Imposta le restrizioni degli indirizzi IP e i timeout delle sessioni - Amazon Connect
Configura gli intervalli di indirizzi IP e la durata delle sessioniConfigurare il controllo degli accessi basato su IPEsempi di configurazioni di indirizzi IPConfigura la durata della sessione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Imposta le restrizioni degli indirizzi IP e i timeout delle sessioni

Nota

Questa funzionalità è disponibile in anteprima ed è soggetta a modifiche. Per accedere a questa funzionalità, contatta il tuo Amazon Connect Solutions Architect, Technical Account Manager o AWS Support.

Per bloccare ulteriormente il contact center, ad esempio per conformarsi ai requisiti e alle normative del settore, puoi impostare restrizioni relative agli indirizzi IP e timeout delle sessioni.

  • Le restrizioni relative agli indirizzi IP richiedono agli agenti di accedere solo dal tuo VPN o di bloccare l'accesso da paesi o sottoreti specifici.

  • I timeout delle sessioni richiedono agli agenti di accedere nuovamente ad Amazon Connect.

In Amazon Connect configuri un profilo di autenticazione per impostare le restrizioni degli indirizzi IP e la durata delle sessioni degli agenti che hanno effettuato l'accesso. Un profilo di autenticazione è una risorsa che memorizza le impostazioni di autenticazione per gli utenti del tuo contact center.

Configura gli intervalli di indirizzi IP e la durata delle sessioni

La tua istanza Amazon Connect include un profilo di autenticazione predefinito. Questo profilo di autenticazione si applica automaticamente a tutti gli utenti del tuo contact center. Non è necessario assegnare il profilo di autenticazione agli utenti per applicarlo.

Per configurare il profilo di autenticazione predefinito, utilizzare i seguenti AWS SDK comandi.

Suggerimento

È necessario l'ID dell'istanza Amazon Connect per eseguire questi comandi. Per istruzioni su come individuare l'ID dell'istanza, consultaTrova l'ID della tua istanza Amazon Connect/ ARN.

  1. Elenca i profili di autenticazione della tua istanza per ottenere l'ID del profilo di autenticazione che desideri aggiornare. Puoi chiamare ListAuthenticationProfileAPIo eseguire il list-authentication-profiles CLI comando.

    Di seguito è riportato un list-authentication-profiles comando di esempio:

    aws connect list-authentication-profiles --instance-id your-instance-id

    Di seguito è riportato un esempio del profilo di autenticazione predefinito restituito dal list-authentication-profiles comando.

    {
    "AuthenticationProfileSummaryList": [
        {
        "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
        "Id": "profile-id",
        "IsDefault": true,
        "LastModifiedRegion": "us-west-2",
        "LastModifiedTime": 1.719249173664E9,
        "Name": "Default Authentication Profile"
        }
    ],
    "NextToken": null
}

  2. Visualizza la configurazione del profilo di autenticazione che desideri aggiornare. Puoi chiamare DescribeAuthenticationProfileo eseguire il describe-authentication-profile CLI comando o.

    Di seguito è riportato un describe-authentication-profile comando di esempio:

    aws connect describe-authentication-profile --instance-id your-instance-id --profile-id profile-id

    Di seguito è riportato un esempio delle informazioni restituite dal describe-authentication-profile comando.

    {
    "AuthenticationProfile": {
    "AllowedIps": [],
    "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
    "BlockedIps": [],
    "CreatedTime": 1.718999177811E9,
    "Description": "A basic default Authentication Profile",
    "Id": "profile-id",
    "IsDefault": true,
    "LastModifiedRegion": "us-west-2",
    "LastModifiedTime": 1.719249173664E9,
    "MaxSessionDuration": 720,
    "Name": "Default Authentication Profile",
    "PeriodicSessionDuration": 60
    }
}

    Per una descrizione di ogni campo, consulta AuthenticationProfileAmazon Connect API Reference.

