Legen Sie IP-Adresseinschränkungen und Sitzungs-Timeouts fest - Amazon Connect
Konfigurieren Sie IP-Adressbereiche und SitzungsdauerKonfigurieren Sie die IP-basierte ZugriffskontrolleBeispiele für IP-AdresskonfigurationenKonfigurieren Sie die Sitzungsdauer

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Legen Sie IP-Adresseinschränkungen und Sitzungs-Timeouts fest

Anmerkung

Diese Funktion befindet sich in der Vorschauversion und kann sich ändern. Um Zugriff auf diese Funktion zu erhalten, wenden Sie sich an Ihren Amazon Connect Solutions Architect, Technical Account Manager oder AWS Support.

Um Ihr Kontaktzentrum weiter zu sperren, um beispielsweise die Anforderungen und Vorschriften in Ihrer Branche zu erfüllen, können Sie IP-Adressbeschränkungen und Sitzungs-Timeouts einrichten.

  • Aufgrund von IP-Adressbeschränkungen müssen sich Agenten nur von Ihnen VPN aus anmelden oder den Zugriff von bestimmten Ländern oder Subnetzen aus blockieren.

  • Bei Sitzungs-Timeouts müssen sich die Agenten erneut bei Amazon Connect anmelden.

In Amazon Connect konfigurieren Sie ein Authentifizierungsprofil, um IP-Adressbeschränkungen und Sitzungsdauern angemeldeter Agenten festzulegen. Ein Authentifizierungsprofil ist eine Ressource, die die Authentifizierungseinstellungen für Benutzer in Ihrem Contact Center speichert.

Konfigurieren Sie IP-Adressbereiche und Sitzungsdauer

Ihre Amazon Connect Connect-Instance enthält ein Standard-Authentifizierungsprofil. Dieses Authentifizierungsprofil gilt automatisch für alle Benutzer in Ihrem Contact Center. Sie müssen den Benutzern das Authentifizierungsprofil nicht zuweisen, damit es gilt.

Verwenden Sie die folgenden AWS SDK Befehle, um Ihr Standardauthentifizierungsprofil zu konfigurieren.

Tipp

Sie benötigen Ihre Amazon Connect Connect-Instance-ID, um diese Befehle auszuführen. Anweisungen zum Auffinden Ihrer Instance-ID finden Sie unterFinden Sie Ihre Amazon Connect Connect-Instance-ID/ ARN.

  1. Führen Sie die Authentifizierungsprofile in Ihrer Instanz auf, um die Profil-ID des Authentifizierungsprofils zu erhalten, das Sie aktualisieren möchten. Sie können den list-authentication-profiles CLI Befehl aufrufen ListAuthenticationProfileAPIoder ausführen.

    Es folgt ein list-authentication-profiles Beispielbefehl:

    aws connect list-authentication-profiles --instance-id your-instance-id

    Im Folgenden finden Sie ein Beispiel für das Standardauthentifizierungsprofil, das vom list-authentication-profiles Befehl zurückgegeben wird.

    {
    "AuthenticationProfileSummaryList": [
        {
        "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
        "Id": "profile-id",
        "IsDefault": true,
        "LastModifiedRegion": "us-west-2",
        "LastModifiedTime": 1.719249173664E9,
        "Name": "Default Authentication Profile"
        }
    ],
    "NextToken": null
}

  2. Sehen Sie sich die Konfiguration des Authentifizierungsprofils an, das Sie aktualisieren möchten. Sie können den Befehl DescribeAuthenticationProfileoder den describe-authentication-profile CLI Befehl aufrufen oder ausführen.

    Es folgt ein describe-authentication-profile Beispielbefehl:

    aws connect describe-authentication-profile --instance-id your-instance-id --profile-id profile-id

    Im Folgenden finden Sie ein Beispiel für die vom describe-authentication-profile Befehl zurückgegebenen Informationen.

    {
    "AuthenticationProfile": {
    "AllowedIps": [],
    "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
    "BlockedIps": [],
    "CreatedTime": 1.718999177811E9,
    "Description": "A basic default Authentication Profile",
    "Id": "profile-id",
    "IsDefault": true,
    "LastModifiedRegion": "us-west-2",
    "LastModifiedTime": 1.719249173664E9,
    "MaxSessionDuration": 720,
    "Name": "Default Authentication Profile",
    "PeriodicSessionDuration": 60
    }
}

    Eine Beschreibung der einzelnen Felder finden Sie AuthenticationProfilein der Amazon Connect API Connect-Referenz.

