Définissez les restrictions d'adresse IP et les délais d'expiration des sessions - Amazon Connect
Configuration des plages d'adresses IP et de la durée des sessionsConfiguration du contrôle d'accès basé sur IPExemples de configurations d'adresses IPConfiguration de la durée de session

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Définissez les restrictions d'adresse IP et les délais d'expiration des sessions

Note

Cette fonctionnalité est en version préliminaire et est sujette à modification. Pour accéder à cette fonctionnalité, contactez votre architecte de solutions Amazon Connect, votre responsable de compte technique ou AWS Support.

Pour verrouiller davantage votre centre d'appels, par exemple afin de respecter les exigences et réglementations de votre secteur d'activité, vous pouvez définir des restrictions d'adresse IP et des délais d'expiration de session.

  • Les restrictions relatives aux adresses IP obligent les agents à se connecter uniquement depuis votre VPN ou à bloquer l'accès depuis des pays ou des sous-réseaux spécifiques.

  • Les expirations de session obligent les agents à se reconnecter à Amazon Connect.

Dans Amazon Connect, vous configurez un profil d'authentification pour définir les restrictions relatives aux adresses IP et les durées de session des agents connectés. Un profil d'authentification est une ressource qui stocke les paramètres d'authentification des utilisateurs de votre centre d'appels.

Configuration des plages d'adresses IP et de la durée des sessions

Votre instance Amazon Connect inclut un profil d'authentification par défaut. Ce profil d'authentification s'applique automatiquement à tous les utilisateurs de votre centre d'appels. Il n'est pas nécessaire d'attribuer le profil d'authentification aux utilisateurs pour qu'il s'applique.

Pour configurer votre profil d'authentification par défaut, utilisez les commandes du AWS SDK suivantes.

Astuce

Vous avez besoin de votre identifiant d'instance Amazon Connect pour exécuter ces commandes. Pour obtenir des instructions sur la façon de localiser l'ID de votre instance, consultezTrouvez l'ID/ARN de votre instance Amazon Connect.

  1. Répertoriez les profils d'authentification de votre instance pour obtenir l'ID du profil d'authentification que vous souhaitez mettre à jour. Vous pouvez appeler l'ListAuthenticationProfileAPI ou exécuter la commande list-authentication-profiles CLI.

    Voici un exemple de list-authentication-profiles commande :

    aws connect list-authentication-profiles --instance-id your-instance-id

    Voici un exemple du profil d'authentification par défaut renvoyé par la list-authentication-profiles commande.

    {
    "AuthenticationProfileSummaryList": [
        {
        "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
        "Id": "profile-id",
        "IsDefault": true,
        "LastModifiedRegion": "us-west-2",
        "LastModifiedTime": 1.719249173664E9,
        "Name": "Default Authentication Profile"
        }
    ],
    "NextToken": null
}

  2. Consultez la configuration du profil d'authentification que vous souhaitez mettre à jour. Vous pouvez appeler DescribeAuthenticationProfileou exécuter la ou la commande describe-authentication-profile CLI.

    Voici un exemple de describe-authentication-profile commande :

    aws connect describe-authentication-profile --instance-id your-instance-id --profile-id profile-id

    Voici un exemple des informations renvoyées par la describe-authentication-profile commande.

    {
    "AuthenticationProfile": {
    "AllowedIps": [],
    "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
    "BlockedIps": [],
    "CreatedTime": 1.718999177811E9,
    "Description": "A basic default Authentication Profile",
    "Id": "profile-id",
    "IsDefault": true,
    "LastModifiedRegion": "us-west-2",
    "LastModifiedTime": 1.719249173664E9,
    "MaxSessionDuration": 720,
    "Name": "Default Authentication Profile",
    "PeriodicSessionDuration": 60
    }
}

    Pour une description de chaque champ, consultez AuthenticationProfilele manuel Amazon Connect API Reference.

  3. Configurez le profil d'authentification à l'aide de l'UpdateAuthenticationProfileAPI ou de la commande update-authentication-profile CLI. Tous les champs sauf InstanceId et ProfileId sont facultatifs. Seuls les paramètres que vous définissez dans l'appel d'API sont modifiés.

    Voici un exemple de update-authentication-profile commande. Il configure le profil d'authentification par défaut qui est automatiquement attribué à tous les utilisateurs. Il autorise certaines adresses IP, en bloque d'autres et fixe la durée de session périodique à 60 minutes.

    aws connect update-authentication-profile 
    --instance-id your-instance-id 
    --profile-id profile-id
    --name "Default Authentication Profile"
    --description "A basic default Authentication Profile"
    --allowed-ips "ip-range-1" "ip-range-2" ...
    --blocked-ips "ip-range-3" "ip-range-4" ...
    --periodic-session-duration 60

Configuration du contrôle d'accès basé sur IP

Si vous souhaitez configurer l'accès à votre centre d'appels en fonction des adresses IP, vous pouvez utiliser la fonction de contrôle d'accès basée sur IP de votre profil d'authentification.

Il existe deux types de configurations IP que vous pouvez configurer dans un profil d'authentification : les plages d'adresses IP autorisées et les plages d'adresses IP bloquées. Les points suivants décrivent le fonctionnement du contrôle d'accès basé sur IP.

  • Les adresses IP peuvent être aux formats IPV4 et IPV6.

  • Vous pouvez définir à la fois des adresses IP individuelles et des plages d'adresses IP en notation CIDR.

  • Les configurations IP bloquées sont toujours prioritaires.

  • Si des adresses IP sont définies dans la liste des adresses IP autorisées, seules ces adresses IP sont autorisées.

    • Ces adresses IP peuvent être limitées par la liste des adresses IP bloquées.

