翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Connect のサービスにリンクされたロールとロールのアクセス許可
## サービスにリンクされたロール (SLR) とは何ですか。また、SLR が重要なのはなぜですか。
Amazon Connect は AWS Identity and Access Management (IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、Amazon Connect インスタンスに直接リンクされた固有のタイプの IAM ロールです。
サービスにリンクされたロールは Amazon Connect によって事前定義されており、Amazon Connect がユーザーに代わって他の AWS サービスを呼び出すために必要な[すべてのアクセス許可](#slr-permissions)が含まれています。
Amazon Connect の新機能 (タグ付けのサポート、**ユーザー管理**および**ルーティングプロファイル**の新しいユーザーインターフェイス) を使用するには、サービスにリンクされたロールを有効にする必要があります。
サービスにリンクされたロールをサポートするその他のサービスの詳細については、「[IAM と連携するAWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照の上、**[Service-Linked Role]** (サービスにリンクされたロール) 列が **[Yes]** (はい) になっているサービスを検索してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには **[Yes]** (はい) リンクを選択します。
## Amazon Connect でのサービスにリンクされたロールのアクセス許可
Amazon Connect は、**AWSServiceRoleForAmazonConnect**\$1*unique-id* というプレフィックスが付いたサービスにリンクされたロールを使用します。ユーザーに代わって AWS リソースにアクセスするアクセス許可を Amazon Connect に付与します。
AWSServiceRoleForAmazonConnect をプレフィックスとする、サービスにリンクされたロールは、以下のサービスを信頼してロールを引き受けます。
+ `connect.amazonaws.com`
[AmazonConnectServiceLinkedRolePolicy](https://docs.aws.amazon.com/connect/latest/adminguide/security_iam_awsmanpol.html#amazonconnectservicelinkedrolepolicy) ロールアクセス許可ポリシーは、Amazon Connect に、指定されたリソースに対して次のアクションを実行することを許可します。
+ アクション:すべての Amazon Connect リソースに対するすべての Amazon Connect アクション `connect:*`。
+ アクション: IAM `iam:DeleteRole` は、サービスにリンクされたロールの削除を許可します。
+ アクション: 録音した会話のために指定された S3 バケット向けの Amazon S3 `s3:GetObject`、`s3:DeleteObject`、`s3:GetBucketLocation`、`GetBucketAcl`。
`s3:PutObject`、`s3:PutObjectAcl`、`s3:GetObjectAcl` は、エクスポートされたレポートで指定されたバケットにも付与されます。
+ アクション: フローのログ記録用に指定した CloudWatch Logs グループに対する Amazon CloudWatch Logs の `logs:CreateLogStream`、`logs:DescribeLogStreams`、`logs:PutLogEvents`。
+ アクション:すべてのリージョンにわたってアカウントで作成したすべてのボットに対する Amazon Lex の `lex:ListBots`、`lex:ListBotAliases`。
+ アクション: Amazon Connect Customer Profiles
+ `profile:SearchProfiles`
+ `profile:CreateProfile`
+ `profile:UpdateProfile`
+ `profile:AddProfileKey`
+ `profile:ListProfileObjects`
+ `profile:ListAccountIntegrations`
+ `profile:ListProfileObjectTypeTemplates`
+ `profile:GetProfileObjectTypeTemplate`
+ `profile:ListProfileObjectTypes`
+ `profile:GetProfileObjectType`
+ `profile:ListCalculatedAttributeDefinitions`
+ `profile:GetCalculatedAttributeForProfile`
+ `profile:ListCalculatedAttributesForProfile`
+ `profile:GetDomain`
+ `profile:ListIntegrations`
+ `profile:GetIntegration`
+ `profile:PutIntegration`
+ `profile:DeleteIntegration`
+ `profile:CreateEventTrigger`
+ `profile:GetEventTrigger`
