リソースタグによる Amazon Connect のより細かいアクセスコントロールの実現

はじめに

今日の組織は、地域・業界、またビジネスニーズによって異なる、プライバシーや規制の課題に直面しています。これらのプライバシー規制を遵守するために、コンタクトセンターの管理者は、コンタクトセンター内で使用される機密リソースに対する最小アクセス権限の実装を頻繁に求められます。

Amazon Connect のタグベースのアクセスコントロールにより、Amazon Connect 管理コンソール内で Amazon Connect リソースに対するより細かいアクセスコントロールを有効にできるようになりました。タグは Key:Value のペアで、役割、チーム、事業部門、その他の基準によって、Amazon Connect リソースへのアクセスを管理、検索、フィルタリング、制御することができます。一例をあげると、タグベースのアクセスコントロールによって、ある管理者にすべてのエージェントを完全に管理するアクセス権を付与しつつ、別の管理者ロールでは管理者が所属するビジネスユニット内のエージェントの表示と管理のみに制限することができます。

この記事では、まず Amazon Connect 管理コンソールによるリソースタグ付けをサポートするようになった追加の Amazon Connect リソースについて説明します。その後、架空の会社 Octank 社の管理者が特定の Amazon Connect リソースにタグを設定し、タグベースのアクセスコントロールでそれらのリソースへの最小権限でのアクセスを設定する方法を示します。

このソリューションは、コンタクトセンターの管理者、マネージャー、コンプライアンス関係者、ビジネスプロセスアウトソーサー (BPO) などの第三者に以下のような利点をもたらします。

ビジネスニーズに基づいて、リソースを論理的にグループ分けした並べ替えやフィルタリング
機密情報 (PII など) の意図しない利害関係者への共有を防止

ソリューション概要

このソリューションを展開するため、以下の手順を実施します。

アクセスコントロールタグおよびリソースタグを特定のリソースに設定する
リソースタグとアクセスコントロールタグを自動的に設定する

リソースタグとタグベースのアクセスコントロールを設定する前に、Octank 社の社内情報ガバナンスと業務要件を以下に示します。

ユーザー、ルーティングプロファイル、キューへのアクセスを制限する、3つのコンタクトセンター管理者ロールを作成する
1. Country:Argentina のタグだけが付いたリソースにアクセスできるコンタクトセンターロール
2. BPO:Octank のタグだけが付いたリソースにアクセスできるコンタクトセンターロール
3. Country:Argentina および BPO:Octank 両方のタグが付いたリソースにアクセスできるコンタクトセンターロール

前提条件

このチュートリアルは、以下のリソースを理解し、アクセスできることを前提としています。

Amazon Connect の管理者アクセス権を持つ AWS アカウント
作成済みのAmazon Connect インスタンス
管理者権限 (Admin) のセキュリティプロファイルを持つ Amazon Connect ユーザー
AWS リソースのタグ付けに関する基本的な知識

タグ付けをサポートする Amazon Connect のリソース

Amazon Connect のリソースにタグを付ける既存の機能に加えて、Amazon Connect 管理コンソール内で設定するリソースにもタグを付けることができるようになりました。次の表は、管理コンソール内でタグをサポートするようになったリソースと、API/CLI レベルでタグをサポートしているリソースを示しています。

Amazon Connect リソース	Amazon Connect 管理コンソール内でのタグ付け可否	API/CLI 経由のタグ付け可否
User Management	可	可
Security Profiles	可	可
Routing Profiles	可	可
Queues	可	可
Flows	不可	可
Hierarchy Groups	不可	可
Hours of Operation	不可	可
Quick Connects	不可	可
Prompts	不可	可
Instances	不可	可
Task Templates	不可	可
Phone Numbers	不可	可
Traffic Distribution Groups	不可	可
Agent Status	不可	可

アクセスコントロールタグとリソースタグを設定するチュートリアル

最初のセクションでは、最初にアクセスコントロールタグとリソースタグを使用してセキュリティプロファイルを設定することで、Amazon Connect 管理コンソール内でリソースタグを設定する方法について説明します。次のセクションでは、ユーザー、キュー、ルーティングプロファイルのリソースタグを設定する手順について説明します。最後のセクションでは、サンプルユーザーを使用してアクセス制御されるさまざまなセキュリティプロファイルを変更およびテストして、より細かいアクセスコントロールを検証する方法について説明します。

アクセスコントロールタグとセキュリティープロファイルの設定

このセクションでは、より細かいアクセスコントロールを持つ 3 つのセキュリティプロファイルを作成して、Amazon Connect 管理コンソール内でセキュリティプロファイルに対してアクセスコントロールタグとリソースタグの両方を設定する方法について説明します。

