Verweigern der Aktionen "Löschen" und "Aktualisieren"Aktionen für Integrationen mit bestimmten Namen zulassen Zulassen von „Benutzer erstellen“, aber verweigern, wenn Sie einem bestimmten Sicherheitsprofil zugewiesen sind Erlaubt das Aufzeichnen von Aktionen für einen Kontakt Warteschleifen-API-Aktionen für Telefonnummern in einer replizierten Region zulassen oder verweigern Bestimmte AppIntegrations Amazon-Ressourcen anzeigen Zugriff auf Amazon Connect Connect-Kundenprofile gewähren Gewähren Sie schreibgeschützten Zugriff auf Kundenprofildaten Fragen Sie Amazon Connect Wisdom nur für einen bestimmten Assistenten ab Vollzugriff auf Amazon Connect Voice ID gewähren Zugriff auf Ressourcen für ausgehende Amazon Connect Connect-Kampagnen gewähren

Beispiele für Amazon Connect Connect-Richtlinien auf Ressourcenebene

Amazon Connect unterstützt Berechtigungen auf Ressourcenebene für Benutzer, sodass Sie Aktionen für sie für eine Instance angeben können, wie in den folgenden Richtlinien dargestellt.

Inhalt

Verweigern der Aktionen "Löschen" und "Aktualisieren"
Aktionen für Integrationen mit bestimmten Namen zulassen
Zulassen von „Benutzer erstellen“, aber verweigern, wenn Sie einem bestimmten Sicherheitsprofil zugewiesen sind
Erlaubt das Aufzeichnen von Aktionen für einen Kontakt
Warteschleifen-API-Aktionen für Telefonnummern in einer replizierten Region zulassen oder verweigern
Bestimmte AppIntegrations Amazon-Ressourcen anzeigen
Zugriff auf Amazon Connect Connect-Kundenprofile gewähren
Gewähren Sie schreibgeschützten Zugriff auf Kundenprofildaten
Fragen Sie Amazon Connect Wisdom nur für einen bestimmten Assistenten ab
Vollzugriff auf Amazon Connect Voice ID gewähren
Zugriff auf Ressourcen für ausgehende Amazon Connect Connect-Kampagnen gewähren

Verweigern der Aktionen "Löschen" und "Aktualisieren"

Die folgende Beispielrichtlinie verweigert die Aktionen „Löschen“ und „Aktualisieren“ für Benutzer in einer Amazon Connect Connect-Instance. Es verwendet einen Platzhalter am Ende des Amazon Connect Connect-Benutzer-ARN, sodass „Benutzer löschen“ und „Benutzer aktualisieren“ für den vollständigen Benutzer-ARN verweigert werden (d. h. alle Amazon Connect Connect-Benutzer in der bereitgestellten Instanz), wie arn:aws:connect:us-east- 1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/00dtcddd1-123e-111e-93e3-11111bfbfcc1).


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "connect:DeleteUser",
                "connect:UpdateUser*"
            ],
            "Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/*"
        }
    ]
}

Aktionen für Integrationen mit bestimmten Namen zulassen


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllAppIntegrationsActions",
            "Effect": "Allow",
            "Action": [
                "app-integrations:ListEventIntegrations",
                "app-integrations:CreateEventIntegration",
                "app-integrations:GetEventIntegration",
                "app-integrations:UpdateEventIntegration",
                "app-integartions:DeleteEventIntegration"
            ],
"Resource":"arn:aws:appintegrations:*:*:event-integration/MyNamePrefix-*"
	}
    ]
}

Zulassen von „Benutzer erstellen“, aber verweigern, wenn Sie einem bestimmten Sicherheitsprofil zugewiesen sind

Die folgende Beispielrichtlinie erlaubt „Benutzer erstellen“, verweigert jedoch ausdrücklich die Verwendung von arn:aws:connect:us-west- 2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17 als Parameter für das angeforderte Sicherheitsprofil. CreateUser


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",        
            "Action": [
                "connect:CreateUser"
             ],
            "Resource": "*",
        },
        {
            "Effect": "Deny",
            "Action": [
                "connect:CreateUser"
             ],
            "Resource": "arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc17/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17",
        } 
    ]
}

Erlaubt das Aufzeichnen von Aktionen für einen Kontakt

Die folgende Beispielrichtlinie ermöglicht das Starten der Kontaktaufzeichnung für einen Kontakt in einer bestimmten Instanz. Da ContactID dynamisch ist, wird* verwendet.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
          "connect:StartContactRecording"
      ],
      "Resource": "arn:aws:connect:us-west-2:accountID:instance/instanceId/contact/*",
      "Effect": "Allow"
    }
  ]
}

Richten Sie eine vertrauenswürdige Beziehung mit accountID ein.

