Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Control de acceso jerárquico (vista previa)
| Esta es una documentación preliminar para un servicio en versión preliminar. Está sujeta a cambios. |
Puede restringir el acceso a los contactos en función de la jerarquía de agentes asignada a un usuario. Esto se logra mediante el uso de permisos como Restringir el acceso de los contactos. Además de estos permisos, las jerarquías también se pueden utilizar para aplicar controles de acceso detallados a los recursos, como los usuarios, junto con las etiquetas. El resto de esta página contiene detalles adicionales sobre la configuración de los controles de acceso basados en jerarquías (actualmente en versión preliminar).
Introducción
El control de acceso basado en jerarquías permite configurar el acceso granular a recursos específicos en función de la jerarquía de agentes asignada a un usuario. Puede configurar los controles de acceso basados en jerarquías mediante la API/SDK o en la consola Amazon Connect para los recursos compatibles.
Actualmente, el único recurso que admite el control de acceso basado en jerarquías son los usuarios. Este modelo de autorización funciona junto con el control de acceso basado en etiquetas, lo que permite restringir el acceso a los usuarios para que solo puedan ver a otros usuarios que pertenezcan a su grupo jerárquico y que tengan etiquetas específicas asociadas.
Control de acceso basado en jerarquías mediante la API/SDK
Para usar jerarquías para controlar el acceso a los recursos de sus AWS
cuentas, debe proporcionar la información de la jerarquía en el elemento de condición de una política de IAM. Por ejemplo, para controlar el acceso de un usuario que pertenezca a una jerarquía específica, utilice la clave de connect:HierarchyGroupL3Id/hierarchyGroupId condición junto con un operador específico, por ejemplo, StringEquals para especificar a qué grupo jerárquico debe pertenecer el usuario, a fin de permitirle realizar determinadas acciones. Las claves de condición admitidas son:
-
conectar: HierarchyGroup L1Id/ hierarchyGroupId
-
connect:HierarchyGroupL2Id/hierarchyGroupId -
connect:HierarchyGroupL3Id/hierarchyGroupId -
connect:HierarchyGroupL4Id/hierarchyGroupId -
connect:HierarchyGroupL5Id/hierarchyGroupId
Cada uno representa el identificador de un grupo jerárquico determinado en un nivel específico de la estructura jerárquica del usuario.
Para obtener información más detallada sobre el control de acceso basado en jerarquías, consulte Control del acceso a AWS los recursos mediante etiquetas en la Guía del usuario de IAM.
Control de acceso basado en jerarquías mediante la consola Amazon Connect
Para usar jerarquías para controlar el acceso a los recursos del sitio web de administración de tu instancia de Amazon Connect, debes configurar la sección de control de acceso dentro de un perfil de seguridad determinado. Por ejemplo, para habilitar el acceso al control de acceso granular para un usuario determinado en función de la jerarquía a la que pertenezca, tendrá que configurar el usuario como un recurso de acceso controlado. En este caso, tendrá dos opciones:
-
Imponga un control de acceso basado en jerarquías en función de la jerarquía del usuario: esto garantizará que el usuario al que se le dé acceso solo pueda administrar los usuarios que pertenezcan a su jerarquía. Por ejemplo, habilitar esta configuración para un usuario determinado le permitirá administrar otros usuarios que pertenezcan a su grupo jerárquico o a un grupo jerárquico secundario. Esto garantizará que el usuario al que se concede el acceso solo pueda administrar los usuarios que pertenezcan a su jerarquía. Por ejemplo, habilitar esta configuración para un supervisor le permitirá administrar otros usuarios que pertenezcan a su grupo jerárquico o a un grupo jerárquico secundario.
-
Imponga un control de acceso basado en jerarquías en función de una jerarquía específica: esto garantizará que el usuario al que se le dé acceso solo pueda administrar los usuarios que pertenezcan a la jerarquía definida en el perfil de seguridad. Por ejemplo, si habilita esta configuración para un usuario determinado, podrá administrar otros usuarios que pertenezcan al grupo jerárquico especificado en el perfil de seguridad o a un grupo jerárquico secundario.
Limitaciones de la configuración
El control de acceso granular se configura en un perfil de seguridad. A los usuarios se les puede asignar un máximo de dos perfiles de seguridad que imponen un control de acceso detallado. En este caso, los permisos se volverán menos restrictivos y actuarán como una unión de ambos conjuntos de permisos. Por ejemplo, si un perfil de seguridad impone el control de acceso basado en jerarquías y otro aplica el control de acceso basado en etiquetas, el usuario podrá administrar a cualquier usuario que pertenezca a la misma jerarquía o que esté etiquetado con la etiqueta en cuestión. Si tanto el control de acceso basado en etiquetas como el basado en jerarquías están configurados como parte del mismo perfil de seguridad, deberán cumplirse ambas condiciones. En este caso, el usuario solo podrá administrar los usuarios que pertenezcan a la misma jerarquía y estén etiquetados con una etiqueta determinada.
