Amazon Connect의 보안 모범 사례 - Amazon Connect

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Connect의 보안 모범 사례

Amazon Connect는 사용자가 자체 보안 정책을 개발하고 구현할 때 고려해야 할 여러 보안 기능을 제공합니다. 다음 모범 사례는 일반적인 지침이며 완벽한 보안 솔루션을 나타내지는 않습니다. 이러한 모범 사례는 환경에 적절하지 않거나 충분하지 않을 수 있으므로 참고용으로만 사용해 주세요.

Amazon Connect 예방적 보안 모범 사례

  • 모든 프로필 권한이 최대한 제한적인지 확인합니다. 사용자의 역할에 절대적으로 필요한 리소스에 대한 액세스를 허용합니다. 예를 들어, Amazon Connect에서 사용자를 생성하거나 읽거나 업데이트할 수 있는 권한을 에이전트에 부여하지 마세요.

  • 사용 사례에 더 적합한 경우 SAML 2.0 자격 증명 공급자 또는 Radius 서버를 통해 멀티 팩터 인증(MFA)을 설정해야 합니다. MFA를 설정한 후에는 두 번째 요소를 제공하기 위한 세 번째 텍스트 상자가 Amazon Connect 로그인 페이지에 표시됩니다.

  • ID 관리에 기존 디렉터리를 AWS Directory Service 사용하거나 SAML 기반 인증을 사용하는 경우 사용 사례에 적합한 모든 보안 요구 사항을 준수해야 합니다.

  • AWS 콘솔의 인스턴스 페이지에 있는 긴급 액세스 로그인 URL은 일상적인 사용이 아닌 긴급 상황에서만 사용하십시오. 자세한 설명은 긴급 관리자 로그인 섹션을 참조하세요.

서비스 제어 정책(SCP) 사용

서비스 제어 정책(SCP)은 조직의 권한을 관리하는 데 사용할 수 있는 조직 정책 유형입니다. SCP는 계정 관리자가 영향을 받는 계정의 사용자 및 역할에 위임할 수 있는 작업에 대해 권한 범위를 정의하거나 제한을 설정합니다. SCP를 사용하여 Amazon Connect 워크로드와 관련된 중요한 리소스를 보호할 수 있습니다.

중요한 리소스가 삭제되지 않도록 서비스 제어 정책 설정

SAML 2.0 기반 인증을 사용하고 Amazon Connect 사용자를 인증하는 데 사용되는 AWS IAM 역할을 삭제하는 경우 사용자는 Amazon Connect 인스턴스에 로그인할 수 없습니다. 새 역할에 연결하려면 사용자를 삭제하고 다시 만들어야 합니다. 이렇게 하면 해당 사용자와 관련된 모든 데이터가 삭제됩니다.

중요한 리소스의 실수로 삭제되는 것을 방지하고 Amazon Connect 인스턴스의 가용성을 보호하기 위해 서비스 제어 정책(SCP)을 추가 제어로 설정할 수 있습니다.

다음은 Amazon Connect 인스턴스 및 관련 역할의 삭제를 방지하기 위해 AWS 계정, 조직 구성 단위 또는 조직 루트에 적용할 수 있는 예제 SCP입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonConnectRoleDenyDeletion", "Effect": "Deny", "Action": [ "iam:DeleteRole" ], "Resource": [ "arn:aws:iam::*:role/Amazon Connect user role" ] }, { "Sid": "AmazonConnectInstanceDenyDeletion", "Effect": "Deny", "Action": [ "connect:DeleteInstance" ], "Resource": [ "Amazon Connect instance ARN" ] } ] }

Amazon Connect Detective 보안 모범 사례

로깅 및 모니터링은 고객 센터의 가용성, 안정성 및 성능에 중요합니다. Amazon Connect 플로우에서 관련 정보를 기록하고 이를 CloudWatch 기반으로 알림 및 알림을 생성해야 합니다.

로그 보존 요구 사항 및 수명 주기 정책을 조기에 정의하고, 가능한 한 빨리 로그 파일을 비용 효율적인 스토리지 위치로 옮길 계획을 세워야 합니다. Amazon Connect 퍼블릭 API에 로그인합니다. CloudTrail CloudTrail 로그를 기반으로 작업을 검토하고 자동화합니다.

특히 로그 데이터를 기본 형식으로 감사할 수 있어야 하는 규정 준수 프로그램을 운영하는 조직의 경우 로그 데이터의 장기 보존 및 아카이빙을 위해 Amazon S3를 권장합니다. 로그 데이터가 Amazon S3 버킷에 저장된 후에는 수명 주기 규칙을 정의하여 보존 정책을 자동으로 적용하고 이러한 객체를 Amazon S3 Standard - 자주 액세스하지 않는 액세스(Standard - IA) 또는 Amazon S3 Glacier와 같은 다른 비용 효율적인 스토리지 클래스로 이동하세요.

AWS 클라우드는 정교한 파트너 오퍼링과 자체 관리형 중앙 집중식 로깅 솔루션을 모두 지원하는 유연한 인프라와 도구를 제공합니다. 여기에는 아마존 OpenSearch 서비스 및 아마존 CloudWatch 로그와 같은 솔루션이 포함됩니다.

요구 사항에 따라 Amazon Connect 흐름을 사용자 지정하여 수신 고객 응대에 대한 사기 탐지 및 방지를 구현할 수 있습니다. 예를 들어 수신 고객 응대를 Dynamo DB의 이전 고객 응대 활동과 비교하여 확인한 다음 거부 목록에 있는 고객 응대 연결을 끊는 등의 조치를 취할 수 있습니다.