AWS Lambda関数を呼び出すためのIAMリソースを作成する

 メモ:   この記事はAWS Lambdaデータアクション統合に適用されます。

AWS Lambda関数にアクセスするには、Genesys CloudはAmazon Web Services(AWS)アカウントでリソースを使用する許可を持っている必要があります。 この手順では、ポリシーを作成し、AWSでIAM役割を作成し、この役割をポリシーに添付する方法について説明します。 その後、この役割をGenesys CloudでのAWS Lambdaデータアクション統合に割り当てます。

 メモ:   AWS Identity and Access Management(IAM)は、AWSリソースへのアクセスを制御するウェブサービスです。 IAM役割はユーザーに似ていますが、それはAWSでアイデンティティができることとできないことを決定するアクセス許可ポリシーでAWSアイデンティティを定義するためです。 Genesys Cloud、EC2などのAWSサービス、またはエンドユーザーなどのアプリケーションを含む信頼できるアイデンティティは、IAMの役割を引き受けます。 各IAM役割は、AWSサービスリクエストを行うために必要な権限を定義します。 詳細については、 IAM役割 AmazonのAWS Identity and Access Managementユーザーガイドに記載されています。

ポリシーを作成するには、IAM役割を作成し、この役割をポリシーに添付するには、次の手順に従います。

  1. AWSにログインします。
  2. に移動します AWSサービス ページ。
  3. Genesys Cloudを呼び出すAWS Lambda関数でARNを取得します。
    1. クリック ラムダ。
    2. 呼び出したいAWS Lambda関数を選択してください。
       メモ:   AWS Lambda 統合は、クロスリージョン呼び出しをサポートします。 管理者は、Genesys Cloud組織とは異なるAWS地域に存在するLambdaをデータアクションとして呼び出すことができます。 詳細については、 Genesys Cloud の AWS リージョン
    3. AWS Lambda関数のARNをコピーします。 作成したポリシーにこのARNを使用します。
  4. クリック わたし
  5. ポリシーを作成します。 ポリシーを作成します。ポリシーは、役割がどのリソースに作用できるか、および役割がリソースにどのように作用できるかを指定します。
    1. ダッシュボードを選択 ポリシー
    2. クリック ポリシーを作成する。 
    3. に ビジュアル編集者 タブで、以下の項目を設定します。
      1. サービスクリック サービスを選択 そしてクリック ラムダ。 この設定は、ポリシーが呼び出すサービスを指定します。
      2. 行動 そして アクセスレベル、 横の矢印をクリック 書きます を選択して invokeFunction チェックボックス この設定は、ポリシーがAWS Lambda機能に付与するアクションを指定します。
      3. リソースを選択 特定 そしてクリック ARNを追加。 ステップ3でAWS Lambda関数からコピーしたARNを貼り付けます。 この設定は、どのAWS Lambda関数にポリシーが呼び出し許可を付与するかを指定します。
    4. クリック レビューポリシー
    5. の中に ボックスにポリシーの名前を入力します。 
    6. クリック ポリシーを作成する
  6. このポリシーを使用する役割を作成してください。
    1. ダッシュボードクリック 役割
    2. 役割 ページ、クリック ロールを作成
    3. 選択する 別のAWSアカウント 信頼できるエンティティのタイプとして。
    4. Account ID のボックスに、765628985471 (Core/Satellite regions) または325654371633 (FedRAMP region (US-East-2)) と入力する。 この番号は、Genesys Cloud Production AWSアカウントIDです。 
    5. _を選択 外部IDが必要]チェックボックスをオンにして、Genesys Cloud組織IDを入力します。
    6. クリックします。 次.  権限
  7. この役割に権限ポリシーを適用します。
    1. 作成したポリシーを選択します。
    2. クリックします。 次.  レビュー…
    3. の中に ロール名 ボックスにロールの名前を入力します。
    4. の中に 役割の説明 ボックスに、役割についての説明文を入力します。
    5. 次のアカウント番号を確認します。 信頼されたエンティティ は、先に入力したGenesys CloudプロダクションAWSアカウントIDと一致します。
    6. クリック ロールを作成
    7. 作成した役割の名前をクリックします。 役割に関する要約詳細が表示されます。
    8. 複数のGenesys Cloud組織がAWS Lambda関数を呼び出すことができるようにするには、複数のGenesys Cloud組織IDをJSONに追加します。
      1. クリック 信頼関係
      2. クリック 信頼関係を編集する
      3. 以下 sts:外部ID、Genesys Cloudの組織IDを追加します。 次の例を見てください。 
        {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::765628985471:root"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringLike": {
          "sts:ExternalId": [
            "91cf9239-f549-465b-8cad-9b46f1420818",
            "90b7f8c9-790e-43f9-ad67-92b61365a4d0"
          ]
        }
      }
    }
  ]
}
      4. クリック 信頼ポリシーを更新する
    9. をコピー ロールARN をクリックして コピーする 役割ARNの右側にあるアイコン。 Genesys CloudにAWS Lambdaデータアクション統合を追加する場合、資格情報にこのRole ARNを使用します。

次、 AWS Lambdaデータアクション統合を追加する

統合について詳しくは、以下を参照してください。 AWS Lambdaデータアクション統合について