListInstances

connect:AssociateInstanceStorageConfig

connect:UpdateInstanceAttribute

ds:CheckAlias

ds:CreateAlias

ds:AuthorizeApplication

ds:UnauthorizeApplication

ds:CreateIdentityPoolDirectory

ds:CreateDirectory

ds:DescribeDirectories

iam:CreateServiceLinkedRole

kms:CreateGrant

kms:DescribeKey

kms:ListAliases

kms:RetireGrant

logs:CreateLogGroup

s3:CreateBucket

s3:GetBucketLocation

s3:ListAllMyBuckets

servicequotas:GetServiceQuota

profile:ListAccountIntegrations

profile:GetDomain

profile:ListDomains

profile:GetProfileObjectType

profile:ListProfileObjectTypeTemplates

インスタンスの削除

connect:DescribeInstance

connect:DeleteInstance

connect:ListInstances

ds:DescribeDirectories

ds:DeleteDirectory

ds:UnauthorizeApplication

インスタンスの詳細ページ

次の図は、インスタンス詳細に関する各ページへの移動方法を示しています。

インスタンスの詳細ページにアクセスするには、Amazon Connect コンソールのホームページ (説明/一覧) へのアクセス許可が必要です。あるいは、AmazonConnectReadOnlyAccess ポリシーを使用します。