+ `profile:ListEventTriggers`
+ `profile:UpdateEventTrigger`
+ `profile:DeleteEventTrigger`
+ `profile:CreateCalculatedAttributeDefinition`
+ `profile:DeleteCalculatedAttributeDefinition`
+ `profile:GetCalculatedAttributeDefinition`
+ `profile:UpdateCalculatedAttributeDefinition`
+ `profile:PutProfileObject`
+ `profile:ListObjectTypeAttributes`
+ `profile:ListProfileAttributeValues`
+ `profile:BatchGetProfile`
+ `profile:BatchGetCalculatedAttributeForProfile`
+ `profile:ListSegmentDefinitions`
+ `profile:CreateSegmentDefinition`
+ `profile:GetSegmentDefinition`
+ `profile:DeleteSegmentDefinition`
+ `profile:CreateSegmentEstimate`
+ `profile:GetSegmentEstimate`
+ `profile:CreateSegmentSnapshot`
+ `profile:GetSegmentSnapshot`
+ `profile:GetSegmentMembership`
+ `profile:CreateDomainLayout`
+ `profile:UpdateDomainLayout`
+ `profile:DeleteDomainLayout`
+ `profile:GetDomainLayout`
+ `profile:ListDomainLayouts`
+ `profile:GetSimilarProfiles`
+ `profile:GetUploadJob`
+ `profile:GetUploadJobPath`
+ `profile:StartUploadJob`
+ `profile:StopUploadJob`
+ `profile:CreateUploadJob`
+ `profile:ListUploadJobs`
+ `profile:DetectProfileObjectType`
により、Amazon Connect のフローおよびエージェントエクスペリエンスアプリケーションで、デフォルトの Customer Profiles ドメイン (ドメインのプロファイルおよびすべてのオブジェクトタイプを含む) を使用します。
**注記**
各 Amazon Connect インスタンスは、一度に 1 つのドメインにのみ関連付けることができます。ただし、どんなドメインでも Amazon Connect インスタンスにリンクすることができます。同じ AWS アカウントとリージョン内のクロスドメインアクセスは、`amazon-connect-` のプレフィックスで始まるすべてのドメインで自動的に有効になります。クロスドメインアクセスを制限するには、別々の Amazon Connect インスタンスを使用してデータを論理的に分割するか、同じインスタンス内でも `amazon-connect-` のプレフィックスで始まらない Customer Profile ドメイン名を使用して、クロスドメインアクセスを防ぐことができます。
+ アクション: AI エージェントを接続する
+ `wisdom:CreateContent`
+ `wisdom:DeleteContent`
+ `wisdom:CreateKnowledgeBase`
+ `wisdom:GetAssistant`
+ `wisdom:GetKnowledgeBase`
+ `wisdom:GetContent`
+ `wisdom:GetRecommendations`
+ `wisdom:GetSession`
+ `wisdom:NotifyRecommendationsReceived`
+ `wisdom:QueryAssistant`
+ `wisdom:StartContentUpload`
+ `wisdom:UntagResource`
+ `wisdom:TagResource`
+ `wisdom:CreateSession`
+ `wisdom:CreateQuickResponse`
+ `wisdom:GetQuickResponse`
+ `wisdom:SearchQuickResponses`
+ `wisdom:StartImportJob`
+ `wisdom:GetImportJob`
+ `wisdom:ListImportJobs`
+ `wisdom:ListQuickResponses`
+ `wisdom:UpdateQuickResponse`
+ `wisdom:DeleteQuickResponse`
+ `wisdom:PutFeedback`
+ `wisdom:ListContentAssociations`
+ `wisdom:CreateMessageTemplate`
+ `wisdom:UpdateMessageTemplate`
+ `wisdom:UpdateMessageTemplateMetadata`
+ `wisdom:GetMessageTemplate`
+ `wisdom:DeleteMessageTemplate`
+ `wisdom:ListMessageTemplates`
+ `wisdom:SearchMessageTemplates`
+ `wisdom:ActivateMessageTemplate`
+ `wisdom:DeactivateMessageTemplate`
