Amazon Connect 리소스 수준 정책 예제 - Amazon Connect

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Connect 리소스 수준 정책 예제

Amazon Connect IAM 사용자에 대한 리소스 수준 권한을 지원하므로 다음 정책에 표시된 것처럼 인스턴스에서 IAM 사용자에 대한 작업을 지정할 수 있습니다.

“삭제” 및 “업데이트” 작업 거부

다음 샘플 정책은 하나의 Amazon Connect 인스턴스에서 사용자에 대한 “삭제” 및 “업데이트” 작업을 거부합니다. Amazon Connect 사용자 ARN 끝에 와일드카드를 사용하므로 전체 사용자 ARN (즉, 제공된 인스턴스의 모든 Amazon Connect 사용자 (예: arn:aws:connect:us-east- 1:123456789012:인스턴스/00fbeee1-123e-111e-93e3-11111bfbfcc1/에이전트/00dtcddd1-123e-111e-93e3-11111bfbfcc1).

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "connect:DeleteUser", "connect:UpdateUser*" ], "Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/*" } ] }

특정 이름을 사용한 통합 작업 허용

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllAppIntegrationsActions", "Effect": "Allow", "Action": [ "app-integrations:ListEventIntegrations", "app-integrations:CreateEventIntegration", "app-integrations:GetEventIntegration", "app-integrations:UpdateEventIntegration", "app-integartions:DeleteEventIntegration" ], "Resource":"arn:aws:appintegrations:*:*:event-integration/MyNamePrefix-*" } ] }

“사용자 생성”을 허용하지만 특정 보안 프로필에 할당된 경우에는 거부

다음 샘플 정책에서는 “사용자 생성”을 허용하되 arn:aws:연결:us-west- 2:123456789012:인스턴스/00fbeee1-123e-111e-93e3-11111bfbfcc1/보안 프로필/11dtcggg1-123e3-11111bfbfcc17을 보안 매개 변수로 사용하는 것을 명시적으로 거부합니다 프로필 인CreateUser요청.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "connect:CreateUser" ], "Resource": "*", }, { "Effect": "Deny", "Action": [ "connect:CreateUser" ], "Resource": "arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc17/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17", } ] }

연락처에 동작 기록 허용

다음 샘플 정책은 특정 인스턴스의 연락처에 대해 “연락처 기록 시작”을 허용합니다. ContactID는 동적이므로 *가 사용됩니다.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "connect:StartContactRecording" ], "Resource": "arn:aws:connect:us-west-2:accountID:instance/instanceId/contact/*", "Effect": "Allow" } ] }

과 신뢰할 수 있는 관계 설정accountID.

레코딩 API에 다음 작업이 정의되어 있습니다.

  • “connectStartContactRecording“

  • “connectStopContactRecording“

  • “connectSuspendContactRecording“

  • “connectResumeContactRecording“

동일한 역할에서 추가 연락처 작업 허용

동일한 역할을 사용하여 다른 연락처 API를 호출하는 경우 다음과 같은 연락처 작업을 나열할 수 있습니다.

  • GetContactAttributes

  • ListContactFlows

  • StartChatContact

  • StartOutboundVoiceContact

  • StopContact

  • UpdateContactAttributes

또는 와일드카드를 사용하여 모든 연락처 작업을 허용하십시오 (예: “connect: *”).

추가 리소스 허용

와일드카드를 사용하여 더 많은 리소스를 허용할 수도 있습니다. 예를 들어, 모든 연락처 리소스에서 모든 연결 작업을 허용하는 방법은 다음과 같습니다.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "connect:*" ], "Resource": "arn:aws:connect:us-west-2:accountID:instance/*/contact/*", "Effect": "Allow" } ] }

특정 Amazon Amazon 보기 AppIntegrations자원

다음 샘플 정책을 사용하면 특정 이벤트 통합을 가져올 수 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "app-integrations:GetEventIntegration" ], "Resource": "arn:aws:app-integrations:us-west-2:accountID:event-integration/Name" } ] }

Amazon Connect 고객 프로필에 대한 액세스 권한

Amazon Connect 고객 프로필 사용profile대신 액션의 접두사로connect. 다음 정책은 Amazon Connect 고객 프로필의 특정 도메인에 대한 모든 액세스 권한을 부여합니다.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "profile:*" ], "Resource": "arn:aws:profile:us-west-2:accountID:domains/domainName", "Effect": "Allow" } ] }

도메인 domainName accountID ID와 신뢰할 수 있는 관계를 설정합니다.

고객 프로필 데이터에 대한 읽기 전용 액세스 권한 부여

다음은 Amazon Connect 고객 프로필의 데이터에 대한 읽기 액세스 권한을 부여하는 예입니다.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "profile:SearchProfiles", "profile:ListObjects" ], "Resource": "arn:aws:profile:us-west-2:accountID:domains/domainName", "Effect": "Allow" } ] }

특정 어시스턴트에 대해서만 Amazon Connect 위즈덤 쿼리

다음 샘플 정책에서는 특정 어시스턴트만 쿼리할 수 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "wisdom:QueryAssistant " ], "Resource": "arn:aws:wisdom:us-west-2:accountID:assistant/assistantID" } ] }

Amazon Connect 음성 ID에 대한 전체 권한 부여

Amazon Connect 음성 ID 사용voiceid연결 대신 액션의 접두사로 사용됩니다. 다음 정책은 Amazon Connect 음성 ID의 특정 도메인에 대한 모든 액세스 권한을 부여합니다.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "voiceid:*" ], "Resource": "arn:aws:voiceid:us-west-2:accountID:domain/domainName", "Effect": "Allow" } ] }

도메인 domainName accountID ID와 신뢰할 수 있는 관계를 설정합니다.

Amazon Connect 아웃바운드 캠페인 리소스에 대한 액세스 권한 부여

아웃바운드 캠페인 사용connect-campaign대신 액션의 접두사로connect. 다음 정책은 특정 아웃바운드 캠페인에 대한 모든 액세스 권한을 부여합니다.

{ "Sid": "AllowConnectCampaignsOperations", "Effect": "Allow", "Action": [ "connect-campaigns:DeleteCampaign", "connect-campaigns:DescribeCampaign", "connect-campaigns:UpdateCampaignName", "connect-campaigns:GetCampaignState" "connect-campaigns:UpdateOutboundCallConfig", "connect-campaigns:UpdateDialerConfig", "connect-campaigns:PauseCampaign", "connect-campaigns:ResumeCampaign", "connect-campaigns:StopCampaign" ], "Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId", }