Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für Amazon-Connect-Richtlinien auf Ressourcenebene
Amazon Connect unterstützt Berechtigungen auf Ressourcenebene für Benutzer, sodass Sie Aktionen für eine Instance angeben können, wie in den folgenden Richtlinien dargestellt.
Inhalt
- Verweigern der Aktionen „Löschen“ und „Aktualisieren“
- Erlauben Sie Aktionen für Integrationen mit bestimmten Namen
- Zulassen von „Benutzer erstellen“, aber verweigern, wenn Sie einem bestimmten Sicherheitsprofil zugewiesen sind
- Erlauben des Aufzeichnens von Aktionen für einen Kontakt
- APIWarteschlangenaktionen für Telefonnummern in einer replizierten Region zulassen oder verweigern
- Spezifische AppIntegrations Amazon-Ressourcen anzeigen
- Gewähren von Zugriff auf Amazon Connect Customer Profiles
- Gewähren von Lesezugriff auf Daten aus Customer Profiles
- Abfragen von Amazon Q in Connect nur für einen bestimmten Assistenten
- Gewährt vollen Zugriff auf Amazon Connect Voice ID
- Gewähren von Zugriff auf Ressourcen für Amazon Connect Outbound Campaigns
- Beschränken der Möglichkeit, in Transkripten zu suchen, die von Amazon Connect Contact Lens analysiert wurden
Verweigern der Aktionen „Löschen“ und „Aktualisieren“
Die folgende Beispielrichtlinie verweigert die Aktionen „Löschen“ und „Aktualisieren“ für Benutzer in einer Amazon-Connect-Instance. Es verwendet einen Platzhalter am Ende des Amazon Connect Connect-Benutzers, ARN sodass „Benutzer löschen“ und „Benutzer aktualisieren“ für den Vollbenutzer verweigert werden ARN (d. h. alle Amazon Connect Connect-Benutzer in der bereitgestellten Instanz), wie arn:aws:connect:us-east- 1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/00dtcddd1-123e-111e-93e3-11111bfbfcc1).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "connect:DeleteUser", "connect:UpdateUser*" ], "Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/*" } ] }
Erlauben Sie Aktionen für Integrationen mit bestimmten Namen
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllAppIntegrationsActions", "Effect": "Allow", "Action": [ "app-integrations:ListEventIntegrations", "app-integrations:CreateEventIntegration", "app-integrations:GetEventIntegration", "app-integrations:UpdateEventIntegration", "app-integartions:DeleteEventIntegration" ], "Resource":"arn:aws:appintegrations:*:*:event-integration/MyNamePrefix-*" } ] }
Zulassen von „Benutzer erstellen“, aber verweigern, wenn Sie einem bestimmten Sicherheitsprofil zugewiesen sind
Die folgende Beispielrichtlinie erlaubt „Benutzer erstellen“, verweigert jedoch ausdrücklich die Verwendung von arn:aws:connect:us-west- 2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17 als Parameter für das angeforderte Sicherheitsprofil. CreateUser
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "connect:CreateUser" ], "Resource": "*", }, { "Effect": "Deny", "Action": [ "connect:CreateUser" ], "Resource": "arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc17/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17", } ] }
Erlauben des Aufzeichnens von Aktionen für einen Kontakt
Die folgende Beispielrichtlinie ermöglicht das Starten der Kontaktaufzeichnung für einen Kontakt in einer bestimmten Instance. Da ContactID dynamisch ist, wird „*“ verwendet.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "connect:StartContactRecording" ], "Resource": "arn:aws:connect:us-west-2:accountID:instance/instanceId/contact/*", "Effect": "Allow" } ] }
Richten Sie eine Vertrauensbeziehung mit accountID ein.
