Tetapkan batasan alamat IP dan batas waktu sesi - Amazon Connect
Konfigurasikan rentang alamat IP dan durasi sesiKonfigurasikan kontrol akses berbasis IPContoh konfigurasi alamat IPKonfigurasikan durasi sesi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tetapkan batasan alamat IP dan batas waktu sesi

catatan

Fitur ini dalam rilis pratinjau dan dapat berubah. Untuk mendapatkan akses ke fitur ini, hubungi Arsitek Solusi Amazon Connect, Manajer Akun Teknis, atau AWS Support.

Untuk lebih mengunci pusat kontak Anda, misalnya, untuk mematuhi persyaratan dan peraturan di industri Anda, Anda dapat mengatur batasan alamat IP dan batas waktu sesi.

  • Pembatasan alamat IP mengharuskan agen untuk masuk hanya dari AndaVPN, atau memblokir akses dari negara atau subnet tertentu.

  • Waktu tunggu sesi mengharuskan agen untuk masuk ke Amazon Connect lagi.

Di Amazon Connect, Anda mengonfigurasi profil autentikasi untuk menetapkan batasan alamat IP dan durasi sesi agen yang masuk. Profil otentikasi adalah sumber daya yang menyimpan pengaturan otentikasi untuk pengguna di pusat kontak Anda.

Konfigurasikan rentang alamat IP dan durasi sesi

Instans Amazon Connect Anda menyertakan profil autentikasi default. Profil otentikasi ini secara otomatis berlaku untuk semua pengguna di pusat kontak Anda. Anda tidak perlu menetapkan profil otentikasi kepada pengguna agar dapat diterapkan.

Untuk mengonfigurasi profil otentikasi default Anda, gunakan AWS SDK perintah berikut.

Tip

Anda memerlukan ID instans Amazon Connect untuk menjalankan perintah ini. Untuk petunjuk tentang cara menemukan ID instans Anda, lihatTemukan ID instans Amazon Connect Anda/ ARN.

  1. Buat daftar profil otentikasi di instans Anda untuk mendapatkan ID profil dari profil otentikasi yang ingin Anda perbarui. Anda dapat memanggil ListAuthenticationProfileAPIatau menjalankan list-authentication-profiles CLI perintah.

    Berikut ini adalah contoh list-authentication-profiles perintah:

    aws connect list-authentication-profiles --instance-id your-instance-id

    Berikut ini adalah contoh profil otentikasi default yang dikembalikan oleh list-authentication-profiles perintah.

    {
    "AuthenticationProfileSummaryList": [
        {
        "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
        "Id": "profile-id",
        "IsDefault": true,
        "LastModifiedRegion": "us-west-2",
        "LastModifiedTime": 1.719249173664E9,
        "Name": "Default Authentication Profile"
        }
    ],
    "NextToken": null
}

  2. Lihat konfigurasi profil otentikasi yang ingin Anda perbarui. Anda dapat memanggil DescribeAuthenticationProfileatau menjalankan perintah atau describe-authentication-profile CLI perintah.

    Berikut ini adalah contoh describe-authentication-profile perintah:

    aws connect describe-authentication-profile --instance-id your-instance-id --profile-id profile-id

    Berikut ini adalah contoh informasi yang dikembalikan oleh describe-authentication-profile perintah.

    {
    "AuthenticationProfile": {
    "AllowedIps": [],
    "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
    "BlockedIps": [],
    "CreatedTime": 1.718999177811E9,
    "Description": "A basic default Authentication Profile",
    "Id": "profile-id",
    "IsDefault": true,
    "LastModifiedRegion": "us-west-2",
    "LastModifiedTime": 1.719249173664E9,
    "MaxSessionDuration": 720,
    "Name": "Default Authentication Profile",
    "PeriodicSessionDuration": 60
    }
}

    Untuk deskripsi setiap bidang, lihat AuthenticationProfiledi APIReferensi Amazon Connect.

