Configure las restricciones de direcciones IP y los tiempos de espera de las sesiones - Amazon Connect
Configure los rangos de direcciones IP y la duración de la sesiónConfigure el control de acceso basado en IPEjemplos de configuraciones de direcciones IPConfigure la duración de la sesión

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configure las restricciones de direcciones IP y los tiempos de espera de las sesiones

nota

Esta función se encuentra en versión preliminar y está sujeta a cambios. Para obtener acceso a esta función, póngase en contacto con su arquitecto de soluciones de Amazon Connect, con su administrador técnico de cuentas o AWS Support.

Para restringir aún más su centro de contacto, por ejemplo, para cumplir con los requisitos y normativas de su sector, puede configurar restricciones de direcciones IP y tiempos de espera de sesión.

  • Las restricciones de direcciones IP requieren que los agentes inicien sesión únicamente desde tu cuenta VPN o que bloqueen el acceso desde países o subredes específicos.

  • Los tiempos de espera de las sesiones requieren que los agentes vuelvan a iniciar sesión en Amazon Connect.

En Amazon Connect, se configura un perfil de autenticación para establecer las restricciones de direcciones IP y la duración de las sesiones de los agentes que han iniciado sesión. Un perfil de autenticación es un recurso que almacena la configuración de autenticación de los usuarios de su centro de contacto.

Configure los rangos de direcciones IP y la duración de la sesión

La instancia de Amazon Connect incluye un perfil de autenticación predeterminado. Este perfil de autenticación se aplica automáticamente a todos los usuarios de su centro de contacto. No necesita asignar el perfil de autenticación a los usuarios para que se aplique.

Para configurar el perfil de autenticación predeterminado, utilice los siguientes AWS SDK comandos.

sugerencia

Necesitas tu ID de instancia de Amazon Connect para ejecutar estos comandos. Para obtener instrucciones sobre cómo localizar el ID de su instancia, consulteBusque el ID de su instancia de Amazon Connect/ ARN.

  1. Enumera los perfiles de autenticación de tu instancia para obtener el ID del perfil de autenticación que deseas actualizar. Puedes llamar al list-authentication-profiles CLI comando ListAuthenticationProfileAPIo ejecutarlo.

    A continuación se muestra un ejemplo de list-authentication-profiles comando:

    aws connect list-authentication-profiles --instance-id your-instance-id

    A continuación se muestra un ejemplo del perfil de autenticación predeterminado que devuelve el list-authentication-profiles comando.

    {
    "AuthenticationProfileSummaryList": [
        {
        "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
        "Id": "profile-id",
        "IsDefault": true,
        "LastModifiedRegion": "us-west-2",
        "LastModifiedTime": 1.719249173664E9,
        "Name": "Default Authentication Profile"
        }
    ],
    "NextToken": null
}

  2. Vea la configuración del perfil de autenticación que desea actualizar. Puede llamar al comando DescribeAuthenticationProfileo ejecutar el describe-authentication-profile CLI comando o.

    A continuación se muestra un ejemplo de describe-authentication-profile comando:

    aws connect describe-authentication-profile --instance-id your-instance-id --profile-id profile-id

    A continuación se muestra un ejemplo de la información devuelta por el describe-authentication-profile comando.

    {
    "AuthenticationProfile": {
    "AllowedIps": [],
    "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
    "BlockedIps": [],
    "CreatedTime": 1.718999177811E9,
    "Description": "A basic default Authentication Profile",
    "Id": "profile-id",
    "IsDefault": true,
    "LastModifiedRegion": "us-west-2",
    "LastModifiedTime": 1.719249173664E9,
    "MaxSessionDuration": 720,
    "Name": "Default Authentication Profile",
    "PeriodicSessionDuration": 60
    }
}

    Para obtener una descripción de cada campo, consulte AuthenticationProfilela APIreferencia de Amazon Connect.

  3. Configure el perfil de autenticación mediante el update-authentication-profile CLI comando UpdateAuthenticationProfileAPIo. Todos los campos excepto InstanceId y ProfileId son opcionales. Solo se cambian los ajustes que defina en la API llamada.

    El siguiente es un update-authentication-profile comando de ejemplo. Configura el perfil de autenticación predeterminado que se asigna automáticamente a todos los usuarios. Permite algunas direcciones IP, bloquea otras y establece la duración de la sesión periódica en 60 minutos.

    aws connect update-authentication-profile 
    --instance-id your-instance-id 
    --profile-id profile-id
    --name "Default Authentication Profile"
    --description "A basic default Authentication Profile"
    --allowed-ips "ip-range-1" "ip-range-2" ...
    --blocked-ips "ip-range-3" "ip-range-4" ...
    --periodic-session-duration 60

Configure el control de acceso basado en IP

Si desea configurar el acceso a su centro de contacto en función de las direcciones IP, puede utilizar la función de control de acceso basada en IP de su perfil de autenticación.

Hay dos tipos de configuraciones de IP que puede configurar en un perfil de autenticación: los rangos de direcciones IP permitidos y los rangos de direcciones IP bloqueadas. Los puntos siguientes describen cómo funciona el control de acceso basado en IP.

  • Las direcciones IP pueden estar en ambos IPV4 IPV6 formatos.

  • Puede definir direcciones IP individuales y rangos de direcciones IP en CIDR notación.

  • Las configuraciones de IP bloqueadas siempre tienen prioridad.

  • Si las direcciones IP están definidas en la lista de IP permitidas, solo se permiten esas direcciones IP.

    • La lista de IP bloqueadas puede reducir el alcance de estas direcciones IP.

