계층 액세스 제어 (미리 보기) - Amazon Connect
배경/를 사용한 계층 기반 액세스 제어 API SDKAmazon Connect 콘솔을 사용한 계층 기반 액세스 제어구성 제한 사항계층 기반 액세스 제어를 적용하는 모범 사례

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

계층 액세스 제어 (미리 보기)

이 문서는 미리 보기로 출시된 서비스의 사전 릴리스 설명서입니다. 변경될 수 있습니다.

사용자에게 배정된 상담원 계층 구조를 기반으로 연락처에 대한 액세스를 제한할 수 있습니다. 연락처 액세스 제한과 같은 권한을 사용하여 이 작업을 수행할 수 있습니다. 이러한 권한 외에도 계층 구조를 사용하여 태그와 함께 사용자와 같은 리소스에 대한 세분화된 액세스 제어를 적용할 수도 있습니다. 이 페이지의 나머지 부분에는 계층 기반 액세스 제어 구성에 대한 추가 세부 정보가 포함되어 있습니다 (현재 미리 보기 중).

배경

계층 기반 액세스 제어를 사용하면 사용자에게 할당된 에이전트 계층 구조를 기반으로 특정 리소스에 대한 세분화된 액세스를 구성할 수 있습니다. 지원되는 리소스에 대해 API SDK /를 사용하거나 Amazon Connect 콘솔 내에서 계층 기반 액세스 제어를 구성할 수 있습니다. 

현재 계층 기반 액세스 제어를 지원하는 유일한 리소스는 사용자입니다. 이 권한 부여 모델은 태그 기반 액세스 제어와 함께 작동하므로 사용자에 대한 액세스를 제한하여 계층 그룹에 속하고 특정 태그가 연결된 다른 사용자만 볼 수 있도록 할 수 있습니다.

/를 사용한 계층 기반 액세스 제어 API SDK

계층 구조를 사용하여 AWS 계정 내 리소스에 대한 액세스를 제어하려면 정책의 조건 요소에 계층 구조 정보를 제공해야 합니다. IAM 예를 들어 특정 계층에 속하는 사용자에 대한 액세스를 제어하려면 connect:HierarchyGroupL3Id/hierarchyGroupId 조건 키와 함께 특정 연산자 (예: 사용자가 속해야 StringEquals 하는 계층 그룹) 를 지정하여 해당 사용자에게 주어진 작업을 허용할 수 있도록 합니다. 지원되는 조건 키는 다음과 같습니다.

  1. 연결: HierarchyGroup L1Id/ hierarchyGroupId

  2. connect:HierarchyGroupL2Id/hierarchyGroupId

  3. connect:HierarchyGroupL3Id/hierarchyGroupId

  4. connect:HierarchyGroupL4Id/hierarchyGroupId

  5. connect:HierarchyGroupL5Id/hierarchyGroupId

각각은 사용자 계층 구조의 특정 수준에 있는 지정된 계층 그룹의 ID를 나타냅니다.

계층 기반 액세스 제어에 대한 자세한 내용은 사용 설명서의 IAM태그를 사용한 AWS 리소스 액세스 제어를 참조하십시오.

Amazon Connect 콘솔을 사용한 계층 기반 액세스 제어

계층 구조를 사용하여 Amazon Connect 인스턴스의 관리 웹 사이트 내 리소스에 대한 액세스를 제어하려면 지정된 보안 프로필 내에 액세스 제어 섹션을 구성해야 합니다. 예를 들어, 특정 사용자가 속한 계층 구조에 따라 세분화된 액세스 제어 액세스를 활성화하려면 사용자를 액세스 제어 리소스로 구성해야 합니다. 이 경우 다음과 같은 두 가지 옵션이 있습니다.

  1. 사용자 계층에 기반한 계층 기반 액세스 제어 적용: 이렇게 하면 액세스 권한이 부여된 사용자가 자신의 계층에 속하는 사용자만 관리할 수 있습니다. 예를 들어 특정 사용자에 대해 이 구성을 활성화하면 해당 사용자는 자신의 계층 그룹이나 하위 계층 그룹에 속하는 다른 사용자를 관리할 수 있습니다. 이렇게 하면 액세스 권한이 부여된 사용자는 자신의 계층에 속하는 사용자만 관리할 수 있습니다. 예를 들어 감독자에 대해 이 구성을 활성화하면 감독자가 자신의 계층 그룹 또는 하위 계층 그룹에 속하는 다른 사용자를 관리할 수 있습니다.

  2. 특정 계층에 기반한 계층 기반 액세스 제어 적용: 이렇게 하면 액세스 권한이 부여된 사용자가 보안 프로필에 정의된 계층에 속하는 사용자만 관리할 수 있습니다. 예를 들어 특정 사용자에 대해 이 구성을 활성화하면 보안 프로필에 지정된 계층 그룹 또는 하위 계층 그룹에 속하는 다른 사용자를 관리할 수 있습니다.

