Tolak tindakan “hapus” dan “perbarui”Izinkan tindakan untuk integrasi dengan nama tertentu Izinkan “buat pengguna” tetapi tolak jika Anda ditugaskan ke profil keamanan tertentu Izinkan tindakan perekaman pada kontak Izinkan atau Tolak tindakan API antrian untuk nomor telepon di Wilayah replika Lihat AppIntegrations sumber daya Amazon tertentu Berikan akses ke Profil Pelanggan Amazon Connect Berikan akses read-only ke data Profil Pelanggan Kueri Amazon Q di Connect hanya untuk Asisten tertentu Berikan akses penuh ke Amazon Connect Voice ID Berikan akses ke sumber daya kampanye keluar Amazon Connect Batasi kemampuan untuk mencari pada transkrip yang dianalisis oleh Amazon Connect Contact Lens

Contoh kebijakan tingkat sumber daya Amazon Connect

Amazon Connect mendukung izin tingkat sumber daya untuk pengguna, sehingga Anda dapat menentukan tindakan untuk instans, seperti yang ditunjukkan dalam kebijakan berikut.

Daftar Isi

Tolak tindakan “hapus” dan “perbarui”
Izinkan tindakan untuk integrasi dengan nama tertentu
Izinkan “buat pengguna” tetapi tolak jika Anda ditugaskan ke profil keamanan tertentu
Izinkan tindakan perekaman pada kontak
Izinkan atau Tolak tindakan API antrian untuk nomor telepon di Wilayah replika
Lihat AppIntegrations sumber daya Amazon tertentu
Berikan akses ke Profil Pelanggan Amazon Connect
Berikan akses read-only ke data Profil Pelanggan
Kueri Amazon Q di Connect hanya untuk Asisten tertentu
Berikan akses penuh ke Amazon Connect Voice ID
Berikan akses ke sumber daya kampanye keluar Amazon Connect
Batasi kemampuan untuk mencari pada transkrip yang dianalisis oleh Amazon Connect Contact Lens

Tolak tindakan “hapus” dan “perbarui”

Kebijakan contoh berikut ini menyangkal tindakan “hapus” dan “perbarui” untuk pengguna dalam satu instance Amazon Connect. Ini menggunakan kartu liar di akhir ARN pengguna Amazon Connect sehingga “hapus pengguna” dan “perbarui pengguna” ditolak pada ARN pengguna penuh (yaitu, semua pengguna Amazon Connect dalam contoh yang disediakan, seperti arn:aws:connect:us-east- 1:123456789012: instance/00fbeee1-123e-111e-93e3-111111bfbfcc1/agen/00dtcddd1-123e-111e-93e3-111bfcc1 arn:aws:east-1:123456789012:instance/00fbeee1-123e-111e-93e3-111bfcc1/agent/00dtcdd1-123e3-111bfbfcc1).


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "connect:DeleteUser",
                "connect:UpdateUser*"
            ],
            "Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/*"
        }
    ]
}

Izinkan tindakan untuk integrasi dengan nama tertentu


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllAppIntegrationsActions",
            "Effect": "Allow",
            "Action": [
                "app-integrations:ListEventIntegrations",
                "app-integrations:CreateEventIntegration",
                "app-integrations:GetEventIntegration",
                "app-integrations:UpdateEventIntegration",
                "app-integartions:DeleteEventIntegration"
            ],
"Resource":"arn:aws:appintegrations:*:*:event-integration/MyNamePrefix-*"
	}
    ]
}

Izinkan “buat pengguna” tetapi tolak jika Anda ditugaskan ke profil keamanan tertentu

Kebijakan contoh berikut memungkinkan “buat pengguna” tetapi secara eksplisit menyangkal menggunakan arn:aws:connect:us-west- 2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17 sebagai parameter untuk keamanan profil dalam permintaan. CreateUser


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",        
            "Action": [
                "connect:CreateUser"
             ],
            "Resource": "*",
        },
        {
            "Effect": "Deny",
            "Action": [
                "connect:CreateUser"
             ],
            "Resource": "arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc17/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17",
        } 
    ]
}

Izinkan tindakan perekaman pada kontak

Kebijakan sampel berikut memungkinkan “mulai perekaman kontak” pada kontak dalam contoh tertentu. Karena Contactid bersifat dinamis, * digunakan.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
          "connect:StartContactRecording"
      ],
      "Resource": "arn:aws:connect:us-west-2:accountID:instance/instanceId/contact/*",
      "Effect": "Allow"
    }
  ]
}

Siapkan hubungan tepercaya dengan AccountID.

