Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol akses hirarki (Pratinjau)
| Ini adalah dokumentasi prarilis untuk layanan dalam rilis pratinjau. Dokumentasi dapat berubah. |
Anda dapat membatasi akses ke kontak berdasarkan hierarki agen yang ditetapkan untuk pengguna. Ini dilakukan dengan menggunakan izin seperti Batasi Akses Kontak. Selain izin ini, hierarki juga dapat digunakan untuk menegakkan kontrol akses granular untuk sumber daya, seperti pengguna, bersama dengan tag. Sisa halaman ini berisi rincian tambahan tentang mengonfigurasi kontrol akses berbasis hierarki (saat ini dalam pratinjau).
Latar Belakang
Kontrol akses berbasis hierarki memungkinkan Anda mengonfigurasi akses granular ke sumber daya tertentu berdasarkan hierarki agen yang ditetapkan ke pengguna. Anda dapat mengonfigurasi kontrol akses berbasis hierarki dengan menggunakanAPI/SDKatau dalam konsol Amazon Connect untuk sumber daya yang didukung.
Saat ini, satu-satunya sumber daya yang mendukung kontrol akses berbasis hierarki adalah Pengguna. Model otorisasi ini bekerja bersama dengan kontrol akses berbasis tag, memungkinkan Anda untuk membatasi akses ke pengguna, sehingga mereka hanya dapat melihat pengguna lain yang termasuk dalam grup hierarki mereka dan yang memiliki tag spesifik yang terkait dengannya.
Kontrol akses berbasis hierarki menggunakan/APISDK
Untuk menggunakan hierarki untuk mengontrol akses ke sumber daya dalam AWS
akun Anda, Anda perlu memberikan informasi hierarki dalam elemen kondisi kebijakan. IAM Misalnya, untuk mengontrol akses ke Pengguna yang termasuk dalam hierarki tertentu, gunakan kunci connect:HierarchyGroupL3Id/hierarchyGroupId kondisi, bersama dengan operator tertentu seperti StringEquals untuk menentukan grup hierarki mana yang harus dimiliki pengguna, untuk memungkinkan tindakan yang diberikan untuknya. Kunci kondisi yang didukung adalah:
-
menghubungkan: HierarchyGroup L1Id/hierarchyGroupId
-
connect:HierarchyGroupL2Id/hierarchyGroupId -
connect:HierarchyGroupL3Id/hierarchyGroupId -
connect:HierarchyGroupL4Id/hierarchyGroupId -
connect:HierarchyGroupL5Id/hierarchyGroupId
Masing-masing mewakili id dari grup hierarki tertentu dalam tingkat tertentu dari struktur hierarki Pengguna.
Untuk informasi selengkapnya tentang kontrol akses berbasis hierarki, lihat Mengontrol akses ke AWS sumber daya menggunakan tag di IAM Panduan Pengguna.
Kontrol akses berbasis hierarki menggunakan konsol Amazon Connect
Untuk menggunakan hierarki untuk mengontrol akses ke sumber daya dalam situs web admin instans Amazon Connect, Anda perlu mengonfigurasi bagian kontrol akses dalam profil keamanan tertentu. Misalnya, untuk mengaktifkan akses kontrol akses granular untuk pengguna tertentu berdasarkan hierarki milik mereka, Anda perlu mengonfigurasi pengguna sebagai sumber daya yang dikendalikan akses. Dalam hal ini, Anda akan memiliki dua opsi:
-
Menerapkan kontrol akses berbasis hierarki berdasarkan hierarki pengguna: Ini akan memastikan bahwa pengguna yang diberi akses hanya dapat mengelola pengguna yang termasuk dalam hierarki nya. Misalnya, mengaktifkan konfigurasi ini untuk pengguna tertentu akan memungkinkan mereka untuk mengelola pengguna lain yang termasuk dalam grup hierarki mereka atau grup hierarki anak. Ini akan memastikan bahwa pengguna yang diberi akses hanya dapat mengelola pengguna yang termasuk dalam hierarki nya. Misalnya, mengaktifkan konfigurasi ini untuk supervisor akan memungkinkan mereka untuk mengelola pengguna lain yang termasuk dalam grup hierarki mereka atau grup hierarki anak.
-
Menerapkan kontrol akses berbasis hierarki berdasarkan hierarki tertentu: Ini akan memastikan bahwa pengguna yang diberi akses hanya dapat mengelola pengguna yang termasuk dalam hierarki yang ditentukan dalam Profil Keamanan. Misalnya, mengaktifkan konfigurasi ini untuk pengguna tertentu akan memungkinkan mereka mengelola pengguna lain yang termasuk dalam grup hierarki yang ditentukan dalam Profil Keamanan atau grup hierarki anak.
Batasan konfigurasi
Kontrol akses granular dikonfigurasi pada profil keamanan. Pengguna dapat diberikan maksimal dua profil keamanan yang memberlakukan kontrol akses granular. Dalam hal ini, izin akan menjadi kurang membatasi dan bertindak sebagai gabungan dari kedua set izin. Misalnya, jika satu Profil Keamanan memberlakukan kontrol akses berbasis hierarki dan yang lain memberlakukan kontrol akses berbasis tag, pengguna akan dapat mengelola setiap pengguna yang termasuk dalam hierarki yang sama atau ditandai dengan tag yang diberikan. Jika kontrol akses berbasis tag dan berbasis hierarki dikonfigurasi sebagai bagian dari Profil Keamanan yang sama, kedua kondisi tersebut harus dipenuhi. Dalam hal ini, pengguna hanya akan dapat mengelola pengguna yang termasuk dalam hierarki yang sama dan ditandai dengan tag yang diberikan.
