제한AWS아마존 커넥트와 연결할 수 있는 리소스 - Amazon Connect

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

제한AWS아마존 커넥트와 연결할 수 있는 리소스

각 Amazon Connect 인스턴스는 IAM과 연결되어 있습니다.서비스 연결 역할인스턴스가 생성될 때 Amazon Connect 다른 제품과 통합할 수 있습니다AWS통화 녹음 스토리지 (Amazon S3 버킷), 자연어 봇 (Amazon Lex 봇) 및 데이터 스트리밍 (Amazon Kinesis Data Streams) 과 같은 사용 사례용 서비스. Amazon Connect 이러한 다른 서비스와 상호 작용하는 서비스 연결 역할을 맡습니다. 정책은 먼저 Amazon Connect 서비스의 해당 API의 일부로 서비스 연결 역할에 추가됩니다 (차례로 다음에 다음에 의해 호출됨).AWS콘솔). 예를 들어 특정 Amazon S3 버킷을 Amazon Connect 인스턴스와 함께 사용하려면 버킷을 다음 버킷을 AssociateInstanceStorageConfigAPI.

Amazon Connect 커넥트에서 정의한 IAM 작업 집합은 을 참조하십시오.Amazon Connect에서 정의한 작업.

다음은 Amazon Connect 인스턴스와 연결될 수 있는 다른 리소스에 대한 액세스를 제한하는 방법의 몇 가지 예입니다. 이는 Amazon Connect API 또는 Amazon Connect 콘솔과 상호 작용하는 IAM 사용자 또는 역할에 적용되어야 합니다.

참고

명시적 내용이 포함된 정책Deny를 재정의Allow이 예제의 정책.

액세스를 제한하는 데 사용할 수 있는 리소스, 조건 키 및 종속 API에 대한 자세한 내용은 을 참조하십시오.Amazon Connect에 사용되는 작업, 리소스 및 조건 키.

예제 1: Amazon Connect 인스턴스와 연결할 수 있는 Amazon S3 버킷을 제한합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:UpdateInstanceStorageConfig", "connect:AssociateInstanceStorageConfig" ], "Resource": "arn:aws:connect:region:account-id:instance/instance-id", "Condition": { "StringEquals": { "connect:StorageResourceType": "CALL_RECORDINGS" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:iam::account-id:role/aws-service-role/connect.amazonaws.com/*", "arn:aws:s3:::s3-bucket-name" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "*" } ] }

이 예에서는 IAM 보안 주체가 해당 Amazon Connect 인스턴스 ARN에 대한 통화 녹음용 Amazon S3 버킷을 연결하고 라는 특정 Amazon S3 버킷을 연결할 수 있습니다.my-connect-recording-bucket. 이AttachRolePolicyPutRolePolicy 작업은 Amazon Connect 서비스 연결 역할 (이 예에서는 와일드카드를 사용하지만 필요한 경우 인스턴스에 역할 ARN을 제공할 수 있음) 으로 범위가 지정됩니다.

참고

을 사용하려면AWS KMS이 버킷의 녹화를 암호화하려면 키가 필요합니다. 추가 정책이 필요합니다.

예제 2: 어느 것을 제한AWS Lambda함수는 Amazon Connect 인스턴스와 연결될 수 있습니다.

AWS Lambda함수는 Amazon Connect 인스턴스와 연결되어 있지만 Amazon Connect 서비스 연결 역할은 함수를 호출하는 데 사용되지 않으므로 수정되지 않습니다. 대신 를 통해 함수에 정책이 추가됩니다.lambda:AddPermission지정된 Amazon Connect 인스턴스가 함수를 호출하도록 허용하는 API.

Amazon Connect 인스턴스와 연결할 수 있는 함수를 제한하려면 사용자가 호출하는 데 사용할 수 있는 Lambda 함수 ARN을 지정합니다.lambda:AddPermission:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:AssociateLambdaFunction", "lambda:AddPermission" ], "Resource": [ "arn:aws:connect:region:account-id:instance/instance-id", "arn:aws:lambda:*:*:function:my-function" ] } ] }

예제 3: Amazon Connect 인스턴스와 연결할 수 있는 아마존 키네시스 데이터 스트림을 제한합니다.

이 예제는 Amazon S3 예제와 유사한 모델을 따릅니다. 연락처 레코드를 전송하기 위해 특정 Amazon Connect 인스턴스와 연결할 수 있는 특정 Kinesis Data Streams 제한합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:UpdateInstanceStorageConfig", "connect:AssociateInstanceStorageConfig" ], "Resource": "arn:aws:connect:region:account-id:instance/instance-id", "Condition": { "StringEquals": { "connect:StorageResourceType": "CONTACT_TRACE_RECORDS" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "kinesis:DescribeStream", "iam:PutRolePolicy" ], "Resource": [ "arn:aws:iam::account-id:role/aws-service-role/connect.amazonaws.com/*", "arn:aws:kinesis:*:account-id:stream/stream-name" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": "kinesis:ListStreams", "Resource": "*" } ] }