Bewährte Sicherheitsmethoden für Amazon Connect - Amazon Connect
Bewährte Methoden für präventive Sicherheit bei Amazon ConnectBewährte Sicherheitsmethoden von Amazon Connect Detective

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Sicherheitsmethoden für Amazon Connect

Amazon Connect bietet eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.

Bewährte Methoden für präventive Sicherheit bei Amazon Connect

  • Stellen Sie sicher, dass alle Profilberechtigungen so restriktiv wie möglich sind. Erlauben Sie Zugriff nur auf die Ressourcen, die für die Rolle des Benutzers unbedingt erforderlich sind. Geben Sie Agenten beispielsweise keine Berechtigungen, Benutzer in Amazon Connect zu erstellen, zu lesen oder zu aktualisieren.

  • Stellen Sie sicher, dass die Multi-Factor Authentication (MFA) über den SAML 2.0-Identitätsanbieter oder den Radius-Server eingerichtet ist, falls dies für den Anwendungsfall geeigneter ist. Nach der Einrichtung von MFA wird auf der Amazon Connect Connect-Anmeldeseite ein drittes Textfeld angezeigt, das den zweiten Faktor angibt.

  • Wenn Sie ein vorhandenes Verzeichnis über AWS Directory Service oder eine SAML-basierte Authentifizierung für die Identitätsverwaltung verwenden, stellen Sie sicher, dass alle für den Anwendungsfall geeigneten Sicherheitsanforderungen erfüllt werden.

  • Verwenden Sie die URL „Für Notfallzugriff anmelden“ auf der Instanzseite der AWS Konsole nur in Notfallsituationen, nicht für den täglichen Gebrauch. Weitere Informationen finden Sie unter Notfall-Administratoranmeldung.

Verwenden Sie Service Control Policies (SCPs)

Service-Kontrollrichtlinien (Service Control Policies, SCPs) sind eine Art von Organisationsrichtlinien, die Sie zum Verwalten von Berechtigungen in Ihrer Organisation verwenden können. Ein SCP definiert eine Leitplanke oder legt Grenzwerte für die Aktionen fest, die der Administrator des Kontos an Benutzer und Rollen in den betroffenen Konten delegieren kann. Sie können SCPs verwenden, um kritische Ressourcen zu schützen, die mit Ihrem Amazon Connect Connect-Workload verbunden sind.

Legen Sie eine Service Control-Richtlinie fest, um das Löschen kritischer Ressourcen zu verhindern

Wenn Sie die SAML 2.0-basierte Authentifizierung verwenden und die AWS IAM-Rolle löschen, die für die Authentifizierung von Amazon Connect Connect-Benutzern verwendet wird, können sich Benutzer nicht bei der Amazon Connect-Instance anmelden. Sie müssen Benutzer löschen und neu erstellen, um sie einer neuen Rolle zuzuordnen. Dies führt zur Löschung aller mit diesen Benutzern verknüpften Daten.

Um das versehentliche Löschen kritischer Ressourcen zu verhindern und die Verfügbarkeit Ihrer Amazon Connect Connect-Instance zu schützen, können Sie eine Service Control Policy (SCP) als zusätzliche Kontrolle einrichten.

Im Folgenden finden Sie ein Beispiel für ein SCP, das auf das AWS Konto, die Organisationseinheit oder den Organisationsstamm angewendet werden kann, um das Löschen der Amazon Connect Connect-Instance und der zugehörigen Rolle zu verhindern:

{    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonConnectRoleDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "iam:DeleteRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/Amazon Connect user role"
      ]
    },
    {
      "Sid": "AmazonConnectInstanceDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "connect:DeleteInstance"         
      ],
      "Resource": [
        "Amazon Connect instance ARN"
      ]
    }
  ]
}

Bewährte Sicherheitsmethoden von Amazon Connect Detective

Protokollierung und Überwachung sind wichtig für die Verfügbarkeit, Zuverlässigkeit und Leistung des Contact Centers. Sie sollten relevante Informationen aus Amazon Connect Connect-Datenströmen protokollieren CloudWatch und darauf basierende Warnmeldungen und Benachrichtigungen erstellen.

Definieren Sie frühzeitig Anforderungen an die Aufbewahrung von Protokollen und Lebenszyklusrichtlinien und planen Sie, Protokolldateien so schnell wie möglich an kosteneffiziente Speicherorte zu verschieben. Öffentliche Amazon Connect Connect-APIs melden sich an CloudTrail. Überprüfen und automatisieren Sie Aktionen auf der Grundlage von CloudTrail Protokollen.

Wir empfehlen Amazon S3 für die langfristige Aufbewahrung und Archivierung von Protokolldaten, insbesondere für Unternehmen mit Compliance-Programmen, die verlangen, dass Protokolldaten in ihrem nativen Format überprüfbar sind. Sobald sich die Protokolldaten in einem Amazon S3-Bucket befinden, definieren Sie Lebenszyklusregeln, um Aufbewahrungsrichtlinien automatisch durchzusetzen, und verschieben Sie diese Objekte in andere, kostengünstige Speicherklassen wie Amazon S3 Standard — Infrequent Access (Standard — IA) oder Amazon S3 Glacier.

Die AWS Cloud bietet eine flexible Infrastruktur und Tools zur Unterstützung sowohl anspruchsvoller Partnerangebote als auch selbstverwalteter Lösungen für die zentrale Protokollierung. Dazu gehören Lösungen wie Amazon OpenSearch Service und Amazon Logs. CloudWatch

Sie können Betrugserkennung und -prävention für eingehende Kontakte implementieren, indem Sie die Amazon Connect Connect-Abläufe an Ihre Anforderungen anpassen. Sie können beispielsweise eingehende Kontakte mit früheren Kontaktaktivitäten in Dynamo DB vergleichen und dann Aktionen wie das Trennen eines Kontakts, der auf einer Ablehnungsliste steht, ergreifen.