  3. Configura il profilo di autenticazione utilizzando il update-authentication-profile CLI comando UpdateAuthenticationProfileAPIo. Tutti i campi tranne InstanceId e ProfileId sono facoltativi. Vengono modificate solo le impostazioni definite API durante la chiamata.

    Di seguito è riportato un update-authentication-profile comando di esempio. Configura il profilo di autenticazione predefinito che viene assegnato automaticamente a tutti gli utenti. Consente alcuni indirizzi IP, ne blocca altri e imposta la durata della sessione periodica su 60 minuti.

    aws connect update-authentication-profile 
    --instance-id your-instance-id 
    --profile-id profile-id
    --name "Default Authentication Profile"
    --description "A basic default Authentication Profile"
    --allowed-ips "ip-range-1" "ip-range-2" ...
    --blocked-ips "ip-range-3" "ip-range-4" ...
    --periodic-session-duration 60

Configura il controllo degli accessi basato su IP

Se desideri configurare l'accesso al tuo contact center in base agli indirizzi IP, puoi utilizzare la funzionalità di controllo degli accessi basata su IP del tuo profilo di autenticazione.

Esistono due tipi di configurazioni IP che è possibile configurare in un profilo di autenticazione: intervalli di indirizzi IP consentiti e intervalli di indirizzi IP bloccati. I seguenti punti descrivono come funziona il controllo degli accessi basato su IP.

  • Gli indirizzi IP possono essere in entrambi IPV4 i IPV6 formati.

  • È possibile definire sia singoli indirizzi IP che intervalli di indirizzi IP in CIDR notazione.

  • Le configurazioni IP bloccate hanno sempre la precedenza.

  • Se gli indirizzi IP sono definiti nell'elenco IP consentiti, sono consentiti solo tali indirizzi IP.

    • Questi indirizzi IP possono essere delimitati dall'elenco degli IP bloccati.

  • Se vengono definiti solo indirizzi IP bloccati, qualsiasi indirizzo IP può accedere all'istanza, ad eccezione di quelli definiti nell'elenco di blocco.

  • Se gli indirizzi IP sono definiti sia negli elenchi di indirizzi IP consentiti che in quelli bloccati, sono consentiti solo gli indirizzi IP definiti nell'intervallo consentito, meno gli indirizzi IP nell'intervallo bloccato.

Nota

Il controllo degli accessi basato sull'indirizzo IP non si applica all'accesso amministrativo di emergenza. Per applicare restrizioni a questo utente, puoi applicare SourceIp restrizioni nelle tue IAM politiche per APIconnect:AdminGetEmergencyAccessToken.

Quando si determina che l'indirizzo IP di un utente è bloccato dall'istanza, la sessione dell'utente verrà invalidata. Un evento di logout viene pubblicato nel rapporto Login/Logout.

Cosa sperimentano gli utenti quando il controllo del loro indirizzo IP fallisce

Agents (Agenti)

Quando un agente è attivo nel Pannello di controllo dei contatti (CCP), il suo indirizzo IP viene controllato periodicamente. La frequenza con cui Amazon Connect controlla l'indirizzo IP dipende da come hai configurato la durata della sessione periodica del profilo di autenticazione.

Di seguito è riportato cosa succede se l'indirizzo IP non supera il controllo:

  • Se l'agente non è impegnato in una chiamata attiva, viene disconnesso se il suo indirizzo IP diventa un indirizzo non consentito.

  • Se l'agente è impegnato in una chiamata attiva, la sessione dell'agente viene invalidata, tuttavia ciò termina la chiamata attualmente attiva. Ecco che cosa succede:

    1. L'agente perde la capacità di intraprendere qualsiasi azione, ad esempio modificare lo stato dell'agente, trasferire chiamate, mettere la chiamata in attesa, terminare la chiamata o creare un caso.

