Amazon AppIntegrations のサービスにリンクされたロールの使用 - Amazon Connect
Amazon AppIntegrations のサービスにリンクされたロールのアクセス許可Amazon AppIntegrations のサービスにリンクされたロールの作成Amazon AppIntegrations のサービスにリンクされたロールの編集Amazon AppIntegrations のサービスにリンクされたロールの削除Amazon AppIntegrations のサービスにリンクされたロールをサポートするリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon AppIntegrations のサービスにリンクされたロールの使用

Amazon AppIntegrations は AWS Identity and Access Management 、(IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、Amazon AppIntegrations に直接リンクされている固有なタイプの IAM ロールです。サービスにリンクされたロールは、Amazon AppIntegrations によって事前定義されており、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、Amazon AppIntegrations の設定が容易になります。Amazon AppIntegrations は、サービスにリンクされたロールのアクセス許可を定義し、別段の定義がない限り、Amazon AppIntegrations のみがそのロールを引き受けることができます。定義したアクセス許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールは、まずその関連リソースを削除しなければ削除できません。これにより、リソースへのアクセス許可を不用意に削除することができないため、Amazon AppIntegrations のリソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスの詳細については、AWS 「IAM と連携するサービス」を参照し、「サービスにリンクされたロール」列で「はい」があるサービスを探します。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。

Amazon AppIntegrations のサービスにリンクされたロールのアクセス許可

Amazon AppIntegrations は、AWSServiceRoleForAppIntegrations というサービスにリンクされたロールを使用します。これにより、AppIntegrations は、ユーザーに代わって AWS のサービスやリソースにアクセスできるようになります。

サービスにリンクされたロールである AWSServiceRoleForAppIntegrations は、以下のサービスを信頼してロールを引き受けます。

  • app-integrations.amazonaws.com

AppIntegrationsServiceLinkedRolePolicy というロール許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Amazon AppIntegrations に許可します。


     {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/AppIntegrations"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "appflow:DescribeConnectorEntity",
                "appflow:ListConnectorEntities"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "appflow:DescribeConnectorProfiles",
                "appflow:UseConnectorProfile"
            ],
            "Resource": "arn:aws:appflow:*:*:connector-profile/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "appflow:DeleteFlow",
                "appflow:DescribeFlow",
                "appflow:DescribeFlowExecutionRecords",
                "appflow:StartFlow",
                "appflow:StopFlow",
                "appflow:UpdateFlow"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/AppIntegrationsManaged": "true"
                }
            },
            "Resource": "arn:aws:appflow:*:*:flow/FlowCreatedByAppIntegrations-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "appflow:TagResource"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "AppIntegrationsManaged"
                    ]
                }
            },
            "Resource": "arn:aws:appflow:*:*:flow/FlowCreatedByAppIntegrations-*"
        }
    ]
}

  • アクション: StringEquals 条件 "cloudwatch:namespace": "AWS/AppIntegrations" を使用した "*" に対する cloudwatch:PutMetricData

  • アクション: "*" に対する appflow:DescribeConnectorEntityappflow:ListConnectorEntities

  • アクション: appflow:DescribeConnectorProfiles に対する appflow:UseConnectorProfile arn:aws:appflow:*:*:connector-profile/*

  • アクション: StringEquals 条件 "aws:ResourceTag/AppIntegrationsManaged": "true" を使用した arn:aws:appflow:*:*:flow/FlowCreatedByAppIntegrations-* に対する appflow:DeleteFlowappflow:DescribeFlowappflow:DescribeFlowExecutionRecordsappflow:StartFlowappflow:StopFlowappflow:UpdateFlow

  • アクション: ForAllValues:StringEquals aws:TagKeys 条件 AppIntegrationsManaged を使用した arn:aws:appflow:*:*:flow/FlowCreatedByAppIntegrations-* に対する appflow:TagResource

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。

Amazon AppIntegrations のサービスにリンクされたロールの作成

サービスにリンクされたロールを手動で作成する必要はありません。、、または AWS API で Amazon Connect の Amazon Connect Q in Connect、Customer Profiles AWS Management Console、またはタスクウィジェットを使用してデータ AWS CLIまたはイベント統合を作成すると、Amazon AppIntegrations によってサービスにリンクされたロールが作成されます。