Tindakan berikut ditentukan untuk API perekaman:

“sambungkan: StartContact Merekam”
“sambungkan: StopContact Merekam”
“sambungkan: SuspendContact Merekam”
“sambungkan: ResumeContact Merekam”

Izinkan lebih banyak tindakan kontak dalam peran yang sama

Jika peran yang sama digunakan untuk memanggil API kontak lain, Anda dapat mencantumkan tindakan kontak berikut:

GetContactAtribut
ListContactArus
StartChatKontak
StartOutboundVoiceContact
StopContact
UpdateContactAtribut

Atau gunakan wildcard untuk mengizinkan semua tindakan kontak, misalnya: “connect: *”

Izinkan lebih banyak sumber daya

Anda juga dapat menggunakan wildcard untuk memungkinkan lebih banyak sumber daya. Misalnya, berikut cara mengizinkan semua tindakan menghubungkan pada semua sumber daya kontak:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "connect:*"
            ],
            "Resource": "arn:aws:connect:us-west-2:accountID:instance/*/contact/*",
            "Effect": "Allow"
        }
    ]
}

Izinkan atau Tolak tindakan API antrian untuk nomor telepon di Wilayah replika

API CreateQueueand UpdateQueueOutboundCallerConfig berisi kolom input bernama. OutboundCallerIdNumberId Bidang ini mewakili sumber daya nomor telepon yang dapat diklaim ke grup distribusi lalu lintas. Ini mendukung format ARN nomor telepon V1 yang dikembalikan oleh Numbers dan format V2 ARN yang dikembalikan ListPhoneoleh NumberSV2. ListPhone

Berikut ini adalah format OutboundCallerIdNumberId ARN V1 dan V2 yang mendukung:

Format V1 ARN: arn:aws:connect:your-region:your-account_id:instance/instance_id/phone-number/resource_id
Format V2 ARN: arn:aws:connect:your-region:your-account_id:phone-number/resource_id

catatan

Kami merekomendasikan menggunakan format V2 ARN. Format V1 ARN akan usang di masa mendatang.

Menyediakan kedua format ARN untuk sumber daya nomor telepon di Wilayah replika

Jika nomor telepon diklaim ke grup distribusi lalu lintas, untuk mengizinkan/menolak akses dengan benar ke tindakan API antrian untuk sumber daya nomor telepon saat beroperasi di Wilayah replika, Anda harus menyediakan sumber daya nomor telepon dalam format ARN V1 dan V2. Jika Anda memberikan sumber daya nomor telepon hanya dalam satu format ARN, itu tidak menghasilkan perilaku izin/tolak yang benar saat beroperasi di Wilayah replika.

Contoh 1: Tolak akses ke CreateQueue

Misalnya, Anda beroperasi di replika Region us-west-2 dengan akun dan instance. 123456789012 aaaaaaaa-bbbb-cccc-dddd-0123456789012 Anda ingin menolak akses ke CreateQueueAPI jika OutboundCallerIdNumberId nilainya adalah nomor telepon yang diklaim ke grup distribusi lalu lintas dengan ID sumber dayaaaaaaaaa-eeee-ffff-gggg-0123456789012. Dalam skenario ini Anda harus menggunakan kebijakan berikut:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyCreateQueueForSpecificNumber",
            "Effect": "Deny",
            "Action": "connect:CreateQueue",
            "Resource": [
                "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
                "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
            ]
        }
    ]
}

Dimana us-west-2 adalah Wilayah tempat permintaan dibuat.

