Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS
Esempi di policy a livello di risorsa Amazon Connect - Amazon Connect
Negare tutte le azioni su un'istanza Amazon ConnectNegare le operazioni "elimina" e "aggiorna"Consentire azioni per le integrazioni con nomi specificiConsentire "crea utenti" ma negare se assegnati a un profilo di sicurezza specificoConsentire la registrazione di azioni su un contattoConsentire o negare le azioni API della coda per i numeri di telefono in una regione di replicaVisualizza AppIntegrations risorse Amazon specificheConcedere l'accesso a Profili cliente Amazon ConnectConcedere l'accesso in sola lettura ai dati di Profili clienteEsecuzione di query su Amazon Q in Connect solo per un assistente specificoConcedere l'accesso completo ad Amazon Connect Voice IDConcedere l'accesso alle risorse delle Campagne Amazon Connect in uscitaLimita la possibilità di cercare tra le trascrizioni analizzate da Amazon Connect Contact Lens

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di policy a livello di risorsa Amazon Connect

PDFRSS

Amazon Connect supporta le autorizzazioni a livello di risorsa per gli utenti, pertanto è possibile specificare le loro azioni per un'istanza, come illustrato nelle policy seguenti.

Negare tutte le azioni su un'istanza Amazon Connect

Un'istanza Amazon Connect è la risorsa di primo livello all'interno di Amazon Connect. Tutte le altre risorse secondarie vengono create all'interno del suo ambito. Per negare tutte le azioni su tutte le risorse all'interno di un'istanza Amazon Connect, puoi utilizzare uno dei seguenti metodi:

  • Usa le chiavi connect:instanceId contestuali.

  • Utilizza l'ARN dell'istanza seguito da un carattere jolly (*).

La seguente policy di esempio nega tutte le azioni di connessione per l'istanza con InstanceID 00fbeee1-123e-111e-93e3-11111bfbfcc1.

{
"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "connect:*"
            ],
            "Resource": "*"
        },
        "Condition": {
            "StringEquals": {
                "connect:instanceId": "00fbeee1-123e-111e-93e3-11111bfbfcc1"
            }
        }
    ]
}

In alternativa, puoi negare tutte le azioni specificando l'ARN dell'istanza seguito da un carattere jolly (*). La seguente policy di esempio nega tutte le azioni di connessione per l'istanza con l'ARN dell'istanza. arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1 

{
"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "connect:*"
            ],
            "Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1*"
        }
    ]
}

Negare le operazioni "elimina" e "aggiorna"

La seguente policy di esempio nega le azioni "elimina" e "aggiorna" per gli utenti in un'istanza Amazon Connect. Viene utilizzato un carattere jolly alla fine dell'ARN dell'utente Amazon Connect in modo che "elimina utente" e "aggiorna utente" vengano negati per l'ARN dell'utente completo (ovvero tutti gli utenti Amazon Connect nell'istanza fornita, ad esempio arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/00dtcddd1-123e-111e-93e3-11111bfbfcc1).

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "connect:DeleteUser",
                "connect:UpdateUser*"
            ],
            "Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/*"
        }
    ]
}

Consentire azioni per le integrazioni con nomi specifici

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllAppIntegrationsActions",
            "Effect": "Allow",
            "Action": [
                "app-integrations:ListEventIntegrations",
                "app-integrations:CreateEventIntegration",
                "app-integrations:GetEventIntegration",
                "app-integrations:UpdateEventIntegration",
                "app-integartions:DeleteEventIntegration"
            ],
"Resource":"arn:aws:appintegrations:*:*:event-integration/MyNamePrefix-*"
	}
    ]
}

Consentire "crea utenti" ma negare se assegnati a un profilo di sicurezza specifico

La seguente politica di esempio consente di «creare utenti» ma nega esplicitamente l'utilizzo di arn:aws:connect:us-west- 2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17 come parametro per il profilo di sicurezza in richiesta. CreateUser

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",        
            "Action": [
                "connect:CreateUser"
             ],
            "Resource": "*",
        },
        {
            "Effect": "Deny",
            "Action": [
                "connect:CreateUser"
             ],
            "Resource": "arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc17/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17",
        } 
    ]
}

Consentire la registrazione di azioni su un contatto

La seguente policy di esempio consente l'operazione “avvia la registrazione del contatto” su un contatto in un'istanza specifica. Poiché ContactID è un valore dinamico, viene utilizzato *.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
          "connect:StartContactRecording"
      ],
      "Resource": "arn:aws:connect:us-west-2:accountID:instance/instanceId/contact/*",
      "Effect": "Allow"
    }
  ]
}

Imposta una relazione attendibile con AccountID.