Die folgenden Aktionen sind für die Aufzeichnung definiertAPIs:
-
„verbinden:StartContactRecording“
-
„verbinden:StopContactRecording“
-
„verbinden:SuspendContactRecording“
-
„verbinden:ResumeContactRecording“
Erlauben weiterer Kontaktaktionen in derselben Rolle
Wenn dieselbe Rolle für das Anrufen eines anderen Kontakts verwendet wirdAPIs, können Sie die folgenden Kontaktaktionen auflisten:
-
GetContactAttributes
-
ListContactFlows
-
StartChatContact
-
StartOutboundVoiceContact
-
StopContact
-
UpdateContactAttributes
Oder verwenden Sie einen Platzhalter, um alle Kontaktaktionen zuzulassen, zum Beispiel: „connect: *“
Erlauben weiterer Ressourcen
Sie können auch einen Platzhalter verwenden, um mehr Ressourcen zuzulassen. So lassen Sie beispielsweise alle Verbindungsaktionen für alle Kontaktressourcen zu:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "connect:*" ], "Resource": "arn:aws:connect:us-west-2:accountID:instance/*/contact/*", "Effect": "Allow" } ] }
APIWarteschlangenaktionen für Telefonnummern in einer replizierten Region zulassen oder verweigern
Die CreateQueueund UpdateQueueOutboundCallerConfigAPIsenthalten ein Eingabefeld mit dem NamenOutboundCallerIdNumberId. Dieses Feld stellt eine Telefonnummernressource dar, die für eine Datenverkehr-Verteilergruppe beansprucht werden kann. Es unterstützt sowohl das ARN Rufnummern-V1-Format, das von ListPhoneNumberszurückgegeben wird, als auch das ARN V2-Format, das von ListPhoneNumbersV2 zurückgegeben wird.
Im Folgenden sind die ARN Formate V1 und V2 aufgeführt, die OutboundCallerIdNumberId unterstützt werden:
-
ARNV1-Format:
arn:aws:connect:your-region:your-account_id:instance/instance_id/phone-number/resource_id -
ARNV2-Format:
arn:aws:connect:your-region:your-account_id:phone-number/resource_id
Anmerkung
Wir empfehlen die Verwendung des ARN V2-Formats. Das ARN V1-Format wird in future veraltet sein.
Stellen Sie beide ARN Formate für Telefonnummernressourcen in der Replikatregion bereit
Wenn die Telefonnummer für eine Verkehrsverteilergruppe beansprucht wird, müssen Sie die Telefonnummernressource sowohl im V1- als auch im V2-Format bereitstellen, um den Zugriff auf API Warteschlangenaktionen für Telefonnummernressourcen während des Betriebs in der Replikatregion korrekt zuzulassen/zu verweigern. ARN Wenn Sie die Telefonnummernressource nur in einem ARN Format angeben, führt dies beim Betrieb in der Replikatregion nicht zu dem korrekten Zulassen/Verweigern von Vorgängen.
Beispiel 1: Zugriff verweigern auf CreateQueue
Beispiel: Sie arbeiten in der Replikatregion us-west-2 mit Konto
123456789012 und Instance aaaaaaaa-bbbb-cccc-dddd-0123456789012. Sie möchten den Zugriff verweigern, CreateQueueAPIwenn es sich bei dem OutboundCallerIdNumberId Wert um eine Telefonnummer handelt, für die eine Verkehrsverteilergruppe mit Ressourcen-ID beansprucht wurdeaaaaaaaa-eeee-ffff-gggg-0123456789012. In diesem Szenario müssen Sie die folgende Richtlinie verwenden:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyCreateQueueForSpecificNumber", "Effect": "Deny", "Action": "connect:CreateQueue", "Resource": [ "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012", "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012" ] } ] }
Wobei us-west-2 die Region ist, in der die Anfrage gestellt wird.