+ `wisdom:CreateMessageTemplateVersion`
+ `wisdom:ListMessageTemplateVersions`
+ `wisdom:CreateMessageTemplateAttachment`
+ `wisdom:DeleteMessageTemplateAttachment`
+ `wisdom:RenderMessageTemplate`
+ `wisdom:CreateAIAgent`
+ `wisdom:CreateAIAgentVersion`
+ `wisdom:DeleteAIAgent`
+ `wisdom:DeleteAIAgentVersion`
+ `wisdom:UpdateAIAgent`
+ `wisdom:UpdateAssistantAIAgent`
+ `wisdom:RemoveAssistantAIAgent`
+ `wisdom:GetAIAgent`
+ `wisdom:ListAIAgents`
+ `wisdom:ListAIAgentVersions`
+ `wisdom:CreateAIPrompt`
+ `wisdom:CreateAIPromptVersion`
+ `wisdom:DeleteAIPrompt`
+ `wisdom:DeleteAIPromptVersion`
+ `wisdom:UpdateAIPrompt`
+ `wisdom:GetAIPrompt`
+ `wisdom:ListAIPrompts`
+ `wisdom:ListAIPromptVersions`
+ `wisdom:CreateAIGuardrail`
+ `wisdom:CreateAIGuardrailVersion`
+ `wisdom:DeleteAIGuardrail`
+ `wisdom:DeleteAIGuardrailVersion`
+ `wisdom:UpdateAIGuardrail`
+ `wisdom:GetAIGuardrail`
+ `wisdom:ListAIGuardrails`
+ `wisdom:ListAIGuardrailVersions`
+ `wisdom:CreateAssistant`
+ `wisdom:ListTagsForResource`
+ `wisdom:SendMessage`
+ `wisdom:GetNextMessage`
+ `wisdom:ListMessages`
+ `wisdom:Retrieve`
+ `wisdom:ListAssistantAssociations`
Amazon Connect インスタンスに関連付けられたすべての Amazon Connect AI エージェントリソース`'AmazonConnectEnabled':'True'`のリソースタグ。
+ `wisdom:ListAssistants`
+ `wisdom:KnowledgeBases`
すべての Connect AI エージェントリソースの 。
+ アクション: インスタンスの Amazon Connect 使用状況メトリクスをアカウントに公開するための Amazon CloudWatch メトリクス `cloudwatch:PutMetricData`。
+ アクション: Amazon Pinpoint SMS と音声の `sms-voice:DescribePhoneNumbers` と `sms-voice:SendTextMessage` は、Amazon Connect に SMS の送信を許可します。
+ アクション: Amazon Pinpoint の `mobiletargeting:SendMessages` により、Amazon Connect はプッシュ通知を送信できます。
+ アクション: Amazon Connect のアクセスが `AmazonConnectEnabled` リソースタグを持つ Amazon Cognito ユーザープールのリソースに対する読み取り操作を選択できるようにする Amazon Cognito ユーザープール `cognito-idp:DescribeUserPool` と `cognito-idp:ListUserPoolClients`。
+ アクション: `'AmazonConnectEnabled':'True'` リソースタグを持つすべての Amazon Chime SDK Voice Connector のリソース上で、Amazon Connect の読み取りアクセスを許可する Amazon Chime SDK Voice Connector `chime:GetVoiceConnector`。
+ アクション: 全リージョンをまたぐアカウントで作成されたすべての Amazon Chime SDK Voice Connector のための Amazon Chime SDK Voice Connector `chime:ListVoiceConnectors`。
+ アクション: Amazon Connect Messaging WhatsApp 統合。次の AWS エンドユーザーメッセージングソーシャル API に Amazon Connect アクセス許可を付与します。 APIs
+ `social-messaging:SendWhatsAppMessage`
+ `social-messaging:PostWhatsAppMessageMedia`
+ `social-messaging:GetWhatsAppMessageMedia`
+ `social-messaging:GetLinkedWhatsAppBusinessAccountPhoneNumber`
Social API は、Amazon Connect で有効になっている電話番号リソースに制限されています。電話番号は、Amazon Connect インスタンスにインポートされる際 `AmazonConnectEnabled : True` でタグ付けされます。
