Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS
Aplicar un control de acceso basado en jerarquías en Amazon Connect (versión preliminar) - Amazon Connect
Descripción generalAplique un control de acceso basado en jerarquías mediante la API/SDKAplique un control de acceso basado en jerarquías mediante el sitio web de administración Amazon ConnectLimitaciones de la configuraciónPrácticas recomendadas para aplicar controles de acceso basado en jerarquías

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Aplicar un control de acceso basado en jerarquías en Amazon Connect (versión preliminar)

PDFRSS
nota

Esta es una documentación preliminar para un servicio en versión preliminar. Está sujeta a cambios.

Puede restringir el acceso a los contactos en función de la jerarquía de agentes asignada a un usuario. Para ello, utilice permisos de perfil de seguridad, como Restringir el acceso de los contactos. Además de estos permisos, también puede usar jerarquías, imponer controles de acceso detallados para recursos como los usuarios y usar etiquetas.

Este tema contiene información sobre la configuración de los controles de acceso basados en jerarquías (actualmente en versión preliminar).

Descripción general

El control de acceso basado en jerarquías permite configurar el acceso granular a recursos específicos en función de la jerarquía de agentes asignada a un usuario. Puede configurar los controles de acceso basados en jerarquías mediante la API/SDK o el sitio web de administración. Amazon Connect  

El único recurso que admite el control de acceso basado en jerarquías son los usuarios. Este modelo de autorización funciona con un control de acceso basado en etiquetas, por lo que puede restringir el acceso a los usuarios y permitirles ver solo a otros usuarios que pertenezcan a su mismo grupo jerárquico y que tengan etiquetas específicas asociadas.

nota

Después de aplicar a los usuarios un control de acceso basado en jerarquías, estos podrán acceder a su grupo jerárquico y a todos sus descendientes (más allá del nivel secundario).

Aplique un control de acceso basado en jerarquías mediante la API/SDK

Para usar jerarquías para controlar el acceso a los recursos de sus AWS cuentas, debe proporcionar la información de la jerarquía en el elemento de condición de una política de IAM. Por ejemplo, para controlar el acceso a un usuario que pertenezca a una jerarquía específica, utilice la clave de connect:HierarchyGroupL3Id/hierarchyGroupId condición junto con un operador específico, por ejemplo, StringEquals para especificar a qué grupo jerárquico debe pertenecer el usuario, a fin de permitirle realizar determinadas acciones.

A continuación se muestran las claves de condición admitidas:

  1. connect:HierarchyGroupL1Id/hierarchyGroupId

  2. connect:HierarchyGroupL2Id/hierarchyGroupId

  3. connect:HierarchyGroupL3Id/hierarchyGroupId

  4. connect:HierarchyGroupL4Id/hierarchyGroupId

  5. connect:HierarchyGroupL5Id/hierarchyGroupId

Cada clave representa el ID de un grupo jerárquico determinado en un nivel específico de la estructura jerárquica del usuario.

Para obtener información más detallada sobre el control de acceso basado en jerarquías, consulte Control del acceso a AWS los recursos mediante etiquetas en la Guía del usuario de IAM.

Aplique un control de acceso basado en jerarquías mediante el sitio web de administración Amazon Connect

Para usar jerarquías para controlar el acceso a los recursos del sitio web de Amazon Connect administración, debe configurar la sección de control de acceso dentro de un perfil de seguridad determinado.

Por ejemplo, para habilitar el control de acceso detallado para un usuario determinado en función de la jerarquía a la que pertenece, se configura el usuario como un recurso de acceso controlado. Para ello, dispone de las dos opciones siguientes:

  1. Imponga un control de acceso basado en jerarquías en función de la jerarquía del usuario

    Esta opción garantiza que el usuario al que se concede el acceso solo pueda gestionar los usuarios que pertenezcan a su jerarquía. Por ejemplo, al habilitar esta configuración para un usuario determinado, podrá administrar otros usuarios que pertenezcan a su grupo jerárquico o a un grupo jerárquico secundario. Esto garantiza que el usuario al que se concede el acceso solo pueda administrar los usuarios que pertenezcan a su jerarquía. Por ejemplo, habilitar esta configuración para un supervisor le permite administrar otros usuarios que pertenecen a su grupo jerárquico o a un grupo jerárquico secundario.

  2. Aplique un control de acceso basado en jerarquías en función de una jerarquía específica

    Esta opción garantiza que el usuario al que se concede el acceso solo pueda administrar los usuarios que pertenezcan a la jerarquía definida en el perfil de seguridad. Por ejemplo, al habilitar esta configuración para un usuario determinado, podrá administrar otros usuarios que pertenezcan al grupo jerárquico especificado en el perfil de seguridad o a un grupo jerárquico secundario.

Limitaciones de la configuración

El control de acceso granular se configura en un perfil de seguridad. A los usuarios se les puede asignar un máximo de dos perfiles de seguridad que imponen un control de acceso detallado. En este caso, los permisos se vuelven menos restrictivos y actúan como una unión de ambos conjuntos de permisos.

