Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS
Ejemplos de políticas de nivel de recursos de Amazon Connect - Amazon Connect
Denegar todas las acciones en una instancia de Amazon ConnectDenegar las acciones eliminar y actualizarPermiso de acciones para integraciones con nombres específicosPermitir la acción "crear usuarios" pero denegarla si se le asigna a un perfil de seguridad específicoPermiso para grabar acciones en un contactoPermiso o denegación de acciones de la API de cola para números de teléfono en una región de réplicaVer AppIntegrations recursos específicos de AmazonConcesión de acceso a Perfiles de clientes de Amazon ConnectConcesión de acceso de solo lectura a los datos de Perfiles de clientesConsulta de Amazon Q in Connect solo para un asistente específicoConcesión de acceso total a Amazon Connect Voice IDConcesión de acceso a los recursos de Campañas externas de Amazon ConnectRestrinja la posibilidad de buscar en las transcripciones analizadas por Amazon Connect Contact Lens

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplos de políticas de nivel de recursos de Amazon Connect

PDFRSS

Amazon Connect admite permisos de nivel de recursos para los usuarios, de modo que puede especificar acciones para ellos en una instancia, como se muestra en las siguientes políticas.

Denegar todas las acciones en una instancia de Amazon Connect

Una instancia de Amazon Connect es el recurso de nivel superior de Amazon Connect. Todos los demás subrecursos se crean dentro de su ámbito. Para denegar todas las acciones en todos los recursos de una instancia de Amazon Connect, puede utilizar uno de los siguientes métodos:

  • Utilice claves de connect:instanceId contexto.

  • Usa el ARN de la instancia seguido de un comodín (*).

El siguiente ejemplo de política deniega todas las acciones de conexión de la instancia con el ID de instancia 00fbeee1-123e-111e-93e3-11111bfbfcc1.

{
"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "connect:*"
            ],
            "Resource": "*"
        },
        "Condition": {
            "StringEquals": {
                "connect:instanceId": "00fbeee1-123e-111e-93e3-11111bfbfcc1"
            }
        }
    ]
}

Como alternativa, puede denegar todas las acciones especificando el ARN de la instancia seguido de un comodín (*). El siguiente ejemplo de política deniega todas las acciones de conexión de la instancia con el ARN arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1 de la instancia. 

{
"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "connect:*"
            ],
            "Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1*"
        }
    ]
}

Denegar las acciones eliminar y actualizar

La siguiente política de ejemplo deniega las acciones “eliminar” y “actualizar” a los usuarios en una instancia de Amazon Connect. Utiliza un carácter comodín al final del ARN de usuario de Amazon Connect para que “eliminar usuario” y “actualizar usuario” se denieguen en el ARN de usuario completo (es decir, todos los usuarios de Amazon Connect de la instancia que se ha proporcionado, por ejemplo, arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/00dtcddd1-123e-111e-93e3-11111bfbfcc1).

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "connect:DeleteUser",
                "connect:UpdateUser*"
            ],
            "Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/*"
        }
    ]
}

Permiso de acciones para integraciones con nombres específicos

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllAppIntegrationsActions",
            "Effect": "Allow",
            "Action": [
                "app-integrations:ListEventIntegrations",
                "app-integrations:CreateEventIntegration",
                "app-integrations:GetEventIntegration",
                "app-integrations:UpdateEventIntegration",
                "app-integartions:DeleteEventIntegration"
            ],
"Resource":"arn:aws:appintegrations:*:*:event-integration/MyNamePrefix-*"
	}
    ]
}

Permitir la acción "crear usuarios" pero denegarla si se le asigna a un perfil de seguridad específico

El siguiente ejemplo de política permite «crear usuarios», pero niega explícitamente el uso de arn:aws:connect:us-west- 2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17 como parámetro del perfil de seguridad solicitado. CreateUser

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",        
            "Action": [
                "connect:CreateUser"
             ],
            "Resource": "*",
        },
        {
            "Effect": "Deny",
            "Action": [
                "connect:CreateUser"
             ],
            "Resource": "arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc17/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17",
        } 
    ]
}

Permiso para grabar acciones en un contacto

La siguiente política de ejemplo permite “iniciar la grabación de contactos” en un contacto de una instancia específica. Como ContactID es dinámico, se usa *.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
          "connect:StartContactRecording"
      ],
      "Resource": "arn:aws:connect:us-west-2:accountID:instance/instanceId/contact/*",
      "Effect": "Allow"
    }
  ]
}

Configure una relación de confianza con accountID.

