Service Cloud Voice の Amazon Connect IAM ロールとプロビジョニングポリシー

Amazon Connect とネイティブに統合するために、Service Cloud Voice には、IAM ロールやプロビジョニングポリシーなどの Amazon Connect アーティファクトが付属しています。これらのアーティファクトを理解するには、このコンテンツを確認してください。

適用可能なテレフォニーモデル:

Amazon Connect を使用した Service Cloud Voice
Amazon Connect のパートナーテレフォニーを使用した Service Cloud Voice

Amazon Connect のパートナーテレフォニーを使用した Service Cloud Voice

SCV IAM のロールとポリシーのマトリックスを分析する前に、Amazon Connect のパートナーテレフォニーを使用した Service Cloud Voice の前提条件となる手順をレビューし、リソースの詳細を確認してください。

最新の SCVProvisioningPolicy.json は次の場所にあります。

https://github.com/service-cloud-voice/examples-from-doc/blob/main/iam_policies/SCVProvisioningPolicy.json

AWS IAM ロール

Salesforce 管理 AWS アカウントとの信頼関係を有効にするには、設定時に Identity and Access Management (IAM) ロールを作成します。このロールを使用して、Salesforce は Service Cloud Voice に必要な Amazon Connect インスタンス内のアーティファクトを設定します。これらのリソースは、resetPassword やロールの削除および非アクティブ化などの非破壊的な IAM 権限です。アクセスを定義するには、IAM ロールにポリシーを追加します。

このロールの要件は以下の原則に基づいています。

最小権限の原則に従い、このロールにジョブを実行するために必要な最小限の権限を付与しました。
このロールには、将来的に新しい機能や拡張を追加できるよう、十分な柔軟性を持たせています。
フットプリントを削減するために、すべての権限と制限が 1 つの IAM ロールポリシー (SCVProvisioningPolicy.json) に含まれています。
このロールに含まれるのは、Service Cloud Voice に必要なサービスへの権限のみです。
Service Cloud Voice Provisioning Service に関連するセキュリティリスクを軽減するには、IAM 権限境界を追加します。

ワイルドカードアクセス

WildcardAccess セクションには、ワイルドカードサービスアクションとワイルドカードリソースアクセスを持つすべてのリソースが一覧表示されます。ds (ディレクトリサービス) ポリシーおよび logs (クラウドウォッチログ) ポリシーでは、プロビジョニングおよび実行時間アクションにワイルドカードアクセスが必要です。

Screenshot 2023-11-16 at 8.14.57 PM.png

Lambda サービスにはワイルドカードアクションもあります。

イベントアクセス

EventAccess セクションでは、イベントにアクセスできるユーザーを定義します。イベントにアクセスできるのは、リソースセクションの Lambda 関数のみです。

Screenshot 2023-11-16 at 8.32.57 PM.png

LambdaEventSourceAccess

LambdaEventSourceAccess セクションには、AWS リソースによってトリガーされたイベントに対してどの Lambda 関数が動作できるかが一覧表示されます。イベントソースにマップできるのは指定された Lambda 関数のみです。たとえば、CTRStream イベントソースを CTRDataSyncFunction にマップし、S3 イベントソースを VoiceMailAudioProcessingFunction にマップできます。

Screenshot 2023-11-16 at 8.37.45 PM.png

LambdaAccess

LambdaAccess セクションでは、LambdaAccess にリソースベースの制限を課します。ユーザー定義の Lambda 関数への不要なアクセスを防ぐために、Salesforce は指定された Lambda 関数のみをプロビジョニングし利用します。

Screenshot 2023-11-16 at 8.41.45 PM.png

S3Write

S3Write セクションでは、S3 関連のアクションのポリシーを定義します。Service Cloud Voice Provisioning Service は、Salesforce org に 2 つの S3 バケットを作成します。1 つ目のバケットには会話の音声録音ファイルが保存されます。2 つ目には、CloudTrail サービスによってキャプチャされたすべての AWS アクティビティが保存されます。IAM ポリシーとロールのマトリックスは、Lambda 関数コードとレイヤーコードをダウンロードするために必要な S3 バケットを参照します。

ResourceBasedAccess

ResourceBasedAccess セクションでは、さまざまなサービスのアクションに対してワイルドカードによるアクセス権を付与します。このセクションでは、Service Cloud Voice Provisioning Service にのみ必要なリソース正規表現 (regex) を一覧表示します。これらのリソースは、ID が AWS_ACCOUNT_ID の AWS アカウントにあります。

