Beispiele für Amazon-Connect-Richtlinien auf Ressourcenebene - Amazon Connect

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiele für Amazon-Connect-Richtlinien auf Ressourcenebene

Amazon Connect unterstützt Berechtigungen auf Ressourcenebene für Benutzer, sodass Sie Aktionen für eine Instance angeben können, wie in den folgenden Richtlinien dargestellt.

Verweigern der Aktionen „Löschen“ und „Aktualisieren“

Die folgende Beispielrichtlinie verweigert die Aktionen „Löschen“ und „Aktualisieren“ für Benutzer in einer Amazon-Connect-Instance. Sie verwendet einen Platzhalter am Ende des Benutzer-ARN von Amazon Connect, sodass das Löschen und das Aktualisieren von Benutzern auf dem vollständigen Benutzer-ARN verweigert wird (d. h. alle Amazon-Connect-Benutzer in der bereitgestellten Instance, arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/00dtcddd1-123e-111e-93e3-11111bfbfcc1).

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "connect:DeleteUser", "connect:UpdateUser*" ], "Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/*" } ] }

Erlauben Sie Aktionen für Integrationen mit bestimmten Namen

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllAppIntegrationsActions", "Effect": "Allow", "Action": [ "app-integrations:ListEventIntegrations", "app-integrations:CreateEventIntegration", "app-integrations:GetEventIntegration", "app-integrations:UpdateEventIntegration", "app-integartions:DeleteEventIntegration" ], "Resource":"arn:aws:appintegrations:*:*:event-integration/MyNamePrefix-*" } ] }

Zulassen von „Benutzer erstellen“, aber verweigern, wenn Sie einem bestimmten Sicherheitsprofil zugewiesen sind

Die folgende Beispielrichtlinie erlaubt „Benutzer erstellen“, verweigert jedoch ausdrücklich die Verwendung von arn:aws:connect:us-west- 2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17 als Parameter für das angeforderte Sicherheitsprofil. CreateUser

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "connect:CreateUser" ], "Resource": "*", }, { "Effect": "Deny", "Action": [ "connect:CreateUser" ], "Resource": "arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc17/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17", } ] }

Erlauben des Aufzeichnens von Aktionen für einen Kontakt

Die folgende Beispielrichtlinie ermöglicht das Starten der Kontaktaufzeichnung für einen Kontakt in einer bestimmten Instance. Da ContactID dynamisch ist, wird „*“ verwendet.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "connect:StartContactRecording" ], "Resource": "arn:aws:connect:us-west-2:accountID:instance/instanceId/contact/*", "Effect": "Allow" } ] }

Richten Sie eine Vertrauensbeziehung mit accountID ein.

Die folgenden Aktionen sind für die Aufzeichnungs-APIs definiert:

  • StartContactRecording„Verbindung herstellen:“

  • „verbinden:StopContactRecording“

  • „verbinden:SuspendContactRecording“

  • „verbinden:ResumeContactRecording“

Erlauben weiterer Kontaktaktionen in derselben Rolle

Wenn dieselbe Rolle zum Aufrufen anderer Kontakt-APIs verwendet wird, können Sie die folgenden Kontaktaktionen auflisten:

  • GetContactAttributes

  • ListContactFlows

  • StartChatContact

  • StartOutboundVoiceContact

  • StopContact

  • UpdateContactAttributes

Oder verwenden Sie einen Platzhalter, um alle Kontaktaktionen zuzulassen, zum Beispiel: „connect: *“

Erlauben weiterer Ressourcen

Sie können auch einen Platzhalter verwenden, um mehr Ressourcen zuzulassen. So lassen Sie beispielsweise alle Verbindungsaktionen für alle Kontaktressourcen zu:

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "connect:*" ], "Resource": "arn:aws:connect:us-west-2:accountID:instance/*/contact/*", "Effect": "Allow" } ] }

Zulassen oder Verweigern von Warteschleifen-API-Aktionen für Telefonnummern in einer Replikat-Region

Die UpdateQueueOutboundCallerConfigAPIs CreateQueueund enthalten ein Eingabefeld mit dem NamenOutboundCallerIdNumberId. Dieses Feld stellt eine Telefonnummernressource dar, die für eine Datenverkehr-Verteilergruppe beansprucht werden kann. Es unterstützt sowohl das Rufnummern-V1-ARN-Format, das von ListPhoneNumberszurückgegeben wird, als auch das V2-ARN-Format, das von ListPhoneNumbersV2 zurückgegeben wird.

Im Folgenden sind die V1- und V2-ARN-Formate aufgeführt, die von OutboundCallerIdNumberId unterstützt werden:

  • V1-ARN-Format: arn:aws:connect:your-region:your-account_id:instance/instance_id/phone-number/resource_id

  • V2-ARN-Format: arn:aws:connect:your-region:your-account_id:phone-number/resource_id

Anmerkung

Wir empfehlen die Verwendung des V2-ARN-Formats. Das V1-ARN-Format wird in Zukunft nicht mehr verwendet.

Bereitstellen beider ARN-Formate für Telefonnummernressourcen in der Replikatregion

Wenn die Telefonnummer für eine Datenverkehr-Verteilergruppe beansprucht wird, müssen Sie die Telefonnummernressource sowohl im V1- als auch im V2-ARN-Format bereitstellen, um den Zugriff auf Warteschleifen-API-Aktionen für Telefonnummernressourcen während des Betriebs in der Replikatregion korrekt zuzulassen/zu verweigern. Wenn Sie die Telefonnummernressource nur in einem ARN-Format angeben, führt dies beim Betrieb in der Replikatregion nicht zum korrekten Zulassen/Verweigern von Vorgängen.