Se han APIs definido las siguientes acciones para el registro:

  • «conectarStartContactRecording»:

  • «conectarStopContactRecording»:

  • «conectarSuspendContactRecording»:

  • «conectarResumeContactRecording»:

Permiso para más acciones de contacto en el mismo rol

Si se usa el mismo rol para llamar a otro contacto APIs, puedes enumerar las siguientes acciones de contacto:

  • GetContactAttributes

  • ListContactFlows

  • StartChatContact

  • StartOutboundVoiceContact

  • StopContact

  • UpdateContactAttributes

O utilice un carácter comodín para permitir todas las acciones de contacto, por ejemplo “connect:*”.

Permiso para más recursos

También puede utilizar un comodín para permitir más recursos. Por ejemplo, a continuación le mostramos cómo permitir todas las acciones de conexión en todos los recursos de contacto:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "connect:*"
            ],
            "Resource": "arn:aws:connect:us-west-2:accountID:instance/*/contact/*",
            "Effect": "Allow"
        }
    ]
}

Permiso o denegación de acciones de la API de cola para números de teléfono en una región de réplica

Los CreateQueuey UpdateQueueOutboundCallerConfig APIs contienen un campo de entrada denominadoOutboundCallerIdNumberId. Este campo representa un recurso de número de teléfono que puede solicitarse para un grupo de distribución de tráfico. Es compatible con el formato ARN V1 de número de teléfono devuelto por ListPhoneNumbersy el formato ARN V2 devuelto por V2. ListPhoneNumbers

A continuación, se indican los formatos ARN V1 y V2 que OutboundCallerIdNumberId admite:

  • Formato ARN V1: arn:aws:connect:your-region:your-account_id:instance/instance_id/phone-number/resource_id

  • Formato ARN V2: arn:aws:connect:your-region:your-account_id:phone-number/resource_id

nota

Le recomendamos que utilice el formato ARN V2. El formato ARN V1 quedará obsoleto en el futuro.

Suministro de ambos formatos de ARN para los recursos de números de teléfono en la región de réplica

Si el número de teléfono está solicitado para un grupo de distribución de tráfico, para permitir o denegar correctamente el acceso a las acciones de la API de cola para los recursos de número de teléfono mientras opera en la región de réplica, debe proporcionar el recurso de número de teléfono en los formatos ARN V1 y V2. Si proporciona el recurso del número de teléfono solo en un formato ARN, no se producirá el comportamiento correcto de permitir o denegar al operar en la región de réplica.

Ejemplo 1: denegar el acceso a CreateQueue

Por ejemplo, está operando en la región de réplica us-west-2 con cuenta de 123456789012 e instancia aaaaaaaa-bbbb-cccc-dddd-0123456789012. Desea denegar el acceso a la CreateQueueAPI cuando el OutboundCallerIdNumberId valor es un número de teléfono reclamado a un grupo de distribución de tráfico con un identificador de recursoaaaaaaaa-eeee-ffff-gggg-0123456789012. En este escenario debe utilizar la siguiente política:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyCreateQueueForSpecificNumber",
            "Effect": "Deny",
            "Action": "connect:CreateQueue",
            "Resource": [
                "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
                "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
            ]
        }
    ]
}

Donde us-west-2 es la región donde se realiza la solicitud.

