Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controllo degli accessi alla gerarchia (anteprima)
| Si tratta di una documentazione di pre-rilascio di un servizio in versione di anteprima ed è soggetta a modifiche. |
È possibile limitare l'accesso ai contatti in base alla gerarchia di agenti assegnata a un utente. Ciò si ottiene utilizzando autorizzazioni come Restrict Contact Access. Oltre a queste autorizzazioni, le gerarchie possono essere utilizzate anche per applicare controlli di accesso granulari per le risorse, come gli utenti, insieme ai tag. Il resto di questa pagina contiene dettagli aggiuntivi sulla configurazione dei controlli di accesso basati sulla gerarchia (attualmente in anteprima).
Contesto
Il controllo degli accessi basato sulla gerarchia consente di configurare l'accesso granulare a risorse specifiche in base alla gerarchia degli agenti assegnata a un utente. Puoi configurare controlli di accesso basati sulla gerarchia utilizzando l'API/SDK o all'interno della console Amazon Connect per le risorse supportate.
Attualmente, l'unica risorsa che supporta il controllo degli accessi basato sulla gerarchia è Users. Questo modello di autorizzazione funziona in combinazione con il controllo degli accessi basato su tag e consente di limitare l'accesso agli utenti, in modo che possano vedere solo gli altri utenti che appartengono al loro gruppo gerarchico e a cui sono associati tag specifici.
Controllo degli accessi basato sulla gerarchia tramite API/SDK
Per utilizzare le gerarchie per controllare l'accesso alle risorse all'interno AWS
degli account, è necessario fornire le informazioni della gerarchia nell'elemento condition di una policy IAM. Ad esempio, per controllare l'accesso a un utente appartenente a una gerarchia specifica, utilizza la chiave connect:HierarchyGroupL3Id/hierarchyGroupId condition, insieme a un operatore specifico come StringEquals per specificare a quale gruppo gerarchico deve appartenere l'utente, in modo da consentirgli determinate azioni. Le chiavi di condizione supportate sono:
-
connessione: HierarchyGroup L1Id/ hierarchyGroupId
-
connect:HierarchyGroupL2Id/hierarchyGroupId -
connect:HierarchyGroupL3Id/hierarchyGroupId -
connect:HierarchyGroupL4Id/hierarchyGroupId -
connect:HierarchyGroupL5Id/hierarchyGroupId
Ciascuno rappresenta l'id di un determinato gruppo gerarchico in un livello specifico della struttura gerarchica dell'utente.
Per informazioni più dettagliate sul controllo degli accessi basato sulla gerarchia, consulta Controlling access to AWS resources using tags nella IAM User Guide.
Controllo degli accessi basato sulla gerarchia tramite la console Amazon Connect
Per utilizzare le gerarchie per controllare l'accesso alle risorse all'interno del sito Web di amministrazione della tua istanza Amazon Connect, devi configurare la sezione di controllo degli accessi all'interno di un determinato profilo di sicurezza. Ad esempio, per abilitare l'accesso granulare al controllo degli accessi per un determinato utente in base alla gerarchia a cui appartiene, è necessario configurare l'utente come risorsa ad accesso controllato. In questo caso, avrai due opzioni:
-
Applica il controllo degli accessi basato sulla gerarchia in base alla gerarchia dell'utente: ciò garantirà che l'utente a cui viene concesso l'accesso possa gestire solo gli utenti che appartengono alla sua gerarchia. Ad esempio, l'abilitazione di questa configurazione per un determinato utente consentirà loro di gestire altri utenti che appartengono al proprio gruppo gerarchico o a un gruppo gerarchico figlio. Ciò garantirà che l'utente a cui viene concesso l'accesso possa gestire solo gli utenti che appartengono alla sua gerarchia. Ad esempio, l'attivazione di questa configurazione per un supervisore consentirà loro di gestire altri utenti che appartengono al proprio gruppo gerarchico o a un gruppo gerarchico figlio.
-
Applica il controllo degli accessi basato sulla gerarchia in base a una gerarchia specifica: ciò garantirà che l'utente a cui viene concesso l'accesso possa gestire solo gli utenti che appartengono alla gerarchia definita nel profilo di sicurezza. Ad esempio, l'abilitazione di questa configurazione per un determinato utente consentirà loro di gestire altri utenti che appartengono al gruppo gerarchico specificato nel profilo di sicurezza o a un gruppo gerarchico figlio.
Limitazioni di configurazione
Il controllo granulare degli accessi è configurato su un profilo di sicurezza. Agli utenti possono essere assegnati un massimo di due profili di sicurezza che applicano il controllo granulare degli accessi. In questo caso, le autorizzazioni diventeranno meno restrittive e agiranno come un'unione di entrambi i set di autorizzazioni. Ad esempio, se un profilo di sicurezza applica il controllo degli accessi basato sulla gerarchia e un altro impone il controllo degli accessi basato su tag, l'utente sarà in grado di gestire qualsiasi utente appartenente alla stessa gerarchia o contrassegnato con il tag specificato. Se sia il controllo degli accessi basato su tag che quello basato sulla gerarchia sono configurati come parte dello stesso profilo di sicurezza, entrambe le condizioni dovranno essere soddisfatte. In questo caso, l'utente sarà in grado di gestire solo gli utenti che appartengono alla stessa gerarchia e sono contrassegnati con un determinato tag.