IAMAccess

Service Cloud Voice Provisioning Service は Lambda 関数を作成します。通話録音の一時停止と再開、オーディオ録音の再生用の署名済み S3 認証情報の生成など、一部の機能はアプリケーション固有です。これらの機能はすべて IAM ロールを使用し、Salesforce インフラストラクチャのセキュリティに基づいて設計されています。Service Cloud Voice は、IAM ロールに必要なアクションを追加します。作成する IAM ロールは、Service Cloud Voice が必要とする IAM ロールのリソースにのみアクセス権を付与します。これらは、resetPassword やロールの削除および非アクティブ化などの非破壊的な IAM 権限です。

CloudformationAccess

CloudformationAccess セクションには、Service Cloud Voice に必要なすべての AWS Cloudformation アクションが一覧表示されます。Service Cloud Voice は 2 つの Cloudformation スタックをプロビジョニングします。1 つのスタックは us-east-1 リージョンにあり、IAM ロール、ID プロバイダー、CloudTrail などの AWS アカウントレベルのインフラストラクチャをセットアップします。もう一方のスタックは、任意のコンタクトセンターリージョンにあります。この Cloudformation アクセスは、リソースレベルの制限によって制約されます。

ConnectAccess

ConnectAccess セクションでは、コンタクトセンターの運用に必要なきめ細かい Amazon Connect 権限を付与します。

IAM ポリシーとロールのマトリックス

プロビジョニング時に、これらの IAM ポリシーとロールが AWS アカウントに自動的に作成されます。

SCV 管理ポリシー

ポリシー	権限	説明
SCVSSMAccessPolicy	アクション: ssm:* リソース: arn:aws:ssm::${AWS::AccountId}:parameter/-salesforce-* arn:aws:ssm::${AWS::AccountId}:parameter/-scrt-jwt-auth-private-key	このポリシーは、Service Cloud Voice によって作成された SSM キーへのアクセスを制御します。
SCVLambdaAccessPolicy	アクション: lambda:InvokeFunction lambda:InvokeAsync lambda:ListFunctions lambda:AddPermission lambda:RemovePermission リソース: VoiceMailTranscribeFunction ContactLensProcessorFunction kvsTranscriber kvsConsumerTrigger InvokeTelephonyIntegrationApiFunction ContactLensProcessorFunction ContactLensConsumerFunction CTRDataSyncFunction InvokeSalesforceRestApiFunction AuthKeysSSMUtilFunction HandleContactEventsFunction CustomSSMFunction RealtimeAlert ConnectConfigurationFunction S3BucketPolicyConfigurationFunction S3BucketPolicyConfigurationFunction S3BucketEventBridgeConfigurationFunction TDGConfigurationFunction VoiceMailAudioProcessingFunction VoiceMailTranscribeFunction VoiceMailPackagingFunction	このポリシーは、Service Cloud Voice によって作成された Lambda 関数へのアクセスを制御します。
SCVKMSAccessPolicy	アクション: kms:CreateGrant kms:DescribeKey kms:ListAliases kms:RetireGrant kms:Decrypt リソース: alias/aws/kinesisvideo alias/aws/lambda alias/aws/ssm アクション: kms:CreateGrant kms:DescribeKey kms:ListAliases kms:RetireGrant kms:Decrypt リソース: resourceOwner: scv でタグ付けされた KMS キー	このポリシーは、Service Cloud Voice によって作成された KMS キーへのアクセスを制御します。
SCVKinesisDataStreamAccessPolicy	アクション: kinesis:DescribeStream kinesis:DescribeStreamSummary kinesis:GetRecords kinesis:GetShardIterator kinesis:ListShards kinesis:ListStreams kinesis:SubscribeToShard リソース: CTRStream", ContactLensStream"	このポリシーは、Service Cloud Voice によって作成された CTR および Contact Lens ストリームへのアクセスを制御します。Service Cloud Voice をセットアップするときに Salesforce によって統合された Amazon Connect インスタンスを使用した場合、Salesforce は顧客がセットアップした CTR ストリームへのアクセスも制御します。
SCVAmazonConnectAccessPolicy	アクション: "connect:Get", "connect:List", "connect:Search", "connect:Describe", "connect:AssociateApprovedOrigin", "connect:AssociateInstanceStorageConfig", "connect:AssociateLambdaFunction", "connect:AssociatePhoneNumberContactFlow", "connect:AssociateQueueQuickConnects", "connect:AssociateRoutingProfileQueues", "connect:AssociateTrafficDistributionGroupUser", "connect:CreateContactFlow", "connect:CreateInstance", "connect:CreateHoursOfOperation", "connect:CreateContactFlowModule", "connect:CreateQueue", "connect:CreateQuickConnect", "connect:CreateRoutingProfile", "connect:CreateTrafficDistributionGroup", "connect:CreateUser", "connect:ReplicateInstance", "connect:StartOutboundVoiceContact", "connect:TagResource", "connect:UpdateTrafficDistribution", "connect:UpdateQuickConnectName", "connect:UpdateInstanceAttribute", "connect:UpdateHoursOfOperation", "connect:UpdateQueueName", "connect:DeleteQueue", "connect:DeleteUser", "connect:DisassociateLambdaFunction", "connect:DisassociateApprovedOrigin", "connect:DisassociateQueueQuickConnects", "connect:DisassociateTrafficDistributionGroupUser"	このポリシーは、Amazon Connect インスタンスへのアクセスを制御します。

