翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# カスタム IAM ポリシーを使用して Amazon Connect Cases を管理するために必要なアクセス許可
<a name="required-permissions-iam-cases"></a>

カスタムの IAM ポリシーを使用して Amazon ConnectCases へのアクセスを管理している場合、ユーザーが実行する必要があるタスクに応じて、この記事に記載されているアクセス許可の一部またはすべてが必要です。

## Cases ドメインの詳細を表示する
<a name="view-cases-domain-iam"></a>

Amazon Connect コンソールで Cases ドメインの詳細を表示するための IAM アクセス許可をユーザーに付与するには、2 つの方法があります。

### オプション 1: 最低限必要な IAM アクセス許可
<a name="option1-view-cases-domain-iam"></a>

Amazon Connect コンソールで Cases ドメインの詳細を表示するには、ユーザーに次の IAM アクセス許可が必要です。
+ `connect:ListInstances`
+ `ds:DescribeDirectories`
+ `connect:ListIntegrationAssociations`
+ `cases:GetDomain`

これらのアクセス許可を持つ IAM ポリシーのサンプルを以下に示します。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowsViewingConnectConsole",
            "Effect": "Allow",
            "Action": [
                "connect:ListInstances",
                "ds:DescribeDirectories"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListIntegrationAssociations",
            "Effect": "Allow",
            "Action": [
                "connect:ListIntegrationAssociations"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CasesGetDomain",
            "Effect": "Allow",
            "Action": [
                "cases:GetDomain"
            ],
            "Resource": "*"
        }
    ]
}
```

------

次の点に注意してください。
+ リソース `*` には `cases:GetDomain` アクションが必要です。
+ `connect:ListIntegrationAssociations` アクションは `instance` リソースタイプをサポートしています。「[Amazon Connect で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html#amazonconnect-actions-as-permissions)」の表を参照してください。

### オプション 2: 既存の Amazon Connect ポリシーを `cases:GetDomain` と `profile:SearchProfiles` で更新する
<a name="option2-view-cases-domain-iam"></a>

次の例に示すように、[AmazonConnectReadOnlyAccess](security-iam-amazon-connect-permissions.md#amazonconnectreadonlyaccesspolicy) ポリシーを含めて、`cases:GetDomain` ポリシーを追加します。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CasesGetDomain",
            "Effect": "Allow",
            "Action": [
                "cases:GetDomain"
            ],
            "Resource": "*"
        }        
    ]
}
```

------

## Cases にオンボードする
<a name="onboard-cases-iam"></a>

Amazon Connect コンソールで Cases にオンボードする IAM アクセス許可をユーザーに付与するには、2 つの方法があります。

### オプション 1: 最低限必要な IAM アクセス許可
<a name="option1-onboard-cases-iam"></a>

Amazon Connect コンソールを使用して Cases にオンボードするには、ユーザーに次の IAM アクセス許可が必要です。
+ `connect:ListInstances`
+ `ds:DescribeDirectories`
+ `connect:ListIntegrationAssociations`
+ `cases:GetDomain`
+ `cases:CreateDomain`
+ `connect:CreateIntegrationAssociation`
+ `connect:DescribeInstance`
+ `iam:PutRolePolicy`
+ `profile:SearchProfiles`

これらのアクセス許可を持つ IAM ポリシーのサンプルを以下に示します。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowsViewingConnectConsole",
            "Effect": "Allow",
            "Action": [
                "connect:ListInstances",
                "ds:DescribeDirectories"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListIntegrationAssociations",
            "Effect": "Allow",
            "Action": [
                "connect:ListIntegrationAssociations"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CasesGetDomain",
            "Effect": "Allow",
            "Action": [
                "cases:GetDomain"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CasesCreateDomain",
            "Effect": "Allow",
            "Action": [
                "cases:CreateDomain"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateIntegrationAssociationsAndDependencies",
            "Effect": "Allow",
            "Action": [
                "connect:CreateIntegrationAssociation",
                "connect:DescribeInstance"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AttachAnyPolicyToAmazonConnectRole",
            "Effect": "Allow",
            "Action": "iam:PutRolePolicy",
            "Resource": "arn:aws:iam::*:role/aws-service-role/connect.amazonaws.com/AWSServiceRoleForAmazonConnect*"
        },
        {
            "Sid": "ProfileSearchProfiles",
            "Effect": "Allow",
            "Action": [
                "profile:SearchProfiles"
            ],
            "Resource": "*"
        }
    ]
}
```

------

次の点に注意してください。
+ リソース `*` には `cases:GetDomain` アクションが必要です。
+ 「[Amazon Connect のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html)」の情報を使用して、アクセス許可の範囲を特定の Amazon Connect タスクに限定できます。
+ `profile:SearchProfiles` アクションが必要なのは、`CreateCase` API が `SearchProfiles` API を呼び出して、検証対象の顧客プロファイルを検索し、そのプロファイルをケースに関連付けるためです。

### オプション 2: 既存のポリシーを組み合わせて使用する
<a name="option2-onboard-cases-iam"></a>

ポリシーは以下の組み合わせでも機能します。
+ **AmazonConnect\$1FullAccess** ポリシー
+ サービスにリンクされたロールを変更するための `iam:PutRolePolicy`。例については、[AWS マネージドポリシー: AmazonConnect\$1FullAccess ポリシー](security-iam-amazon-connect-permissions.md#amazonconnectfullaccesspolicy)を参照してください。
+ 次の IAM ポリシーは、以下のことを行います。

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "CasesGetDomain",
              "Effect": "Allow",
              "Action": [
                  "cases:GetDomain",
                  "cases:CreateDomain"
              ],
              "Resource": "*"
          },
          {
              "Sid": "ProfileSearchProfiles",
              "Effect": "Allow",
              "Action": [
                  "profile:SearchProfiles"
              ],
              "Resource": "*"
          }
      ]
  }
  ```

------