Le seguenti azioni sono definite per la registrazione APIs:

  • «connettereStartContactRecording»:

  • «connettere:StopContactRecording»

  • «connettere:SuspendContactRecording»

  • «connettere:ResumeContactRecording»

Consentire più azioni di contatto nello stesso ruolo

Se lo stesso ruolo viene utilizzato per chiamare altri contatti APIs, puoi elencare le seguenti azioni di contatto:

  • GetContactAttributes

  • ListContactFlows

  • StartChatContact

  • StartOutboundVoiceContact

  • StopContact

  • UpdateContactAttributes

Oppure utilizza un carattere jolly per consentire tutte le azioni di contatto, ad esempio: "connect:*"

Consentire più risorse

Puoi utilizzare un carattere jolly anche per consentire l'utilizzo di più risorse. Ad esempio, puoi consentire tutte le azioni di connessione su tutte le risorse di contatto in questo modo:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "connect:*"
            ],
            "Resource": "arn:aws:connect:us-west-2:accountID:instance/*/contact/*",
            "Effect": "Allow"
        }
    ]
}

Consentire o negare le azioni API della coda per i numeri di telefono in una regione di replica

Gli CreateQueuee UpdateQueueOutboundCallerConfig APIs contengono un campo di input denominatoOutboundCallerIdNumberId. Questo campo rappresenta una risorsa di numeri di telefono che può essere richiesta a un gruppo di distribuzione del traffico. Supporta sia il formato ARN del numero di telefono V1 restituito ListPhoneNumbersda sia il formato ARN V2 restituito da V2. ListPhoneNumbers

Di seguito sono riportati i formati ARN V1 e V2 supportati da OutboundCallerIdNumberId:

  • Formato ARN V1: arn:aws:connect:your-region:your-account_id:instance/instance_id/phone-number/resource_id

  • Formato ARN V2: arn:aws:connect:your-region:your-account_id:phone-number/resource_id

Nota

È consigliabile utilizzare il formato ARN V2. Il formato ARN V1 diventerà obsoleto nelle prossime settimane.

Fornire entrambi i formati ARN per le risorse dei numeri di telefono nella regione di replica

Se viene richiesto il numero di telefono a un gruppo di distribuzione del traffico, per consentire/rifiutare correttamente l'accesso alle azioni API della coda per le risorse dei numeri di telefono nella regione di replica, è necessario fornire la risorsa del numero di telefono nei formati ARN V1 e V2. Se si fornisce la risorsa del numero di telefono in un solo formato ARN, non si otterrà il comportamento consenti/rifiuta corretto nella regione di replica.

Esempio 1: negare l'accesso a CreateQueue

Ad esempio, stai operando nella regione di replica us-west-2 con l'account 123456789012 e l'istanza aaaaaaaa-bbbb-cccc-dddd-0123456789012. Si desidera negare l'accesso all'CreateQueueAPI quando il OutboundCallerIdNumberId valore è un numero di telefono dichiarato a un gruppo di distribuzione del traffico con ID di risorsa. aaaaaaaa-eeee-ffff-gggg-0123456789012 In questo scenario, è necessario utilizzare la seguente policy.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyCreateQueueForSpecificNumber",
            "Effect": "Deny",
            "Action": "connect:CreateQueue",
            "Resource": [
                "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
                "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
            ]
        }
    ]
}

us-west-2 è la regione in cui viene effettuata la richiesta.