Contoh 2: Hanya izinkan akses ke UpdateQueueOutboundCallerConfig

Misalnya, Anda beroperasi di replika Region us-west-2 dengan akun dan instance. 123456789012 aaaaaaaa-bbbb-cccc-dddd-0123456789012 Anda hanya ingin mengizinkan akses ke UpdateQueueOutboundCallerConfig API jika OutboundCallerIdNumberId nilainya adalah nomor telepon yang diklaim ke grup distribusi lalu lintas dengan ID sumber daya. aaaaaaaa-eeee-ffff-gggg-0123456789012 Dalam skenario ini Anda harus menggunakan kebijakan berikut:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OnlyAllowUpdateQueueOutboundCallerConfigForSpecificNumber",
            "Effect": "Allow",
            "Action": "connect:UpdateQueueOutboundCallerConfig",
            "Resource": [
                "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
                "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
            ]
        }
    ]
}

Lihat AppIntegrations sumber daya Amazon tertentu

Kebijakan sampel berikut memungkinkan integrasi peristiwa tertentu untuk diambil.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "app-integrations:GetEventIntegration"
            ],
            "Resource": "arn:aws:app-integrations:us-west-2:accountID:event-integration/Name"
        }
    ]
}

Berikan akses ke Profil Pelanggan Amazon Connect

Profil Pelanggan Amazon Connect digunakan profile sebagai awalan untuk tindakan, bukan. connect Kebijakan berikut memberikan akses penuh ke domain tertentu di Profil Pelanggan Amazon Connect.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
          "profile:*"
      ],
      "Resource": "arn:aws:profile:us-west-2:accountID:domains/domainName",
      "Effect": "Allow"
    }
  ]
}

Siapkan hubungan tepercaya dengan AccountID ke domain domainName.

Berikan akses read-only ke data Profil Pelanggan

Berikut ini adalah contoh untuk memberikan akses baca ke data di Amazon Connect Customer Profiles.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "profile:SearchProfiles",
                "profile:ListObjects"
            ],
            "Resource": "arn:aws:profile:us-west-2:accountID:domains/domainName",
            "Effect": "Allow"
        }
    ]
}

Kueri Amazon Q di Connect hanya untuk Asisten tertentu

Kebijakan contoh berikut memungkinkan kueri hanya Asisten tertentu.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wisdom:QueryAssistant "
            ],
            "Resource": "arn:aws:wisdom:us-west-2:accountID:assistant/assistantID"
        }
    ]
}

Berikan akses penuh ke Amazon Connect Voice ID

Amazon Connect Voice ID digunakan voiceid sebagai awalan untuk tindakan, bukan menghubungkan. Kebijakan berikut memberikan akses penuh ke domain tertentu di ID Suara Amazon Connect:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
          "voiceid:*"
      ],
      "Resource": "arn:aws:voiceid:us-west-2:accountID:domain/domainName",
      "Effect": "Allow"
    }
  ]
}

Siapkan hubungan tepercaya dengan AccountID ke domain domainName.

Berikan akses ke sumber daya kampanye keluar Amazon Connect

Kampanye keluar digunakan connect-campaign sebagai awalan untuk tindakan, bukan. connect Kebijakan berikut memberikan akses penuh ke kampanye keluar tertentu.


{
    "Sid": "AllowConnectCampaignsOperations",
    "Effect": "Allow",
    "Action": [
        "connect-campaigns:DeleteCampaign",
        "connect-campaigns:DescribeCampaign",
        "connect-campaigns:UpdateCampaignName",
        "connect-campaigns:GetCampaignState"
        "connect-campaigns:UpdateOutboundCallConfig",
        "connect-campaigns:UpdateDialerConfig",
        "connect-campaigns:PauseCampaign",
        "connect-campaigns:ResumeCampaign",
        "connect-campaigns:StopCampaign"
    ],
    "Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId",
    }

Batasi kemampuan untuk mencari pada transkrip yang dianalisis oleh Amazon Connect Contact Lens

Kebijakan berikut memungkinkan pencarian dan deskripsikan kontak, tetapi menolak mencari kontak menggunakan transkrip yang dianalisis oleh Amazon Connect Contact Lens.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:DescribeContact"
            ],
            "Resource": "arn:aws:connect:region:account-id:instance/instance-id/contact/*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "connect:SearchContacts"
            ],
            "Resource": "arn:aws:connect:region:account-id:instance/instance-id"
        },
        {
            "Sid": "VisualEditor2",
            "Effect": "Deny",
            "Action": [
                "connect:SearchContacts"
            ],
            "Resource": "arn:aws:connect:region:account-id:instance/instance-id",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "connect:SearchContactsByContactAnalysis": [
                        "Transcript"
                    ]
                }
            }
        }
    ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Contoh kebijakan berbasis identitas

AWS kebijakan terkelola