기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
제한AWS아마존 커넥트와 연결할 수 있는 리소스
각 아마존 커넥트 인스턴스는 IAM과 연결되어 있습니다.서비스 연결 역할인스턴스가 생성될 때. 아마존 커넥트는 다른 커넥트와 통합할 수 있습니다.AWS통화 녹음 스토리지 (Amazon S3 버킷), 자연어 봇 (Amazon Lex 봇), 데이터 스트리밍 (Amazon Kinesis 데이터 스트림) 과 같은 사용 사례를 위한 서비스. Amazon Connect는 이러한 다른 서비스와 상호 작용하기 위한 서비스 연결 역할을 맡습니다. 정책은 먼저 Amazon Connect 서비스의 해당 API의 일부로서 서비스 연결 역할에 추가됩니다. 그러면 해당 API가 다시 호출합니다.AWS콘솔). 예를 들어, Amazon Connect 인스턴스와 함께 특정 Amazon S3 버킷을 사용하려면 해당 버킷을 다음 주소로 전달해야 합니다. AssociateInstanceStorageConfigAPI.
아마존 커넥트에서 정의한 IAM 작업 세트에 대한 자세한 내용은 을 참조하십시오.아마존 커넥트에서 정의한 작업.
다음은 Amazon Connect 인스턴스와 연결될 수 있는 다른 리소스에 대한 액세스를 제한하는 방법의 몇 가지 예입니다. Amazon Connect API 또는 Amazon Connect 콘솔과 상호 작용하는 사용자 또는 역할에 적용해야 합니다.
참고
명시적인 정책Deny다음을 무시할 것입니다.Allow이 예제의 정책은 다음과 같습니다.
액세스를 제한하는 데 사용할 수 있는 리소스, 조건 키 및 종속 API에 대한 자세한 내용은 을 참조하십시오.Amazon Connect의 작업, 리소스 및 조건 키.
예 1: Amazon Connect 인스턴스와 연결할 수 있는 Amazon S3 버킷을 제한합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:UpdateInstanceStorageConfig", "connect:AssociateInstanceStorageConfig" ], "Resource": "arn:aws:connect:region:account-id:instance/instance-id", "Condition": { "StringEquals": { "connect:StorageResourceType": "CALL_RECORDINGS" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:iam::account-id:role/aws-service-role/connect.amazonaws.com/*", "arn:aws:s3:::s3-bucket-name" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "*" } ] }
이 예제를 사용하면 IAM 보안 주체가 지정된 Amazon Connect 인스턴스 ARN에 대한 통화 녹음을 위한 Amazon S3 버킷과 이름이 지정된 특정 Amazon S3 버킷을 연결할 수 있습니다.my-connect-recording-bucket. 그AttachRolePolicy과PutRolePolicy 작업 범위는 Amazon Connect 서비스 연결 역할로 지정됩니다 (이 예제에서는 와일드카드가 사용되지만 필요한 경우 인스턴스에 역할 ARN을 제공할 수 있음).
참고
사용하려면AWS KMS이 버킷의 녹음을 암호화하는 키를 사용하려면 추가 정책이 필요합니다.
예 2: 어떤 항목을 제한할지 제한하세요AWS Lambda함수를 아마존 커넥트 인스턴스와 연결할 수 있습니다.
AWS Lambda함수는 Amazon Connect 인스턴스와 연결되지만 Amazon Connect 서비스 연결 역할은 함수를 호출하는 데 사용되지 않으므로 수정되지 않습니다. 대신 다음을 통해 함수에 정책이 추가됩니다.lambda:AddPermission지정된 Amazon Connect 인스턴스가 함수를 호출할 수 있도록 하는 API입니다.
Amazon Connect 인스턴스와 연결할 수 있는 함수를 제한하려면 사용자가 호출하는 데 사용할 수 있는 Lambda 함수 (ARN) 를 지정합니다.lambda:AddPermission:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:AssociateLambdaFunction", "lambda:AddPermission" ], "Resource": [ "arn:aws:connect:region:account-id:instance/instance-id", "arn:aws:lambda:*:*:function:my-function" ] } ] }
예 3: Amazon Connect 인스턴스와 연결할 수 있는 Amazon Kinesis 데이터 스트림을 제한합니다.
이 예제는 Amazon S3 예제와 유사한 모델을 따릅니다. 연락처 레코드 전달을 위해 특정 Amazon Connect 인스턴스와 연결할 수 있는 특정 Kinesis 데이터 스트림을 제한합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:UpdateInstanceStorageConfig", "connect:AssociateInstanceStorageConfig" ], "Resource": "arn:aws:connect:region:account-id:instance/instance-id", "Condition": { "StringEquals": { "connect:StorageResourceType": "CONTACT_TRACE_RECORDS" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "kinesis:DescribeStream", "iam:PutRolePolicy" ], "Resource": [ "arn:aws:iam::account-id:role/aws-service-role/connect.amazonaws.com/*", "arn:aws:kinesis:*:account-id:stream/stream-name" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": "kinesis:ListStreams", "Resource": "*" } ] }