ロール

ロール名	ロールの説明
SCVCTRDataSyncFunctionRole	CTRDataSyncFunction Lambda 関数はこのロールを使用して、テレフォニーインテグレーション API による音声通話を更新します。「Update a Voice Call Record」 (音声通話記録を更新) を参照してください。
SCVPostCallAnalysisTriggerFunctionRoleResource	PostCallAnalysisTriggerFunction Lambda 関数はこのロールを使用して、音声通話の終了後に分析イベントを送信し、Contact-Lens によって生成されたインテリジェンス信号を保持します。
SCVInvokeTelephonyIntegrationApiFunctionRole	InvokeTelephonyIntegrationApiFunction Lambda 関数は、このロールを使用して Service Cloud Voice 通話を作成し、createVoiceCall メソッドを呼び出します。「Create a Voice Call Record」 (音声通話記録を作成) を参照してください。
SCVInvokeSalesforceRestApiFunctionRole	InvokeSalesforceRestApiFunction Lambda 関数は、このロールを使用して Salesforce REST API 操作を実行します。
SCVSSMLambdaExecutionRole	Service Cloud Voice Provisioning Service は、このロールを使用して、「Systems Manager」-「Parameter Store」-「Secure String」型のパラメーターを作成します。
SCVS3Role	Service Cloud ユーザーは、このロールを使用して通話録音ファイルにアクセスし、Salesforce コンタクトセンターのエージェントとスーパーバイザの通話録音メディアプレーヤーを有効にします。
SCVKvsTranscriberRoleResource	kvsTranscriber Lambda 関数は、このロールとテレフォニーインテグレーション API を使用して、Amazon Connect のビデオストリームに基づいてトランスクリプションデータを送信します。「Create a Transcript」 (トランスクリプトを作成) を参照してください。
SCVKvsConsumerTriggerRole	kvsConsumerTrigger Lambda 関数はこのロールを使用して、KVSTranscriber Lambda 関数をトリガーし、Kinesis ビデオストリームを呼び出して処理します。
SCVContactLensConsumerFunctionRole	ContactLensConsumerFunction Lambda 関数はこのロールを使用して、Contact Lens からのリアルタイムのトランスクリプションを有効にします。
SCVProvisioningRole	Service Cloud ユーザーは、このロールを使用して、Service Cloud Voice Provisioning Service を介したコンタクトセンターの作成や更新などのプロビジョニング機能を実行します。
SCVIDPLambdaRole	ProviderCreator Lambda 関数はこのロールを使用して、「IAM」 (「アイデンティティプロバイダー」) を作成します。ここで、Salesforce はアイデンティティプロバイダーとして機能します。この Lambda 関数は、Service Cloud Voice Provisioning Service によって作成されます。
SCVAmazonConnectManagementRole	Service Cloud Voice Provisioning Service は、このロールを使用して、ユーザーの作成と削除、ルーティングプロファイル、キュー、クイック接続などの Amazon Connect の設定タスクを実行します。
SCVConnectConfiguratorLambdaRole	ConnectConfigurationFunction Lambda 関数は、このロールを使用して Amazon Connect インスタンスで API 呼び出しを実行します。このロールは、Amazon Connect の管理を実行し、Amazon Connect インスタンスを設定するために使用されます。この Lambda 関数は、Service Cloud Voice Provisioning Service によって作成されます。
SCVTrailLogGroupRole	scvCloudTrail AWS サービスは、このロールを使用してすべてのイベントレコードデータを生成し、CloudTrail 用に作成された S3 バケットに書き込みます。Service Cloud Voice の場合、バケット名は scv-${AWS::AccountId}-cloudtrail です。Amazon Connect のパートナーテレフォニーを使用した Service Cloud Voice の場合は、scv-${AWS::AccountId}-byoa-cloudtrail です。
SCVVoiceMailAudioProcessingRole	VoiceMailAudioProcessing Lambda 関数はこのロールを使用して CTR Kinesis Data Stream を処理し、ボイスメールの録音ファイルをキャプチャします。
SCVVoiceMailPackagingRole	VoiceMailPackagingFunction Lambda 関数はこのロールを使用して CTR を呼び出し、OmniFlow API を実行してボイスメール機能を有効にします。
SCVVoiceMailTranscribeRole	VoiceMailTranscribeFunction Lambda 関数は、このロールを使用してボイスメールの録音ファイルを処理し、ボイスメールを文字起こしします。
SCVRealtimeAlertRole	RealtimeAlert Lambda 関数は、このロールと REST API を使用して、Service Cloud Voice リアルタイムアラートを作成します。API は RealtimeAlertEvent イベントを公開します。「RealtimeAlertEvent」を参照してください。
SCVHandleContactEventsFunct	HandleContactEventsFunction Lambda 関数は、Amazon Connect が顧客の切断イベントを公開する場合に、このロールを使用して保留中のサービスルーティング要求をクリアします。
[ContactCenter]-SAMLRole	Amazon Connect は、エージェントおよびスーパーバイザのシングルサインオンのために SAML プロトコルを使用して、ユーザーが AWS に認証された後に、このロールを使用します。ユーザーが認証されると、Amazon Connect はユーザーのセキュリティプロファイルに基づいてセッションを確立します。
[ContactCenter]-ConnectCallRole	Service Cloud ユーザーは、このロールを使用して通話録音を停止および再開します。
SCVRetentionPeriodFunctionRole	RetentionPeriodFunction Lambda 関数は、このロールを使用して、120 日以上経過した CloudWatch ログをクリーンアップします。