重要

このサービスリンクロールは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。2022 年 9 月 30 日 (サービスにリンクされたロールのサポート開始日) 以降に新しい Amazon AppIntegrations リソースを作成した場合、Amazon AppIntegrations によってユーザーのアカウント内に AWSServiceRoleForAppIntegrations ロールが作成済みになります。詳細については、「AWS アカウントに新しいロールが表示される」を参照してください。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。Amazon Connect で Amazon Q in Connect、Customer Profiles、Tasks ウィジェットのいずれかを使用してデータまたはイベント統合を作成する際に、Amazon AppIntegrations はユーザーに代わってもう一度サービスにリンクされたロールを作成します。

IAM コンソールを使用して、AppIntegrations ユースケースでサービスにリンクされたロールを作成することもできます。 AWS CLI または AWS API で、サービス名を使用してapp-integrations.amazonaws.comサービスにリンクされたロールを作成します。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

Amazon AppIntegrations のサービスにリンクされたロールの編集

Amazon AppIntegrations では、サービスにリンクされたロールである AWSServiceRoleForAppIntegrations を編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

Amazon AppIntegrations のサービスにリンクされたロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。コンソールでデータとイベントの統合の関連付けを削除してから AWS 、 を使用してデータとイベントの統合を削除する必要があります AWS CLI。

注記

リソースを削除しようとしたときに Amazon AppIntegrations サービスでロールを使用していると、削除が失敗する場合があります。失敗した場合は、数分待ってから操作を再試行してください。

AWS コンソールで AWSServiceRoleForAppIntegrations が使用するデータ統合の関連付けを削除するには

  1. Amazon Connect コンソールの [Amazon Q in Connect] セクションに移動して、削除するデータ統合の関連付けの名前を選択します。

  2. [Integration details] (統合の詳細) セクションの右側で [Delete] (削除) を選択します。

  3. ポップボックスで、確認のために統合の名前を入力し、[Delete] (削除) を選択します。

を使用して AWSServiceRoleForAppIntegrations で使用されるデータ統合を削除するには AWS CLI

  1. データ統合を一覧表示して、既存の統合の名前を確認します。

    aws appintegrations list-data-integrations

  2. データ統合の名前を使用して各統合を削除します。

    aws appintegrations delete-data-integration --data-integration-identifier DATA_INTEGRATION_NAME

AWS コンソールで AWSServiceRoleForAppIntegrations が使用するイベント統合の関連付けを削除するには

  1. Amazon Connect コンソールの [Customer Profiles] セクションまたは [Tasks] セクションに移動し、削除するイベント統合の関連付けの名前を選択します。

  2. [Tasks] セクションでイベント統合を選択すると、ポップアップが表示されます。[Remove connection] (接続を削除) ボタンを選択し、「remove」と入力してイベント統合の関連付けを削除します。

を使用して AWSServiceRoleForAppIntegrations が使用するイベント統合を削除するには AWS CLI

  1. イベント統合を一覧表示して、既存の統合の名前を確認します。

    aws appintegrations list-event-integrations

  2. データ統合の名前を使用して各統合を削除します。

    aws appintegrations delete-event-integration --name EVENT_INTEGRATION_NAME

サービスリンクロールを IAM で手動削除するには

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForAppIntegrations サービスにリンクされたロールを削除します。詳細については、 IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。

Amazon AppIntegrations のサービスにリンクされたロールをサポートするリージョン

Amazon AppIntegrations は、このサービスを利用できるすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細については、「AWS リージョンとエンドポイント」を参照してください。

AWSServiceRoleForAppIntegrations ロールは、以下のリージョンで使用できます。

リージョン名 リージョン識別子 Amazon AppIntegrations のサポート
米国東部 (バージニア北部) us-east-1 あり
米国西部 (オレゴン) us-west-2 はい
アジアパシフィック (ムンバイ) ap-south-1 あり
アジアパシフィック (ソウル) ap-northeast-2 はい
アジアパシフィック (シンガポール) ap-southeast-1 はい
アジアパシフィック (シドニー) ap-southeast-2 はい
アジアパシフィック (東京) ap-northeast-1 はい
カナダ (中部) ca-central-1 はい
欧州 (フランクフルト) eu-central-1 あり
欧州 (ロンドン) eu-west-2 あり
アフリカ (ケープタウン) af-south-1 あり