以下の表に、インスタンス詳細の各ページに対する詳細なアクセス許可を示します。

注記

[編集] アクションを実行するユーザーには、[一覧表示] および [説明] のアクセス許可も必要です。

概要ページ

アクション/ユースケース 必要となる権限
サービスにリンクされたロールを作成します

connect:DescribeInstance

connect:ListInstances

connect:DescribeInstanceAttribute

connect:UpdateInstanceAttribute

connect:ListIntegrationAssociations

profile:ListAccountIntegrations

ds:DescribeDirectories

iam:CreateServiceLinkedRole

iam:PutRolePolicy

テレフォニーページ

アクション/ユースケース 必要となる権限
テレフォニーオプションの表示 connect:DescribeInstance

テレフォニーオプションの有効化/無効化

connect:UpdateInstanceAttribute

データストレージページ

通話の記録セクション

アクション/ユースケース 必要となる権限

通話の記録の表示

connect:DescribeInstance

connect:ListInstanceStorageConfigs

connect:DescribeInstanceStorageConfig

通話の記録の編集

connect:AssociateInstanceStorageConfig

connect:UpdateInstanceStorageConfig

connect:DisassociateInstanceStorageConfig

s3:ListAllMyBuckets

s3:GetBucketLocation

s3:GetBucketAcl

s3:CreateBucket

kms:CreateGrant

kms:DescribeKey

kms:ListAliases

kms:RetireGrant

チャットのトランスクリプトのセクション

アクション/ユースケース 必要となる権限

チャットのトランスクリプトの表示

connect:DescribeInstance

connect:DescribeInstanceStorageConfig

connect:ListInstanceStorageConfigs

チャットのトランスクリプトの編集

connect:AssociateInstanceStorageConfig

connect:UpdateInstanceStorageConfig

connect:DisassociateInstanceStorageConfig

s3:ListAllMyBuckets

s3:GetBucketLocation

s3:GetBucketAcl

s3:CreateBucket

kms:CreateGrant

kms:DescribeKey

kms:ListAliases

kms:RetireGrant

添付ファイルのセクション

アクション/ユースケース 必要となる権限

チャットの添付ファイルの表示

connect:DescribeInstance

connect:DescribeInstanceStorageConfig

connect:ListInstanceStorageConfigs

チャットの添付ファイルの編集

connect:AssociateInstanceStorageConfig

connect:UpdateInstanceStorageConfig

connect:DisassociateInstanceStorageConfig

s3:ListAllMyBuckets

s3:GetBucketLocation

s3:CreateBucket

s3:GetBucketAcl

kms:CreateGrant

kms:DescribeKey

kms:ListAliases

kms:RetireGrant

ライブメディアストリーミングのセクション

アクション/ユースケース 必要となる権限

ライブメディアストリーミングの表示

connect:DescribeInstance

connect:ListInstanceStorageConfigs

connect:DescribeInstanceStorageConfig

ライブメディアストリーミングの編集

connect:AssociateInstanceStorageConfig

connect:UpdateInstanceStorageConfig

connect:DisassociateInstanceStorageConfig

kms:CreateGrant

kms:DescribeKey

kms:RetireGrant

エクスポート済みレポートのセクション

アクション/ユースケース 必要となる権限

エクスポート済みレポートの表示

connect:DescribeInstance

connect:ListInstanceStorageConfigs

connect:DescribeInstanceStorageConfig

エクスポート済みレポートの編集

connect:AssociateInstanceStorageConfig

connect:UpdateInstanceStorageConfig

connect: DisassociateInstanceStorageConfig

s3:ListAllMyBuckets

s3:GetBucketLocation

s3:CreateBucket

kms:DescribeKey

kms:ListAliases

kms:RetireGrant

kms:CreateGrant

データストリーミングページ

問い合わせレコードセクション

アクション/ユースケース 必要となる権限

データストリーミングの表示 – 問い合わせレコード

connect:DescribeInstance

connect:ListInstanceStorageConfigs

connect:DescribeInstanceStorageConfig

問い合わせレコードの編集

connect:AssociateInstanceStorageConfig

connect:UpdateInstanceStorageConfig

connect:DisassociateInstanceStorageConfig

firehose:ListDeliveryStreams

firehose:DescribeDeliveryStream

kinesis:ListStreams

kinesis:DescribeStream

エージェントイベントのセクション

アクション/ユースケース 必要となる権限

データストリーミングの表示 – エージェントイベント

connect:DescribeInstance

connect:ListInstanceStorageConfigs

connect:DescribeInstanceStorageConfig

エージェントイベントの編集

connect:AssociateInstanceStorageConfig

connect:UpdateInstanceStorageConfig

connect:DisassociateInstanceStorageConfig

kinesis:ListStreams

kinesis: DescribeStream

アプリケーション統合ページ

アクション/ユースケース 必要となる権限

承認された発信者の表示

connect:DescribeInstance

connect:ListApprovedOrigins

承認された発信者の編集

connect: AssociateApprovedOrigin

connect:ListApprovedOrigins

connect:DisassociateApprovedOrigin

タスクページ

アクション/ユースケース 必要となる権限

タスク統合の表示

app-integrations:GetEventIntegration

connect:ListIntegrationAssociations

タスク統合の編集

app-integrations:CreateEventIntegration

app-integrations:GetEventIntegration

app-integrations:ListEventIntegrations

app-integrations:DeleteEventIntegrationAssociation

app-integrations:CreateEventIntegrationAssociation

appflow:CreateFlow

appflow:CreateConnectorProfile

appflow:DescribeFlow

appflow:DeleteFlow

appflow:DeleteConnectorProfile

appflow:DescribeConnectorEntity

appflow:ListFlows

appflow:ListConnectorEntities

appflow:StartFlow

connect:ListIntegrationAssociations

connect:DeleteIntegrationAssociation

connect:ListUseCases

connect:DeleteUseCase

events:ActivateEventSource

events:CreateEventBus

events:DescribeEventBus

events:DescribeEventSource

events:ListEventSources

events:ListTargetsByRule

events:PutRule

events:PutTargets

events:DeleteRule

events:RemoveTargets

kms:CreateGrant

kms:DescribeKey

kms:ListAliases

kms:ListKeys

kms:ListGrants

顧客プロファイルページ

アクション/ユースケース 必要となる権限

顧客プロファイルの表示

appflow:DescribeFlow

appflow:DescribeConnectorEntity

appflow:ListFlows

appflow:ListConnectorEntities

appflow:ListConnectorProfiles

kms:ListKeys

profile:ListDomains

profile:ListAccountIntegrations

sqs:ListQueues

顧客プロファイルの編集

appflow:CreateFlow

appflow:CreateConnectorProfile

appflow:DescribeFlow

appflow:DeleteFlow

appflow:DescribeConnectorEntity

appflow:ListFlows

appflow:ListConnectorEntities

appflow:ListConnectorProfiles

appflow:StartFlow

appflow:StopFlow

kms:ListKeys

profile:CreateDomain

profile:DeleteIntegration

profile:DeleteDomain

profile:ListDomains

profile:ListAccountIntegrations

profile:PutIntegration

profile:UpdateDomain

kms:ListGrants

kms:DescribeKey

kms:ListAliases

kms:ListKeys

sqs:ListQueues

Voice ID ページ

アクション/ユースケース 必要となる権限

Voice ID での統合の表示

voiceid:DescribeDomain

voiceid:ListDomains

voiceid:RegisterComplianceConsent

voiceid:DescribeComplianceConsent

connect:ListIntegrationAssociations

Voice ID での統合の編集

voiceid:DescribeDomain

voiceid:ListDomains

voiceid:RegisterComplianceConsent

voiceid:DescribeComplianceConsent

voiceid:UpdateDomain

voiceid:CreateDomain

connect:ListIntegrationAssociations

connect:CreateIntegrationAssociation

connect:DeleteIntegrationAssociation

events:PutRule

events:DeleteRule

events:PutTargets

events:RemoveTargets

問い合わせフローページ

問い合わせフローのセキュリティキーのセクション

アクション/ユースケース 必要となる権限

問い合わせフローのセキュリティキーの表示

connect:DescribeInstance

connect:ListSecurityKeys

問い合わせフローのセキュリティキーの追加/削除

connect:AssociateSecurityKey

connect:DisassociateSecurityKey

Lex ボットセクション

アクション/ユースケース 必要となる権限

Lex ボットの表示

connect:ListLexBots

connect:ListBots

Lex ボットの追加/削除

lex:GetBots

lex:GetBot

lex:CreateResourcePolicy

lex:DeleteResourcePolicy

lex:UpdateResourcePolicy

lex:DescribeBotAlias

lex:ListBotAliases

lex:ListBots

connect:AssociateBot

connect:DisassociateBot

connect:ListBots

connect:AssociateLexBot

connect:DisassociateLexBot

connect:ListLexBots

Lambda 関数のセクション

アクション/ユースケース 必要となる権限

Lambda 関数の表示

connect:ListLambdaFunctions

Lambda 関数の追加/削除

connect:ListLambdaFunctions

connect:AssociateLambdaFunction

connect:DisassociateLambdaFunction

lambda:ListFunctions

lambda:AddPermission

lambda:RemovePermission

問い合わせフローのログのセクション

アクション/ユースケース 必要となる権限

問い合わせフローのログ設定の表示

connect:DescribeInstance

connect:DescribeInstanceAttribute

問い合わせフローのログの有効化/無効化

logs:CreateLogGroup

Amazon Polly セクション

アクション/ユースケース 必要となる権限

Amazon Polly のオプションの表示

connect:DescribeInstance

connect:DescribeInstanceAttribute

Amazon Polly のオプションの更新

connect:UpdateInstanceAttribute

フェデレーション

SAML フェデレーション

アクション/ユースケース 必要となる権限

SAML フェデレーション

connect:GetFederationToken

管理者/緊急フェデレーション

アクション/ユースケース 必要となる権限

管理者/緊急フェデレーション

connect:GetFederationTokens