Service Cloud Voice Provisioning Service によって作成されたポリシーを持つ IAM ロール

いくつかの IAM ロールを除き、Service Cloud Voice Provisioning Service は実行時に IAM ロールを作成します。プロビジョニングサービスは、設定時に SCVIDPLambdaRole、SCVAmazonConnectManagementRole、SCVConnectConfiguratorLambdaRole ロールを作成します。

ロール名	ポリシー	説明
SCVCTRDataSyncFunctionRole	AWSLambdaBasicExecutionRole AWSLambdaKinesisExecutionRole SCVKMSAccessPolicy SCVKinesisDataStreamAccessPolicy	CTRDataSyncFunction Lambda 関数は、このロールを使用して Update Voice Call API を呼び出します。「Update a Voice Call Record」 (音声通話記録を更新) を参照してください。
SCVPostCallAnalysisTriggerFunctionRoleResource	AWSLambdaBasicExecutionRole SCVSSMAccessPolicy SCVKMSAccessPolicy SCVLambdaAccessPolicy SCVAmazonConnectAccessPolicy s3:GetObject s3:GetBucketNotification	PostCallAnalysisTriggerFunction Lambda 関数はこのロールを使用して、音声通話の終了後に分析イベントを送信し、Contact-Lens によって生成されたインテリジェンス信号を保持します。
SCVInvokeTelephonyIntegrationApiFunctionRole	AWSLambdaBasicExecutionRole SCVSSMAccessPolicy	InvokeTelephonyIntegrationApiFunction Lambda 関数は、このロールと CreateVoiceCall API を使用して、Service Cloud Voice 通話を作成します。「Create a Voice Call Record」 (音声通話記録を作成) を参照してください。
SCVInvokeSalesforceRestApiFunctionRole	AWSLambdaBasicExecutionRole SCVSSMAccessPolicy	InvokeSalesforceRestApiFunction Lambda 関数は、このロールを使用して REST API 操作を実行します。
SCVSSMLambdaExecutionRole	AWSLambdaBasicExecutionRole SCVSSMAccessPolicy	Service Cloud Voice Provisioning Service は、このロールを使用して、「Systems Manager」-「Parameter Store」-「Secure String」型のパラメーターを作成します。
SCVS3Role	"s3:GetObject", "kms:Decrypt", "s3:ListBucket"	音声通話が AWS S3 バケットに保存された後、エージェントは録音された音声通話を Salesforce で再生できます。Salesforce はこのロールを使用して AWS S3 バケットにアクセスし、音声通話の録音を再生します。
SCVKvsTranscriberRole	AWSLambdaBasicExecutionRole SCVKMSAccessPolicy SCVSSMAccessPolicy "transcribe:DeleteTranscriptionJob", "transcribe:DeleteMedicalTranscriptionJob", "transcribe:GetTranscriptionJob", "transcribe:GetMedicalTranscriptionJob", "transcribe:GetVocabulary", "transcribe:GetMedicalVocabulary", "transcribe:GetVocabularyFilter", "transcribe:ListTranscriptionJobs", "transcribe:ListMedicalTranscriptionJobs", "transcribe:ListVocabularies", "transcribe:ListMedicalVocabularies", "transcribe:ListVocabularyFilters", "transcribe:StartStreamTranscription", "transcribe:StartMedicalStreamTranscription", "transcribe:StartTranscriptionJob", "transcribe:StartMedicalTranscriptionJob", "kinesisvideo:Describe", "kinesisvideo:Get", "kinesisvideo:List*" "connect:UpdateContactAttributes"	kvsTranscriber Lambda 関数は、このロールとテレフォニーインテグレーション API を使用して、Amazon Connect のビデオストリームに基づいてトランスクリプションデータを送信します。「Create a Transcript」 (トランスクリプトを作成) を参照してください。
