セキュリティプロファイルのベストプラクティス

• [ユーザー - 編集または作成] アクセス許可を持つユーザーを制限する

  これらのアクセス許可を持つユーザーは、次の操作ができるため、コンタクトセンターにとってリスクとなります。

  • パスワードをリセットする。これには、管理者のパスワードも含まれます。

  • Admin セキュリティプロファイルへのアクセス許可を他のユーザーに付与する。Admin セキュリティプロファイルに割り当てられたユーザーは、コンタクトセンターへのフルアクセスを許可されます。

  これらを行うと、Amazon Connect にアクセスする必要のある人がロックアウトされ、顧客データを盗んでビジネスに損害を与える可能性のある人のアクセスが許可される可能性があります。

  リスクを軽減するため、ベストプラクティスとして、[ユーザー - 編集または作成] アクセス許可を持つユーザーの数を制限することをお勧めします。

• を使用して AWS CloudTrail、 のリクエストとレスポンスをログに記録しますUpdateUserIdentityInfo。これにより、ユーザー情報に行われた変更を追跡できます。UpdateUserIdentityInfo API を呼び出すことができるユーザーは、ユーザーの E メールアドレスを攻撃者が所有する電子メールアドレスに変更し、E メールでパスワードをリセットできます。

• 継承されたアクセス許可について

  一部のセキュリティプロファイルには、継承されたアクセス許可が含まれています。1 つのオブジェクトに専用のアクセス許可を割り当てると、デフォルトでサブオブジェクトにもアクセス許可が付与されます。例えば、ユーザーを編集できる専用のアクセス許可を付与すると、Amazon Connect インスタンスのすべてのセキュリティプロファイルを一覧表示できるアクセス許可も付与されます。ユーザーを編集するためには、セキュリティプロファイルのドロップダウンリストへのアクセスも必要であるためです。

  セキュリティプロファイルを割り当てる前に、継承されたアクセス許可のリストを確認してください。

• アクセスコントロールタグをセキュリティプロファイルに適用する前に、その意味を理解してください。アクセスコントロールタグの適用は、Amazon Connect がサポートする高度な設定機能で、 AWS 責任共有モデルに従います。必ずドキュメントを読み、詳細なアクセス許可設定を適用した場合の影響を理解してください。詳細については、「AWS 責任共有モデル」を参照してください。

• 録音にアクセスしたユーザーを追跡する

  [Analytics and Optimization] (分析と最適化) 許可グループで、録音した通話のダウンロードアイコンを有効にできます。このグループのメンバーが [Analytics and Optimization] (分析と最適化)、[Contact search] (問い合わせの検索) の順に選択してから問い合わせを検索すると、録音をダウンロードするためのアイコンが表示されます。

  重要

  この設定はセキュリティ機能ではありません。このアクセス許可を持っていないユーザーでも、検出される可能性が低い他の方法で録音をダウンロードできる場合があります。

  組織内の誰が録音にアクセスしているかを追跡することをお勧めします。