お客様の AWS アカウントに作成されるリソースについて
作成されるリソース種別
Sylphina を利用する際にお客様の AWS アカウントに作成されるリソースは、
- テナント作成に必要な IAM Role の作成 にて作成した IAM Role(以降 AWS CDK 用 IAM Role)
- テナントオンボーディング時に AWS CDK によって作成されるリソース(以降顧客リソース)
に分けられます。
AWS CDK 用 IAM Role
用途
お客様の AWS アカウント上へ Sylphina を動作するために必要なリソースをデプロイするために使用する IAM Role です。
オンボーディング時に本ページに記載しているリソースをデプロイし、今後のアップデート時にも利用されるロールであるため強い権限を持っています。
リソース名
リソース名は以下のように動的に決定されます。
(お客様が CloudFormation 実行時に指定したスタック名)-SylphinaCdkExeCutionRole-(ランダムな文字列)
許可ポリシー
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}
信頼ポリシー
信頼ポリシーによって、Sylphina 上の限られたリソースのみが当該 IAM Role へアクセスすることができます。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
// AWS CDK 用 IAM RoleへAssumeRoleを行うSylphina上のリソースリスト
"arn:aws:iam::930566761996:role/SylphinaSaasOnboarding-OnboardingWebCreateTenantRol-DCmTiWtaEgIt",
"arn:aws:iam::930566761996:role/SylphinaSaasOnboarding-CommonRolesUpdateCustomerRes-rmxvwgu7ZF2z",
"arn:aws:iam::930566761996:role/SylphinaSaasOnboarding-OnboardingJobStateMachineRol-aS8jNUQWPgRS",
"arn:aws:iam::930566761996:role/SylphinaSaasOnboarding-OnboardingJobProjectRole51BA-iMgl2CRp6XHH"
]
},
"Action": "sts:AssumeRole"
}
]
}
顧客リソース
用途
顧客リソースは Sylphina を動作させるためにお客様の AWS アカウントへデプロイする必要のあるリソースです。
リソースの一覧
セルフオンボーディングプロセスの中で、以下のリソースがお客様の AWS アカウントに作成されます。
AWS サービス | リソース名 |
---|---|
AWS IAM | CustomerConnectAssumeRole |
AWS IAM | AgentEventHandlerRole |
AWS Lambda | AgentEventHandler |
CustomerConnectAssumeRole
用途
Sylphina からお客様の AWS アカウント上の Amazon Connect サービスへ API アクセスするために AssumeRole 対象となる IAM Role です。
許可ポリシー
AWS マネージドポリシーであるAmazonConnect_FullAccessのみを指定しています。
信頼ポリシー
信頼ポリシーによって、Sylphina 上の限られたリソースのみが当該 IAM Role へアクセスすることができます。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::930566761996:role/sylphina2LambdaRole33f94eb3-saasprod"
},
"Action": "sts:AssumeRole"
}
]
}
AgentEventHandlerRole
用途
データストリーミングの設定で設定した、Amazon Connect の Agent Event Stream、CTR といったストリーミングデータを Sylphina へ連携する Lambda の実行ロールです。
許可ポリシー
AWS マネージドポリシーであるAWSLambdaKinesisExecutionRoleに加え、以下のポリシーを追加しています。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Resource": "*",
"Effect": "Allow"
}
]
}
信頼ポリシー
Lambda の実行ロールとして信頼ポリシーを設定しています。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "lambda.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
AgentEventHandler
用途
データストリーミングの設定で設定した、Amazon Connect の Agent Event Stream、CTR といったストリーミングデータを Sylphina へ連携する Lambda 関数です。