  3. Konfigurasikan profil otentikasi dengan menggunakan UpdateAuthenticationProfileAPIatau update-authentication-profile CLI perintah. Semua bidang kecuali InstanceId dan ProfileId bersifat opsional. Hanya pengaturan yang Anda tentukan dalam API panggilan yang diubah.

    Berikut ini adalah contoh update-authentication-profile perintah. Ini mengonfigurasi profil otentikasi default yang secara otomatis ditetapkan ke semua pengguna. Ini memungkinkan beberapa alamat IP, memblokir yang lain, dan mengatur durasi sesi periodik menjadi 60 menit.

    aws connect update-authentication-profile 
    --instance-id your-instance-id 
    --profile-id profile-id
    --name "Default Authentication Profile"
    --description "A basic default Authentication Profile"
    --allowed-ips "ip-range-1" "ip-range-2" ...
    --blocked-ips "ip-range-3" "ip-range-4" ...
    --periodic-session-duration 60

Konfigurasikan kontrol akses berbasis IP

Jika Anda ingin mengonfigurasi akses ke pusat kontak Anda berdasarkan alamat IP, Anda dapat menggunakan fitur kontrol akses berbasis IP dari profil otentikasi Anda.

Ada dua jenis konfigurasi IP yang dapat Anda konfigurasi dalam profil otentikasi: rentang alamat IP yang diizinkan dan rentang alamat IP yang diblokir. Poin-poin berikut menjelaskan cara kerja kontrol akses berbasis IP.

  • Alamat IP bisa dalam IPV6 format IPV4 dan keduanya.

  • Anda dapat menentukan alamat IP individual dan rentang alamat IP dalam CIDR notasi.

  • Konfigurasi IP yang diblokir selalu diutamakan.

  • Jika alamat IP didefinisikan dalam daftar IP yang Diizinkan, hanya alamat IP yang diizinkan.

    • Alamat IP ini dapat dicakup oleh daftar IP yang Diblokir.

  • Jika hanya alamat IP yang Diblokir yang ditentukan, alamat IP apa pun dapat mengakses instance, kecuali yang ditentukan dalam daftar blokir.

  • Jika alamat IP didefinisikan dalam daftar alamat IP yang diizinkan dan diblokir, hanya alamat IP yang ditentukan dalam rentang yang diizinkan yang diizinkan, dikurangi alamat IP apa pun dalam rentang yang diblokir.

catatan

Kontrol akses berbasis alamat IP tidak berlaku untuk login admin darurat. Untuk menerapkan pembatasan pada pengguna ini, Anda dapat menerapkan SourceIp batasan dalam IAM kebijakan Anda untuk APIconnect:AdminGetEmergencyAccessToken.

Ketika alamat IP pengguna ditentukan untuk diblokir oleh instance, sesi pengguna akan dibatalkan. Peristiwa logout dipublikasikan dalam laporan Login/Logout.

Apa yang dialami pengguna ketika pemeriksaan alamat IP mereka gagal

Agen

Ketika agen aktif di Control Panel Kontak (CCP), alamat IP mereka diperiksa secara berkala. Frekuensi Amazon Connect memeriksa alamat IP didasarkan pada cara Anda mengonfigurasi durasi sesi periodik profil autentikasi.

Berikut adalah apa yang terjadi jika alamat IP gagal cek:

  • Jika agen tidak melakukan panggilan aktif, agen akan keluar jika alamat IP mereka berubah menjadi alamat yang tidak diizinkan.

  • Jika agen melakukan panggilan aktif, sesi agen tidak valid, namun, ini mengakhiri panggilan yang saat ini aktif. Inilah yang terjadi:

    1. Agen kehilangan kemampuan untuk mengambil tindakan apa pun, seperti mengubah status agen, mentransfer panggilan, menunda panggilan, mengakhiri panggilan, atau membuat kasus.

    2. Agen diberitahu bahwa kemampuan mereka untuk mengambil tindakan CCP dibatasi.

    3. Jika mereka berhasil masuk setelah sesi mereka tidak valid, mereka ditempatkan kembali ke panggilan aktif dan dapat mengambil tindakan lagi.