Amazon Connect 管理コンソールに管理者権限のセキュリティプロファイルを持つユーザーでサインインします
ユーザーからセキュリティプロファイルを選択します
新しいセキュリティプロファイルの追加を選択します
名前と説明を入力します。ここではセキュリティプロファイルの名前を tagsecurityprofile1 とします。
セキュリティプロファイルのアクセス権限を選択します。下記画像のようにルーティングプロファイル、キュー、ユーザー、セキュリティプロファイルの各行で「すべて」を選択します

詳細オプションの表示をクリックし、展開します
アクセスコントロールの項目で、リソースにユーザー、ルーティングプロファイル、キューを選択、タグのキーにCountry、値にArgentinaを入力し、追加をクリックします
タグの項目で、任意のリソースタグを入力し、追加をクリックします（画像の例では Createdby:ABC と入力)

保存をクリックします。保存ボタンが無効な場合、必要なセキュリティプロファイルの権限が割り当てられていない Amazon Connect アカウントでログインしている可能性があります
同様の手順で、セキュリティプロファイル tagsecurityprofile2 と tagsecurityprofile3 を以下の表に記載のプロファイルの名前、アクセス権限、アクセスコントロールリソース、アクセスコントロールタグ、リソースタグの通り作成します

セキュリティプロファイルの名前	アクセス権限	アクセスコントロールリソース	アクセスコントロールタグ	リソースタグ
tagsecurityprofile1	ルーティングプロファイル、キュー、ユーザー – すべて	ユーザー、ルーティングプロファイル、キュー	Country:Argentina	Createdby: ABC
tagsecurityprofile2	ルーティングプロファイル、キュー、ユーザー – すべて	ユーザー、ルーティングプロファイル、キュー	BPO:Octank	Createdby: ABC
tagsecurityprofile3	ルーティングプロファイル、キュー、ユーザー – すべて	ユーザー、ルーティングプロファイル、キュー	Country:Argentina, BPO:Octank	Createdby: ABC

以上が完了すると、次のアクセスコントロールタグが設定済みの 3 つのセキュリティプロファイルが作成されます。

アクセスコントロールタグ Country:Argentina が設定された tagsecurityprofile1
アクセスコントロールタグ BPO:Octank が設定された tagsecurityprofile2
アクセスコントロールタグ Country:Argentina と BPO:Octank が設定された tagsecurityprofile3

これらのセキュリティプロファイルを使用して、Octank のデータガバナンスとビジネス要件を適用できます。これについては、ユーザー、キュー、ルーティングプロファイルのリソースタグを設定した後で説明します。

リソースタグとユーザーの設定

このセクションでは、Amazon Connect 管理コンソール内でユーザーを設定し、リソースタグを適用する方法について説明します。サブ管理者権限と詳細なアクセス制御を適用したユーザーを 1 人作成し、表示/管理する 3 つのエージェントを作成します。ログインに tagadmin 、 taguser1 、 taguser2 、 taguser3 という名前を付けます。最後に、ルーティングプロファイル、セキュリティプロファイル、リソースタグを以下のように設定します。

ログイン	名	姓	ルーティングプロファイル	セキュリティプロファイル	リソースタグ 1	リソースタグ 2
tagadmin	Admin	Tag	Basic Routing Profile	tagsecurityprofile1
taguser1	Test1	Tag	Basic Routing Profile	Agent	Country:Argentina
taguser2	Test2	Tag	Basic Routing Profile	Agent		BPO:Octank
taguser3	Test3	Tag	Basic Routing Profile	Agent	Country:Argentina	BPO:Octank

Amazon Connect 管理コンソールに管理者権限のセキュリティプロファイルを持つユーザーでサインインします
ユーザーからユーザー管理を選択します
新しいユーザーの追加を選択します
ユーザーを手動で追加を選択します
名、姓、ログイン、セキュリティプロファイル、ルーティングプロファイルを上記表のサンプルの通りに各ユーザーに設定します。別途、メールアドレスとパスワードを各ユーザーに設定する必要があります
管理者を作成する際はスキップできますが、エージェントを作成する際には次の手順が必要です。詳細設定を表示をクリックし、キーと値を上の表の例の通り入力、追加します

保存をクリックします。保存ボタンが無効な場合、必要なセキュリティプロファイルの権限が割り当てられていない Amazon Connect アカウントでログインしている可能性があります。
この手順を繰り返し、副管理者 (tagadmin)および 3 つのエージェント(taguser1, taguser2, taguser3)のアカウントを作成します

完了すると、tagadmin という名前の副管理者が 1 人と、次のリソースタグが設定された 3 人のエージェントが作成されます。

リソースタグ Country:Argentina が設定された taguser1
リソースタグ BPO:Octank が設定された taguser2
リソースタグ Country:Argentina と BPO:Octank が設定された taguser3

