Contrôle d'accès hiérarchique (version préliminaire) - Amazon Connect
ContexteContrôle d'accès basé sur la hiérarchie à l'aide de l'API/SDKContrôle d'accès basé sur la hiérarchie à l'aide de la console Amazon ConnectLimitations relatives à la configurationBonnes pratiques pour appliquer des contrôles d'accès basés sur la hiérarchie

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôle d'accès hiérarchique (version préliminaire)

Ceci est une documentation préliminaire pour une version préliminaire de service. Elle est susceptible d'être modifiée.

Vous pouvez restreindre l'accès aux contacts en fonction de la hiérarchie des agents assignée à un utilisateur. Pour ce faire, des autorisations telles que Restreindre l'accès aux contacts sont utilisées. Outre ces autorisations, les hiérarchies peuvent également être utilisées pour appliquer des contrôles d'accès granulaires aux ressources, telles que les utilisateurs, en conjonction avec des balises. Le reste de cette page contient des informations supplémentaires sur la configuration des contrôles d'accès basés sur la hiérarchie (actuellement en version préliminaire).

Contexte

Le contrôle d'accès basé sur la hiérarchie vous permet de configurer un accès granulaire à des ressources spécifiques en fonction de la hiérarchie des agents assignée à un utilisateur. Vous pouvez configurer des contrôles d'accès basés sur la hiérarchie à l'aide de l'API/SDK ou dans la console Amazon Connect pour les ressources prises en charge. 

À l'heure actuelle, la seule ressource qui prend en charge le contrôle d'accès basé sur la hiérarchie est Users. Ce modèle d'autorisation fonctionne conjointement avec le contrôle d'accès basé sur des balises, ce qui vous permet de restreindre l'accès aux utilisateurs, afin qu'ils ne puissent voir que les autres utilisateurs appartenant à leur groupe hiérarchique et auxquels des balises spécifiques leur sont associées.

Contrôle d'accès basé sur la hiérarchie à l'aide de l'API/SDK

Pour utiliser les hiérarchies afin de contrôler l'accès aux ressources au sein de vos AWS comptes, vous devez fournir les informations de la hiérarchie dans l'élément de condition d'une politique IAM. Par exemple, pour contrôler l'accès à un utilisateur appartenant à une hiérarchie spécifique, utilisez la clé de connect:HierarchyGroupL3Id/hierarchyGroupId condition, ainsi qu'un opérateur spécifique, comme StringEquals pour spécifier à quel groupe hiérarchique l'utilisateur doit appartenir, afin d'autoriser certaines actions pour celui-ci. Les clés de condition prises en charge sont les suivantes :

  1. connecter : HierarchyGroup L1Id/ hierarchyGroupId

  2. connect:HierarchyGroupL2Id/hierarchyGroupId

  3. connect:HierarchyGroupL3Id/hierarchyGroupId

  4. connect:HierarchyGroupL4Id/hierarchyGroupId

  5. connect:HierarchyGroupL5Id/hierarchyGroupId

Chacun représente l'identifiant d'un groupe hiérarchique donné dans un niveau spécifique de la structure hiérarchique de l'utilisateur.

Pour des informations plus détaillées sur le contrôle d'accès basé sur la hiérarchie, consultez la section Contrôle de l'accès aux AWS ressources à l'aide de balises dans le guide de l'utilisateur IAM.

Contrôle d'accès basé sur la hiérarchie à l'aide de la console Amazon Connect

Pour utiliser des hiérarchies afin de contrôler l'accès aux ressources sur le site Web d'administration de votre instance Amazon Connect, vous devez configurer la section de contrôle d'accès dans un profil de sécurité donné. Par exemple, pour activer le contrôle d'accès granulaire pour un utilisateur donné en fonction de la hiérarchie à laquelle il appartient, vous devez configurer l'utilisateur en tant que ressource contrôlée d'accès. Dans ce cas, deux options s'offrent à vous :

  1. Appliquez un contrôle d'accès basé sur la hiérarchie en fonction de la hiérarchie de l'utilisateur : cela garantira que l'utilisateur auquel l'accès est accordé ne pourra gérer que les utilisateurs appartenant à sa hiérarchie. Par exemple, l'activation de cette configuration pour un utilisateur donné lui permettra de gérer d'autres utilisateurs appartenant à son groupe hiérarchique ou à un groupe hiérarchique enfant. Cela garantira que l'utilisateur auquel l'accès est accordé ne pourra gérer que les utilisateurs appartenant à sa hiérarchie. Par exemple, l'activation de cette configuration pour un superviseur lui permettra de gérer d'autres utilisateurs appartenant à son groupe hiérarchique ou à un groupe hiérarchique enfant.

  2. Appliquez un contrôle d'accès basé sur la hiérarchie en fonction d'une hiérarchie spécifique : cela garantira que l'utilisateur auquel l'accès est accordé ne pourra gérer que les utilisateurs appartenant à la hiérarchie définie dans le profil de sécurité. Par exemple, l'activation de cette configuration pour un utilisateur donné lui permettra de gérer d'autres utilisateurs appartenant soit au groupe hiérarchique spécifié dans le profil de sécurité, soit à un groupe hiérarchique enfant.