Admin dan pengguna yang menggunakan situs web admin Amazon Connect

Ketika pemeriksaan alamat IP gagal untuk admin dan pengguna lain yang mengambil tindakan di situs web Amazon Connect admin, seperti menyimpan pembaruan ke sumber daya atau menerobos masuk ke panggilan aktif, mereka secara otomatis keluar.

Contoh konfigurasi alamat IP

Contoh 1: Alamat IP hanya ditentukan dalam daftar IP yang diizinkan

  • AllowedIps: [ 111.222.0.0/16 ]

  • BlockedIps: [ ]

Hasil:

  • Hanya alamat IP antara 111.222.0.0 dan 111.222.255.255 yang diizinkan untuk mengakses instance.

Contoh 2: Alamat IP hanya ditentukan dalam daftar IP yang diblokir

  • AllowedIps: [ ]

  • BlockedIps: [155.155.155.0/24 ]

Hasil:

  • Semua alamat IP diperbolehkan, kecuali rentang alamat IP 155.155.155.0 - 155.155.155.255 inklusif.

Contoh 3: Alamat IP didefinisikan dalam daftar IP yang diizinkan dan daftar IP yang diblokir

  • AllowedIps: [ 200.255.0.0/16 ]

  • BlockedIps: [200.255.10.0/24, 200.255.40.50, 192.123.211.211 ]

Hasil:

  • Alamat IP antara 200.255.0.0 - 200.255.255.255 diperbolehkan, minus(200.255.10.0 - 200.255.10.255 AND 200.255.40.50).

  • Secara efektif, 200.255.0.0 - 200.255.9.255, 200.255.11.0 - 200.255.40.49, 200.255.40.51 - 200.255.255.255 diperbolehkan.

  • 192.123.211.211secara efektif diabaikan karena tidak berada dalam jangkauan rentang yang Diizinkan.

Contoh 4: Tidak ada alamat IP yang ditentukan dalam daftar IP yang diizinkan atau daftar IP yang diblokir

  • AllowedIps: [ ]

  • BlockedIps: [ ]

Dalam hal ini, tidak ada batasan.

penting

allowedIpsDaftar ini menentukan kisaran kemungkinan yang IPs diizinkan di pusat kontak Anda hanya jika tidak kosong. Jika kosong, alamat IP apa pun diizinkan untuk mengakses pusat kontak Anda kecuali secara eksplisit diblokir oleh daftar. blockedIps

Konfigurasikan durasi sesi

Anda dapat menyempurnakan durasi sesi periodik sesuai dengan preferensi dan persyaratan keamanan organisasi Anda. Misalnya, Anda dapat mengatur durasi sesi periodik menjadi 20 menit sehingga alamat IP dan durasi sesi agen Anda diperiksa dalam periode waktu 20 menit diCCP.

Amazon Connect menggunakan model otentikasi berbasis token. Ada dua batas waktu sesi yang berlaku untuk sesi pengguna di pusat kontak Anda:

  • Durasi sesi periodik: Periode waktu maksimum sebelum pengguna pusat kontak diautentikasi. Default = 60 menit. Opsi ini dapat dikonfigurasi ke nilai yang berbeda antara 10 - 60.

    catatan

    Meskipun pengaturan ini menentukan interval waktu maksimum yang dapat berlalu sebelum pengguna diautentikasi, otentikasi dapat terjadi lebih awal dalam situasi tertentu. Misalnya, di situs web Amazon Connect admin, otentikasi juga terjadi setiap kali tindakan tertentu dilakukan, seperti membuat pengguna atau mengubah profil keamanan.

  • Durasi sesi maksimum: Periode waktu maksimum pengguna pusat kontak dapat masuk sebelum dipaksa untuk masuk lagi. Default = 12 jam; itu tidak dapat dikonfigurasi ke nilai yang berbeda.