Un utente può avere più di due profili di sicurezza, purché tali profili di sicurezza aggiuntivi non impongano un controllo granulare degli accessi. Se sono presenti più profili di sicurezza con autorizzazioni di risorse sovrapposte, il profilo di sicurezza senza controllo degli accessi basato sulla gerarchia verrà applicato rispetto a quello con controllo degli accessi basato sulla gerarchia.
I ruoli collegati al servizio sono necessari per configurare il controllo degli accessi basato sulla gerarchia. Se l'istanza è stata creata dopo ottobre 2018, questi ruoli sono già disponibili per impostazione predefinita con l'istanza Amazon Connect. Tuttavia, se disponi di un'istanza precedente, consulta Usa ruoli collegati ai servizi per Amazon Connect per istruzioni su come abilitare i ruoli collegati al servizio.
Le migliori pratiche per applicare i controlli di accesso basati sulla gerarchia
L'applicazione del controllo degli accessi basato sulla gerarchia è una funzionalità di configurazione avanzata supportata da Amazon Connect e che segue il modello di responsabilità AWS condivisa. È importante verificare di configurare correttamente l'istanza in modo da soddisfare le esigenze di autorizzazione desiderate. Per ulteriori informazioni, consulta il modello di responsabilità AWS condivisa
Assicurati di aver abilitato almeno le autorizzazioni di visualizzazione per le risorse per le quali abiliti il controllo degli accessi basato sulla gerarchia. In questo modo, eviterai incoerenze nelle autorizzazioni, che possono provocare il rifiuto delle richieste di accesso. I controlli di accesso basati sulla gerarchia sono abilitati a livello di risorsa, il che significa che ogni risorsa può essere limitata in modo indipendente. È importante esaminare attentamente le autorizzazioni concesse quando viene applicato il controllo degli accessi basato sulla gerarchia. Ad esempio, l'attivazione dell'accesso limitato gerarchico agli utenti e la visualizzazione/modifica dei profili di sicurezza delle autorizzazioni consentirebbe a un utente di creare/aggiornare un profilo di sicurezza con privilegi che sostituiscono le impostazioni di controllo dell'accesso utente previste.
Quando accedono alla console Amazon Connect con controlli di accesso basati sulla gerarchia, gli utenti non saranno in grado di accedere ai log delle modifiche cronologiche per le risorse a cui sono limitati.
Quando si tenta di assegnare una risorsa figlia a una risorsa principale con un controllo di accesso basato sulla gerarchia sulla risorsa figlia, l'operazione verrà negata se la risorsa figlia non appartiene alla gerarchia. Ad esempio, se si tenta di assegnare un utente a un Quick Connect ma non si ha accesso alla gerarchia degli utenti, l'operazione avrà esito negativo. Questo non è tuttavia vero per le disassociazioni. Saresti in grado di dissociare un utente liberamente anche con il controllo degli accessi basato sulla gerarchia, supponendo che tu abbia accesso a Quick Connect. Questo perché le disassociazioni consistono nell'eliminare una relazione esistente (al contrario delle nuove associazioni) tra due risorse e sono modellate come parte della risorsa principale (in questo caso, Quick Connect), a cui l'utente ha già accesso. Pertanto, quando si impone il controllo degli accessi basato sulla gerarchia su una risorsa utente, è importante prestare attenzione alle autorizzazioni concesse alle risorse principali poiché un utente potrebbe essere dissociato all'insaputa del suo supervisore.
Come best practice, dovresti disabilitare l'accesso alle seguenti risorse/moduli quando applichi controlli di accesso basati sulla gerarchia all'interno della console Amazon Connect. Se non disabiliti l'accesso a queste risorse, gli utenti con controlli di accesso basati sulla gerarchia su una particolare risorsa che visualizzano queste pagine potrebbero visualizzare un elenco illimitato di utenti. Per ulteriori informazioni su come gestire le autorizzazioni, consulta Elenco delle autorizzazioni dei profili di sicurezza.
| Modules | Autorizzazione per disabilitare l'accesso |
|---|---|
| Ricerca contatti | Ricerca contatti - Visualizza |
| Modifiche storiche/Portale audit | Parametri di accesso - Accesso |
| Parametri in tempo reale | Metriche in tempo reale - Access |
| Parametri storici | Metriche storiche - Access |
| Report Login/Logout | Rapporto di accesso/uscita - Visualizza |
| Regolamento | Regole – Visualizza |
| Report salvati. | Report salvati – Visualizza |
| Gerarchia degli agenti | Gerarchia degli agenti - Visualizza |
| Flusso/Modulo di flusso | Moduli di flusso – Visualizza |
| Pianificazione | Gestore pianificazione – Visualizza |
