Amazon Connect のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

Amazon Connect のアクション、リソース、および条件キー

Amazon Connect (サービスプレフィックス: connect) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

Amazon Connect で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AssociateApprovedOrigin 既存の Amazon Connect インスタンスに承認済みオリジンを関連付ける権限を付与します。関連付けられた必要なアクションによって、インスタンスの設定を変更する権限が付与されます。 書き込み

instance*

AssociateInstanceStorageConfig 既存の Amazon Connect インスタンスにインスタンスストレージを関連付ける権限を付与します。関連付けられた必要なアクションによって、インスタンスの設定を変更する権限が付与されます。 書き込み

instance*

ds:DescribeDirectories

firehose:DescribeDeliveryStream

iam:AttachRolePolicy

iam:CreateServiceLinkedRole

iam:PutRolePolicy

kinesis:DescribeStream

kms:CreateGrant

kms:DescribeKey

s3:GetBucketAcl

s3:GetBucketLocation

connect:StorageResourceType

AssociateLambdaFunction 既存の Amazon Connect インスタンスに Lambda 関数を関連付ける権限を付与します。関連付けられた必要なアクションによって、インスタンスの設定を変更する権限が付与されます。 書き込み

instance*

lambda:AddPermission

AssociateLexBot 既存の Amazon Connect インスタンスに Lex ボットを関連付ける権限を付与します。関連付けられた必要なアクションによって、インスタンスの設定を変更する権限が付与されます。 書き込み

instance*

iam:AttachRolePolicy

iam:CreateServiceLinkedRole

iam:PutRolePolicy

lex:GetBot

AssociateQueueQuickConnects Amazon Connect インスタンスのキューにクイック接続を関連付けるアクセス許可を付与する 書き込み

queue*

quick-connect*

aws:ResourceTag/${TagKey}

AssociateRoutingProfileQueues Amazon Connect インスタンスでルーティングプロファイルとキューを関連付けるアクセス許可を付与する 書き込み

queue*

routing-profile*

aws:ResourceTag/${TagKey}

AssociateSecurityKey 既存の Amazon Connect インスタンスにセキュリティキーを関連付ける権限を付与します。関連付けられた必要なアクションによって、インスタンスの設定を変更する権限が付与されます。 書き込み

instance*

CreateContactFlow Amazon Connect インスタンスで問い合わせフローを作成するアクセス許可を付与する 書き込み

contact-flow*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateInstance 新しい Amazon Connect インスタンスを作成するアクセス許可を付与します。関連付けられた必要なアクションによって、インスタンス設定を構成するアクセス許可が付与されます。 書き込み

ds:AuthorizeApplication

ds:CheckAlias

ds:CreateAlias

ds:CreateDirectory

ds:CreateIdentityPoolDirectory

ds:DeleteDirectory

ds:DescribeDirectories

ds:UnauthorizeApplication

iam:AttachRolePolicy

iam:CreateServiceLinkedRole

iam:PutRolePolicy

CreateQueue Amazon Connect インスタンスでキューを作成するアクセス許可を付与する 書き込み

hours-of-operation*

queue*

contact-flow

phone-number

quick-connect

aws:RequestTag/${TagKey}

aws:TagKeys

CreateQuickConnect Amazon Connect インスタンス内でクイック接続を作成するアクセス許可を付与する 書き込み

quick-connect*

contact-flow

queue

user

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRoutingProfile Amazon Connect インスタンスでルーティングプロファイルを作成するアクセス許可を付与する 書き込み

queue*

routing-profile*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateUser 指定された Amazon Connect インスタンスのユーザーを作成するアクセス許可を付与する 書き込み

routing-profile*

security-profile*

user*

hierarchy-group

aws:RequestTag/${TagKey}

aws:TagKeys

CreateUserHierarchyGroup Amazon Connect インスタンス内のユーザー階層グループを更新するアクセス許可を付与する 書き込み

hierarchy-group

DeleteInstance Amazon Connect インスタンスを削除するアクセス許可を付与します。インスタンスを削除すると、既存の AWS ディレクトリへのリンクも削除されます。 書き込み