Seorang pengguna dapat memiliki lebih dari dua profil keamanan, selama profil keamanan tambahan tersebut tidak memberlakukan kontrol akses granular. Jika beberapa profil keamanan hadir dengan izin sumber daya yang tumpang tindih, profil keamanan tanpa kontrol akses berbasis hierarki akan diberlakukan di atas profil dengan kontrol akses berbasis hierarki.
Peran terkait layanan diperlukan untuk mengonfigurasi kontrol akses berbasis hierarki. Jika instans Anda dibuat setelah Oktober 2018, instans ini akan tersedia secara default dengan instans Amazon Connect Anda. Namun, jika Anda memiliki instans yang lebih lama, lihat Gunakan peran terkait layanan untuk Amazon Connect untuk petunjuk cara mengaktifkan peran yang ditautkan layanan.
Praktik terbaik untuk menerapkan kontrol akses berbasis hierarki
Menerapkan kontrol akses berbasis hierarki adalah fitur konfigurasi lanjutan yang didukung oleh Amazon Connect dan mengikuti model tanggung jawab AWS bersama. Penting untuk memastikan bahwa Anda mengonfigurasi instans Anda dengan benar untuk memenuhi kebutuhan otorisasi yang Anda inginkan. Untuk informasi lebih lanjut, tinjau model tanggung jawab AWS bersama
Pastikan Anda telah mengaktifkan setidaknya izin tampilan untuk sumber daya yang Anda aktifkan kontrol akses berbasis hierarki. Ini akan memastikan bahwa Anda menghindari inkonsistensi izin yang mengakibatkan permintaan akses ditolak. Kontrol akses berbasis hierarki diaktifkan pada tingkat sumber daya, yang berarti bahwa setiap sumber daya dapat dibatasi secara independen. Penting untuk meninjau izin yang diberikan secara hati-hati saat kontrol akses berbasis hierarki diberlakukan. Misalnya, mengaktifkan hirarki akses terbatas ke pengguna dan melihat/mengedit profil keamanan izin, akan memungkinkan pengguna untuk membuat/memperbarui profil keamanan dengan hak istimewa yang menggantikan pengaturan kontrol akses pengguna yang dimaksud.
Saat masuk ke konsol Amazon Connect dengan kontrol akses berbasis hierarki yang diterapkan, pengguna tidak akan dapat mengakses log perubahan historis untuk sumber daya yang dibatasi.
Saat mencoba menetapkan sumber daya anak ke sumber daya induk dengan kontrol akses berbasis hierarki pada sumber daya anak, operasi akan ditolak jika sumber daya anak bukan milik hierarki Anda. Misalnya, jika Anda mencoba menetapkan User ke Quick Connect tetapi Anda tidak memiliki akses ke hierarki pengguna, operasi akan gagal. Namun ini tidak berlaku untuk disasosiasi. Anda akan dapat memisahkan pengguna secara bebas bahkan dengan kontrol akses berbasis hierarki yang diberlakukan dengan asumsi Anda memiliki akses ke Quick Connect. Ini karena disasosiasi adalah tentang membuang relasi yang ada (sebagai lawan dari asosiasi baru) antara dua sumber daya dan dimodelkan sebagai bagian dari sumber daya induk (dalam hal ini, Quick Connect), yang sudah dapat diakses pengguna. Dengan demikian ketika menegakkan kontrol akses berbasis hierarki pada sumber daya pengguna, penting untuk berhati-hati tentang izin yang diberikan pada sumber daya induk karena pengguna dapat dipisahkan tanpa sepengetahuan atasannya.
Sebagai praktik terbaik, Anda harus menonaktifkan akses ke sumber daya/modul berikut saat menerapkan kontrol akses berbasis hierarki dalam konsol Amazon Connect. Jika Anda tidak menonaktifkan akses ke sumber daya ini, pengguna dengan kontrol akses berbasis hierarki pada sumber daya tertentu yang melihat halaman ini mungkin melihat daftar pengguna yang tidak dibatasi. Untuk informasi selengkapnya tentang cara mengelola izin, lihat Daftar izin profil keamanan.
| Modul | Izin untuk menonaktifkan akses |
|---|---|
| Pencarian kontak | Pencarian kontak - Lihat |
| Perubahan historis/Portal Audit | Metrik akses - Akses |
| Metrik waktu nyata | Metrik waktu nyata - Akses |
| Metrik historis | Metrik historis - Akses |
| Login/Login out laporan | Login/Login out laporan - Lihat |
| Aturan | Aturan - Lihat |
| Laporan tersimpan | Laporan tersimpan - Lihat |
| Hirarki Agen | Agent Hierarchy - Lihat |
| Modul Aliran/Aliran | Modul aliran - Lihat |
| Penjadwalan | Manajer jadwal - Lihat |