Beispiel 2: Erlauben Sie nur den Zugriff auf UpdateQueueOutboundCallerConfig
Beispiel: Sie arbeiten in der Replikatregion us-west-2 mit Konto 123456789012 und Instance aaaaaaaa-bbbb-cccc-dddd-0123456789012. Sie möchten den Zugriff nur zulassen, UpdateQueueOutboundCallerConfigAPIwenn es sich bei dem OutboundCallerIdNumberId Wert um eine Telefonnummer handelt, die für eine Verkehrsverteilergruppe mit Ressourcen-ID beansprucht wurdeaaaaaaaa-eeee-ffff-gggg-0123456789012. In diesem Szenario müssen Sie die folgende Richtlinie verwenden:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "OnlyAllowUpdateQueueOutboundCallerConfigForSpecificNumber", "Effect": "Allow", "Action": "connect:UpdateQueueOutboundCallerConfig", "Resource": [ "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012", "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012" ] } ] }
Spezifische AppIntegrations Amazon-Ressourcen anzeigen
Die folgende Beispielrichtlinie ermöglicht das Abrufen von spezifischen Ereignisintegrationen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "app-integrations:GetEventIntegration" ], "Resource": "arn:aws:app-integrations:us-west-2:accountID:event-integration/Name" } ] }
Gewähren von Zugriff auf Amazon Connect Customer Profiles
Amazon Connect Customer Profiles verwenden profile anstelle von connect als Präfix für Aktionen. Die folgende Richtlinie gewährt Vollzugriff auf eine bestimmte Domain in Amazon Connect Customer Profiles.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "profile:*" ], "Resource": "arn:aws:profile:us-west-2:accountID:domains/domainName", "Effect": "Allow" } ] }
Richten Sie eine vertrauenswürdige Beziehung zwischen accountID und Domain domainName ein.
Gewähren von Lesezugriff auf Daten aus Customer Profiles
Im Folgenden finden Sie ein Beispiel für die Gewährung von Lesezugriff auf die Daten in Amazon Connect Customer Profiles.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "profile:SearchProfiles", "profile:ListObjects" ], "Resource": "arn:aws:profile:us-west-2:accountID:domains/domainName", "Effect": "Allow" } ] }
Abfragen von Amazon Q in Connect nur für einen bestimmten Assistenten
Die folgende Beispielrichtlinie erlaubt es, nur einen bestimmten Assistenten abzufragen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "wisdom:QueryAssistant " ], "Resource": "arn:aws:wisdom:us-west-2:accountID:assistant/assistantID" } ] }
Gewährt vollen Zugriff auf Amazon Connect Voice ID
Amazon Connect Voice ID verwendet anstelle von Connect voiceid als Präfix für Aktionen. Die folgende Richtlinie gewährt Vollzugriff auf eine bestimmte Domain in Amazon Connect Voice ID:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "voiceid:*" ], "Resource": "arn:aws:voiceid:us-west-2:accountID:domain/domainName", "Effect": "Allow" } ] }
Richten Sie eine vertrauenswürdige Beziehung zwischen accountID und Domain domainName ein.
Gewähren von Zugriff auf Ressourcen für Amazon Connect Outbound Campaigns
Ausgehende Kampagnen verwenden connect-campaign als Präfix für Aktionen anstelle von connect. Die folgende Richtlinie gewährt Vollzugriff auf eine bestimmte ausgehende Kampagne.
{ "Sid": "AllowConnectCampaignsOperations", "Effect": "Allow", "Action": [ "connect-campaigns:DeleteCampaign", "connect-campaigns:DescribeCampaign", "connect-campaigns:UpdateCampaignName", "connect-campaigns:GetCampaignState" "connect-campaigns:UpdateOutboundCallConfig", "connect-campaigns:UpdateDialerConfig", "connect-campaigns:PauseCampaign", "connect-campaigns:ResumeCampaign", "connect-campaigns:StopCampaign" ], "Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId", }
Beschränken der Möglichkeit, in Transkripten zu suchen, die von Amazon Connect Contact Lens analysiert wurden
Die folgende Richtlinie erlaubt das Suchen und Beschreiben von Kontakten, verweigert jedoch die Suche nach Kontakten mithilfe von Transkripten, die von Amazon Connect Contact Lens analysiert wurden.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:DescribeContact" ], "Resource": "arn:aws:connect:region:account-id:instance/instance-id/contact/*" }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "connect:SearchContacts" ], "Resource": "arn:aws:connect:region:account-id:instance/instance-id" }, { "Sid": "VisualEditor2", "Effect": "Deny", "Action": [ "connect:SearchContacts" ], "Resource": "arn:aws:connect:region:account-id:instance/instance-id", "Condition": { "ForAnyValue:StringEquals": { "connect:SearchContactsByContactAnalysis": [ "Transcript" ] } } } ] }