instance*

ds:DeleteDirectory

ds:DescribeDirectories

ds:UnauthorizeApplication

DeleteQuickConnect Amazon Connect インスタンス内でクイック接続を削除するアクセス許可を付与する 書き込み

quick-connect*

aws:ResourceTag/${TagKey}

DeleteUser Amazon Connect インスタンスのユーザーを削除するアクセス許可を付与する 書き込み

user*

aws:ResourceTag/${TagKey}

DeleteUserHierarchyGroup Amazon Connect インスタンス内のユーザー階層グループを削除するアクセス許可を付与する 書き込み

hierarchy-group*

DescribeContactFlow Amazon Connect インスタンスで問い合わせフローの説明を定義するアクセス許可を付与する Read

contact-flow*

aws:ResourceTag/${TagKey}

DescribeHoursOfOperation Amazon Connect インスタンスでの運用時間を記述するアクセス許可を付与する Read

hours-of-operation*

DescribeInstance Amazon Connect インスタンスの詳細を表示するアクセス許可を付与します。インスタンスを作成するために必要です。 Read

instance*

ds:DescribeDirectories

DescribeInstanceAttribute 既存の Amazon Connect インスタンスの属性の詳細を表示するアクセス許可を付与する Read

instance*

connect:AttributeType

DescribeInstanceStorageConfig 既存の Amazon Connect インスタンスのインスタンスストレージ設定を表示するアクセス許可を付与する Read

instance*

connect:StorageResourceType

DescribeQueue Amazon Connect インスタンスのキューを説明するアクセス許可を付与する Read

queue*

aws:ResourceTag/${TagKey}

DescribeQuickConnect Amazon Connect インスタンス内でクイック接続を記述するアクセス許可を付与する Read

quick-connect*

aws:ResourceTag/${TagKey}

DescribeRoutingProfile Amazon Connect インスタンスでルーティングプロファイルの説明を定義するアクセス許可を付与する Read

routing-profile*

aws:ResourceTag/${TagKey}

DescribeUser Amazon Connect インスタンスのユーザーを説明するアクセス許可を付与する Read

user*

aws:ResourceTag/${TagKey}

DescribeUserHierarchyGroup Amazon Connect インスタンスの階層グループを説明するアクセス許可を付与する Read

hierarchy-group*

DescribeUserHierarchyStructure Amazon Connect インスタンスの階層構造を説明するアクセス許可を付与する Read

instance*

DisassociateApprovedOrigin 既存の Amazon Connect インスタンスについて承認住みオリジンの関連付けを解除する権限を付与します。関連付けられた必要なアクションによって、インスタンスの設定を変更する権限が付与されます。 書き込み

instance*

DisassociateInstanceStorageConfig 既存の Amazon Connect インスタンスについてインスタンスストレージの関連付けを解除する権限を付与します。関連付けられた必要なアクションによって、インスタンスの設定を変更する権限が付与されます。 書き込み

instance*

connect:StorageResourceType

DisassociateLambdaFunction 既存の Amazon Connect インスタンスについて Lambda 関数の関連付けを解除する権限を付与します。関連付けられた必要なアクションによって、インスタンスの設定を変更する権限が付与されます。 書き込み

instance*

lambda:RemovePermission

DisassociateLexBot 既存の Amazon Connect インスタンスについて Lex ボットの関連付けを解除する権限を付与します。関連付けられた必要なアクションによって、インスタンスの設定を変更する権限が付与されます。 書き込み

instance*

iam:AttachRolePolicy

iam:CreateServiceLinkedRole

iam:PutRolePolicy

DisassociateQueueQuickConnects Amazon Connect インスタンスのキューからクイック接続の関連付けを解除するアクセス許可を付与する 書き込み

queue*

quick-connect*

aws:ResourceTag/${TagKey}

DisassociateRoutingProfileQueues Amazon Connect インスタンスでルーティングプロファイルからキューの関連付けを解除するアクセス許可を付与する 書き込み

routing-profile*

aws:ResourceTag/${TagKey}

DisassociateSecurityKey 既存の Amazon Connect インスタンスについてセキュリティキーの関連付けを解除する権限を付与します。関連付けられた必要なアクションによって、インスタンスの設定を変更する権限が付与されます。 書き込み

instance*

GetContactAttributes 指定した連絡先の連絡先属性を取得するアクセス許可を付与する Read

contact*

GetCurrentMetricData Amazon Connect インスタンスのキューの現在のメトリクスデータを取得するアクセス許可を付与します。 Read