Esempio 2: consenti solo l'accesso a UpdateQueueOutboundCallerConfig

Ad esempio, stai operando nella regione di replica us-west-2 con l'account 123456789012 e l'istanza aaaaaaaa-bbbb-cccc-dddd-0123456789012. Si desidera consentire l'accesso all'UpdateQueueOutboundCallerConfigAPI solo quando il OutboundCallerIdNumberId valore è un numero di telefono dichiarato a un gruppo di distribuzione del traffico con ID di risorsaaaaaaaaa-eeee-ffff-gggg-0123456789012. In questo scenario, è necessario utilizzare la seguente policy.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OnlyAllowUpdateQueueOutboundCallerConfigForSpecificNumber",
            "Effect": "Allow",
            "Action": "connect:UpdateQueueOutboundCallerConfig",
            "Resource": [
                "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
                "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
            ]
        }
    ]
}

Visualizza AppIntegrations risorse Amazon specifiche

La seguente policy di esempio consente di recuperare le integrazioni di eventi specifici.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "app-integrations:GetEventIntegration"
            ],
            "Resource": "arn:aws:app-integrations:us-west-2:accountID:event-integration/Name"
        }
    ]
}

Concedere l'accesso a Profili cliente Amazon Connect

Profili cliente Amazon Connect utilizza profile come prefisso per le azioni anziché connect. La seguente policy concede l'accesso completo a un dominio specifico in Profili cliente Amazon Connect.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
          "profile:*"
      ],
      "Resource": "arn:aws:profile:us-west-2:accountID:domains/domainName",
      "Effect": "Allow"
    }
  ]
}

Impostare una relazione attendibile con accountID nel dominio domainName.

Concedere l'accesso in sola lettura ai dati di Profili cliente

Di seguito è riportato un esempio per concedere l'accesso in lettura ai dati in Profili cliente Amazon Connect.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "profile:SearchProfiles",
                "profile:ListObjects"
            ],
            "Resource": "arn:aws:profile:us-west-2:accountID:domains/domainName",
            "Effect": "Allow"
        }
    ]
}

Esecuzione di query su Amazon Q in Connect solo per un assistente specifico

La seguente policy di esempio consente di eseguire una query solo per un assistente specifico. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wisdom:QueryAssistant "
            ],
            "Resource": "arn:aws:wisdom:us-west-2:accountID:assistant/assistantID"
        }
    ]
}

Concedere l'accesso completo ad Amazon Connect Voice ID

Amazon Connect Voice ID utilizza voiceid come prefisso per le azioni anziché connect. La seguente policy concede l'accesso completo a un dominio specifico in Amazon Connect Voice ID. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
          "voiceid:*"
      ],
      "Resource": "arn:aws:voiceid:us-west-2:accountID:domain/domainName",
      "Effect": "Allow"
    }
  ]
}

Impostare una relazione attendibile con accountID nel dominio domainName.

Concedere l'accesso alle risorse delle Campagne Amazon Connect in uscita

Campagne in uscita utilizza connect-campaign come prefisso per le azioni anziché connect. La seguente policy concede l'accesso completo a una specifica campagna in uscita. 

{
    "Sid": "AllowConnectCampaignsOperations",
    "Effect": "Allow",
    "Action": [
        "connect-campaigns:DeleteCampaign",
        "connect-campaigns:DescribeCampaign",
        "connect-campaigns:UpdateCampaignName",
        "connect-campaigns:GetCampaignState"
        "connect-campaigns:UpdateOutboundCallConfig",
        "connect-campaigns:UpdateDialerConfig",
        "connect-campaigns:PauseCampaign",
        "connect-campaigns:ResumeCampaign",
        "connect-campaigns:StopCampaign"
    ],
    "Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId",
    }

Limita la possibilità di cercare tra le trascrizioni analizzate da Amazon Connect Contact Lens

La seguente politica consente la ricerca e la descrizione dei contatti, ma nega la ricerca di un contatto utilizzando le trascrizioni analizzate da Amazon Connect Contact Lens.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:DescribeContact"
            ],
            "Resource": "arn:aws:connect:region:account-id:instance/instance-id/contact/*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "connect:SearchContacts"
            ],
            "Resource": "arn:aws:connect:region:account-id:instance/instance-id"
        },
        {
            "Sid": "VisualEditor2",
            "Effect": "Deny",
            "Action": [
                "connect:SearchContacts"
            ],
            "Resource": "arn:aws:connect:region:account-id:instance/instance-id",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "connect:SearchContactsByContactAnalysis": [
                        "Transcript"
                    ]
                }
            }
        }
    ]
}

Argomento successivo:

AWS politiche gestite

Hai bisogno di aiuto?

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.