Limitations relatives à la configuration

Le contrôle d'accès granulaire est configuré sur un profil de sécurité. Les utilisateurs peuvent se voir attribuer un maximum de deux profils de sécurité qui appliquent un contrôle d'accès granulaire. Dans ce cas, les autorisations deviendront moins restrictives et agiront comme une union des deux ensembles d'autorisations. Par exemple, si un profil de sécurité applique le contrôle d'accès basé sur la hiérarchie et qu'un autre applique le contrôle d'accès basé sur les balises, l'utilisateur pourra gérer tout utilisateur appartenant à la même hiérarchie ou étiqueté avec la balise donnée. Si le contrôle d'accès basé sur les balises et le contrôle d'accès basé sur la hiérarchie sont configurés dans le cadre du même profil de sécurité, les deux conditions devront être remplies. Dans ce cas, l'utilisateur ne pourra gérer que les utilisateurs appartenant à la même hiérarchie et marqués par une balise donnée. 

Un utilisateur peut avoir plus de deux profils de sécurité, à condition que ces profils de sécurité supplémentaires n'appliquent pas un contrôle d'accès granulaire. Si plusieurs profils de sécurité sont présents avec des autorisations de ressources qui se chevauchent, le profil de sécurité sans contrôle d'accès basé sur la hiérarchie sera appliqué sur celui avec contrôle d'accès basé sur la hiérarchie.

Les rôles liés aux services sont nécessaires pour configurer le contrôle d'accès basé sur la hiérarchie. Si votre instance a été créée après octobre 2018, elle sera disponible par défaut avec votre instance Amazon Connect. Toutefois, si vous possédez une instance plus ancienne, reportez-vous à la section Utiliser des rôles liés à un service pour Amazon Connect pour savoir comment activer les rôles liés à un service.

Bonnes pratiques pour appliquer des contrôles d'accès basés sur la hiérarchie

L'application du contrôle d'accès basé sur la hiérarchie est une fonctionnalité de configuration avancée prise en charge par Amazon Connect et qui suit le modèle de responsabilité AWS partagée. Il est important de veiller à bien configurer votre instance afin de répondre aux besoins d'autorisation souhaités. Pour plus d'informations, consultez le modèle de responsabilitéAWS partagée.

Assurez-vous d'avoir activé au moins les autorisations d'affichage pour les ressources pour lesquelles vous activez le contrôle d'accès basé sur la hiérarchie. Vous éviterez ainsi les incohérences au niveau des autorisations qui entraînent des refus de demandes d'accès. Les contrôles d'accès basés sur la hiérarchie sont activés au niveau des ressources, ce qui signifie que chaque ressource peut être restreinte indépendamment. Il est important d'examiner attentivement les autorisations accordées lorsque le contrôle d'accès basé sur la hiérarchie est appliqué. Par exemple, l'activation de l'accès restreint hiérarchique aux utilisateurs et de l'affichage et de la modification des profils de sécurité des autorisations permettrait à un utilisateur de créer/mettre à jour un profil de sécurité avec des privilèges qui remplacent les paramètres de contrôle d'accès utilisateur prévus.

Lorsqu'ils sont connectés à la console Amazon Connect avec des contrôles d'accès basés sur la hiérarchie appliqués, les utilisateurs ne peuvent pas accéder à l'historique des modifications pour les ressources auxquelles ils sont soumis à des restrictions.

Lorsque vous essayez d'attribuer une ressource enfant à une ressource parent avec un contrôle d'accès basé sur la hiérarchie sur la ressource enfant, l'opération sera refusée si la ressource enfant n'appartient pas à votre hiérarchie. Par exemple, si vous essayez d'affecter un utilisateur à un Quick Connect mais que vous n'avez pas accès à la hiérarchie de l'utilisateur, l'opération échouera. Ce n'est toutefois pas le cas pour les dissociations. Vous pourriez dissocier librement un utilisateur même si le contrôle d'accès basé sur la hiérarchie est appliqué en supposant que vous ayez accès au Quick Connect. En effet, les dissociations consistent à supprimer une relation existante (par opposition à de nouvelles associations) entre deux ressources et sont modélisées dans le cadre de la ressource parent (dans ce cas, le Quick Connect), à laquelle l'utilisateur a déjà accès. Ainsi, lors de l'application d'un contrôle d'accès hiérarchisé à une ressource utilisateur, il est important de prendre en compte les autorisations accordées aux ressources parentes, car un utilisateur peut être dissocié à l'insu de son superviseur ou de lui-même.

Il est recommandé de désactiver l'accès aux ressources/modules suivants lorsque vous appliquez des contrôles d'accès basés sur la hiérarchie dans la console Amazon Connect. Si vous ne désactivez pas l'accès à ces ressources, les utilisateurs dotés de contrôles d'accès hiérarchiques sur une ressource donnée qui consultent ces pages peuvent voir une liste d'utilisateurs illimitée. Pour plus d'informations sur la gestion des autorisations, consultez la section Liste des autorisations des profils de sécurité.

Modules Autorisation de désactiver les accès
Recherche de contacts Recherche de contacts - Afficher
Historique des modifications/Portail d'audit Métriques d'accès - Accès
Métriques en temps réel Métriques en temps réel - Accès
Historique des métriques Métriques historiques - Accès
Rapports Connexion/Déconnexion Rapport de connexion/déconnexion - Afficher
Règles Règles - Afficher
Rapports enregistrés Rapports enregistrés - Afficher
Hiérarchie des agents Hiérarchie des agents - Afficher
Flux / Modèle de flux Modules de flux - Afficher
Planification Gestionnaire de planification - Afficher