+ アクション: Amazon Connect Messaging WhatsApp メッセージテンプレート統合。API を呼び出すアクセス許可を Amazon Connect に付与します。 AWS End User Messaging Social APIs AWS アカウントの WhatsApp ビジネスアカウントが一覧表示される場合があります。さらに、WhatsApp ビジネスアカウントのテンプレートが一覧表示され、WhatsApp ビジネスアカウントに `AmazonConnectEnabled: True` がタグ付けされている場合、テンプレートの詳細を取得できます。
+ `social-messaging:ListLinkedWhatsAppBusinessAccounts`
+ `social-messaging:GetWhatsAppMessageTemplate`
+ `social-messaging:ListWhatsAppMessageTemplates`
+ アクション: Amazon SES
+ `ses:DescribeReceiptRule`
+ `ses:UpdateReceiptRule`
すべての Amazon SES 受信ルール。E メールの送受信に使用されます。
+ `ses:DeleteEmailIdentity`: \$1*instance-alias*\$1.email.connect.aws SES ドメイン ID 用。Amazon Connect が提供する E メールドメイン管理に使用されます。
+ `ses:SendRawEmail`: Amazon Connect (configuration-set-for-connect-DO-NOT-DELETE) で提供される SES 設定を含む E メールの送信用。
+ `iam:PassRole`: Amazon SES で使用される `AmazonConnectEmailSESAccessRole` サービスロール用。Amazon SES 受信ルール管理については、Amazon SES は引き受けるロールを渡す必要があります。
+ アクション: Amazon Polly
+ `polly:ListLexicons`
+ `polly:DescribeVoices`
+ `polly:SynthesizeSpeech`
Amazon Connect で追加機能を有効にすると、インラインポリシーを使用してこのような追加機能に関連付けられたリソースにアクセスするためのサービスにリンクされたロールに次のアクセス許可が追加されます。
+ アクション: エージェントのイベントストリームとコンタクトレコードに定義した配信ストリームに対する Amazon Data Firehose の `firehose:DescribeDeliveryStream`、`firehose:PutRecord`、`firehose:PutRecordBatch`。
+ アクション: エージェントのイベントストリームと問い合わせレコードに指定したストリームに対する Amazon Kinesis Data Streams の `kinesis:PutRecord`、`kinesis:PutRecords`、`kinesis:DescribeStream`。
+ アクション: インスタンスに追加したボットに対する Amazon Lex の `lex:PostContent`。
+ アクション: インスタンスに関連付けた Voice ID ドメインに対する Amazon Connect Voice-ID の `voiceid:*`。
+ アクション: 関連付けた Voice ID ドメインに CTR レコードを公開するための Amazon Connect マネージドの EventBridge ルールに対する EventBridge の `events:PutRule` と `events:PutTargets`。
+ アクション: アウトバウンドキャンペーン
+ `connect-campaigns:CreateCampaign`
+ `connect-campaigns:DeleteCampaign`
+ `connect-campaigns:DescribeCampaign`
+ `connect-campaigns:UpdateCampaignName`
+ `connect-campaigns:GetCampaignState`
+ `connect-campaigns:GetCampaignStateBatch`
+ `connect-campaigns:ListCampaigns`
+ `connect-campaigns:UpdateOutboundCallConfig`
+ `connect-campaigns:UpdateDialerConfig`
+ `connect-campaigns:PauseCampaign`
+ `connect-campaigns:ResumeCampaign`
+ `connect-campaigns:StopCampaign`
アウトバウンドキャンペーンに関連するすべてのオペレーションが対象。
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールのアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## Amazon Connect のサービスにリンクされたロールを作成する
サービスリンクロールを手動で作成する必要はありません。で Amazon Connect に新しいインスタンスを作成すると AWS マネジメントコンソール、Amazon Connect によってサービスにリンクされたロールが作成されます。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。Amazon Connect で新しいインスタンスを作成する際に、Amazon Connect によってサービスにリンクされたロールが自動的に再作成されます。