Die folgenden Aktionen sind für die Aufzeichnungs-APIs definiert:

„verbinden:StartContactRecording“
„verbinden:StopContactRecording“
„verbinden:SuspendContactRecording“
„verbinden:ResumeContactRecording“

Erlaube mehr Kontaktaktionen in derselben Rolle

Wenn dieselbe Rolle zum Aufrufen anderer Kontakt-APIs verwendet wird, können Sie die folgenden Kontaktaktionen auflisten:

GetContactAttributes
ListContactFlows
StartChatContact
StartOutboundVoiceContact
StopContact
UpdateContactAttributes

Oder verwenden Sie einen Platzhalter, um alle Kontaktaktionen zuzulassen, zum Beispiel: „connect: *“

Erlaube mehr Ressourcen

Sie können auch einen Platzhalter verwenden, um mehr Ressourcen zuzulassen. So lassen Sie beispielsweise alle Verbindungsaktionen für alle Kontaktressourcen zu:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "connect:*"
            ],
            "Resource": "arn:aws:connect:us-west-2:accountID:instance/*/contact/*",
            "Effect": "Allow"
        }
    ]
}

Warteschleifen-API-Aktionen für Telefonnummern in einer replizierten Region zulassen oder verweigern

Die UpdateQueueOutboundCallerConfigAPIs CreateQueueund enthalten ein Eingabefeld mit dem NamenOutboundCallerIdNumberId. Dieses Feld stellt eine Telefonnummernressource dar, die für eine Verkehrsverteilergruppe beansprucht werden kann. Es unterstützt sowohl das Rufnummern-V1-ARN-Format, das von ListPhoneNumberszurückgegeben wird, als auch das V2-ARN-Format, das von ListPhoneNumbersV2 zurückgegeben wird.

Im Folgenden sind die V1- und V2-ARN-Formate aufgeführt, die OutboundCallerIdNumberId unterstützt werden:

V1-ARN-Format: arn:aws:connect:your-region:your-account_id:instance/instance_id/phone-number/resource_id
V2-ARN-Format: arn:aws:connect:your-region:your-account_id:phone-number/resource_id

Anmerkung

Wir empfehlen die Verwendung des V2-ARN-Formats. Das V1-ARN-Format wird in future veraltet sein.

Stellen Sie beide ARN-Formate für Telefonnummernressourcen in der Replikatregion bereit

Wenn die Telefonnummer für eine Verkehrsverteilergruppe beansprucht wird, müssen Sie die Telefonnummernressource sowohl im V1- als auch im V2-ARN-Format bereitstellen, um den Zugriff auf Warteschleifen-API-Aktionen für Telefonnummernressourcen während des Betriebs in der Replikatregion korrekt zuzulassen/zu verweigern. Wenn Sie die Telefonnummernressource nur in einem ARN-Format angeben, führt dies beim Betrieb in der Replikatregion nicht zum korrekten Zulassen/Verweigern von Vorgängen.

Beispiel 1: Zugriff verweigern auf CreateQueue

Beispiel: Sie arbeiten in der Replikatregion us-west-2 mit Konto 123456789012 und Instanz. aaaaaaaa-bbbb-cccc-dddd-0123456789012 Sie möchten den Zugriff auf die CreateQueueAPI verweigern, wenn es sich bei dem OutboundCallerIdNumberId Wert um eine Telefonnummer handelt, die für eine Traffic-Verteilergruppe mit Ressourcen-ID beansprucht wurde. aaaaaaaa-eeee-ffff-gggg-0123456789012 In diesem Szenario müssen Sie die folgende Richtlinie verwenden:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyCreateQueueForSpecificNumber",
            "Effect": "Deny",
            "Action": "connect:CreateQueue",
            "Resource": [
                "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
                "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
            ]
        }
    ]
}

Dabei ist us-west-2 die Region, in der die Anfrage gestellt wird.