    2. L'agente viene informato che la sua capacità di intervenire in CCP è limitata.

    3. Se effettua l'accesso con successo dopo l'annullamento della sessione, viene reinserito nella chiamata attiva e può intervenire nuovamente.

Amministratori e utenti che utilizzano il sito Web di amministrazione Amazon Connect

Quando il controllo dell'indirizzo IP non riesce e gli amministratori e gli altri utenti eseguono azioni sul sito Web di Amazon Connect amministrazione, ad esempio salvando gli aggiornamenti delle risorse o effettuando chiamate attive, vengono automaticamente disconnessi.

Esempi di configurazioni di indirizzi IP

Esempio 1: indirizzi IP definiti solo nell'elenco degli IP consentiti

  • AllowedIps: [ 111.222.0.0/16 ]

  • BlockedIps: [ ]

Risultato:

  • Solo gli indirizzi IP compresi tra 111.222.0.0 e 111.222.255.255 possono accedere all'istanza.

Esempio 2: indirizzi IP definiti solo nell'elenco degli IP bloccati

  • AllowedIps: [ ]

  • BlockedIps: [155.155.155.0/24 ]

Risultato:

  • Sono consentiti tutti gli indirizzi IP, ad eccezione dell'intervallo di indirizzi IP 155.155.155.0 - 155.155.155.255 incluso.

Esempio 3: indirizzi IP definiti sia nell'elenco degli IP consentiti che nell'elenco degli IP bloccati

  • AllowedIps: [ 200.255.0.0/16 ]

  • BlockedIps: [200.255.10.0/24, 200.255.40.50, 192.123.211.211 ]

Risultato:

  • Gli indirizzi IP intermedi 200.255.0.0 - 200.255.255.255 sono consentiti, meno. (200.255.10.0 - 200.255.10.255 AND 200.255.40.50)

  • In effetti, 200.255.0.0 - 200.255.9.255, 200.255.11.0 - 200.255.40.49, 200.255.40.51 - 200.255.255.255 sono consentiti.

  • 192.123.211.211viene effettivamente ignorato poiché non rientra nell'intervallo consentito.

Esempio 4: nessun indirizzo IP definito nell'elenco degli IP consentiti o nell'elenco degli IP bloccati

  • AllowedIps: [ ]

  • BlockedIps: [ ]

In questo caso, non ci sono restrizioni.

Importante

L'allowedIpselenco definisce l'intervallo di possibilità IPs consentito nel contact center solo se non è vuoto. Se è vuoto, qualsiasi indirizzo IP può accedere al contact center a meno che non sia esplicitamente bloccato dall'blockedIpselenco.

Configura la durata della sessione

È possibile ottimizzare la durata della sessione periodica in base alle preferenze e ai requisiti di sicurezza dell'organizzazione. Ad esempio, è possibile impostare la durata della sessione periodica su 20 minuti in modo che l'indirizzo IP e la durata della sessione dell'agente vengano controllati entro un periodo di 20 minuti nel. CCP

Amazon Connect utilizza un modello di autenticazione basato su token. Esistono due timeout di sessione che si applicano alle sessioni utente nel tuo contact center:

  • Durata periodica della sessione: il periodo di tempo massimo prima che un utente del contact center venga autenticato. Impostazione predefinita = 60 minuti. Questa opzione può essere configurata con un valore diverso compreso tra 10 e 60.

    Nota

    Sebbene questa impostazione definisca l'intervallo di tempo massimo che può trascorrere prima che un utente venga autenticato, l'autenticazione può avvenire prima in situazioni specifiche. Ad esempio, nel sito Web di Amazon Connect amministrazione, l'autenticazione avviene anche ogni volta che vengono eseguite determinate azioni, come la creazione di un utente o la modifica di un profilo di sicurezza.

  • Durata massima della sessione: il periodo di tempo massimo in cui un utente del contact center può accedere prima di essere costretto ad accedere nuovamente. Impostazione predefinita = 12 ore; non può essere configurato con un valore diverso.