Por ejemplo, si un perfil de seguridad impone el control de acceso basado en jerarquías y otro aplica el control de acceso basado en etiquetas, el usuario podrá administrar a cualquier usuario que pertenezca a la misma jerarquía o que esté etiquetado con la etiqueta dada. Si tanto el control de acceso basado en etiquetas como el basado en jerarquías están configurados como parte del mismo perfil de seguridad, deberán cumplirse ambas condiciones. En este caso, el usuario solo puede administrar los usuarios que pertenezcan a la misma jerarquía y que estén etiquetados con una etiqueta determinada. 

Un usuario puede tener más de dos perfiles de seguridad, siempre y cuando esos perfiles de seguridad adicionales no impongan un control de acceso pormenorizado. Si hay varios perfiles de seguridad con permisos de recursos superpuestos, se aplica el perfil de seguridad sin control de acceso basado en jerarquías sobre el perfil con control de acceso basado en jerarquías.

Los roles vinculados al servicio son necesarios para configurar el control de acceso basado en jerarquías. Si tu instancia se creó después de octubre de 2018, está disponible de forma predeterminada con tu instancia de Amazon Connect. Sin embargo, si tiene una instancia anterior, consulte Uso de roles vinculados al servicio para Amazon Connect para obtener instrucciones sobre cómo habilitar los roles vinculados al servicio.

Prácticas recomendadas para aplicar controles de acceso basado en jerarquías

  • Revise el modelo de responsabilidad AWS compartida.

    La aplicación del control de acceso basado en jerarquías es una función de configuración avanzada compatible con Amazon Connect y que sigue el modelo de responsabilidad AWS compartida. Es importante asegurarse de configurar correctamente la instancia para cumplir con las necesidades de autorización deseadas.

  • Asegúrese de haber habilitado al menos los permisos Ver para los recursos para los que habilita el control de acceso basado en jerarquías.

    Esto garantizará que se eviten las incoherencias de permisos que den lugar a la denegación de las solicitudes de acceso. Los controles de acceso basados en jerarquías están habilitados en el nivel de recurso, lo que significa que cada recurso se puede restringir de forma independiente.

  • Revise detenidamente los permisos que se otorgan cuando se aplica el control de acceso basado en jerarquías.

    Por ejemplo, habilitar el acceso restringido jerárquico a los usuarios y view/edit permissions security profiles would allow a user to create/update un perfil de seguridad con privilegios que sustituyan a la configuración de control de acceso de los usuarios prevista.

    • Al iniciar sesión en la consola de Amazon Connect con los controles de acceso basados en jerarquías aplicados, los usuarios no podrán acceder a los registros de historial de cambios de los recursos que tienen restringidos.

    • Al intentar asignar un recurso secundario a un recurso principal con un control de acceso basado en jerarquías sobre el recurso secundario, se denegará la operación si el recurso secundario no pertenece a su jerarquía.

      Por ejemplo, si intenta asignar un usuario a una conexión rápida pero no tiene acceso a la jerarquía de usuarios, la operación no se realizará correctamente. Sin embargo, esto no es cierto en el caso de las disociaciones. Puede desasociar a un usuario libremente incluso aplicando un control de acceso basado en jerarquías, siempre que tenga acceso a la conexión rápida. Esto se debe a que la disociación consiste en descartar una relación existente (a diferencia de las nuevas asociaciones) entre dos recursos y se modela como parte del recurso principal (en este caso, la conexión rápida), al que el usuario ya tiene acceso.

  • Tenga cuidado con los permisos otorgados a los recursos principales, ya que un usuario podría disociarse sin que él o su supervisor lo sepan.

  • Inhabilite el acceso a las siguientes funciones cuando aplique controles de acceso jerárquicos en el Amazon Connect sitio web de administración.

    Funcionalidad Permiso de perfil de seguridad que deshabilita el acceso
    Búsqueda de contactos Búsqueda de contactos - Ver
    Historial de cambios/Portal de auditoría Métricas de acceso - Acceder
    Métricas en tiempo real Métricas en tiempo real - Acceder
    Métricas históricas Historial de métricas - Acceder
    Informe de inicio/cierre de sesión Informe de inicio/cierre de sesión - Ver
    Reglas Reglas - Ver
    Informes guardados Informes guardados - Ver
    Jerarquía de agente Jerarquías de agentes - Ver
    Flujo/Módulo de flujo Módulos de flujo - Ver
    Programación Administrador de programación - Ver

    Si no inhabilitas el acceso a estos recursos, es posible que los usuarios con controles de acceso jerárquicos a un recurso concreto que consulten estas páginas en el sitio web de Amazon Connect administración vean una lista de usuarios sin restricciones. Para obtener más información sobre cómo administrar los permisos, consulte la Lista de permisos de los perfiles de seguridad.

¿Necesita ayuda?

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.