Zugriffskontrolle für Hierarchien (Vorschau) - Amazon Connect

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriffskontrolle für Hierarchien (Vorschau)

Hierbei handelt es sich um die vorab veröffentlichte Dokumentation für einen Service, dessen Vorversion verfügbar ist. Änderungen sind vorbehalten.

Sie können den Zugriff auf Kontakte auf der Grundlage der einem Benutzer zugewiesenen Agentenhierarchie einschränken. Dies wird durch die Verwendung von Berechtigungen wie „Kontaktzugriff einschränken“ erreicht. Zusätzlich zu diesen Berechtigungen können Hierarchien auch verwendet werden, um detaillierte Zugriffskontrollen für Ressourcen wie Benutzer in Verbindung mit Stichwörtern durchzusetzen. Der Rest dieser Seite enthält zusätzliche Informationen zur Konfiguration hierarchiebasierter Zugriffskontrollen (derzeit in der Vorschauversion).

Hintergrund

Mithilfe der hierarchiebasierten Zugriffskontrolle können Sie den detaillierten Zugriff auf bestimmte Ressourcen auf der Grundlage der einem Benutzer zugewiesenen Agentenhierarchie konfigurieren. Sie können hierarchiebasierte Zugriffskontrollen mithilfe vonAPI/SDKoder innerhalb der Amazon Connect Connect-Konsole für unterstützte Ressourcen konfigurieren. 

Derzeit ist Benutzer die einzige Ressource, die hierarchiebasierte Zugriffskontrolle unterstützt. Dieses Autorisierungsmodell arbeitet mit der tagbasierten Zugriffskontrolle zusammen und ermöglicht es Ihnen, den Zugriff auf Benutzer einzuschränken, sodass diese nur andere Benutzer sehen können, die zu ihrer Hierarchiegruppe gehören und denen bestimmte Tags zugeordnet sind.

Hierarchiebasierte Zugriffskontrolle mithilfe von/APISDK

Um den Zugriff auf Ressourcen in Ihren AWS Konten mithilfe von Hierarchien zu steuern, müssen Sie die Informationen zur Hierarchie im Bedingungselement einer Richtlinie angeben. IAM Um beispielsweise den Zugriff auf einen Benutzer zu kontrollieren, der zu einer bestimmten Hierarchie gehört, verwenden Sie den connect:HierarchyGroupL3Id/hierarchyGroupId Bedingungsschlüssel zusammen mit einem bestimmten Operator, StringEquals um anzugeben, zu welcher Hierarchiegruppe der Benutzer gehören muss, um bestimmte Aktionen für ihn zuzulassen. Die unterstützten Bedingungsschlüssel sind:

  1. verbinden: HierarchyGroup L1Id/ hierarchyGroupId

  2. connect:HierarchyGroupL2Id/hierarchyGroupId

  3. connect:HierarchyGroupL3Id/hierarchyGroupId

  4. connect:HierarchyGroupL4Id/hierarchyGroupId

  5. connect:HierarchyGroupL5Id/hierarchyGroupId

Jede steht für die ID einer bestimmten Hierarchiegruppe auf einer bestimmten Ebene der Hierarchiestruktur des Benutzers.

Ausführlichere Informationen zur hierarchiebasierten Zugriffskontrolle finden Sie im IAM Benutzerhandbuch unter Steuern des Zugriffs auf AWS Ressourcen mithilfe von Tags.

Hierarchiebasierte Zugriffskontrolle mithilfe der Amazon Connect Connect-Konsole

Um Hierarchien zur Steuerung des Zugriffs auf Ressourcen auf der Admin-Website Ihrer Amazon Connect Connect-Instance zu verwenden, müssen Sie den Zugriffskontrollbereich innerhalb eines bestimmten Sicherheitsprofils konfigurieren. Um beispielsweise für einen bestimmten Benutzer eine differenzierte Zugriffskontrolle auf der Grundlage der Hierarchie zu aktivieren, zu der er gehört, müssten Sie den Benutzer als zugriffskontrollierte Ressource konfigurieren. In diesem Fall haben Sie zwei Möglichkeiten:

