设置 IP 地址限制和会话超时

注意

此功能为预览版，可能会发生变化。要访问此功能，请联系您的 Amazon Connect 解决方案架构师、技术客户经理或 AWS Support。

例如，要进一步锁定您的联络中心，以遵守您所在行业的要求和法规，您可以设置 IP 地址限制和会话超时。

• IP 地址限制要求代理只能从您的地址登录VPN，或者阻止来自特定国家/地区或子网的访问。

• 会话超时需要代理重新登录 Amazon Connect。

在 Amazon Connect 中，您可以配置身份验证配置文件来设置 IP 地址限制和已登录代理的会话持续时间。身份验证配置文件是一种资源，用于存储联络中心用户的身份验证设置。

配置 IP 地址范围和会话持续时间

您的 Amazon Connect 实例包含默认的身份验证配置文件。此身份验证配置文件自动应用于联络中心的所有用户。您无需将身份验证配置文件分配给用户即可应用。

要配置您的默认身份验证配置文件，请使用以下 AWS SDK命令。

提示

您需要您的 Amazon Connect 实例 ID 才能运行这些命令。有关如何查找您的实例 ID 的说明，请参阅找到你的 Amazon Connect 实例 ID/ ARN。

1. 列出您的实例中的身份验证配置文件以获取要更新的身份验证配置文件的配置文件 ID。您可以调用ListAuthenticationProfileAPI或运行list-authentication-profilesCLI命令。

   以下是一个list-authentication-profiles命令示例：

   aws connect list-authentication-profiles --instance-id your-instance-id

   以下是list-authentication-profiles命令返回的默认身份验证配置文件的示例。

   {
       "AuthenticationProfileSummaryList": [
           {
           "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
           "Id": "profile-id",
           "IsDefault": true,
           "LastModifiedRegion": "us-west-2",
           "LastModifiedTime": 1.719249173664E9,
           "Name": "Default Authentication Profile"
           }
       ],
       "NextToken": null
   }

2. 查看要更新的身份验证配置文件的配置。您可以调用DescribeAuthenticationProfile或运行或describe-authentication-profileCLI命令。

   以下是一个describe-authentication-profile命令示例：

   aws connect describe-authentication-profile --instance-id your-instance-id --profile-id profile-id

   以下是该describe-authentication-profile命令返回的信息的示例。

   {
       "AuthenticationProfile": {
       "AllowedIps": [],
       "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
       "BlockedIps": [],
       "CreatedTime": 1.718999177811E9,
       "Description": "A basic default Authentication Profile",
       "Id": "profile-id",
       "IsDefault": true,
       "LastModifiedRegion": "us-west-2",
       "LastModifiedTime": 1.719249173664E9,
       "MaxSessionDuration": 720,
       "Name": "Default Authentication Profile",
       "PeriodicSessionDuration": 60
       }
   }

   有关每个字段的描述，请参阅 Amazon Connect API 参考AuthenticationProfile中的。

3. 使用UpdateAuthenticationProfileAPI或update-authentication-profileCLI命令配置身份验证配置文件。除InstanceId和之外的所有字段ProfileId均为可选字段。只有您在API通话中定义的设置才会被更改。

   以下是一个update-authentication-profile命令示例。它配置自动分配给所有用户的默认身份验证配置文件。它允许某些 IP 地址，屏蔽其他 IP 地址，并将定期会话持续时间设置为 60 分钟。

   aws connect update-authentication-profile 
       --instance-id your-instance-id 
       --profile-id profile-id
       --name "Default Authentication Profile"
       --description "A basic default Authentication Profile"
       --allowed-ips "ip-range-1" "ip-range-2" ...
       --blocked-ips "ip-range-3" "ip-range-4" ...
       --periodic-session-duration 60

配置基于 IP 的访问控制

如果要基于 IP 地址配置对联络中心的访问权限，则可以使用身份验证配置文件中基于 IP 的访问控制功能。

可以在身份验证配置文件中配置两种类型的 IP 配置：允许的 IP 地址范围和屏蔽的 IP 地址范围。以下几点描述了基于 IP 的访问控制的工作原理。

• IP 地址可以是IPV4和两种IPV6格式。

• 您可以用CIDR符号定义单个 IP 地址和 IP 地址范围。

• 屏蔽的 IP 配置始终优先。

• 如果在 “允许的 IP” 列表中定义了 IP 地址，则只允许使用这些 IP 地址。

  • 这些 IP 地址可以通过屏蔽的 IP 列表来缩小范围。

• 如果只定义了被屏蔽的 IP 地址，则除阻止列表中定义的 IP 地址外，任何 IP 地址都可以访问该实例。

• 如果在允许和阻止的 IP 地址列表中都定义了 IP 地址，则只允许在允许范围内定义的 IP 地址，减去屏蔽范围内的任何 IP 地址。

注意

基于 IP 地址的访问控制不适用于紧急管理员登录。要对该用户施加SourceIp限制，您可以在IAM策略中应用限制APIconnect:AdminGetEmergencyAccessToken。