  3. Konfigurieren Sie das Authentifizierungsprofil mit dem update-authentication-profile CLI Befehl UpdateAuthenticationProfileAPIoder. Alle Felder außer InstanceId und ProfileId sind optional. Nur die Einstellungen, die Sie im API Anruf definieren, werden geändert.

    Es folgt ein update-authentication-profile Beispielbefehl. Es konfiguriert das Standardauthentifizierungsprofil, das automatisch allen Benutzern zugewiesen wird. Es erlaubt einige IP-Adressen, blockiert andere und legt die regelmäßige Sitzungsdauer auf 60 Minuten fest.

    aws connect update-authentication-profile 
    --instance-id your-instance-id 
    --profile-id profile-id
    --name "Default Authentication Profile"
    --description "A basic default Authentication Profile"
    --allowed-ips "ip-range-1" "ip-range-2" ...
    --blocked-ips "ip-range-3" "ip-range-4" ...
    --periodic-session-duration 60

Konfigurieren Sie die IP-basierte Zugriffskontrolle

Wenn Sie den Zugriff auf Ihr Contact Center anhand von IP-Adressen konfigurieren möchten, können Sie die IP-basierte Zugriffskontrollfunktion Ihres Authentifizierungsprofils verwenden.

Es gibt zwei Arten von IP-Konfigurationen, die Sie in einem Authentifizierungsprofil konfigurieren können: zulässige IP-Adressbereiche und blockierte IP-Adressbereiche. In den folgenden Punkten wird beschrieben, wie die IP-basierte Zugriffskontrolle funktioniert.

  • IP-Adressen können beide IPV4 IPV6 Formate haben.

  • Sie können sowohl einzelne IP-Adressen als auch IP-Adressbereiche in CIDR Notation definieren.

  • Blockierte IP-Konfigurationen haben immer Vorrang.

  • Wenn IP-Adressen in der Liste der zulässigen IP-Adressen definiert sind, sind nur diese IP-Adressen zulässig.

    • Diese IP-Adressen können anhand der Liste der blockierten IP-Adressen nach unten begrenzt werden.

  • Wenn nur blockierte IP-Adressen definiert sind, kann jede IP-Adresse auf die Instanz zugreifen, mit Ausnahme der in der Sperrliste definierten.

  • Wenn IP-Adressen sowohl in der Liste der zulässigen als auch in der Liste der blockierten IP-Adressen definiert sind, sind nur die im zulässigen Bereich definierten IP-Adressen zulässig, abzüglich aller IP-Adressen im blockierten Bereich.

Anmerkung

Die auf IP-Adressen basierende Zugriffskontrolle gilt nicht für die Administratoranmeldung im Notfall. Um Einschränkungen für diesen Benutzer anzuwenden, können Sie SourceIpEinschränkungen in Ihren IAM Richtlinien für den festlegen APIconnect:AdminGetEmergencyAccessToken.

Wenn festgestellt wird, dass die IP-Adresse eines Benutzers von der Instanz blockiert wird, wird die Sitzung des Benutzers für ungültig erklärt. Ein Abmeldeereignis wird im Anmelde-/Abmeldebericht veröffentlicht.

Was erleben Benutzer, wenn ihre IP-Adressüberprüfung fehlschlägt

Kundendienstmitarbeiters (Kundendienstmitarbeiter)

Wenn ein Agent im Contact Control Panel (CCP) aktiv ist, wird seine IP-Adresse regelmäßig überprüft. Die Häufigkeit, mit der Amazon Connect die IP-Adresse überprüft, hängt davon ab, wie Sie die regelmäßige Sitzungsdauer des Authentifizierungsprofils konfiguriert haben.

Folgendes passiert, wenn die IP-Adresse die Prüfung nicht besteht:

  • Wenn sich der Agent nicht in einem aktiven Anruf befindet, wird der Agent abgemeldet, wenn seine IP-Adresse in eine unzulässige Adresse geändert wird.

  • Befindet sich der Agent in einem aktiven Anruf, wird die Sitzung des Agenten für ungültig erklärt. Dadurch wird jedoch der aktuell aktive Anruf beendet. Es passiert Folgendes:

    1. Der Agent kann keine Maßnahmen ergreifen, z. B. den Agentenstatus ändern, Anrufe weiterleiten, den Anruf in die Warteschleife setzen, den Anruf beenden oder einen Fall erstellen.

