Amazon Connect에서 태그 기반 액세스 제어 - Amazon Connect

Amazon Connect에서 태그 기반 액세스 제어

태그 기반 액세스 제어를 사용하면 할당된 리소스 태그를 기반으로 특정 리소스에 대한 세분화된 액세스를 구성할 수 있습니다. API/SDK를 사용하거나 Amazon Connect 콘솔(지원되는 리소스의 경우) 내에서 태그 기반 액세스 제어를 구성할 수 있습니다.

API/SDK를 사용한 태그 기반 액세스 제어

태그를 사용하여 AWS 계정 내의 리소스에 대한 액세스를 제어하려면 IAM 정책의 조건 요소에 태그 정보를 제공해야 합니다. 예를 들어 할당한 태그를 기반으로 Voice ID 도메인에 대한 액세스를 제어하려면 aws:ResourceTag/key-name 조건 키와 함께 StringEquals와 같은 특정 연산자를 사용하여 도메인에 연결해야 하는 태그 키:값 쌍을 지정해야 해당 도메인에 대해 주어진 작업을 허용할 수 있습니다.

태그 기반 액세스 제어에 대한 자세한 내용은 IAM 사용 설명서에서 태그를 사용한 AWS 리소스 액세스 제어를 참조하세요.

Amazon Connect 콘솔을 사용한 태그 기반 액세스 제어

리소스 태그는 리소스를 좀 더 쉽게 식별하고 정리하고 검색하기 위해 리소스에 추가할 수 있는 사용자 지정 메타데이터 레이블입니다. Amazon Connect SDK/API를 사용하여 프로그래밍 방식으로 태그를 지정할 수 있으며, 특정 리소스의 경우 Amazon Connect 콘솔 내에서 태그를 지정할 수 있습니다. 리소스 태그 지정에 대한 자세한 내용은 Amazon Connect에서 리소스에 태그 추가 섹션을 참조하세요.

액세스 제어 태그는 동일한 키:값 구조를 사용한다는 점에서 리소스 태그와 비슷합니다. 그러나 액세스 제어 태그가 다른 점은 동일한 키:값 쌍을 가진 리소스 태그가 포함된 지정된 리소스에만 사용자 액세스를 제한하는 권한 부여 제어를 적용한다는 것입니다. 액세스 제어 태그는 먼저 액세스를 제어할 리소스(라우팅 프로필, 대기열, 사용자 등)를 선택한 다음 매칭할 키:값 쌍을 정의하여 보안 프로필 내에서 정의합니다. 액세스 제어 태그가 있는 보안 프로필을 사용자에게 적용한 후에는 선택한 리소스와 액세스 제어 태그(키:값)의 정의된 조합을 기반으로 사용자의 액세스를 제한합니다. 액세스 제어 태그가 적용되지 않은 경우 사용자는 권한을 부여받은 경우 모든 리소스를 볼 수 있습니다.

태그를 사용하여 Amazon Connect 인스턴스의 관리자 웹 사이트 내 리소스에 대한 액세스를 제어하려면 주어진 보안 프로필 내에 액세스 제어 섹션을 구성해야 합니다. 예를 들어, 할당한 태그를 기반으로 라우팅 프로필에 대한 액세스를 제어하려면 라우팅 프로필을 액세스가 제어되는 리소스로 지정한 다음 액세스를 활성화하려는 태그 키:값 쌍을 지정합니다.

구성 제한 사항

액세스 제어 태그는 보안 프로필에 구성됩니다. 하나의 보안 프로필에 최대 4개의 액세스 제어 태그를 구성할 수 있습니다. 액세스 제어 태그를 더 추가하면 해당 보안 프로필이 더 제한적으로 설정됩니다. 예를 들어, Department:XCountry:Y와 같은 액세스 제어 태그 2개를 추가하면 사용자는 이러한 태그 2개가 모두 포함된 리소스만 볼 수 있습니다.