  • Si solo se definen las direcciones IP bloqueadas, cualquier dirección IP puede acceder a la instancia, excepto las definidas en la lista de bloqueados.

  • Si las direcciones IP están definidas en las listas de direcciones IP permitidas y bloqueadas, solo se permiten las direcciones IP definidas en el rango permitido, menos las direcciones IP del rango bloqueado.

nota

El control de acceso basado en direcciones IP no se aplica al inicio de sesión de administrador de emergencia. Para aplicar restricciones a este usuario, puede aplicar SourceIp restricciones en sus IAM políticas para el APIconnect:AdminGetEmergencyAccessToken.

Cuando la instancia determine que la dirección IP de un usuario está bloqueada, la sesión del usuario quedará invalidada. El evento de cierre de sesión se publica en el informe de inicio y cierre de sesión.

¿Qué experimentan los usuarios cuando se produce un error al comprobar su dirección IP

Agentes

Cuando un agente está activo en el Panel de control de contactos (CCP), su dirección IP se comprueba periódicamente. La frecuencia con la que Amazon Connect comprueba la dirección IP depende de cómo haya configurado la duración de la sesión periódica del perfil de autenticación.

Lo siguiente es lo que ocurre si la dirección IP no pasa la comprobación:

  • Si el agente no está en una llamada activa, se cierra la sesión del agente si su dirección IP cambia a una dirección no permitida.

  • Si el agente está en una llamada activa, la sesión del agente queda invalidada; sin embargo, esto finaliza la llamada actualmente activa. Y ocurre lo siguiente:

    1. El agente pierde la capacidad de realizar cualquier acción, como cambiar el estado del agente, transferir llamadas, poner la llamada en espera, finalizarla o crear un caso.

    2. Se notifica al agente que su capacidad para actuar en el CCP está restringida.

    3. Si se conectan correctamente después de invalidar su sesión, vuelven a estar en la llamada activa y pueden volver a realizar la acción.

Administradores y usuarios que utilizan el sitio web de Amazon Connect administración

Cuando no se comprueba la dirección IP de los administradores y otros usuarios que realizan acciones en el sitio web de Amazon Connect administración, como guardar las actualizaciones de los recursos o interrumpir las llamadas activas, se cierra la sesión automáticamente.

Ejemplos de configuraciones de direcciones IP

Ejemplo 1: Las direcciones IP solo están definidas en la lista de IP permitidas

  • AllowedIps: [ 111.222.0.0/16 ]

  • BlockedIps: [ ]

Resultado:

  • Solo las direcciones IP que 111.222.255.255 se 111.222.0.0 encuentren entre la instancia y puedan acceder a ella.

Ejemplo 2: Las direcciones IP solo están definidas en la lista de IP bloqueadas

  • AllowedIps: [ ]

  • BlockedIps: [155.155.155.0/24 ]

Resultado:

  • Se permiten todas las direcciones IP, excepto el rango de direcciones IP 155.155.155.0 - 155.155.155.255 incluido.

Ejemplo 3: direcciones IP definidas tanto en la lista de IP permitidas como en la lista de IP bloqueadas

  • AllowedIps: [ 200.255.0.0/16 ]

  • BlockedIps: [200.255.10.0/24, 200.255.40.50, 192.123.211.211 ]

Resultado:

  • Se permiten direcciones IP 200.255.0.0 - 200.255.255.255 intermedias, menos(200.255.10.0 - 200.255.10.255 AND 200.255.40.50).

  • Efectivamente, 200.255.0.0 - 200.255.9.255, 200.255.11.0 - 200.255.40.49, 200.255.40.51 - 200.255.255.255 están permitidas.

  • 192.123.211.211de hecho, se ignora porque no está dentro del rango permitido.

Ejemplo 4: No hay direcciones IP definidas ni en la lista de IP permitidas ni en la lista de IP bloqueadas

  • AllowedIps: [ ]

  • BlockedIps: [ ]

En este caso, no hay restricciones.

importante

La allowedIps lista define el rango de posibles IPs permitidos en su centro de contacto solo si no está vacío. Si está vacía, cualquier dirección IP puede acceder a su centro de contacto a menos que la blockedIps lista la bloquee explícitamente.

Configure la duración de la sesión

Puede ajustar la duración de las sesiones periódicas según las preferencias y los requisitos de seguridad de su organización. Por ejemplo, puede establecer la duración de la sesión periódica en 20 minutos para que la dirección IP y la duración de la sesión de su agente se comprueben en un período de 20 minutos en el. CCP

Amazon Connect utiliza un modelo de autenticación basado en tokens. Hay dos tiempos de espera de sesión que se aplican a las sesiones de usuario de su centro de contacto:

  • Duración de la sesión periódica: el período de tiempo máximo antes de que un usuario del centro de contacto se autentique. Predeterminado = 60 minutos. Esta opción se puede configurar con un valor diferente, entre 10 y 60.

    nota

    Si bien esta configuración define el intervalo de tiempo máximo que puede transcurrir antes de que un usuario se autentique, la autenticación puede producirse antes en determinadas situaciones. Por ejemplo, en el sitio web de Amazon Connect administración, la autenticación también se realiza cada vez que se realizan determinadas acciones, como crear un usuario o cambiar un perfil de seguridad.

  • Duración máxima de la sesión: el período máximo de tiempo durante el que un usuario del centro de contacto puede iniciar sesión antes de que se le obligue a volver a iniciar sesión. El valor predeterminado es 12 horas; no se puede configurar con un valor diferente.