Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Control de acceso basado en etiquetas
Los controles de acceso basados en etiquetas le permiten configurar el acceso detallado a recursos específicos en función de las etiquetas de recursos asignadas. Puede configurar los controles de acceso basados en etiquetas medianteAPI/SDKo dentro de la consola Amazon Connect (para los recursos compatibles).
Control de acceso basado en etiquetas mediante/APISDK
Para usar etiquetas para controlar el acceso a los recursos de sus AWS cuentas, debe proporcionar la información de las etiquetas en el elemento de condición de una IAM política. Por ejemplo, para controlar el acceso a su dominio de Voice ID en función de las etiquetas que le haya asignado, utilice la clave de condición aws:ResourceTag/key-name, junto con un operador específico como StringEquals para especificar qué par clave:valor de etiqueta debe asociarse al dominio, con el fin de permitir determinadas acciones para él.
Para obtener información más detallada sobre el control de acceso basado en etiquetas, consulte Controlar el acceso a AWS los recursos mediante etiquetas en la Guía del IAM usuario.
Control de acceso basado en etiquetas mediante la consola de Amazon Connect
Una etiqueta de recurso es una designación de metadatos personalizada que puede agregar a un recurso para facilitar su identificación, organización y búsqueda. Puede aplicar etiquetas mediante programación mediante Amazon ConnectSDK/yAPIs, para determinados recursos, puede aplicar etiquetas desde la consola de Amazon Connect. Para obtener más información sobre el etiquetado de recursos, consulte Añadir etiquetas a los recursos en Amazon Connect.
Una etiqueta de control de acceso es similar a una etiqueta de recurso en el sentido de que utiliza la misma estructura Clave:valor. No obstante, la diferencia con una etiqueta de control de acceso es que introduce controles de autorización que limitan el acceso de un usuario solo a los recursos especificados que contengan etiquetas de recursos con idénticos pares Clave:valor. Las etiquetas de control de acceso se definen en los perfiles de seguridad, seleccionando en primer lugar el recurso (perfil de enrutamiento, cola, usuarios, etc.) cuyo acceso se desea controlar y definiendo, a continuación, el par Clave:valor con el que va a coincidir. Una vez aplicado a un usuario un perfil de seguridad con etiquetas de control de acceso, limitará el acceso del usuario en función de la combinación definida de los recursos seleccionados y las etiquetas de control de acceso (Clave:valor). Sin etiquetas de control de acceso aplicadas, un usuario podrá ver todos los recursos si se le da permiso para hacerlo.
Para utilizar etiquetas para controlar el acceso a los recursos en el sitio web de administración de su instancia de Amazon Connect, debe configurar la sección de control de acceso en un perfil de seguridad determinado. Por ejemplo, para controlar el acceso a un perfil de enrutamiento en función de las etiquetas que le haya asignado, deberá especificar el perfil de enrutamiento como un recurso de acceso controlado y, a continuación, especificar a qué par de etiqueta Clave:valor desea permitir el acceso.
Limitaciones de la configuración
Las etiquetas de control de acceso se configuran en un perfil de seguridad. Puede configurar hasta cuatro etiquetas de control de acceso en un único perfil de seguridad. Agregar etiquetas de control de acceso adicionales provocará que un perfil de seguridad sea más restrictivo. Por ejemplo, si agregara dos etiquetas de control de acceso como Department:X y Country:Y, el usuario solo podrá ver los recursos que contengan ambas etiquetas.
A los usuarios se les puede asignar un máximo de dos perfiles de seguridad que contengan etiquetas de control de acceso. Cuando se asignan varios perfiles de seguridad que contienen etiquetas de control de acceso a un solo usuario, los controles de acceso basados en etiquetas se vuelven menos restrictivos. Por ejemplo, si un usuario tuviera un perfil de seguridad con una etiqueta de control de acceso como Country:USA y otro perfil de seguridad con una etiqueta de control de acceso como Country:Argentina, el usuario podría ver los recursos etiquetados con Country:USA o Country:Argentina. Un usuario puede tener otros perfiles de seguridad, siempre que esos perfiles de seguridad adicionales no contengan etiquetas. Si hay varios perfiles de seguridad con permisos de recursos que se solapen, se aplicará el perfil de seguridad sin controles de acceso basados en etiquetas en lugar del perfil con controles de acceso basados en etiquetas.
Los roles vinculados al servicio son necesarios para configurar las etiquetas de recurso o de control de acceso. Si su instancia se creó después de octubre de 2018, estará disponible de forma predeterminada con su instancia de Amazon Connect. Sin embargo, si tiene una instancia anterior, consulte Uso de roles vinculados al servicio para Amazon Connect para obtener instrucciones sobre cómo habilitar los roles vinculados al servicio.
Prácticas recomendadas para aplicar controles de acceso basado en etiquetas
La aplicación de controles de acceso basados en etiquetas es una función de configuración avanzada compatible con Amazon Connect y que sigue el modelo de responsabilidad AWS compartida. Es importante asegurarse de configurar correctamente la instancia para cumplir con las necesidades de autorización deseadas. Para obtener más información, consulte el modelo de responsabilidades compartidas de AWS
Asegúrese de haber habilitado al menos los permisos Ver para los recursos para los que habilita el control de acceso basado en etiquetas. Esto garantizará que se eviten las incoherencias de permisos que den lugar a la denegación de las solicitudes de acceso.
Los controles de acceso basados en etiquetas están habilitados en el nivel de recurso, lo que significa que cada recurso se puede restringir de forma independiente. En algunos casos de uso, esto puede ser aceptable, pero se recomienda habilitar los controles de acceso basados en etiquetas en todos los recursos a la vez. Por ejemplo, permitir el acceso a los usuarios, pero no a los perfiles de seguridad, permitiría a un usuario crear un perfil de seguridad con privilegios que reemplazarían la configuración de control de acceso de usuario prevista.
Al iniciar sesión en la consola de Amazon Connect con los controles de acceso basados en etiquetas aplicados, los usuarios no podrán acceder a los registros de historial de cambios de los recursos que tienen restringidos.
Se recomienda deshabilitar el acceso a los siguientes recursos o módulos al aplicar controles de acceso basados en etiquetas en la consola de Amazon Connect. Si no deshabilita el acceso a estos recursos, los usuarios con controles de acceso basados en etiquetas en un recurso concreto que consulten estas páginas pueden ver una lista ilimitada de usuarios, perfiles de seguridad, perfiles de enrutamiento, colas, flujos o módulos de flujo. Para obtener más información sobre cómo administrar los permisos, consulte Lista de permisos del perfil de seguridad.
Módulos |
Permiso para deshabilitar el acceso |
|---|---|
Búsqueda de contactos |
Búsqueda de contactos |
Panel de control |
Acceso a métricas |
Flujos |
Flujos: ver |
Módulos de flujo |
Módulos de flujo - Ver |
Previsiones |
Previsiones |
Historial de cambios/Portal de auditoría |
Acceso a métricas |
Horas de funcionamiento |
Horas de funcionamiento - Ver |
Informe de inicio/cierre de sesión |
Informe de inicio/cierre de sesión - Ver |
Campaña externa |
Campañas - Ver |
Mensajes |
Mensajes - Ver |
Conexión rápida |
Conexiones rápidas: ver |
Reglas |
Reglas - Ver |
Informes guardados |
Informes guardados - Ver |
Programación |
Administrador de programaciones |
Programación |
Calendario de programación publicado |
