Amazon Connect のタグベースでのメトリクスへのアクセス制御を検証してみた

記事タイトルとURLをコピーする

こんにちは、AS部DS2課の外崎です。

Amazon Connectの「タグベースのアクセス制御」は、効率的かつ柔軟なリソース管理を実現する重要なツールです。タグを利用することで、特定のリソースに対するアクセス権限を細かく制御することが可能となり、企業全体のセキュリティを強化するとともに、業務の効率化に大いに貢献します。 本ブログでは、タグベースのアクセス制御の概要と、それがもたらすメリットについてわかりやすく解説します。

タグベースのアクセス制御とは

タグベースのアクセス制御とは、特定の「タグ」(ラベルやマーカーのようなもの)を使用して、システム内のリソースへのアクセスを管理する方法のことを指します。例えば、あるリソースに「営業部門」というタグを付けると、そのタグが付いたリソースへのアクセスを「営業部門」のメンバーだけに限定することができます。

タグベースのアクセス制御には、いくつかの重要な利点があります。

最小権限の原則

タグベースのアクセス制御は、各リソースへのアクセスを必要最低限の人たちだけに限定する「最小権限の原則」を容易に実現します。これにより、リソースが無駄に多くの人々に公開されることを防ぎ、企業全体のセキュリティを強化します。

権限の分散管理

タグを使うことで、各部門やチームが自分たちが必要とするリソースのアクセス権限を自分たちで管理することができます。これにより、全てのアクセス権限を一元的に管理する負担を軽減し、各チームがよりスムーズに作業を進めることが可能になります。

アクセス制御の自動化

新しいリソースが追加されたとき、事前に定められたルールに基づいて自動的にタグが付けられ、適切なアクセス権限が割り当てられます。これにより、新たなリソースが適切に保護されるようになり、また管理者の手間も大いに軽減されます。

タグベースのアクセス制御は、これらの利点を活かして、企業全体の運用効率とセキュリティを向上させるための重要な手段となります。

Amazon Connectでのタグベースのアクセス制御

Amazon Connectにタグベースのアクセス制御を導入することで、コールセンターの運用が一段と効率的かつセキュアになります。特に、大規模なコールセンターや複数のチームが関与する環境では、リソース管理の負荷を大幅に軽減することが可能です。

一般的なユースケース

例えば、ある企業では複数のチームが存在し、それぞれがAmazon Connectを利用しています。営業チーム、カスタマーサポートチーム、テクニカルサポートチームといった具体的なチームが存在し、それぞれのチームには異なるアクセス権限が必要です。

各チームのマネージャーがリアルタイムメトリクスを見る場合を想定します。営業マネージャーは自チームのキューやエージェントのリソース情報を閲覧したいと思っており、顧客サポートマネージャーやテクニカルサポートマネージャーも同様に自分たちのチームの情報にだけアクセスしたいと考えます。しかし、タグ制御を用いない場合、このような細やかなアクセス制御は難しく、各マネージャーは自チーム以外のキューやエージェントのリソース情報を閲覧することができてしまいます。これにより、意図しないアクセスを許可してしまうリスクも増えてしまいます。

タグベースのアクセスコントロールを使用しない場合、次の画像に示すように、すべてのキュー、ルーティングプロファイル、およびエージェントが [リアルタイムメトリクス] ページに表示されます。

そのため、タグベースのアクセス制御の導入が非常に有効な手段となります。各リソースに「Sales」、「CustomerSupport」、「TechnicalSupport」といったタグを割り当てることで、チームごとに適切なアクセス権限の設定が可能となります。この方式のアクセス制御の最大の利点は、個々のリソースに対して「誰がアクセスでき、どのタグに関連するメトリクスを視覚化できるか」を細かく指定することができる点です。つまり、営業マネージャーは「Sales」タグがつけられたリソース情報だけを閲覧できるようになり、カスタマーサポートマネージャーやテクニカルサポートマネージャーも、それぞれが関連するタグが付与された情報のみにアクセスできるようになります。これにより、各マネージャーは自チームの状況に集中した管理を実行することが可能となります。

タグベースのアクセスコントロールでは、次の画像に示すように、限られたセットのキュー、ルーティングプロファイル、およびエージェントが [リアルタイムメトリクス] ページに表示されます。

docs.aws.amazon.com

やってみた

誰がどのリソースにアクセスし、どのタグのメトリクスを見ることができるか」という観点でリソースごとに細かな設定を行います。具体的には、マネージャー「blogManagerA」が「blogA」タグのついたリソースだけを閲覧できるような設定を試みます。

検証するにあたり以下のリソースを構築します。

リソース Aチーム Bチーム
オペレーター blogUserA blogUserB
マネージャー blogManagerA blogManagerB
キュー blogQueueA blogQueueB
ルーティングプロファイル blogRoutingProfileA blogRoutingProfileB
セキュリティプロファイル blogSecurityProfileA blogSecurityProfileB

作業手順は以下の通りです。

  1. リソースにタグ付け
  2. セキュリティプロファイル設定
  3. マネージャーに対してセキュリティプロファイルの紐づけ

リソースにタグ付け

以下の3つのリソースに対して

  1. オペレーター (ユーザー)
  2. キュー
  3. ルーティングプロファイル

設定したいタグを追加する

セキュリティプロファイル設定

アクセスコントロールより以下のように、リソースとタグを選択して追加する。

追加後

マネージャー に対してセキュリティプロファイルの紐づけ

マネージャーに対して任意のセキュリティプロファイルを設定する。

検証

各マネージャーアカウントにログインし、リアルタイムメトリクスからセキュリティプロファイルの設定に基づいて、特定のエージェントだけが閲覧できることを確認します。そして、「blogUserA」と「blogUserB」の両ユーザーはそれぞれCCPを起動し、アクティビティを「Available」に変更します。

Adminでログインした場合

blogUserA、blogUserB両方の情報を閲覧することができます。

blogManagerAでログインした場合

blogUserAの情報のみ閲覧することができます。

blogManagerBでログインした場合

blogUserBの情報のみ閲覧することができます。

検証結果

これら3つのステップを踏むことで、特定のリソースのアクセス制御が可能になることがわかりました。今回の検証では、「マネージャーがリアルタイムメトリクスを閲覧する」状況を想定しました。

CLI/SDKを使用することでさらに多くのリソースにタグを付けることができ、より細かいアクセス制御が可能となります。

docs.aws.amazon.com

また、履歴メトリクスの閲覧についてはタグベースのアクセスコントロールを現時点ではサポートしていません。今後のタグベースのアクセスコントロールの拡大が期待されます。

まとめ

Amazon Connectにタグベースのアクセス制御を導入することで全体のセキュリティを向上させることが可能です。この方法は特に、複数のチームが関与する状況や、新しいリソースが頻繁に追加される状況では、その利便性と効率性が最大限に発揮されます。

さらに、タグをつけるプロセスは非常にシンプルで、コンソールで簡単に作成、修正をすることができるため、各チームのニーズに合わせたアクセス制御を短時間で実現することが可能です。

外崎 隼斗 (記事一覧)

アプリケーションサービス部ディベロップサービス1課

雑食系