  1. Erzwingen Sie eine hierarchiebasierte Zugriffskontrolle auf der Grundlage der Benutzerhierarchie: Dadurch wird sichergestellt, dass der Benutzer, dem Zugriff gewährt wird, nur Benutzer verwalten kann, die zu seiner Hierarchie gehören. Wenn Sie diese Konfiguration beispielsweise für einen bestimmten Benutzer aktivieren, kann er andere Benutzer verwalten, die entweder zu seiner Hierarchiegruppe oder einer untergeordneten Hierarchiegruppe gehören. Dadurch wird sichergestellt, dass der Benutzer, dem Zugriff gewährt wird, nur Benutzer verwalten kann, die zu seiner Hierarchie gehören. Wenn Sie diese Konfiguration beispielsweise für einen Supervisor aktivieren, kann dieser andere Benutzer verwalten, die entweder zu seiner Hierarchiegruppe oder einer untergeordneten Hierarchiegruppe gehören.

  2. Erzwingen Sie eine hierarchiebasierte Zugriffskontrolle auf der Grundlage einer bestimmten Hierarchie: Dadurch wird sichergestellt, dass der Benutzer, dem Zugriff gewährt wird, nur Benutzer verwalten kann, die zu der im Sicherheitsprofil definierten Hierarchie gehören. Wenn Sie diese Konfiguration beispielsweise für einen bestimmten Benutzer aktivieren, können diese Benutzer andere Benutzer verwalten, die entweder zu der im Sicherheitsprofil angegebenen Hierarchiegruppe oder zu einer untergeordneten Hierarchiegruppe gehören.

Einschränkungen der Konfiguration

Die granulare Zugriffskontrolle wird für ein Sicherheitsprofil konfiguriert. Benutzern können maximal zwei Sicherheitsprofile zugewiesen werden, die eine detaillierte Zugriffskontrolle erzwingen. In diesem Fall werden die Berechtigungen weniger restriktiv und bilden eine Vereinigung der beiden Berechtigungssätze. Wenn beispielsweise ein Sicherheitsprofil eine hierarchiebasierte Zugriffskontrolle und ein anderes eine tagbasierte Zugriffskontrolle erzwingt, kann der Benutzer jeden Benutzer verwalten, der derselben Hierarchie angehört oder mit dem angegebenen Tag gekennzeichnet ist. Wenn sowohl die tagbasierte als auch die hierarchiebasierte Zugriffskontrolle als Teil desselben Sicherheitsprofils konfiguriert sind, müssen beide Bedingungen erfüllt sein. In diesem Fall kann der Benutzer nur Benutzer verwalten, die derselben Hierarchie angehören und mit einem bestimmten Tag gekennzeichnet sind. 

Ein Benutzer kann mehr als zwei Sicherheitsprofile haben, sofern diese zusätzlichen Sicherheitsprofile keine detaillierte Zugriffskontrolle erzwingen. Wenn mehrere Sicherheitsprofile mit sich überschneidenden Ressourcenberechtigungen vorhanden sind, wird das Sicherheitsprofil ohne hierarchiebasierte Zugriffskontrolle gegenüber dem Profil mit hierarchiebasierter Zugriffskontrolle durchgesetzt.

Für die Konfiguration der hierarchiebasierten Zugriffskontrolle sind dienstverknüpfte Rollen erforderlich. Wenn Ihre Instance nach Oktober 2018 erstellt wurde, ist diese standardmäßig mit Ihrer Amazon Connect-Instance verfügbar. Wenn Sie jedoch über eine ältere Instance verfügen, finden Sie unter Verwenden von serviceverknüpften Rollen für Amazon Connect Anweisungen zur Aktivierung von serviceverknüpften Rollen.

Bewährte Methoden für die Anwendung hierarchiebasierter Zugriffskontrollen

Die Anwendung der hierarchiebasierten Zugriffskontrolle ist eine erweiterte Konfigurationsfunktion, die von Amazon Connect unterstützt wird und dem Modell der AWS gemeinsamen Verantwortung folgt. Es ist wichtig sicherzustellen, dass Sie Ihre Instance korrekt konfigurieren, damit sie Ihren gewünschten Autorisierungsanforderungen entspricht. Weitere Informationen finden Sie im Modell der AWS gemeinsamen Verantwortung.

