はじめに
Amazon Connectのエージェントのアクティビティ監査レポートは、新たにタグベースでのアクセス制御をサポートしました。
それによって、エージェントの過去のステータス(例えば「Available」や「Offline」)に関するレポートを誰が閲覧できるようにするかを、より細かく設定できるようになりました。
例えば、「営業部署」、「カスタマーサポート」のような組織の各部署に対して、Team:SalesやTeam:CS(カスタマーサポート)といったタグを付けることで、それぞれの部署のマネージャーだけが、該当部署のエージェントのアクティビティ監査レポートを閲覧できるように、タグベースでのアクセス制御を設定できます。
今回は検証として、自分のアクティビティ監査レポートしかアクセスできないタグベースのアクセス制御をしてみます。
自身のアクティビティ監査レポートのみを閲覧可能に制限する
ここでは、ユーザーが自分のアクティビティ監査レポートのみを閲覧でき、それ以外のレポートはアクセスできないようにする、タグベースの制限を設定します。
ユーザー名cm-hiraiへのタグ追加を例とします。
ユーザー管理から、ユーザー名cm-hiraiにタグを追加します。
タグのキーにはusernameを指定し、その値にはユーザー名(ここではcm-hirai)を設定します。
| タグキー | タグの値 |
|---|---|
| username | cm-hirai |
ユーザー名cm-hiraiには、cm-hiraiというセキュリティプロファイルをアタッチしています。
セキュリティプロファイルcm-hiraiには、以下の権限のみを付与します。
- ユーザーとアクセス権限
- 表示のみ
- 表示のみ
- エージェントのアクティビティ監査
- アクセス
- アクセス
- アクセスコントロール
- リソース:
ユーザー - タグキー:
username - タグ値:
cm-hirai
- リソース:
アクティビティ監査の確認
[履歴メトリック]の[エージェント]から[エージェントのアクティビティ監査]に遷移できます。
cm-hiraiでログインし、エージェントのアクティビティ監査からアクティビティを検索してみると、ユーザーのアクティビティはcm-hiraiに限られていることが確認できます。
その一方で、Adminの権限を持つadminユーザーでログインし、再度エージェントのアクティビティ監査からアクティビティを検索してみると、全てのユーザーのアクティビティを確認できました。(下記画像は、ユーザー名を塗りつぶしてます)
これにより、タグベースのアクセス制御が正しく機能していることがわかります。
0
