翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Connect で IAM が機能する仕組み
<a name="security_iam_service-with-iam"></a>

IAM を使用して Amazon Connect へのアクセスを管理する前に、Amazon Connect で利用可能な IAM 機能について理解しておく必要があります。Amazon Connect およびその他の AWS のサービスが IAM と連携する方法の概要については、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。

**Topics**
+ [Amazon Connect での ID ベースのポリシー](#security_iam_service-with-iam-id-based-policies)
+ [Amazon Connect タグに基づく認可](#security_iam_service-with-iam-tags)
+ [Amazon Connect での IAM ロール](#security_iam_service-with-iam-roles)

## Amazon Connect での ID ベースのポリシー
<a name="security_iam_service-with-iam-id-based-policies"></a>

IAM アイデンティティベースのポリシーでは許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。Amazon Connect では、特定のアクション、リソース、および条件キーがサポートされます。JSON ポリシーで使用するすべての要素については、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。

### アクション
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。

JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。

Amazon Connect のポリシーアクションでは、アクション `connect:` の前に、次のプレフィックスを付加します。ポリシーステートメントには`Action` または `NotAction` 要素を含める必要があります。Amazon Connect は、このサービスで実行できるタスクを記述する独自のアクションのセットを定義します。

単一のステートメントに複数のアクションを指定するには次のようにコンマで区切ります。

```
"Action": [
      "connect:action1",
      "connect:action2"
```

ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`Describe` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。

```
"Action": "connect:Describe*"
```

Amazon Connect アクションのリストを表示するには、「[Amazon Connect のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html)」を参照してください。

### リソース
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

Amazon Connect では、リソースレベルの (IAM ポリシーでリソース ARN を指定する) アクセス許可がサポートされます。Amazon Connect リソースのリストを以下に示します。
+ インスタンス
+ 問い合わせ
+ ユーザー
+ ルーティングプロファイル
+ セキュリティプロファイル
+ 階層グループ
+ [キュー]
+ システム
+ フロー
+ オペレーション時間
+ Phone number (電話番号)
+ タスクテンプレート
+ 顧客プロファイルのドメイン
+ 顧客プロファイルでのオブジェクトタイプ
+ アウトバウンドキャンペーン

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。

`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。

```
"Resource": "*"
```

Amazon Connect インスタンスのリソースには次のような ARN があります。

```
arn:${Partition}:connect:${Region}:${Account}:instance/${InstanceId}
```

ARN の形式の詳細については、[「Amazon リソースネーム (ARNs AWS 「サービス名前空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。

例えば、ステートメントで `i-1234567890abcdef0` インスタンスを指定するには、次の ARN を使用します。

```
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/i-1234567890abcdef0"
```

特定のアカウントに属するすべてのインスタンスを指定するには、ワイルドカード (\$1) を使用します。

```
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/*"
```

リソースの作成用など、一部の Amazon Connect アクションは、特定のリソースでの実行はできません。このような場合はワイルドカード \$1を使用する必要があります。

```
"Resource": "*"
```

Amazon Connect API アクションの多くが複数のリソースと関連します。以下に例を挙げます。

複数リソースを単一ステートメントで指定するには、ARN をカンマで区切ります。

```
"Resource": [
      "resource1",
      "resource2"
```

Amazon Connect のリソースタイプと対応する ARN のリストについては、「[Amazon Connect のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html)」を参照してください。同じ記事で、各リソースの ARN を指定できるアクションについても説明します。

### 条件キー
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。

`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。

Amazon Connect は条件キーのセットを独自に定義しており、同時に、一部のグローバル条件キーの使用もサポートしています。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。

すべての Amazon EC2 アクションは `aws:RequestedRegion` および `ec2:Region` 条件キーをサポートします。詳細については、「[例: 特定のリージョンへのアクセスの制限](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region)」を参照してください。

Amazon Connect の条件キーのリストについては、「[Amazon Connect のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html)」を参照してください。

### 例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>

Amazon Connect での ID ベースのポリシー例については、「[Amazon Connect の ID ベースのポリシー例](security_iam_id-based-policy-examples.md)」を参照してください。

## Amazon Connect タグに基づく認可
<a name="security_iam_service-with-iam-tags"></a>

Amazon Connect リソースにタグをアタッチしたり、リクエストを通じてタグを Amazon Connect に渡したりできます。タグに基づいてアクセスを管理するには、`connect:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。

リソースのタグに基づいてリソースへのアクセスを制限するためのアイデンティティベースポリシーの例を表示するには、「[タグに基づいて、Amazon Connect ユーザーの詳細表示および更新を行う](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-widget-tags)」を参照してください。

## Amazon Connect での IAM ロール
<a name="security_iam_service-with-iam-roles"></a>

[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、特定のアクセス許可を持つ AWS アカウント内のエンティティです。

### Amazon Connect での一時的な認証情報の使用
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

一時的な認証情報を使用して、フェデレーションでサインインする、IAM 役割を引き受ける、またはクロスアカウント役割を引き受けることができます。一時的なセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) や [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS STS API オペレーションを呼び出します。

Amazon Connect では、一時的な認証情報の使用をサポートしています。

### サービスリンクロール
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用すると、 AWS サービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。

Amazon Connect では、サービスにリンクされたロールが使用できます。Amazon Connect でのサービスにリンクされたロールの作成または管理の詳細については、「[Amazon Connect のサービスにリンクされたロールとロールのアクセス許可](connect-slr.md)」を参照してください。

### Amazon Connect での IAM ロールの選択
<a name="security_iam_service-with-iam-roles-choose"></a>

Amazon Connect でリソースを作成する場合、ユーザーに代わり Amazon Connect が Amazon EC2 にアクセスすることを許可するロールを選択する必要があります。サービスロールあるいはサービスにリンクされたロールを以前に作成している場合、Amazon Connect は選択できるロールを一覧表示します。Amazon EC2 インスタンスの起動と停止のためのアクセスを、許可するロールを選択することが重要です。