Un usuario puede tener más de dos perfiles de seguridad, siempre que esos perfiles de seguridad adicionales no impongan un control de acceso detallado. Si hay varios perfiles de seguridad con permisos de recursos superpuestos, se aplicará el perfil de seguridad sin control de acceso basado en jerarquías en lugar del perfil con control de acceso basado en jerarquías.
Las funciones vinculadas a los servicios son necesarias para configurar el control de acceso basado en jerarquías. Si su instancia se creó después de octubre de 2018, estará disponible de forma predeterminada con su instancia de Amazon Connect. Sin embargo, si tiene una instancia anterior, consulte Usar funciones vinculadas a servicios para Amazon Connect para obtener instrucciones sobre cómo habilitar las funciones vinculadas a servicios.
Prácticas recomendadas para aplicar controles de acceso basados en jerarquías
La aplicación del control de acceso basado en jerarquías es una función de configuración avanzada compatible con Amazon Connect y que sigue el modelo de responsabilidad AWS compartida. Es importante asegurarse de configurar correctamente la instancia para cumplir con las necesidades de autorización deseadas. Para obtener más información, consulte el modelo de responsabilidad AWS compartida
Asegúrese de haber habilitado al menos los permisos de visualización para los recursos para los que habilita el control de acceso basado en jerarquías. Esto garantizará que se eviten las incoherencias de permisos que den lugar a la denegación de las solicitudes de acceso. Los controles de acceso basados en jerarquías están habilitados a nivel de recurso, lo que significa que cada recurso se puede restringir de forma independiente. Es importante revisar detenidamente los permisos que se conceden cuando se aplica el control de acceso basado en jerarquías. Por ejemplo, habilitar el acceso restringido jerárquico a los usuarios y ver o editar los perfiles de seguridad de los permisos permitiría al usuario crear o actualizar un perfil de seguridad con privilegios que sustituirían a los ajustes de control de acceso de los usuarios previstos.
Al iniciar sesión en la consola de Amazon Connect con controles de acceso jerárquicos aplicados, los usuarios no podrán acceder a los registros de cambios históricos de los recursos a los que están restringidos.
Al intentar asignar un recurso secundario a un recurso principal con un control de acceso al recurso secundario basado en jerarquías, se denegará la operación si el recurso secundario no pertenece a su jerarquía. Por ejemplo, si intenta asignar un usuario a una conexión rápida pero no tiene acceso a la jerarquía de usuarios, la operación fallará. Sin embargo, esto no es cierto para las disociaciones. Podría desasociar a un usuario libremente incluso si se impusiera un control de acceso basado en jerarquías, suponiendo que tenga acceso a Quick Connect. Esto se debe a que las diasociaciones consisten en descartar una relación existente (a diferencia de las nuevas asociaciones) entre dos recursos y se modelan como parte del recurso principal (en este caso, Quick Connect), al que el usuario ya tiene acceso. Por ello, al aplicar un control de acceso jerárquico a un recurso de usuario, es importante tener en cuenta los permisos que se conceden a los recursos principales, ya que un usuario podría disociarse sin que él o su supervisor lo sepan.
Como práctica recomendada, debe deshabilitar el acceso a los siguientes recursos/módulos al aplicar controles de acceso jerárquicos en la consola de Amazon Connect. Si no inhabilita el acceso a estos recursos, es posible que los usuarios con controles de acceso jerárquicos en un recurso concreto que consulten estas páginas vean una lista de usuarios sin restricciones. Para obtener más información sobre cómo administrar los permisos, consulte la Lista de permisos de los perfiles de seguridad.
| Módulos | Permiso para deshabilitar el acceso |
|---|---|
| Búsqueda de contactos | Búsqueda de contactos: ver |
| Historial de cambios/Portal de auditoría | Métricas de acceso - Acceder |
| Métricas en tiempo real | Métricas en tiempo real: acceso |
| Métricas históricas | Métricas históricas: acceso |
| Informe de inicio/cierre de sesión | Informe de inicio y cierre de sesión - Ver |
| Reglas | Reglas - Ver |
| Informes guardados | Informes guardados - Ver |
| Jerarquía de agente | Jerarquía de agentes: ver |
| Flujo/Módulo de flujo | Módulos de flujo - Ver |
| Programación | Administrador de programación - Ver |