リソースタグとキューの設定

このセクションでは、Amazon Connect 管理コンソールでキューのリソースタグを設定する方法について説明します。
以下のように、稼働時間とリソースタグを含む tagqueue1 、tagqueue2 、tagqueue3 の 3 つのキューを作成します。

キューの名前	オペレーション時間	リソースタグ 1	リソースタグ 2
tagqueue1	Basic Hours	Country:Argentina
tagqueue2	Basic Hours		BPO:Octank
tagqueue3	Basic Hours	Country:Argentina	BPO:Octank

Amazon Connect 管理コンソールに管理者権限のセキュリティプロファイルを持つユーザーでサインインします
ルーティングからキューを選択します
キューを追加を選択します
キューの名前 (例: tagqueue1) 、説明を入力します。オペレーション時間は、Basic Hours を選択します
設定からタグの項目で、以下の画像のようにタグを入力し、追加します

保存をクリックします。保存ボタンが無効な場合、必要なセキュリティプロファイルの権限が割り当てられていない Amazon Connect アカウントでログインしている可能性があります
この手順を繰り返し、 tagqueue2 および tagqueue3 も作成します

上の手順が完了すると、以下の通りリソースタグが設定された 3 つのキューが作成されます。

リソースタグ Country:Argentina が設定された tagqueue1
リソースタグ BPO:Octank が設定された tagqueue2
リソースタグ Country:Argentina と BPO:Octank が設定された tagqueue3

ルーティングプロファイルとリソースタグの設定

このセクションでは、Amazon Connect 管理コンソールでルーティングプロファイルのリソースタグを設定する方法について説明します。
次に、以下に説明するように、音声チャネル、デフォルトのアウトバウンドキュー、およびリソースタグを使用して、tagroutingprofile1 、 tagroutingprofile2 、tagroutingprofile3 という名前の 3 つのルーティングプロファイルを作成します。

ルーティングプロファイルの名前	選択するチャネル	デフォルトのアウトバウンドキュー	リソースタグ 1	リソースタグ 2
tagroutingprofile1	音声	BasicQueue	Country:Argentina
tagroutingprofile2	音声	BasicQueue		BPO:Octank
tagroutingprofile3	音声	BasicQueue	Country:Argentina	BPO:Octank

Amazon Connect 管理コンソールに管理者権限のセキュリティプロファイルを持つユーザーでサインインします
ユーザーからルーティングプロファイルを選択します
ルーティングプロファイルを追加を選択します
ルーティングプロファイルの名前(例: tagroutingprofile1)と説明を入力します
設定セクション内のチャネルの設定で音声を選択、キューのセクションは変更せず、デフォルトのアウトバウンドキューで BasicQueue を選択します

タグについては、以下のようにキー、値の組み合わせを設定し、追加をクリックします

保存をクリックします。保存ボタンが無効な場合、必要なセキュリティプロファイルの権限が割り当てられていない Amazon Connect アカウントでログインしている可能性があります
この手順を繰り返し、 tagroutingprofile2 および tagroutingprofile3 も作成します

完了すると、次のリソースタグの付いた 3 つのルーティングプロファイルが作成されます。

リソースタグ Country:Argentina が設定された tagroutingprofile1
リソースタグ BPO:Octank が設定された tagroutingprofile2
リソースタグ Country:Argentina と BPO:Octank が設定された tagroutingprofile3

ここまででユーザー、キュー、ルーティングプロファイルのリソースタグを設定し、アクセス制御とリソースタグを使用してセキュリティプロファイルを設定しました。次のセクションで、サブ管理者の tagadmin が持つ詳細なアクセスを検証できます。

アクセスコントロールの確認

より細かいアクセスコントロールを確認する手順は以下の通りです。

ブラウザのシークレットモードを利用して、Amazon Connect 管理コンソールに作成した副管理者アカウント tagadmin でサインインします
ユーザーからユーザー管理を選択します。キーがCountry、値がArgentinaのリソースタグを含んだユーザーだけが表示されます。具体的には、taguser1 と taguser3 が表示されます

ルーティングからキューを選択します。キーがCountry、値がArgentinaのリソースタグを含んだキューだけが表示されます。今回は、tagqueue1 と tagqueue3 が表示されます

ユーザーからルーティングプロファイルを選択します。キーがCountry、値がArgentinaのリソースタグを含んだキューだけが表示されます。今回は、tagroutingprofile1 と tagroutingprofile3 が表示されます

補足

セキュリティプロファイルを作成、変更し、アクセス制御タグを追加すると、より制限が厳しくなります
セキュリティプロファイルがユーザーに割り当てられるまで、アクセス制御タグは適用されません