当用户的 IP 地址被该实例确定为屏蔽时，该用户的会话将失效。注销事件发布在 “登录/注销” 报告中。

当 IP 地址检查失败时，用户会遇到什么

座席

当代理在 “联系人控制面板” (CCP) 中处于活动状态时，会定期检查其 IP 地址。Amazon Connect 检查 IP 地址的频率取决于您配置身份验证配置文件的定期会话持续时间的方式。

如果 IP 地址未通过检查，会发生以下情况：

• 如果代理未处于活动呼叫状态，则如果代理的 IP 地址更改为不允许使用的地址，则该代理将被注销。

• 如果代理正在进行通话，则代理的会话将失效，但这确实会结束当前正在进行的呼叫。将发生以下情况：

  1. 代理将失去采取任何操作的能力，例如更改座席状态、转接呼叫、将呼叫置于保留状态、结束通话或创建案例。

  2. 代理会收到通知，告知他们在中采取行动的能力CCP受到限制。

  3. 如果他们在会话失效后成功登录，则他们将重新进入活动呼叫并可以再次采取行动。

使用管理员网站的 Amazon Connect 管理员和用户

当管理员和其他用户在 Amazon Connect 管理员网站上执行操作（例如保存资源更新或进入正在进行的呼叫）的 IP 地址检查失败时，他们将被自动注销。

IP 地址配置示例

示例 1：仅在允许的 IP 列表中定义的 IP 地址

• AllowedIps: [ 111.222.0.0/16 ]

• BlockedIps: [ ]

结果：

• 只有介于111.222.0.0和之间111.222.255.255的 IP 地址才允许访问该实例。

示例 2：仅在阻止的 IP 列表中定义的 IP 地址

• AllowedIps: [ ]

• BlockedIps: [155.155.155.0/24 ]

结果：

• 允许使用所有 IP 地址，但 IP 地址范围155.155.155.0 - 155.155.155.255包含在内。

示例 3：在允许的 IP 列表和阻止的 IP 列表中定义的 IP 地址

• AllowedIps: [ 200.255.0.0/16 ]

• BlockedIps: [200.255.10.0/24, 200.255.40.50, 192.123.211.211 ]

结果：

• 允许介200.255.0.0 - 200.255.255.255于两者之间的 IP 地址，减去(200.255.10.0 - 200.255.10.255 AND 200.255.40.50)。

• 实际上，200.255.0.0 - 200.255.9.255, 200.255.11.0 - 200.255.40.49, 200.255.40.51 - 200.255.255.255是允许的。

• 192.123.211.211实际上会被忽略，因为它不在允许的范围内。

示例 4：允许的 IP 列表或阻止的 IP 列表中均未定义 IP 地址

• AllowedIps: [ ]

• BlockedIps: [ ]

在这种情况下，没有任何限制。

重要

该allowedIps列表定义了仅当联络中心不为空时才IPs允许进入联络中心的范围。如果为空，则允许任何 IP 地址访问您的联络中心，除非blockedIps列表明确阻止。

配置会话持续时间

您可以根据组织的偏好和安全要求对定期会话持续时间进行微调。例如，您可以将定期会话持续时间设置为 20 分钟，以便在 20 分钟的时间段内检查代理的 IP 地址和会话持续时间CCP。

Amazon Connect 使用基于令牌的身份验证模型。有两种会话超时适用于您的联络中心的用户会话：

• 定期会话持续时间：联络中心用户通过身份验证之前的最长时间段。默认值 = 60 分钟。可以将此选项配置为介于 10-60 之间的不同值。

  注意

  尽管此设置定义了在用户通过身份验证之前可以经过的最大时间间隔，但在特定情况下，身份验证可能会更早地进行。例如，在 Amazon Connect 管理员网站中，每当执行某些操作（例如创建用户或更改安全配置文件）时，也会进行身份验证。

• 最长会话持续时间：联络中心用户在被迫再次登录之前可以登录的最长时间段。默认值 = 12 小时；不能将其配置为不同的值。