Amazon Connect 보안 모범 사례 - Amazon Connect

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Connect 보안 모범 사례

Amazon Connect 자체 보안 정책을 개발하고 구현할 때 고려해야 할 여러 보안 기능을 제공합니다. 다음 모범 사례는 일반적인 지침이며 완벽한 보안 솔루션을 나타내지는 않습니다. 이러한 모범 사례는 환경에 적절하지 않거나 충분하지 않을 수 있으므로 참고용으로만 사용해 주세요.

Amazon Connect 예방 보안 모범 사례

  • 모든 프로필 권한이 최대한 제한적인지 확인합니다. 사용자의 역할에 절대적으로 필요한 리소스에 대한 액세스를 허용합니다. 예를 들어, Amazon Connect Connect에서 사용자를 생성하거나 읽거나 업데이트할 수 있는 권한을 에이전트에 부여하지 마십시오.

  • 사용 사례에 더 적합한 경우 SAML 2.0 자격 증명 공급자 또는 Radius 서버를 통해 멀티 팩터 인증(MFA)을 설정해야 합니다. MFA를 설정한 후에는 Amazon Connect 로그인 페이지에 두 번째 요소를 제공하기 위한 세 번째 텍스트 상자가 Amazon Connect 로그인 페이지에 표시됩니다.

  • 자격 증명 관리를 위해 AWS Directory Service 또는 SAML 기반 인증을 통해 기존 디렉터리를 사용하는 경우 사용 사례에 적합한 모든 보안 요구 사항을 준수해야 합니다.

  • 사용긴급 액세스를 위해 로그인의 인스턴스 페이지에 있는 URLAWS콘솔은 평상시가 아닌 긴급 상황에서만 사용하십시오. 자세한 정보는 긴급 관리자 로그인을 참조하세요.

서비스 제어 정책 (SCP) 사용

SCP(서비스 제어 정책)는 조직의 권한을 관리하는 데 사용할 수 있는 조직 정책 유형입니다. SCP는 계정 관리자가 영향을 받는 계정의 IAM 사용자 및 역할에 위임할 수 있는 작업에 대해 권한 범위를 정의하거나 제한을 설정합니다. SCP를 사용하여 Amazon Connect 워크로드와 관련된 중요한 리소스를 보호할 수 있습니다.

중요한 리소스가 삭제되지 않도록 서비스 제어 정책을 설정합니다.

SAML 2.0 기반 인증을 사용하고 있는 경우AWSAmazon Connect 사용자를 인증하는 데 사용되는 IAM 역할은 사용자가 Amazon Connect 인스턴스에 로그인할 수 없습니다. 새 역할에 연결할 사용자를 삭제하고 다시 생성해야 합니다. 그 결과 해당 사용자와 관련된 모든 데이터가 삭제됩니다.

중요한 리소스가 실수로 삭제되는 것을 방지하고 Amazon Connect 인스턴스의 가용성을 보호하기 위해 다음을 설정할 수 있습니다.서비스 제어 정책(SCP) 는 추가 제어 수단입니다.

다음은 에서 적용할 수 있는 SCP 예제입니다.AWSAmazon Connect 인스턴스 및 관련 역할의 삭제를 방지하기 위한 계정, 조직 단위 또는 조직 루트:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonConnectRoleDenyDeletion", "Effect": "Deny", "Action": [ "iam:DeleteRole" ], "Resource": [ "arn:aws:iam::*:role/Amazon Connect user role" ] }, { "Sid": "AmazonConnectInstanceDenyDeletion", "Effect": "Deny", "Action": [ "connect:DeleteInstance" ], "Resource": [ "Amazon Connect instance ARN" ] } ] }

Amazon Connect Detective 보안 모범 사례

로깅 및 모니터링은 컨택 센터의 가용성, 안정성 및 성능에 중요합니다. Amazon Connect 플로우에서 관련 정보를 로깅해야 합니다. CloudWatch 이를 기반으로 알림 및 알림을 만들 수 있습니다.

로그 보존 요구 사항 및 수명 주기 정책을 조기에 정의하고 가능한 한 빨리 로그 파일을 비용 효율적인 스토리지 위치로 이동할 계획을 세우십시오. Amazon Connect 퍼블릭 API 로그 대상 CloudTrail. 다음을 기반으로 작업 검토 및 자동화 CloudTrail 로그.

로그 데이터를 장기간 보존하고 보관할 때는 Amazon S3 S3를 사용하는 것이 좋습니다. 특히 로그 데이터를 기본 형식으로 감사 가능해야 하는 규정 준수 프로그램을 운영하는 조직에서는 더욱 그렇습니다. 로그 데이터가 Amazon S3 버킷에 저장되면 보존 정책을 자동으로 적용하도록 수명 주기 규칙을 정의하고 이러한 객체를 Amazon S3 표준 — 드문 액세스 (표준 — IA) 또는 Amazon S3 Glacier와 같은 비용 효율적인 다른 스토리지 클래스로 이동합니다.

이AWS클라우드는 정교한 파트너 오퍼링과 자체 관리형 중앙 집중식 로깅 솔루션을 모두 지원하는 유연한 인프라와 도구를 제공합니다. 여기에는 Amazon과 같은 솔루션이 포함됩니다. OpenSearch 서비스 및 Amazon CloudWatch 로그.

요구 사항에 따라 Amazon Connect 흐름을 사용자 지정하여 수신 연락처에 대한 사기 탐지 및 방지를 구현할 수 있습니다. 예를 들어 들어오는 연락처를 Dynamo DB 이전 연락처 활동과 비교하여 확인한 다음 거부 목록에 있는 연락처 연결을 끊는 등의 조치를 취할 수 있습니다.