Beispiel 1: Zugriff verweigern auf CreateQueue

Beispiel: Sie arbeiten in der Replikatregion us-west-2 mit Konto 123456789012 und Instance aaaaaaaa-bbbb-cccc-dddd-0123456789012. Sie möchten den Zugriff auf die CreateQueueAPI verweigern, wenn es sich bei dem OutboundCallerIdNumberId Wert um eine Telefonnummer handelt, die für eine Verkehrsverteilergruppe mit Ressourcen-ID beansprucht wurdeaaaaaaaa-eeee-ffff-gggg-0123456789012. In diesem Szenario müssen Sie die folgende Richtlinie verwenden:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyCreateQueueForSpecificNumber", "Effect": "Deny", "Action": "connect:CreateQueue", "Resource": [ "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012", "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012" ] } ] }

Wobei us-west-2 die Region ist, in der die Anfrage gestellt wird.

Beispiel 2: Erlauben Sie nur den Zugriff auf UpdateQueueOutboundCallerConfig

Beispiel: Sie arbeiten in der Replikatregion us-west-2 mit Konto 123456789012 und Instance aaaaaaaa-bbbb-cccc-dddd-0123456789012. Sie möchten den Zugriff auf die UpdateQueueOutboundCallerConfigAPI nur zulassen, wenn es sich bei dem OutboundCallerIdNumberId Wert um eine Telefonnummer handelt, die für eine Verkehrsverteilergruppe mit Ressourcen-ID beansprucht wurdeaaaaaaaa-eeee-ffff-gggg-0123456789012. In diesem Szenario müssen Sie die folgende Richtlinie verwenden:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "OnlyAllowUpdateQueueOutboundCallerConfigForSpecificNumber", "Effect": "Allow", "Action": "connect:UpdateQueueOutboundCallerConfig", "Resource": [ "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012", "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012" ] } ] }

Spezifische AppIntegrations Amazon-Ressourcen anzeigen

Die folgende Beispielrichtlinie ermöglicht das Abrufen von spezifischen Ereignisintegrationen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "app-integrations:GetEventIntegration" ], "Resource": "arn:aws:app-integrations:us-west-2:accountID:event-integration/Name" } ] }

Gewähren von Zugriff auf Amazon Connect Customer Profiles

Amazon Connect Customer Profiles verwenden profile anstelle von connect als Präfix für Aktionen. Die folgende Richtlinie gewährt Vollzugriff auf eine bestimmte Domain in Amazon Connect Customer Profiles.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "profile:*" ], "Resource": "arn:aws:profile:us-west-2:accountID:domains/domainName", "Effect": "Allow" } ] }

Richten Sie eine Vertrauensbeziehung mit accountID zur Domain DomainName ein.

Gewähren von Lesezugriff auf Daten aus Customer Profiles

Im Folgenden finden Sie ein Beispiel für die Gewährung von Lesezugriff auf die Daten in Amazon Connect Customer Profiles.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "profile:SearchProfiles", "profile:ListObjects" ], "Resource": "arn:aws:profile:us-west-2:accountID:domains/domainName", "Effect": "Allow" } ] }

Abfragen von Amazon Q in Connect nur für einen bestimmten Assistenten

Die folgende Beispielrichtlinie erlaubt es, nur einen bestimmten Assistenten abzufragen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "wisdom:QueryAssistant " ], "Resource": "arn:aws:wisdom:us-west-2:accountID:assistant/assistantID" } ] }

Gewährt vollen Zugriff auf Amazon Connect Voice ID

Amazon Connect Voice ID verwendet anstelle von Connect voiceid als Präfix für Aktionen. Die folgende Richtlinie gewährt Vollzugriff auf eine bestimmte Domain in Amazon Connect Voice ID:

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "voiceid:*" ], "Resource": "arn:aws:voiceid:us-west-2:accountID:domain/domainName", "Effect": "Allow" } ] }

Richten Sie eine Vertrauensbeziehung mit accountID zur Domain DomainName ein.

Gewähren von Zugriff auf Ressourcen für Amazon Connect Outbound Campaigns

Ausgehende Kampagnen verwenden connect-campaign als Präfix für Aktionen anstelle von connect. Die folgende Richtlinie gewährt Vollzugriff auf eine bestimmte ausgehende Kampagne.

{ "Sid": "AllowConnectCampaignsOperations", "Effect": "Allow", "Action": [ "connect-campaigns:DeleteCampaign", "connect-campaigns:DescribeCampaign", "connect-campaigns:UpdateCampaignName", "connect-campaigns:GetCampaignState" "connect-campaigns:UpdateOutboundCallConfig", "connect-campaigns:UpdateDialerConfig", "connect-campaigns:PauseCampaign", "connect-campaigns:ResumeCampaign", "connect-campaigns:StopCampaign" ], "Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId", }

Beschränken der Möglichkeit, in Transkripten zu suchen, die von Amazon Connect Contact Lens analysiert wurden

Die folgende Richtlinie erlaubt das Suchen und Beschreiben von Kontakten, verweigert jedoch die Suche nach Kontakten mithilfe von Transkripten, die von Amazon Connect Contact Lens analysiert wurden.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:DescribeContact" ], "Resource": "arn:aws:connect:region:account-id:instance/instance-id/contact/*" }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "connect:SearchContacts" ], "Resource": "arn:aws:connect:region:account-id:instance/instance-id" }, { "Sid": "VisualEditor2", "Effect": "Deny", "Action": [ "connect:SearchContacts" ], "Resource": "arn:aws:connect:region:account-id:instance/instance-id", "Condition": { "ForAnyValue:StringEquals": { "connect:SearchContactsByContactAnalysis": [ "Transcript" ] } } } ] }