queue*

GetFederationToken アイデンティティ管理に SAML ベースの認証を使用するときに、Amazon Connect インスタンスにフェデレーションするためのアクセス許可を付与する Read

instance*

connect:InstanceId

GetFederationTokens Amazon Connect インスタンスにフェデレーションするアクセス許可を付与します (Amazon Connect コンソールで緊急アクセス機能のためにログインします) 書き込み

instance*

connect:DescribeInstance

connect:ListInstances

ds:DescribeDirectories

GetMetricData Amazon Connect インスタンスのキューの履歴メトリクスデータを取得するアクセス許可を付与します。 Read

queue*

ListApprovedOrigins 既存の Amazon Connect インスタンスの承認済みオリジンを表示するアクセス許可を付与する リスト

instance*

ListContactFlows Amazon Connect インスタンスの問い合わせフローリソースをリストするアクセス許可を付与します リスト

instance*

ListHoursOfOperations Amazon Connect インスタンスのオペレーションリソースの時間をリストするアクセス許可を付与します リスト

instance*

ListInstanceAttributes 既存の Amazon Connect インスタンスの属性を表示するアクセス許可を付与する リスト

instance*

ListInstanceStorageConfigs 既存の Amazon Connect インスタンスのストレージ設定を表示するアクセス許可を付与する リスト

instance*

ListInstances AWS アカウントに関連付けられた Amazon Connect インスタンスを表示するアクセス許可を付与する リスト

ds:DescribeDirectories

ListLambdaFunctions 既存の Amazon Connect インスタンスの Lambda 関数を表示するアクセス許可を付与する リスト

instance*

ListLexBots 既存の Amazon Connect インスタンスの Lex ボットを表示するアクセス許可を付与する リスト

instance*

ListPhoneNumbers Amazon Connect インスタンスの電話番号リソースをリストするアクセス許可を付与します リスト

instance*

ListPrompts Amazon Connect インスタンスでプロンプトリソースを一覧表示するアクセス許可を付与する リスト

instance*

ListQueueQuickConnects Amazon Connect インスタンスのキューにあるクイック接続リソースを一覧表示するアクセス許可を付与する リスト

queue*

aws:ResourceTag/${TagKey}

ListQueues Amazon Connect インスタンスのキューリソースをリストするアクセス許可を付与します リスト

instance*

ListQuickConnects Amazon Connect インスタンス内のクイック接続リソースを一覧表示するアクセス許可を付与する リスト

instance*

ListRealtimeContactAnalysisSegments リアルタイム解析セッションの解析セグメントを一覧表示するためのアクセス権限を付与します Read

contact*

ListRoutingProfileQueues Amazon Connect インスタンスでルーティングプロファイルのキューリソースを一覧表示するアクセス許可を付与する リスト

routing-profile*

aws:ResourceTag/${TagKey}

ListRoutingProfiles Amazon Connect インスタンスのルーティンブプロファイルリソースを一覧表示するアクセス許可を付与する リスト

instance*

ListSecurityKeys 既存の Amazon Connect インスタンスのセキュリティキーを表示するアクセス許可を付与する リスト

instance*

ListSecurityProfiles Amazon Connect インスタンスのセキュリティプロファイルリソースを一覧表示するアクセス許可を付与する リスト

instance*

ListTagsForResource Amazon Connect リソースのタグを一覧表示するアクセス許可を付与する Read

contact-flow

queue

quick-connect

routing-profile

user

aws:ResourceTag/${TagKey}

ListUserHierarchyGroups Amazon Connect インスタンスの階層グループリソースを一覧表示するアクセス許可を付与する リスト

instance*

ListUsers Amazon Connect インスタンスのユーザーリソースを一覧表示するアクセス許可を付与する リスト

instance*

ResumeContactRecording 指定した連絡先の記録を再開するアクセス許可を付与する 書き込み

contact*

StartChatContact Amazon Connect API を使用してチャットを開始するアクセス許可を付与する 書き込み

contact-flow*

StartContactRecording 指定した連絡先の録音を開始するアクセス許可を付与する 書き込み

contact*

StartOutboundVoiceContact Amazon Connect API を使用してアウトバウンド呼び出しを開始するアクセス許可を付与する 書き込み

