Amazon Connectでは各種操作・設定権限を「セキュリティプロファイル」として定義し、ユーザーごとに割り当てて管理します。
本記事では、ユーザー管理権限の設定について例示しながら、タグベースのアクセスコントロール機能を使用した設定方法を検討します。
ターゲット
Agent権限ユーザーの作成・編集・削除操作のみに特化した権限を作成します。
Adminユーザーなど、他の権限を持つユーザーの変更は不可とします。
セキュリティプロファイル作成
(本設定はAdmin権限を持つユーザーが実施することを想定しています)
ターゲットとするセキュリティプロファイルを作成します。
今回は 「UserMaintainer」 という名称を使用します。
権限は「ユーザーとアクセス権限」セクションの「ユーザー」すべて(「表示」「編集」「作成」「削除」「アクセス許可の編集」)をチェックします。
問題点の確認
このセキュリティプロファイルでユーザー管理は可能になります。
ただし、今回のターゲットが「Agent権限ユーザーのみのメンテナンス権限」であるのに対して、このままでは、Admin権限ユーザー等、すべてのユーザーメンテナンスが可能となってしまいます。
そこで、より詳細な権限管理が可能な、タグベースのアクセスコントロール機能を利用した設定を行います。
セキュリティプロファイル変更: UserMaintainer
セキュリティプロファイル「UserMaintainer」の設定を変更します。
ユーザーとアクセス権限→セキュリティプロファイル→「表示」をチェック
続いて、以下の手順で設定を進めます。
- 画面下部の「詳細オプションの表示」をクリック
- 「タグベースのアクセスコントロール」をチェック
- リソース→「セキュリティプロファイル」および「ユーザー」を選択
- タグキー→「Group」を指定
- タグ値→「CallCenter」を指定
- 「追加」ボタンをクリック
- 「保存」ボタンをクリック
補足:セキュリティプロファイル「UserMaintainer」を割り当てたユーザーは、セキュリティプロファイルとユーザーに関して、 Group:CallCenter タグが設定された情報のみへアクセス可能となります
セキュリティプロファイル変更: Agent
セキュリティプロファイル「Agent」の設定を変更します。
- 画面下部の「詳細オプションの表示」をクリック
- 「タグ」セクション
- タグキー→「Group」を指定
- タグ値→「CallCenter」を指定
- 「追加」ボタンをクリック
- 「保存」ボタンをクリック
補足: こちらはアクセスされる側のセキュリティプロファイルのため、タグ設定のみ実施します
動作確認
ここまでの操作はAdmin権限ユーザーで実施してきましたが、ここからは作成したセキュリティプロファイル「UserMaintainer」を割り当てたユーザーで設定操作を確認します。
ユーザー追加操作
セキュリティプロファイルの選択肢はタグ設定が一致する「Agent」のみに制限されます。
作成されたユーザーには自動的に Group:CallCenter タグが設定されます。
既存ユーザー操作
ユーザー管理画面を開くと、下記のようにアクセスコントロール設定が適用されていることが表示されます。
右へスクロールし、タグ列を確認してみましょう。
Group:CallCenter タグが設定されたユーザーのみが表示されており、管理範囲内のユーザー操作に限定されるように制御されていることが確認できます。
運用開始後の移行
運用開始後、タグベースのアクセスコントロール機能を利用したユーザー管理を導入する場合、管理対象とするユーザーへタグを設定する手順が必要です。
移行作業については、対象ユーザーを管理可能である必要があるため、Admin権限ユーザー等でログインして操作します。
既存ユーザーのタグ変更
ユーザー管理画面で対象ユーザーを選択し、「編集」ボタンをクリックします。
タグを設定、追加し、「保存」することで一括更新が可能です。
確認
「UserMaintainer」を割り当てたユーザーでログインし、管理対象ユーザーとして表示されることを確認します。
まとめ
タグベースのアクセスコントロール機能を利用することで、権限範囲を細かく制御できます。
ただし、設定や運用面で複雑になる傾向があることも事実です。
バランスを考慮して適切に運用できる設計の検討をすすめします。
ご参考になれば幸いです。