    2. Der Agent wird darüber informiert, dass seine Fähigkeit, Maßnahmen in der zu ergreifen, eingeschränkt CCP ist.

    3. Wenn er sich erfolgreich anmeldet, nachdem seine Sitzung für ungültig erklärt wurde, wird er wieder in den aktiven Anruf aufgenommen und kann erneut Maßnahmen ergreifen.

Administratoren und Benutzer, die die Admin-Website verwenden Amazon Connect

Wenn die IP-Adressüberprüfung für Administratoren und andere Benutzer fehlschlägt, die Aktionen auf der Amazon Connect Admin-Website ausführen, z. B. Updates für Ressourcen speichern oder aktive Anrufe tätigen, werden sie automatisch abgemeldet.

Beispiele für IP-Adresskonfigurationen

Beispiel 1: IP-Adressen, die nur in der Liste der zulässigen IP-Adressen definiert sind

  • AllowedIps: [ 111.222.0.0/16 ]

  • BlockedIps: [ ]

Ergebnis:

  • Nur IP-Adressen zwischen 111.222.0.0 und 111.222.255.255 dürfen auf die Instanz zugreifen.

Beispiel 2: IP-Adressen, die nur in der Liste der blockierten IP-Adressen definiert sind

  • AllowedIps: [ ]

  • BlockedIps: [155.155.155.0/24 ]

Ergebnis:

  • Alle IP-Adressen sind zulässig, mit Ausnahme des IP-Adressbereichs 155.155.155.0 - 155.155.155.255 einschließlich.

Beispiel 3: IP-Adressen, die sowohl in der Liste der zulässigen IP-Adressen als auch in der Liste der blockierten IP-Adressen definiert sind

  • AllowedIps: [ 200.255.0.0/16 ]

  • BlockedIps: [200.255.10.0/24, 200.255.40.50, 192.123.211.211 ]

Ergebnis:

  • IP-Adressen dazwischen 200.255.0.0 - 200.255.255.255 sind erlaubt, minus(200.255.10.0 - 200.255.10.255 AND 200.255.40.50).

  • Tatsächlich 200.255.0.0 - 200.255.9.255, 200.255.11.0 - 200.255.40.49, 200.255.40.51 - 200.255.255.255 sind sie erlaubt.

  • 192.123.211.211wird effektiv ignoriert, da es sich nicht im Bereich des zulässigen Bereichs befindet.

Beispiel 4: In der Liste der zulässigen IP-Adressen oder der Liste der blockierten IP-Adressen sind keine IP-Adressen definiert

  • AllowedIps: [ ]

  • BlockedIps: [ ]

In diesem Fall gibt es keine Einschränkungen.

Wichtig

Die allowedIps Liste definiert den möglichen Bereich, der in Ihrem Contact Center IPs zulässig ist, nur wenn sie nicht leer ist. Wenn sie leer ist, darf jede IP-Adresse auf Ihr Contact Center zugreifen, sofern sie nicht ausdrücklich von der blockedIps Liste blockiert wird.

Konfigurieren Sie die Sitzungsdauer

Sie können die Dauer der regelmäßigen Sitzungen an die Präferenzen und Sicherheitsanforderungen Ihres Unternehmens anpassen. Sie können beispielsweise die Dauer der regelmäßigen Sitzung auf 20 Minuten festlegen, sodass die IP-Adresse und die Sitzungsdauer Ihres Agenten innerhalb eines Zeitraums von 20 Minuten in der CCP überprüft werden.

Amazon Connect verwendet ein tokenbasiertes Authentifizierungsmodell. Es gibt zwei Sitzungs-Timeouts, die für Benutzersitzungen in Ihrem Contact Center gelten:

  • Periodische Sitzungsdauer: Der maximale Zeitraum, bis ein Contact-Center-Benutzer authentifiziert wird. Standard = 60 Minuten. Diese Option kann auf einen anderen Wert zwischen 10 und 60 konfiguriert werden.

    Anmerkung

    Diese Einstellung definiert zwar das maximale Zeitintervall, das vergehen kann, bis ein Benutzer authentifiziert wird, in bestimmten Situationen kann die Authentifizierung jedoch früher erfolgen. Auf der Amazon Connect Admin-Website erfolgt die Authentifizierung beispielsweise auch dann, wenn bestimmte Aktionen ausgeführt werden, z. B. das Erstellen eines Benutzers oder das Ändern eines Sicherheitsprofils.

  • Maximale Sitzungsdauer: Der maximale Zeitraum, für den ein Contact Center-Benutzer angemeldet sein kann, bevor er gezwungen wird, sich erneut anzumelden. Standard = 12 Stunden; es kann kein anderer Wert konfiguriert werden.