Stellen Sie sicher, dass Sie mindestens die Anzeigeberechtigungen für die Ressourcen aktiviert haben, für die Sie die hierarchiebasierte Zugriffssteuerung aktivieren. Dadurch wird sichergestellt, dass Sie Inkonsistenzen bei den Berechtigungen vermeiden, die zu verweigerten Zugriffsanfragen führen. Hierarchiebasierte Zugriffskontrollen werden auf Ressourcenebene aktiviert, was bedeutet, dass jede Ressource unabhängig eingeschränkt werden kann. Es ist wichtig, die Berechtigungen, die gewährt werden, wenn die hierarchiebasierte Zugriffskontrolle durchgesetzt wird, sorgfältig zu überprüfen. Wenn Sie beispielsweise den hierarchiebeschränkten Zugriff für Benutzer aktivieren und Sicherheitsprofile mit Berechtigungen anzeigen/bearbeiten, könnte ein Benutzer ein Sicherheitsprofil mit Rechten erstellen/aktualisieren, die die vorgesehenen Einstellungen für die Benutzerzugriffskontrolle ersetzen.

Wenn Benutzer bei der Amazon Connect Connect-Konsole angemeldet sind und hierarchiebasierte Zugriffskontrollen angewendet wurden, können sie nicht auf historische Änderungsprotokolle für die Ressourcen zugreifen, auf die sie beschränkt sind.

Beim Versuch, eine untergeordnete Ressource einer übergeordneten Ressource mit hierarchiebasierter Zugriffskontrolle für die untergeordnete Ressource zuzuweisen, wird der Vorgang verweigert, wenn die untergeordnete Ressource nicht zu Ihrer Hierarchie gehört. Wenn Sie beispielsweise versuchen, einem Quick Connect einen Benutzer zuzuweisen, aber keinen Zugriff auf die Benutzerhierarchie haben, schlägt der Vorgang fehl. Dies gilt jedoch nicht für Trennungen. Sie können die Zuordnung eines Benutzers auch bei erzwungener hierarchiebasierter Zugriffskontrolle nach Belieben aufheben, vorausgesetzt, Sie haben Zugriff auf Quick Connect. Dies liegt daran, dass bei Trennungen eine bestehende Beziehung (im Gegensatz zu neuen Verknüpfungen) zwischen zwei Ressourcen verworfen wird. Sie wird als Teil der übergeordneten Ressource (in diesem Fall der Quick Connect) modelliert, auf die der Benutzer bereits Zugriff hat. Daher ist es wichtig, bei der Durchsetzung einer hierarchiebasierten Zugriffskontrolle für eine Benutzerressource die Berechtigungen zu berücksichtigen, die den übergeordneten Ressourcen gewährt werden, da die Zuordnung eines Benutzers ohne sein Wissen oder das seines Vorgesetzten aufgehoben werden könnte.

Als bewährte Methode sollten Sie den Zugriff auf die folgenden Ressourcen/Module deaktivieren, wenn Sie hierarchiebasierte Zugriffskontrollen in der Amazon Connect Connect-Konsole anwenden. Wenn Sie den Zugriff auf diese Ressourcen nicht deaktivieren, wird Benutzern mit hierarchiebasierten Zugriffskontrollen für eine bestimmte Ressource, die diese Seiten aufrufen, möglicherweise eine uneingeschränkte Benutzerliste angezeigt. Weitere Informationen zur Verwaltung von Berechtigungen finden Sie unter Liste der Sicherheitsprofilberechtigungen.

Module Erlaubnis, den Zugriff zu deaktivieren
Kontaktsuche Kontaktsuche — Ansicht
Historische Änderungen/Audit-Portal Zugriffsmetriken – Zugriff
Echtzeitmetriken Metriken in Echtzeit — Zugriff
Verlaufsmetriken Historische Metriken — Zugriff
Anmelde-/Abmeldebericht Bericht zur Anmeldung/Abmeldung — Ansicht
Regeln Regeln – Anzeigen
Gespeicherte Berichte Gespeicherte Berichte – Anzeigen
Agent Hierarchy (Kundendienstmitarbeiterhierarchie) Agentenhierarchie — Ansicht
Flow/Flow-Modul Flow-Module – Ansicht
Planung Zeitplanmanager – Ansicht