翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Connect でのタグベースのアクセスコントロール
タグベースのアクセスコントロールにより、割り当てられたリソースタグに基づいて特定のリソースへのアクセスをきめ細かく設定できます。タグベースのアクセスコントロールは、Amazon Connect コンソール (サポートされているリソースの場合) 内で API/SDK または を使用して設定できます。
API/ を使用したタグベースのアクセスコントロールSDK
タグを使用してAWSアカウント内のリソースへのアクセスを制御するには、IAMポリシーの条件要素にタグ情報を提供する必要があります。例えば、Voice ID ドメインに割り当てたタグに基づいてそのドメインへのアクセスをコントロールするには、aws:ResourceTag/key-name
条件キーを、ドメインにアタッチする必要があるタグキーと値のペアを指定する、StringEquals
などの特定の演算子と使用し、これにより必要なアクションを許可します。
タグベースのアクセスコントロールの詳細については、IAM「 ユーザーガイド」の「タグを使用したAWSリソースへのアクセスの制御」を参照してください。
Amazon Connect コンソールによるタグベースのアクセスコントロール
リソースタグは、リソースに追加して識別、整理、検索を容易にするための、カスタムなメタデータラベルです。Amazon Connect SDK/ を使用してプログラムでタグを適用できAPIs、特定のリソースには Amazon Connect コンソール内からタグを適用できます。リソースタグの詳細については、「Amazon Connect のリソースにタグを追加する」を参照してください。
アクセスコントロールタグは、同じキーと値構造を使用するという点でリソースタグと似ています。ただし、アクセスコントロールタグとの違いは、ユーザーのアクセスを制限する認証コントロールを、キーと値のペアが同じリソースタグを含む指定されたリソースにのみ導入することです。アクセスコントロールタグは、まず、アクセスをコントロールするリソース (ルーティングプロファイル、キュー、ユーザーなど) を選択し、次に照合するキーと値のペアを定義して、セキュリティプロファイル内で定義されます。アクセスコントロールタグ付きのセキュリティプロファイルをユーザーに適用すると、選択したリソースとアクセスコントロールタグ (キーと値) の定義された組み合わせに基づいてユーザーのアクセスが制限されます。アクセスコントロールタグを適用しなくても、アクセス許可を与えられていれば、ユーザーはすべてのリソースを見ることができます。
タグを使用して Amazon Connect インスタンスの管理ウェブサイト内のリソースへのアクセスをコントロールするには、特定のセキュリティプロファイルの中でアクセスコントロールセクションを設定する必要があります。例えば、割り当てたタグに基づいてルーティングプロファイルへのアクセスをコントロールするには、ルーティングプロファイルをアクセスコントロールリソースとして指定し、アクセスを有効にするタグキーと値のペアを指定します。
設定の制限
アクセスコントロールタグはセキュリティプロファイルで設定されます。単一のセキュリティプロファイルに追加できるアクセスコントロールタグは、最大 4 タグまでです。アクセスコントロールタグを追加すると、そのセキュリティプロファイルの制限が厳しくなります。例えば、Department:X
と Country:Y
など 2 つのアクセスコントロールタグを追加した場合、ユーザーには両方のタグを含むリソースしか表示されません。
ユーザーには、アクセスコントロールタグを含む最大 2 つのセキュリティプロファイルを割り当てることができます。アクセスコントロールタグを含む複数のセキュリティプロファイルを単一のユーザーに割り当てると、タグベースのアクセスコントロールの制限が緩和されます。例えば、Country:USA
などのアクセスコントロールタグを含むセキュリティプロファイルと、Country:Argentina
などのアクセスコントロールタグを含む別のセキュリティプロファイルがユーザーが割り当てられた場合、Country:USA
または Country:Argentina
のタグが付けられたリソースがユーザーに表示されます。追加するセキュリティプロファイルにタグが含まれていない限り、ユーザーにはさらにセキュリティプロファイルを割り当てることができます。複数のセキュリティプロファイルがあり、リソースのアクセス権限が重複しているシナリオの場合、タグベースのアクセスコントロールのないセキュリティプロファイルが、タグベースのアクセスコントロールのあるセキュリティプロファイルよりも優先的に適用されます。
リソースタグまたはアクセスコントロールタグを設定するには、サービスにリンクされたロールが必要です。インスタンスが 2018 年 10 月以降に作成された場合、Amazon Connect インスタンスでデフォルトで使用できます。ただし、これより古いインスタンスを使用している場合は、サービスにリンクされたロールを有効にする方法について、「Amazon Connect サービスにリンクされたロールを使用する」を参照してください。
タグベースのアクセスコントロールのベストプラクティス
タグベースのアクセスコントロールの適用は、Amazon Connect でサポートされ、責任 AWS 共有モデルに従う高度な設定機能です。必要な認可ニーズを満たすようにインスタンスを正しく設定していることを確認することが重要です。詳細については、「AWS 責任共有モデル
タグベースのアクセスコントロールを有効にするリソースについて、少なくとも[表示] アクセス権限が有効になっていることを確認します。これにより、アクセス要求が拒否される原因となるアクセス許可の不一致を避けることができます。
タグベースのアクセスコントロールはリソースレベルで有効になるため、各リソースについて個別にコントロールを設定できます。特定のユースケースではこれが許容される場合があるとはいえ、すべてのリソースへのタグベースのアクセスコントロールを一括して有効にすることが、ベストプラクティスであると考えられます。例えば、ユーザーへのアクセスを有効にしてセキュリティプロファイルには有効にしない場合、ユーザーは意図したユーザーアクセスコントロール設定よりも優先される権限を持つセキュリティプロファイルを作成できます。
タグベースのアクセスコントロールを適用した状態で Amazon Connect コンソールにログインすると、ユーザーは制限されているリソースの変更履歴ログにアクセスできなくなります。
Amazon Connect コンソールでタグベースのアクセスコントロールを適用する場合、次のリソースまたはモジュールへのアクセスを無効にしておくことが、ベストプラクティスです。これらのリソースへのアクセスを無効にしない場合、これらのページを表示する特定のリソースのタグベースのアクセスコントロールを持つユーザーには、ユーザー、セキュリティプロファイル、ルーティングプロファイル、キュー、フロー、またはフローモジュールの無制限のリストが表示されることがあります。アクセス許可を管理する方法の詳細については、「Amazon Connect のセキュリティプロファイルのアクセス許可のリスト」を参照してください。
モジュール |
アクセスを無効にするアクセス許可 |
---|---|
コンタクトの検索 |
コンタクトの検索 |
ダッシュボード |
メトリクスにアクセスする |
フロー |
フロー - 表示 |
フローモジュール |
フローモジュール - 表示 |
予測 |
予測 |
履歴変更/監査ポータル |
メトリクスにアクセスする |
オペレーション時間 |
オペレーション時間 - 表示 |
ログイン/ログアウトレポート |
ログイン/ログアウトレポート - 表示 |
アウトバウンドキャンペーン |
キャンペーン - 表示 |
プロンプト |
プロンプト - 表示 |
クイック接続 |
クイック接続 - 表示 |
ルール |
ルール - 表示 |
保存されたレポート |
保存されたレポート - 表示 |
スケジューリング |
スケジュールマネージャー |
スケジューリング |
公開されたスケジュールカレンダー |