AmazonConnect_FullAccess を付与した IAM ユーザの操作でエラーが出る時の対処方法

この記事はアノテーション株式会社 AWS Technical Support Advent Calendar 2021 のカレンダー | Advent Calendar 2021 - Qiita 23 日目の記事です。

困っていた内容

Amazon Connect で AmazonConnect_FullAccess を付与した IAM ユーザで、Amazon Connect インスタンスの作成などのマネージメントコンソール上の操作を行うと失敗します。
このエラー原因と対処方法を教えてください。

どう対応すればいいの?

アクセス権限が不足しています。

AmazonConnect_FullAccess に加えて、不足している権限のカスタムポリシーを IAM ユーザへアタッチしてください。
なお、CloudTrail で、実行時に発生した権限不足のエラー原因と対応するアクションを確認することもできます。

不足している可能性のあるアクセス権限は以下を参照ください。

カスタム IAM ポリシーを使用して Amazon Connect コンソールへのアクセスを管理するために必要なアクセス許可 - Amazon Connect

カスタム IAM ポリシーで改善された例を以下に記載します。

例-1 Amazon Connect インスタンスが作成できない

発生事象

Amazon Connect インスタンスの新規作成で通常はこの表示から数分でインスタンスが作成されるが、今回は長い時間、マネージメントコンソールの表示が変わらず、インスタンスも作成されない。

原因

サービスにリンクされたロールの作成 (CreateServiceLinkedRole) の権限不足

解決策

カスタム IAM ポリシーに、iam:CreateServiceLinkedRole の権限を追加

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*"
        }
    ]
}

例-2 Amazon Connect Wisdom の統合セットアップができない

発生事象

Amazon Connect Wisdom の統合において、Salesforce と統合するために Salesforce アカウントでログインしようとしたところ、以下のエラーが発生

User: arn:aws:iam::1234567890:user/nakano.yoshiyuki is not authorized to perform: appflow:CreateConnectorProfile on resource

原因

ConnectorProfile 作成(CreateConnectorProfile) の権限不足

解決策

カスタム IAM ポリシーに、appflow:CreateConnectorProfile の権限を追加

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "appflow:CreateConnectorProfile",
            "Resource": "*"
        }
    ]
}