Beispiel 2: Erlaube nur den Zugriff auf UpdateQueueOutboundCallerConfig

Beispiel: Sie arbeiten in der Replikatregion us-west-2 mit Konto 123456789012 und Instanz. aaaaaaaa-bbbb-cccc-dddd-0123456789012 Sie möchten den Zugriff auf die UpdateQueueOutboundCallerConfigAPI nur zulassen, wenn es sich bei dem OutboundCallerIdNumberId Wert um eine Telefonnummer handelt, die einer Verkehrsverteilergruppe mit Ressourcen-ID zugewiesen wurde. aaaaaaaa-eeee-ffff-gggg-0123456789012 In diesem Szenario müssen Sie die folgende Richtlinie verwenden:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OnlyAllowUpdateQueueOutboundCallerConfigForSpecificNumber",
            "Effect": "Allow",
            "Action": "connect:UpdateQueueOutboundCallerConfig",
            "Resource": [
                "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
                "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
            ]
        }
    ]
}

Bestimmte AppIntegrations Amazon-Ressourcen anzeigen

Die folgende Beispielrichtlinie ermöglicht das Abrufen von Integrationen für ein bestimmtes Ereignis.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "app-integrations:GetEventIntegration"
            ],
            "Resource": "arn:aws:app-integrations:us-west-2:accountID:event-integration/Name"
        }
    ]
}

Zugriff auf Amazon Connect Connect-Kundenprofile gewähren

Amazon Connect Connect-Kundenprofile werden anstelle von profile als Präfix für Aktionen verwendetconnect. Die folgende Richtlinie gewährt vollen Zugriff auf eine bestimmte Domain in Amazon Connect Connect-Kundenprofilen.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
          "profile:*"
      ],
      "Resource": "arn:aws:profile:us-west-2:accountID:domains/domainName",
      "Effect": "Allow"
    }
  ]
}

Richten Sie eine vertrauenswürdige Beziehung zwischen accountID und Domain DomainName ein.

Gewähren Sie schreibgeschützten Zugriff auf Kundenprofildaten

Im Folgenden finden Sie ein Beispiel für die Gewährung von Lesezugriff auf die Daten in Amazon Connect Connect-Kundenprofilen.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "profile:SearchProfiles",
                "profile:ListObjects"
            ],
            "Resource": "arn:aws:profile:us-west-2:accountID:domains/domainName",
            "Effect": "Allow"
        }
    ]
}

Fragen Sie Amazon Connect Wisdom nur für einen bestimmten Assistenten ab

Die folgende Beispielrichtlinie erlaubt es, nur einen bestimmten Assistenten abzufragen.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wisdom:QueryAssistant "
            ],
            "Resource": "arn:aws:wisdom:us-west-2:accountID:assistant/assistantID"
        }
    ]
}

Vollzugriff auf Amazon Connect Voice ID gewähren

Amazon Connect Voice ID verwendet anstelle von Connect voiceid als Präfix für Aktionen. Die folgende Richtlinie gewährt vollen Zugriff auf eine bestimmte Domain in Amazon Connect Voice ID:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
          "voiceid:*"
      ],
      "Resource": "arn:aws:voiceid:us-west-2:accountID:domain/domainName",
      "Effect": "Allow"
    }
  ]
}

Richten Sie eine vertrauenswürdige Beziehung zwischen accountID und Domain DomainName ein.

Zugriff auf Ressourcen für ausgehende Amazon Connect Connect-Kampagnen gewähren

Ausgehende Kampagnen verwenden connect-campaign als Präfix für Aktionen anstelle von. connect Die folgende Richtlinie gewährt vollen Zugriff auf eine bestimmte ausgehende Kampagne.


{
    "Sid": "AllowConnectCampaignsOperations",
    "Effect": "Allow",
    "Action": [
        "connect-campaigns:DeleteCampaign",
        "connect-campaigns:DescribeCampaign",
        "connect-campaigns:UpdateCampaignName",
        "connect-campaigns:GetCampaignState"
        "connect-campaigns:UpdateOutboundCallConfig",
        "connect-campaigns:UpdateDialerConfig",
        "connect-campaigns:PauseCampaign",
        "connect-campaigns:ResumeCampaign",
        "connect-campaigns:StopCampaign"
    ],
    "Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId",
    }

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Beispiele für identitätsbasierte Richtlinien

Von AWS verwaltete Richtlinien