また、IAM コンソールを使用して、**Amazon Connect - Full access** ユースケースにより、サービスにリンクされたロールを作成することもできます。IAM CLI または IAM API で、`connect.amazonaws.com` サービス名でサービスリンクロールを作成します。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。
## 2018 年 10 月より前に作成されたインスタンスの場合
**ヒント**
AWS アカウントの管理にサインインできない場合は、 AWS アカウントの管理者がわからない場合 ヘルプについては、[AWS アカウントのサインインの問題のトラブルシューティング](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html)を参照してください。
2018 年 10 月より前に作成された Amazon Connect インスタンスを使用している場合、サービスにリンクされたロールはセットアップされていません。サービスにリンクされたロールを作成するには、次の画像に示すように、**[アカウントの概要]** ページで、**[サービスにリンクされたロールの作成]** を選択します。
![\[[アカウントの概要] ページ、[サービスにリンクされたロールの作成] ボタン。\]](http://docs.aws.amazon.com/ja_jp/connect/latest/adminguide/images/slr-create-slr.png)
サービスにリンクされたロールの作成に必要な IAM アクセス許可の一覧については、「[カスタム IAM ポリシーを使用して Amazon Connect コンソールへのアクセスを管理するために必要なアクセス許可](security-iam-amazon-connect-permissions.md)」のトピックにある 「[概要ページ](security-iam-amazon-connect-permissions.md#overview-page)」を参照してください。
## 2025 年 1 月 31 日より前に作成され、データを暗号化するためにカスタマー KMS キーを使用して設定された Customer Profile ドメインの場合、Amazon Connect インスタンスに追加の KMS アクセス許可を付与する必要があります。
関連付けられた Customer Profile ドメインが 2025 年 1 月 31 日より前に作成され、ドメインが暗号化にカスタマーマネージド KMS キー (CMK) を使用して Connect インスタンスによる CMK の適用を有効にしている場合は、以下のアクションを実行します。
1. AWS マネジメントコンソールの Customer Profiles のページに移動して、Customer Profiles ドメインの AWS KMS キーを使用する Amazon Connect ためのインスタンスのサービスにリンクされたロール (SLR) Amazon Connectアクセス許可を付与し、**KMS アクセス許可の更新**を選択します。
![\[[KMS アクセス許可の更新] ボタンを選択して、Amazon Connect インスタンスのサービスリンクロールに KMS アクセス許可を付与します。\]](http://docs.aws.amazon.com/ja_jp/connect/latest/adminguide/images/kms-permissions-slr-1.png)
1. Amazon Connect Customer Profiles チームで[サポートチケット](https://support.console.aws.amazon.com/support)を作成し、アカウントの CMK アクセス許可の適用をリクエストします。
Amazon Connect インスタンスを更新する IAM アクセス許可のリストについては、 のカスタム IAM ポリシーに必要なアクセス許可を参照してください[顧客プロファイルページ](security-iam-amazon-connect-permissions.md#customer-profiles-page)。
## Amazon Connect のサービスにリンクされたロールを編集する
Amazon Connect では、AWSServiceRoleForAmazonConnect をプレフィックスとする、サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## サービスにリンクされたロールに Amazon Lex へのアクセス許可が付与されていることの確認
1. IAM コンソールのナビゲーションペインで、**[Roles]** (ロール) をクリックします。
1. 変更するロールの名前を選択します。
## Amazon Connect のサービスにリンクされたロールの削除
AWSServiceRoleForAmazonConnect をプレフィックスとするロールを手動で削除する必要はありません。で Amazon Connect インスタンスを削除すると AWS マネジメントコンソール、Amazon Connect はリソースをクリーンアップし、サービスにリンクされたロールを削除します。
## Amazon Connect のサービスにリンクされたロールがサポートされているリージョン
Amazon Connect は、このサービスが提供されているすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、「[AWS リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html#connect_region)」を参照してください。