contact*

StartTaskContact Amazon Connect API を使用してタスクを開始するアクセス許可を付与する 書き込み

contact-flow*

StopContact Amazon Connect API を使用して開始された問い合わせを停止するアクセス許可を付与します。アクティブな問い合わせでこのオペレーションを使用した場合は、顧客とのコールでエージェントがアクティブであっても、問い合わせは終了します。 書き込み

contact*

StopContactRecording 指定した連絡先の記録を停止するアクセス許可を付与する 書き込み

contact*

SuspendContactRecording 指定した連絡先の記録を一時停止するアクセス許可を付与する 書き込み

contact*

TagResource Amazon Connect リソースにタグ付けするアクセス許可を付与する タグ付け

contact-flow

queue

quick-connect

routing-profile

user

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

UntagResource Amazon Connect リソースのタグを削除するアクセス許可を付与する タグ付け

contact-flow

queue

quick-connect

routing-profile

user

aws:TagKeys

aws:ResourceTag/${TagKey}

UpdateContactAttributes 指定した連絡先に関連付けられた連絡先属性を作成または更新するアクセス許可を付与する 書き込み

contact*

UpdateContactFlowContent Amazon Connect インスタンスで問い合わせフローの内容を更新するアクセス許可を付与する 書き込み

contact-flow*

aws:ResourceTag/${TagKey}

UpdateContactFlowName Amazon Connect インスタンスで問い合わせフローの名前と説明を更新するアクセス許可を付与する 書き込み

contact-flow*

aws:ResourceTag/${TagKey}

UpdateInstanceAttribute 既存の Amazon Connect インスタンスの属性を更新する権限を付与します。関連付けられた必要なアクションによって、インスタンスの設定を変更する権限が付与されます。 書き込み

instance*

ds:DescribeDirectories

iam:AttachRolePolicy

iam:CreateServiceLinkedRole

iam:PutRolePolicy

logs:CreateLogGroup

connect:AttributeType

UpdateInstanceStorageConfig 既存の Amazon Connect インスタンスのストレージ設定を更新する権限を付与します。関連付けられた必要なアクションによって、インスタンスの設定を変更する権限が付与されます。 書き込み

instance*

ds:DescribeDirectories

firehose:DescribeDeliveryStream

iam:AttachRolePolicy

iam:CreateServiceLinkedRole

iam:PutRolePolicy

kinesis:DescribeStream

kms:CreateGrant

kms:DescribeKey

s3:GetBucketAcl

s3:GetBucketLocation

connect:StorageResourceType

UpdateQueueHoursOfOperation Amazon Connect インスタンスでキューの稼働時間を更新するアクセス許可を付与する 書き込み

hours-of-operation*

queue*

aws:ResourceTag/${TagKey}

UpdateQueueMaxContacts Amazon Connect インスタンスのキュー容量を更新するアクセス許可を付与する 書き込み

queue*

aws:ResourceTag/${TagKey}

UpdateQueueName Amazon Connect インスタンス内のキューの名前と説明を更新するアクセス許可を付与する 書き込み

queue*

aws:ResourceTag/${TagKey}

UpdateQueueOutboundCallerConfig Amazon Connect インスタンスでキューアウトバウンド発信者の設定を更新するアクセス許可を付与する 書き込み

queue*

contact-flow

phone-number

aws:ResourceTag/${TagKey}

UpdateQueueStatus Amazon Connect インスタンスでキューステータスを更新するアクセス許可を付与する 書き込み

queue*

aws:ResourceTag/${TagKey}

UpdateQuickConnectConfig Amazon Connect インスタンス内のクイック接続の設定を更新するアクセス許可を付与する 書き込み

quick-connect*

contact-flow

queue

user

aws:ResourceTag/${TagKey}

UpdateQuickConnectName Amazon Connect インスタンス内のクイック接続の名前と説明を更新するアクセス許可を付与する 書き込み

quick-connect*

aws:ResourceTag/${TagKey}

UpdateRoutingProfileConcurrency Amazon Connect インスタンスでルーティングプロファイルの同時実行を更新するアクセス許可を付与する 書き込み

routing-profile*

aws:ResourceTag/${TagKey}

UpdateRoutingProfileDefaultOutboundQueue Amazon Connect インスタンスでルーティングプロファイルのアウトバウンドキューを更新するアクセス許可を付与する 書き込み

