タグベースのアクセスコントロール - Amazon Connect

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

タグベースのアクセスコントロール

タグベースのアクセスコントロールにより、割り当てられたリソースタグに基づいて特定のリソースへのアクセスをきめ細かく設定できます。タグベースのアクセスコントロールは、API/SDK を使用するか、(サポートされているリソースの場合は) Amazon Connect コンソールで設定できます。

API/SDK によるタグベースのアクセスコントロール

タグを使用して、AWS アカウント内のリソースへのアクセスを制御するには、IAM ポリシーの条件要素の中でタグ情報を指定する必要があります。例えば、Voice ID ドメインに割り当てたタグに基づいてそのドメインへのアクセスをコントロールするには、aws:ResourceTag/key-name 条件キーを、ドメインにアタッチする必要があるタグキーと値のペアを指定する、StringEquals などの特定の演算子と使用し、これにより必要なアクションを許可します。

タグベースのアクセスコントロールの詳細については、IAM ユーザーガイドの「タグを使用した AWS リソースへのアクセスの制御」を参照してください。

Amazon Connect コンソールによるタグベースのアクセスコントロール

リソースタグは、リソースに追加して識別、整理、検索を容易にするための、カスタムなメタデータラベルです。Amazon Connect SDK/API を使用してプログラムでタグを適用でき、特定のリソースについては、Amazon Connect コンソール内からタグを適用できます。リソースタグの詳細については、「Amazon Connect のリソースにタグ付けする」を参照してください。

アクセスコントロールタグは、同じキーと値構造を使用するという点でリソースタグと似ています。ただし、アクセスコントロールタグとの違いは、ユーザーのアクセスを、同じキーと値のペアを持つリソースタグを含む特定のリソースのみに制限する認証コントロールが導入されることです。アクセスコントロールタグは、まず、アクセスをコントロールするリソース (ルーティングプロファイル、キュー、ユーザーなど) を選択し、次に照合するキーと値のペアを定義して、セキュリティプロファイル内で定義されます。アクセスコントロールタグ付きのセキュリティプロファイルをユーザーに適用すると、選択したリソースとアクセスコントロールタグ (キーと値) の定義された組み合わせに基づいてユーザーのアクセスが制限されます。アクセスコントロールタグを適用しなくても、アクセス許可を与えられていれば、ユーザーはすべてのリソースを見ることができます。

タグを使用して Amazon Connect インスタンスの管理ウェブサイト内のリソースへのアクセスをコントロールするには、特定のセキュリティプロファイルの中でアクセスコントロールセクションを設定する必要があります。例えば、割り当てたタグに基づいてルーティングプロファイルへのアクセスをコントロールするには、ルーティングプロファイルをアクセスコントロールリソースとして指定し、アクセスを有効にするタグキーと値のペアを指定します。

設定の制限

アクセスコントロールタグはセキュリティプロファイルで設定されます。単一のセキュリティプロファイルに追加できるアクセスコントロールタグは、最大 4 タグまでです。アクセスコントロールタグを追加すると、そのセキュリティプロファイルの制限が厳しくなります。例えば、Department:XCountry:Y など 2 つのアクセスコントロールタグを追加した場合、ユーザーには両方のタグを含むリソースしか表示されません。

ユーザーには、アクセスコントロールタグを含む最大 2 つのセキュリティプロファイルを割り当てることができます。アクセスコントロールタグを含む複数のセキュリティプロファイルを単一のユーザーに割り当てると、タグベースのアクセスコントロールの制限が緩和されます。例えば、Country:USA などのアクセスコントロールタグを含むセキュリティプロファイルと、Country:Argentina などのアクセスコントロールタグを含む別のセキュリティプロファイルがユーザーが割り当てられた場合、Country:USA または Country:Argentina のタグが付けられたリソースがユーザーに表示されます。追加するセキュリティプロファイルにタグが含まれていない限り、ユーザーにはさらにセキュリティプロファイルを割り当てることができます。複数のセキュリティプロファイルがあり、リソースのアクセス権限が重複しているシナリオの場合、タグベースのアクセスコントロールのないセキュリティプロファイルが、タグベースのアクセスコントロールのあるセキュリティプロファイルよりも優先的に適用されます。

リソースタグまたはアクセスコントロールタグを設定するには、サービスにリンクされたロールが必要です。インスタンスが 2018 年 10 月以降に作成された場合、Amazon Connect インスタンスでデフォルトで使用できます。ただし、これより古いインスタンスを使用している場合は、サービスにリンクされたロールを有効にする方法について、「Amazon Connect サービスにリンクされたロールを使用する」を参照してください。

タグベースのアクセスコントロールのベストプラクティス

タグベースのアクセスコントロールの適用は、Amazon Connect でサポートされ、責任 AWS 共有モデルに従う高度な設定機能です。必要な認証ニーズを満たすようにインスタンスを正しく設定していることを確認することが重要です。詳細については、「AWS 責任共有モデル」を参照してください。

タグベースのアクセスコントロールを有効にするリソースについて、少なくとも[表示] アクセス権限が有効になっていることを確認します。これにより、アクセス要求が拒否される原因となるアクセス許可の不一致を避けることができます。

タグベースのアクセスコントロールはリソースレベルで有効になるため、各リソースについて個別にコントロールを設定できます。特定のユースケースではこれが許容される場合があるとはいえ、すべてのリソースへのタグベースのアクセスコントロールを一括して有効にすることが、ベストプラクティスであると考えられます。例えば、ユーザーへのアクセスを有効にしてセキュリティプロファイルには有効にしない場合、ユーザーは意図したユーザーアクセスコントロール設定よりも優先される権限を持つセキュリティプロファイルを作成できます。

タグベースのアクセスコントロールを適用した状態で Amazon Connect コンソールにログインすると、ユーザーは制限されているリソースの変更履歴ログにアクセスできなくなります。

Amazon Connect コンソールでタグベースのアクセスコントロールを適用する場合、次のリソースまたはモジュールへのアクセスを無効にしておくことが、ベストプラクティスです。これらのリソースへのアクセスを無効にしない場合、これらのページを表示する特定のリソースに対するタグベースのアクセスコントロールを持つユーザーには、ユーザー、セキュリティプロファイル、ルーティングプロファイル、キュー、フロー、またはフローモジュールの無制限のリストが表示されることがあります。アクセス許可を管理する方法の詳細については、「セキュリティプロファイル許可のリスト」を参照してください。

モジュール

アクセスを無効にするアクセス許可

コンタクトの検索

コンタクトの検索

ダッシュボード

メトリクスにアクセスする

フロー

フロー - 表示

フローモジュール

フローモジュール - 表示

予測

予測

履歴変更/監査ポータル

メトリクスにアクセスする

オペレーション時間

オペレーション時間 - 表示

ログイン/ログアウトレポート

ログイン/ログアウトレポート - 表示

アウトバウンドキャンペーン

キャンペーン - 表示

プロンプト

プロンプト - 表示

クイック接続

クイック接続 - 表示

ルール

ルール - 表示

保存されたレポート

保存されたレポート - 表示

スケジューリング

スケジュールマネージャー

スケジューリング

公開されたスケジュールカレンダー