Amazon Connect でタグベースのアクセスコントロールを使用するときに発生する一般的な問題をトラブルシューティングしたいです。
解決策
問題に基づいて、次のセクションに記載した手順を実行してください。
エージェントがリソースを作成または更新できない
ユーザーがリソースにアクセスできるようにするには、リソースにエージェントのプロファイルと同じタグを付ける必要があります。たとえば、エージェントがキューを編集しようとしていて、セキュリティプロファイルにタグが含まれていない場合、エージェントにエラーが返されます。
この問題を解決するには、エージェントのセキュリティプロファイルを更新することで、必要なリソースにアクセスできるようにします。
エージェントがリソースを制限できない
複数の理由で、エージェントがタグを使用してリソースを制限できなくなる場合があります。
エージェントのアクセス許可が誤っている
エージェントがタグベースのアクセス制御を使用してリソースを制限できない場合は、リソースを編集するエージェントのアクセス許可を確認してください。エージェントがリソースにアクセスできない場合は、エージェントのセキュリティプロファイルを更新して必要なリソースにアクセスできるようにします。
注: セキュリティプロファイルには、最大 4 つのアクセス制御タグを設定できます。詳細については、「設定の制限事項」を参照してください。
サービスにリンクされたロールが誤っている
サービスリンクロールでアクションの実行が許可されていることを確認してください。
注: 2018 年 10 月より前に作成されたインスタンスがある場合は、サービスリンクロールを使用してリソースを制限してください。詳細については、「Amazon Connect のサービスリンクロールとロールのアクセス許可を使用する」を参照してください。
タグの形式が誤っている
Amazon は、Amazon サービスによって生成されるタグ用に aws: というプレフィックスを予約しています。お使いのタグに aws: を追加した場合、そのタグを追加、変更、削除することはできなくなります。
この問題を解決するには、リソース用の新しいタグを、aws: プレフィックスをつけずに作成します。
タグキーが一意ではない
Amazon Connect サービスは、各リソースにつき最大 50 個のタグをサポートします。特定のリソースでは、タグキーが一意であり、含まれる値が単一である必要があります。
タグキーを更新してこの問題を解決します。詳細については、「Amazon Connect のリソースにタグを追加する」を参照してください。
複数のセキュリティプロファイルを持つエージェントが、リソース内のタグを閲覧できない
アクセス制御タグを含む複数のセキュリティプロファイルが単一のユーザーに割り当てられた場合、タグベースのアクセス制御が緩和されます。
たとえば、City:X と Country:Y という 2 つのアクセス制御タグを追加した場合、これらのタグが原因で、ユーザーには両方のタグを含むリソースのみが表示されます。
この問題を解決するには、エージェントにセキュリティプロファイルを 1 つだけ割り当てるのがベストプラクティスです。
"Failed Tags: 値が無効です" というエラーが発生する
CSV ファイルを使用してユーザーを一括で追加すると、次のエラーが発生することがあります。
"Failed Tags: 値が無効です"
このエラーは、一部のユーザーに複数のタグが付いている場合に、複数のユーザーを一括で追加すると発生します。
この問題を解決するには、タグの CSV ファイル形式を更新します。タグの正しい形式例を次に示します。
key1|value1||key2|value2
セカンダリフィルターに基づいてエージェントメトリクスをフィルター処理できない
タグベースのアクセス制御にリアルタイムメトリクスページを使用する際には、プライマリリソースでのみテーブルをフィルター処理できます。たとえば、エージェントテーブルのキューでフィルター処理したり、ルーティングプロファイルテーブルのキューでグループ化したりすることはできません。
タグが有効な場合、Amazon Connect は適切なタグが付けられた最初の 100 人のエージェントを選択します。グループ内のタグが付けられたエージェントについて、Amazon Connect はそのグループのアクティブなエージェントのみを表示します。テーブルではすべての結果を 1 ページに表示できるため、結果をフィルターする必要はありません。
ユーザーが制限付きコンテンツを閲覧できる
タグベースのアクセス制御によって制限されているコンテンツがユーザーに表示される場合は、アクセス制御設定を確認します。タグベースのアクセス制御を適用する場合、特定のリソースまたはモジュールへのアクセスを無効にする必要があります。この問題を解決するには、構成を更新し、かかるモジュールまたはリソースを閲覧するアクセス許可を削除します。その他のベストプラクティスについては、「タグベースのアクセス制御を適用するうえでのベストプラクティス」を参照してください。
関連情報
Amazon Connect のリソースにタグを追加する
Amazon Connect のリソースタグを使用して詳細なアクセス制御を設定する
Amazon Connect コンソールを使用してタグベースのアクセス制御を行う