액세스 제어 태그가 포함된 보안 프로필을 최대 2개까지 사용자에게 할당할 수 있습니다. 액세스 제어 태그가 포함된 여러 보안 프로필을 한 명의 사용자에게 할당하면 태그 기반 액세스 제어의 제한이 줄어듭니다. 예를 들어 한 사용자가 Country:USA와 같은 액세스 제어 태그가 있는 보안 프로필 하나와 Country:Argentina와 같은 액세스 제어 태그가 있는 보안 프로필 하나를 가지고 있는 경우 사용자는 Country:USA 또는 Country:Argentina 태그가 지정된 리소스를 볼 수 있습니다. 추가 보안 프로필에 태그가 포함되지 않는 한 사용자는 다른 보안 프로필을 가질 수 있습니다. 리소스 권한이 겹치는 보안 프로필이 여러 개 있는 경우 태그 기반 액세스 제어가 없는 보안 프로필이 태그 기반 액세스 제어가 있는 보안 프로필을 무시하고 적용됩니다.

리소스 태그 또는 액세스 제어 태그를 구성하려면 서비스 연결 역할이 필요합니다. 인스턴스가 2018년 10월 이후에 생성된 경우 Amazon Connect 인스턴스에서 기본적으로 사용할 수 있습니다. 하지만 그보다 전에 생성된 인스턴스를 사용하는 경우 서비스 연결 역할을 활성화하는 방법에 대한 지침은 Amazon Connect의 서비스 연결 역할 사용을 참조하세요.

태그 기반 액세스 제어 적용의 모범 사례

태그 기반 액세스 제어 적용은 Amazon Connect에서 지원하는 고급 구성 기능이며 AWS 공동 책임 모델을 따릅니다. 원하는 인증 요구 사항을 준수하도록 인스턴스를 올바르게 구성하고 있는지 확인하는 것이 중요합니다. 자세한 내용은 AWS 공동 책임 모델을 참조하세요.

태그 기반 액세스 제어를 활성화하려는 리소스에 대해 최소한 보기 권한을 활성화했는지 확인하세요. 이렇게 하면 권한 불일치로 인해 액세스 요청이 거부되는 것을 방지할 수 있습니다.

태그 기반 액세스 제어는 리소스 수준에서 활성화되므로 각 리소스를 독립적으로 제한할 수 있습니다. 특정 사용 사례에서는 이것이 허용될 수 있지만 모든 리소스에 태그 기반 액세스 제어를 함께 활성화하는 것이 모범 사례입니다. 예를 들어 사용자 액세스는 허용하되 보안 프로필은 활성화하지 않는 경우 의도한 사용자 액세스 제어 설정을 대체하는 권한을 가진 보안 프로필을 만들 수 있습니다.

태그 기반 액세스 제어를 적용한 상태로 Amazon Connect 콘솔에 로그인하면 사용자는 제한된 리소스의 기록 변경 사항 로그에 액세스할 수 없습니다.

Amazon Connect 콘솔 내에서 태그 기반 액세스 제어를 적용할 때는 다음 리소스/모듈에 대한 액세스를 비활성화하는 것이 가장 좋습니다. 이러한 리소스에 대한 액세스를 비활성화하지 않으면 특정 리소스에 대한 태그 기반 액세스 제어를 사용하며 해당 페이지를 보는 사용자에게 제한되지 않은 사용자, 보안 프로필, 라우팅 프로필, 대기열, 흐름 또는 흐름 모듈이 표시될 수 있습니다. 권한을 관리하는 방법에 대한 자세한 내용은 Amazon Connect 보안 프로필 권한 목록 섹션을 참조하세요.

모듈

액세스를 비활성화하는 권한

고객 응대 검색

연락처 검색

대시보드

지표 액세스

흐름

흐름 - 보기

흐름 모듈

흐름 모듈 - 보기

예상

예상

기록 변경 사항/감사 포털

지표 액세스

작업 시간

작업 시간 - 보기

로그인/로그아웃 보고서

로그인/로그아웃 보고서 - 보기

아웃바운드 캠페인

캠페인 - 보기

프롬프트

프롬프트 - 보기

빠른 연결

빠른 연결 - 보기

규칙

규칙 - 보기

저장된 보고서

저장된 보고서 - 보기

일정 예약

일정 관리자

일정 예약

게시된 일정 달력