アクセスコントロールの変更と確認

次に、サブ管理者ユーザ (tagadmin) のセキュリティプロファイルを変更し、付与されたアクセス権を確認しましょう。手順は以下の通りです。

Amazon Connect 管理コンソールにサインインします
ユーザーからユーザー管理を選択します
ユーザー tagadmin を選択し、編集をクリックします
ユーザー tagadmin のセキュリティプロファイルを、tagsecurityprofile1 から tagsecurityprofile2 に変更します。ドロップダウンメニュー内に「アクセスコントロール: タグ」の表示を確認できます
保存をクリックします
副管理者のアカウント(ユーザー tagadmin)でログインしているシークレットモードのウィンドウを再読み込みします。タグ BPO:Octank が含まれているユーザー、キュー、ルーティングプロファイルのみにアクセスできるはずです。つまり、ユーザー tagadmin から、ユーザー taguser2 と taguser3 、キュー tagqueue2 と tagqueue3 、ルーティングプロファイル tagrouringprofile2 と tagroutingprofile3 が確認できます
最後にユーザー tagadmin のセキュリティープロファイルを tagsecurityprofile2 から tagsecurityprofile3 に変更して、権限を確認します。タグ Country:Argentina と BPO:Octank の両方が付与されたユーザー、キュー、ルーティングプロファイルだけにアクセスできるはずです。ユーザー tagadmin からは、ユーザー taguser3 、キュー tagqueue3 とルーティングプロファイル tagroutingprofile3 のみが確認できます

Amazon Connect API や SDK を利用したより詳細なアクセス制御の設定

Amazon Connect API を使用して、Amazon Connect リソースに対するより詳細なアクセス制御をプログラムで設定できます。

Create Security profile API によりリソースタグとアクセスコントロールタグを使用してセキュリティプロファイルを作成できます
Create User API によりタグ付きのユーザーを作成できます
Create Routing Profile API によりタグ付きのルーティングプロファイルを作成できます
Create Queues API によりタグ付きのキューを作成できます

クリーンアップ

Amazon Connect 管理コンソールにログインし、このブログの手順で作成したユーザーを削除します
このブログのハンズオンの為に Amazon Connect インスタンスをセットアップした場合は、Amazon Connect AWS コンソールにアクセスして Amazon Connect インスタンスを削除できます

結論

このブログでは、Amazon Connect のリソースタグとアクセスコントロールタグを使用して Amazon Connect リソースへのきめ細かなアクセスコントロールを可能にする方法を説明しました。これにより Amazon Connect インスタンスの運用中に要件が変化したときに、チーム、ロール、またはその他の基準で複数のグループを作成し、さまざまな Amazon Connect リソースに対してより複雑なアクセスコントロール条件を表現することができます。

無料のオンラインイベント、AWS Contact Center Day もご覧ください。カスタマーサービスの未来、機械学習がどのように顧客とエージェントのエクスペリエンスを最適化できるかなどについて学ぶことができます。今すぐ登録
※訳注オンラインイベントは2023年4月26日に開催されました。現在はイベントをオンデマンド配信でご覧いただけます。

著者について

Dilin Joy

Dilin Joy は、 AWS のパートナーソリューションアーキテクトです。業界をリードするグローバルシステムインテグレーター (GSI) と協力してアーキテクチャに関するガイダンスを提供し、AWS で戦略的な業界ソリューションを構築できるよう支援しています。

Behrang KHAKISEDDIGH

Behrang KHAKISEDDIGH は、 AWS のシニアパートナーソリューションアーキテクトです。業界をリードするグローバルシステムインテグレーター (GSI) と協力してアーキテクチャに関するガイダンスを提供し、AWS で戦略的な業界ソリューションを構築できるよう支援しています。

Mike Cairns

Mike Cairns は、 AWS のパートナーソリューションアーキテクトです。業界をリードするグローバルシステムインテグレーター (GSI) と協力してアーキテクチャに関するガイダンスを提供し、AWS で戦略的な業界ソリューションを構築できるよう支援しています。

Tommy Grahams

Tommy Graham は、 AWS の技術担当のシニアプロダクトマネージャーです。彼は顧客と協力し課題の解決策を見極め、データ主導の意思決定で業務を楽しんで推進しています。

追加のリソース

Amazon Connect 概要
 Amazon Connect でセキュリティプロファイルのより詳細なアクセス制御 (リソースタグを使用) が可能に
 Amazon Connectのリリースノート
 Amazon Connect 管理者ガイド
 Amazon Connectのパートナー
 タグベースのアクセス制御
 Amazon Connect API Reference (英文)

翻訳はテクニカルアカウントマネージャー高橋が担当しました。原文はこちらです。

Amazon Web Services ブログ