queue*

routing-profile*

aws:ResourceTag/${TagKey}

UpdateRoutingProfileName Amazon Connect インスタンスでルーティングプロファイルの名前と説明を更新するアクセス許可を付与する 書き込み

routing-profile*

aws:ResourceTag/${TagKey}

UpdateRoutingProfileQueues Amazon Connect インスタンスでルーティングプロファイルのキューを更新するアクセス許可を付与する 書き込み

routing-profile*

aws:ResourceTag/${TagKey}

UpdateUserHierarchy Amazon Connect インスタンスのユーザーの階層グループを更新するアクセス許可を付与する 書き込み

user*

hierarchy-group

aws:ResourceTag/${TagKey}

UpdateUserHierarchyGroupName Amazon Connect インスタンス内のユーザー階層グループ名を更新するアクセス許可を付与する 書き込み

hierarchy-group*

UpdateUserHierarchyStructure Amazon Connect インスタンス内のユーザー階層構造を更新するアクセス許可を付与する 書き込み

instance*

UpdateUserIdentityInfo Amazon Connect インスタンスのユーザーの ID 情報を更新するアクセス許可を付与する 書き込み

user*

aws:ResourceTag/${TagKey}

UpdateUserPhoneConfig Amazon Connect インスタンスのユーザーの電話設定を更新するアクセス許可を付与する 書き込み

user*

aws:ResourceTag/${TagKey}

UpdateUserRoutingProfile Amazon Connect インスタンスのユーザーのルーティングプロファイルを更新するアクセス許可を付与する 書き込み

routing-profile*

user*

aws:ResourceTag/${TagKey}

UpdateUserSecurityProfiles Amazon Connect インスタンスのユーザーのセキュリティプロファイルを更新するアクセス許可を付与する 書き込み

security-profile*

user*

aws:ResourceTag/${TagKey}

Amazon Connect で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
instance arn:${Partition}:connect:${Region}:${Account}:instance/${InstanceId}
contact arn:${Partition}:connect:${Region}:${Account}:instance/${InstanceId}/contact/${ContactId}
user arn:${Partition}:connect:${Region}:${Account}:instance/${InstanceId}/agent/${UserId}

aws:ResourceTag/${TagKey}

routing-profile arn:${Partition}:connect:${Region}:${Account}:instance/${InstanceId}/routing-profile/${RoutingProfileId}

aws:ResourceTag/${TagKey}

security-profile arn:${Partition}:connect:${Region}:${Account}:instance/${InstanceId}/security-profile/${SecurityProfileId}
hierarchy-group arn:${Partition}:connect:${Region}:${Account}:instance/${InstanceId}/agent-group/${HierarchyGroupId}
queue arn:${Partition}:connect:${Region}:${Account}:instance/${InstanceId}/queue/${QueueId}

aws:ResourceTag/${TagKey}

quick-connect arn:${Partition}:connect:${Region}:${Account}:instance/${InstanceId}/transfer-destination/${QuickConnectId}

aws:ResourceTag/${TagKey}

contact-flow arn:${Partition}:connect:${Region}:${Account}:instance/${InstanceId}/contact-flow/${ContactFlowId}

aws:ResourceTag/${TagKey}

hours-of-operation arn:${Partition}:connect:${Region}:${Account}:instance/${InstanceId}/operating-hours/${HoursOfOperationId}
phone-number arn:${Partition}:connect:${Region}:${Account}:instance/${InstanceId}/phone-numbers/${PhoneNumberId}

Amazon Connect の条件キー

Amazon Connect では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアのプレゼンスに基づいてアクションをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグキーと値のペアに基づいてアクションをフィルタリングします 文字列
aws:TagKeys リクエスト内のタグキーのプレゼンスに基づいてアクションをフィルタリングします 文字列
connect:AttributeType Amazon Connect インスタンスの属性タイプによってアクセスをフィルタリングする 文字列
connect:InstanceId 指定された Amazon Connect インスタンスにフェデレーションを制限することによってアクセスをフィルタリングする 文字列
connect:StorageResourceType Amazon Connect インスタンスストレージ設定のストレージリソースタイプを制限することによってアクセスをフィルタリングする 文字列