SCVKvsConsumerTriggerRole	AWSLambdaBasicExecutionRole SCVLambdaAccessPolicy	kvsConsumerTrigger Lambda 関数はこのロールを使用して、KVSTranscriber Lambda 関数をトリガーし、Kinesis ビデオストリームを呼び出して処理します。
SCVContactLensConsumerFunctionRole	AWSLambdaBasicExecutionRole AWSLambdaKinesisExecutionRole SCVKMSAccessPolicy SCVKinesisDataStreamAccessPolicy SCVLambdaAccessPolicy SCVSSMAccessPolicy	ContactLensConsumerFunction Lambda 関数はこのロールを使用して、Contact Lens からのリアルタイムのトランスクリプションを有効にします。
SCVIDPLambdaRole	"iam:*SamlProvider" AWSLambdaBasicExecutionRole	ProviderCreator Lambda 関数はこのロールを使用して、「IAM」 (「アイデンティティプロバイダー」) を作成します。ここで、Salesforce はアイデンティティプロバイダーとして機能します。この Lambda リソースは、Service Cloud Voice Provisioning Service によって作成されます。
SCVAmazonConnectManagementRole	AWSLambdaBasicExecutionRole SCVKinesisDataStreamAccessPolicy SCVKMSAccessPolicy SCVAmazonConnectAccessPolicy	Service Cloud Voice Provisioning Service は、このロールを使用して、ユーザーの作成と削除、ルーティングプロファイル、キュー、クイック接続などの Amazon Connect の設定タスクを実行します。
SCVConnectConfiguratorLambdaRole	AWSLambdaBasicExecutionRole SCVAmazonConnectAccessPolicy SCVKMSAccessPolicy SCVKinesisDataStreamAccessPolicy SCVLambdaAccessPolicy "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:GetBucketAcl", "s3:CreateBucket", "iam:PutRolePolicy", "ds:DescribeDirectories"	ConnectConfigurationFunction Lambda 関数は、このロールを使用して Amazon Connect インスタンスで API 呼び出しを実行します。このロールは、Amazon Connect の管理を実行し、Amazon Connect インスタンスを設定するために使用されます。この Lambda 関数は、Service Cloud Voice Provisioning Service によって作成されます。
SCVTrailLogGroupRole	"logs:CreateLogStream", "logs:PutLogEvents"	scvCloudTrail サービスは、このロールを使用してすべてのイベントレコードデータを生成し、それを CloudTrail の S3 バケットに書き込みます。 Amazon Connect のパートナーテレフォニーを使用した Service Cloud Voice の場合、バケット名は scv-${AWS::AccountId}-byoa-cloudtrail です。 Service Cloud Voice の場合、バケット名は scv-${AWS::AccountId}-cloudtrail です。
SCVVoiceMailAudioProcessingRole	AWSLambdaBasicExecutionRole AmazonKinesisVideoStreamsReadOnlyAccess SCVKinesisDataStreamAccessPolicy SCVLambdaAccessPolicy "s3:GetObject", "s3:PutObject", "s3:PutObjectTagging"	VoiceMailAudioProcessing Lambda 関数は、このロールを使用して CTR Kinesis Data Stream を処理し、ボイスメールの録音ファイルをキャプチャします。
SCVVoiceMailPackagingRole	AWSLambdaBasicExecutionRole SCVLambdaAccessPolicy SCVSSMAccessPolicy "connect:UpdateContactAttributes" "s3:GetObject", "s3:PutObject", "s3:GetObjectTagging", "s3:PutObjectTagging" "transcribe:DeleteTranscriptionJob", "transcribe:GetTranscriptionJob", "transcribe:ListTranscriptionJobs"	VoiceMailPackagingFunction Lambda 関数はこのロールを使用して CTR を呼び出し、OmniFlow API を実行してボイスメール機能を有効にします。