  • Si seules les adresses IP bloquées sont définies, toutes les adresses IP peuvent accéder à l'instance, à l'exception de celles définies dans la liste de blocage.

  • Si les adresses IP sont définies à la fois dans les listes d'adresses IP autorisées et bloquées, seules les adresses IP définies dans la plage autorisée sont autorisées, moins les adresses IP comprises dans la plage bloquée.

Note

Le contrôle d'accès basé sur l'adresse IP ne s'applique pas à la connexion de l'administrateur d'urgence. Pour appliquer des restrictions à cet utilisateur, vous pouvez appliquer SourceIp des restrictions dans vos politiques IAM pour l'APIconnect:AdminGetEmergencyAccessToken.

Lorsqu'il est déterminé que l'adresse IP d'un utilisateur est bloquée par l'instance, la session de l'utilisateur est invalidée. Un événement de déconnexion est publié dans le rapport de connexion/déconnexion.

Ce que ressentent les utilisateurs lorsque la vérification de leur adresse IP échoue

Agents

Lorsqu'un agent est actif dans le panneau de configuration des contacts (CCP), son adresse IP est vérifiée périodiquement. La fréquence à laquelle Amazon Connect vérifie l'adresse IP dépend de la façon dont vous avez configuré la durée de session périodique du profil d'authentification.

Voici ce qui se passe si l'adresse IP échoue à la vérification :

  • Si l'agent n'est pas en cours d'appel, il est déconnecté si son adresse IP devient une adresse non autorisée.

  • Si l'agent est en cours d'appel, la session de l'agent est invalidée, mais cela met fin à l'appel actuellement actif. Voici ce qui se produit :

    1. L'agent perd la capacité de prendre des mesures, telles que modifier le statut de l'agent, transférer des appels, mettre un appel en attente, y mettre fin ou créer un dossier.

    2. L'agent est informé que sa capacité à agir dans le CCP est limitée.

    3. S'ils se connectent avec succès après l'invalidation de leur session, ils sont replacés dans l'appel actif et peuvent à nouveau passer à l'action.

Administrateurs et utilisateurs utilisant le site Web d' Amazon Connect administration

Lorsque la vérification de l'adresse IP échoue pour les administrateurs et les autres utilisateurs effectuant des actions sur le site Web de l' Amazon Connect administrateur, par exemple en enregistrant des mises à jour des ressources ou en accédant à des appels actifs, ils sont automatiquement déconnectés.

Exemples de configurations d'adresses IP

Exemple 1 : adresses IP définies uniquement dans la liste des adresses IP autorisées

  • AllowedIps: [ 111.222.0.0/16 ]

  • BlockedIps: [ ]

Résultat :

  • Seules les adresses IP situées entre 111.222.0.0 et 111.222.255.255 sont autorisées à accéder à l'instance.

Exemple 2 : adresses IP définies uniquement dans la liste des adresses IP bloquées

  • AllowedIps: [ ]

  • BlockedIps: [155.155.155.0/24 ]

Résultat :

  • Toutes les adresses IP sont autorisées, à l'exception de la plage d'adresses IP 155.155.155.0 - 155.155.155.255 incluse.

Exemple 3 : adresses IP définies à la fois dans la liste des adresses IP autorisées et dans la liste des adresses IP bloquées

  • AllowedIps: [ 200.255.0.0/16 ]

  • BlockedIps: [200.255.10.0/24, 200.255.40.50, 192.123.211.211 ]

Résultat :

  • Les adresses IP situées entre 200.255.0.0 - 200.255.255.255 les deux sont autorisées, moins(200.255.10.0 - 200.255.10.255 AND 200.255.40.50).

  • Effectivement, 200.255.0.0 - 200.255.9.255, 200.255.11.0 - 200.255.40.49, 200.255.40.51 - 200.255.255.255 sont autorisés.

  • 192.123.211.211est effectivement ignoré car il ne se situe pas dans la plage autorisée.

Exemple 4 : Aucune adresse IP définie dans la liste des adresses IP autorisées ou dans la liste des adresses IP bloquées

  • AllowedIps: [ ]

  • BlockedIps: [ ]

Dans ce cas, il n'y a aucune restriction.

Important

La allowedIps liste définit la plage d'adresses IP possibles autorisées dans votre centre de contact uniquement si elle n'est pas vide. S'il est vide, toute adresse IP est autorisée à accéder à votre centre d'appels, sauf si elle est explicitement bloquée par la blockedIps liste.

Configuration de la durée de session

Vous pouvez ajuster la durée des sessions périodiques en fonction des préférences et des exigences de sécurité de votre organisation. Par exemple, vous pouvez définir la durée de session périodique sur 20 minutes afin que l'adresse IP et la durée de session de votre agent soient vérifiées dans un délai de 20 minutes dans le CCP.

Amazon Connect utilise un modèle d'authentification basé sur des jetons. Deux délais d'expiration de session s'appliquent aux sessions utilisateur de votre centre d'appels :

  • Durée de session périodique : durée maximale avant qu'un utilisateur du centre de contact ne soit authentifié. Par défaut = 60 minutes. Cette option peut être configurée à une valeur différente comprise entre 10 et 60.

    Note

    Bien que ce paramètre définisse l'intervalle de temps maximal qui peut s'écouler avant qu'un utilisateur ne soit authentifié, l'authentification peut avoir lieu plus tôt dans des situations spécifiques. Par exemple, sur le site Web d' Amazon Connect administration, l'authentification a également lieu chaque fois que certaines actions sont effectuées, telles que la création d'un utilisateur ou la modification d'un profil de sécurité.

  • Durée maximale de session : durée maximale pendant laquelle un utilisateur du centre de contact peut être connecté avant d'être obligé de se reconnecter. Par défaut = 12 heures ; il ne peut pas être configuré à une valeur différente.