Ejemplo 2: permitir el acceso únicamente a UpdateQueueOutboundCallerConfig

Por ejemplo, está operando en la región de réplica us-west-2 con cuenta de 123456789012 e instancia aaaaaaaa-bbbb-cccc-dddd-0123456789012. Desea permitir el acceso a la UpdateQueueOutboundCallerConfigAPI únicamente cuando el OutboundCallerIdNumberId valor sea un número de teléfono atribuido a un grupo de distribución de tráfico con un identificador de recursoaaaaaaaa-eeee-ffff-gggg-0123456789012. En este escenario debe utilizar la siguiente política:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OnlyAllowUpdateQueueOutboundCallerConfigForSpecificNumber",
            "Effect": "Allow",
            "Action": "connect:UpdateQueueOutboundCallerConfig",
            "Resource": [
                "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
                "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
            ]
        }
    ]
}

Ver AppIntegrations recursos específicos de Amazon

La siguiente política de ejemplo permite recuperar integraciones de eventos específicas.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "app-integrations:GetEventIntegration"
            ],
            "Resource": "arn:aws:app-integrations:us-west-2:accountID:event-integration/Name"
        }
    ]
}

Concesión de acceso a Perfiles de clientes de Amazon Connect

Perfiles de clientes de Amazon Connect utiliza profile como prefijo para las acciones en lugar de connect. La siguiente política concede acceso total a un dominio específico en Perfiles de clientes de Amazon Connect.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
          "profile:*"
      ],
      "Resource": "arn:aws:profile:us-west-2:accountID:domains/domainName",
      "Effect": "Allow"
    }
  ]
}

Configure una relación de confianza con accountID para el dominio domainName.

Concesión de acceso de solo lectura a los datos de Perfiles de clientes

A continuación, se muestra un ejemplo para conceder acceso de lectura a los datos de Perfiles de clientes de Amazon Connect.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "profile:SearchProfiles",
                "profile:ListObjects"
            ],
            "Resource": "arn:aws:profile:us-west-2:accountID:domains/domainName",
            "Effect": "Allow"
        }
    ]
}

Consulta de Amazon Q in Connect solo para un asistente específico

La siguiente política de ejemplo permite consultar solo un asistente específico. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wisdom:QueryAssistant "
            ],
            "Resource": "arn:aws:wisdom:us-west-2:accountID:assistant/assistantID"
        }
    ]
}

Concesión de acceso total a Amazon Connect Voice ID

Amazon Connect Voice ID utiliza voiceid como prefijo para las acciones en lugar de “connect”. La siguiente política concede acceso total a un dominio específico en Amazon Connect Voice ID: 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
          "voiceid:*"
      ],
      "Resource": "arn:aws:voiceid:us-west-2:accountID:domain/domainName",
      "Effect": "Allow"
    }
  ]
}

Configure una relación de confianza con accountID para el dominio domainName.

Concesión de acceso a los recursos de Campañas externas de Amazon Connect

Las campañas externas utilizan connect-campaign como prefijo para las acciones en lugar de connect. La siguiente política concede acceso total a una campaña externa específica. 

{
    "Sid": "AllowConnectCampaignsOperations",
    "Effect": "Allow",
    "Action": [
        "connect-campaigns:DeleteCampaign",
        "connect-campaigns:DescribeCampaign",
        "connect-campaigns:UpdateCampaignName",
        "connect-campaigns:GetCampaignState"
        "connect-campaigns:UpdateOutboundCallConfig",
        "connect-campaigns:UpdateDialerConfig",
        "connect-campaigns:PauseCampaign",
        "connect-campaigns:ResumeCampaign",
        "connect-campaigns:StopCampaign"
    ],
    "Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId",
    }

Restrinja la posibilidad de buscar en las transcripciones analizadas por Amazon Connect Contact Lens

La siguiente política permite buscar y describir contactos, pero niega la búsqueda de un contacto mediante transcripciones analizadas por Amazon Connect Contact Lens.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:DescribeContact"
            ],
            "Resource": "arn:aws:connect:region:account-id:instance/instance-id/contact/*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "connect:SearchContacts"
            ],
            "Resource": "arn:aws:connect:region:account-id:instance/instance-id"
        },
        {
            "Sid": "VisualEditor2",
            "Effect": "Deny",
            "Action": [
                "connect:SearchContacts"
            ],
            "Resource": "arn:aws:connect:region:account-id:instance/instance-id",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "connect:SearchContactsByContactAnalysis": [
                        "Transcript"
                    ]
                }
            }
        }
    ]
}

¿Necesita ayuda?

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.