구성 제한 사항

보안 프로필에는 세분화된 액세스 제어가 구성됩니다. 세분화된 액세스 제어를 적용하는 보안 프로필을 최대 두 개까지 사용자에게 할당할 수 있습니다. 이 경우 사용 권한의 제한이 줄어들고 두 권한 집합이 합쳐진 역할을 하게 됩니다. 예를 들어 한 보안 프로필은 계층 기반 액세스 제어를 적용하고 다른 보안 프로필은 태그 기반 액세스 제어를 적용하는 경우 사용자는 동일한 계층 구조에 속하거나 지정된 태그로 태그가 지정된 모든 사용자를 관리할 수 있습니다. 태그 기반 액세스 제어와 계층 기반 액세스 제어가 모두 동일한 보안 프로필의 일부로 구성된 경우 두 조건을 모두 충족해야 합니다. 이 경우 사용자는 동일한 계층 구조에 속하고 지정된 태그가 지정된 사용자만 관리할 수 있습니다. 

추가 보안 프로필이 세분화된 액세스 제어를 적용하지 않는 한 사용자는 두 개 이상의 보안 프로필을 가질 수 있습니다. 리소스 권한이 중복되는 보안 프로필이 여러 개 있는 경우 계층 기반 액세스 제어가 없는 보안 프로필이 계층 기반 액세스 제어가 있는 보안 프로필보다 적용됩니다.

계층 기반 액세스 제어를 구성하려면 서비스 연결 역할이 필요합니다. 인스턴스가 2018년 10월 이후에 생성된 경우 Amazon Connect 인스턴스에서 기본적으로 사용할 수 있습니다. 하지만 이전 인스턴스를 사용하는 경우 서비스 연결 역할을 활성화하는 방법에 대한 지침은 Amazon Connect의 서비스 연결 역할 사용을 참조하십시오.

계층 기반 액세스 제어를 적용하는 모범 사례

계층 기반 액세스 제어를 적용하는 것은 Amazon Connect에서 지원하는 고급 구성 기능이며 AWS 공동 책임 모델을 따릅니다. 원하는 인증 요구 사항을 준수하도록 인스턴스를 올바르게 구성하고 있는지 확인하는 것이 중요합니다. 자세한 내용은 AWS 공동 책임 모델을 검토하십시오.

계층 기반 액세스 제어를 활성화하는 대상 리소스에 대해 최소한 보기 권한을 활성화했는지 확인하십시오. 이렇게 하면 권한 불일치로 인해 액세스 요청이 거부되는 것을 방지할 수 있습니다. 계층 기반 액세스 제어는 리소스 수준에서 활성화되므로 각 리소스를 독립적으로 제한할 수 있습니다. 계층 기반 액세스 제어가 시행될 때 부여되는 권한을 주의 깊게 검토하는 것이 중요합니다. 예를 들어 사용자에 대한 계층 제한 액세스와 권한 보기/편집 보안 프로필을 활성화하면 사용자가 의도한 사용자 액세스 제어 설정을 대체하는 권한을 가진 보안 프로필을 생성/업데이트할 수 있습니다.

계층 기반 액세스 제어가 적용된 상태로 Amazon Connect 콘솔에 로그인하면 사용자는 제한된 리소스에 대한 이전 변경 로그에 액세스할 수 없습니다.

하위 리소스에 대한 계층 기반 액세스 제어를 사용하여 상위 리소스에 하위 리소스를 배정하려고 하면 하위 리소스가 계층 구조에 속하지 않으면 작업이 거부됩니다. 예를 들어 Quick Connect에 사용자를 할당하려고 하는데 사용자 계층 구조에 액세스할 수 없는 경우 작업이 실패합니다. 하지만 연결이 끊긴 경우에는 해당되지 않습니다. Quick Connect에 대한 액세스 권한이 있다고 가정하면 계층 기반 액세스 제어가 적용되더라도 자유롭게 사용자 연결을 끊을 수 있습니다. 연관 해제는 두 리소스 간의 기존 관계 (새 연결이 아님) 를 버리는 것이며 사용자가 이미 액세스할 수 있는 상위 리소스 (이 경우 Quick Connect) 의 일부로 모델링되기 때문입니다. 따라서 사용자 리소스에 계층 기반 액세스 제어를 적용할 때는 상위 리소스에 부여된 권한에 대해 신중을 기하는 것이 중요합니다. 사용자는 감독자가 알지 못하는 사이에 연결이 끊길 수 있기 때문입니다.

Amazon Connect 콘솔 내에서 계층 기반 액세스 제어를 적용할 때는 다음 리소스/모듈에 대한 액세스를 비활성화하는 것이 가장 좋습니다. 이러한 리소스에 대한 액세스를 비활성화하지 않으면 특정 리소스에 대한 계층 기반 액세스 제어를 사용하는 사용자가 해당 페이지를 보는 사용자에게 무제한 사용자 목록이 표시될 수 있습니다. 권한을 관리하는 방법에 대한 자세한 내용은 보안 프로필 권한 목록을 참조하십시오.

모듈 액세스를 비활성화하는 권한
고객 응대 검색 연락처 검색 - 보기
기록 변경 사항/감사 포털 액세스 지표 - 액세스
실시간 지표 실시간 지표 - 액세스
기록 지표 과거 지표 - 액세스
로그인/로그아웃 보고서 로그인/로그아웃 보고서 - 보기
규칙 규칙 - 보기
저장된 보고서 저장된 보고서 - 보기
에이전트 계층 구조 상담원 계층 구조 - 보기
흐름/흐름 모듈 흐름 모듈 - 보기
일정 예약 일정 관리자 - 보기