SCVVoiceMailTranscribeRole	AWSLambdaBasicExecutionRole SCVSSMAccessPolicy "transcribe:DeleteTranscriptionJob", "transcribe:DeleteMedicalTranscriptionJob", "transcribe:GetTranscriptionJob", "transcribe:GetMedicalTranscriptionJob", "transcribe:GetVocabulary", "transcribe:GetMedicalVocabulary", "transcribe:GetVocabularyFilter", "transcribe:ListTranscriptionJobs", "transcribe:ListMedicalTranscriptionJobs", "transcribe:ListVocabularies", "transcribe:ListMedicalVocabularies", "transcribe:ListVocabularyFilters", "transcribe:StartStreamTranscription", "transcribe:StartMedicalStreamTranscription", "transcribe:StartTranscriptionJob", "transcribe:StartMedicalTranscriptionJob" "connect:UpdateContactAttributes" "s3:GetObject", "s3:PutObject", "s3:GetObjectTagging", "s3:PutObjectTagging"	VoiceMailTranscribeFunction Lambda 関数は、このロールを使用してボイスメールの録音ファイルを処理し、ボイスメールを文字起こしします。
SCVRealtimeAlertRole	AWSLambdaBasicExecutionRole SCVSSMAccessPolicy SCVLambdaAccessPolicy "connect:Get", "connect:Describe", "connect:List*",	RealtimeAlert Lambda 関数は、このロールと REST API を使用して、Service Cloud Voice リアルタイムアラートを作成します。REST API は RealtimeAlertEvent イベントを公開します。「RealtimeAlertEvent」を参照してください。
SCVHandleContactEventsRole	AWSLambdaBasicExecutionRole LambdaManagedPolicyResource	HandleContactEventsFunction Lambda 関数は、Amazon Connect が顧客の切断イベントを公開する場合に、このロールを使用して保留中のサービスルーティング要求をクリアします。
[ContactCenter]-SAMLRole	{ "Action": "connect:GetFederationToken", "Resource": [ "arn:aws:connect:*:403503132786:instance/83ccfc13-d248-4768-af7c-9970643cb520/user/${aws:userid}" ], "Effect":"Allow", "Sid":"ConnectSSOPolicySid" }	Amazon Connect は、エージェントおよびスーパーバイザのシングルサインオンのために SAML プロトコルを使用してユーザーが AWS に認証された後に、このロールを使用します。ユーザーが認証されると、Amazon Connect はユーザーのセキュリティプロファイルに基づいてセッションを確立します。
[ContactCenter]-ConnectCallRole	{ "Action": [ "connect:SuspendContactRecording", "connect:ResumeContactRecording" ], "Resource": "arn:aws:connect::AWS ACCOUNT NUMBER :instance/AMAZON CONNECT INSTANCE ID/contact/", "Effect":"Allow", "Sid":"ConnectCallRoleSid" }	Service Cloud ユーザーは、このロールを使用して通話録音を停止および再開します。
SCVRetentionPeriodFunctionRole	AWSLambdaExecute AWSLambdaBasicExecutionRole "logs:CreateLogStream", "logs:PutRetentionPolicy", "logs:CreateLogGroup", "logs:PutLogEvents", "logs:DescribeLogGroups"	RetentionPeriodFunction Lambda 関数は、このロールを使用して、120 日以上経過した CloudWatch ログをクリーンアップします。

権限境界

一部のリソースにはワイルドカードアクセスとサービスアクションがあります。より厳しいアクセスをセットアップするには、権限の境界を作成します。

Service Cloud Voice:Amazon Connect ロールとプロビジョニングポリシー