本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
对 Amazon Connect 使用服务相关角色
什么是服务关联角色 (SLR),为什么它们很重要?
Amazon Connect 使用AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特类型的 IAM 角色,它与 AAmazon Connect 实例直接相关。
服务相关角色是由 Amazon Connect 预定义的,并包含 Amazon Connect 代表您调用其他AWS服务服务所需的所有权限。
您需要启用服务相关角色,这样才能使用 Amazon Connect 中的新功能,例如标签支持、用户管理和路由配置文件中的新用户界面以及CloudTrail支持队列。
有关支持服务相关角色的其他服务的信息,请参阅可与 IAM 搭配使用的 AWS 服务,并查找 Service-Linked Role(服务相关角色)列中为 Yes(是)的服务。请选择 Yes 与查看该服务的服务相关角色文档的链接。
Amazon Connect 的服务相关角色权限
Amazon Connect 使用带有前缀 AWSServiceRoleForAmazonConnect_ unique-id 的服务相关角色 — 授予 Amazon Connect 代表您访问AWS资源的权限。
前AWSServiceRoleForAmazonConnect缀服务相关角色信任以下服务代入该角色:
-
connect.amazonaws.com
角色权限策略允许 Amazon Connect 对指定资源完成以下操作。当您在 Amazon Connect 中启用其他功能时,会为服务相关角色添加额外的权限,以访问与这些功能相关的资源:
-
操作:对所有 Amazon Connect 资源执行的所有Amazon Connect 操作。
connect:* -
操作:Amazon S3
s3:GetObjects3:GetObjectAcl、s3:PutObject、s3:PutObjectAcl、、s3:DeleteObject、s3:GetBucketLocation、和,GetBucketAcl适用于为录制的对话指定的 S3 存储桶。对于为导出报告指定的存储桶,它还授予
s3:PutObject、s3:PutObjectAcl和s3:GetObjectAcl。 -
操作:Amazon Connect 客户档案
profile:SearchProfilesprofile:CreateProfileprofile:UpdateProfileprofile:AddProfileKeyprofile:ListProfileObjectsprofile:ListAccountIntegrationsprofile:ListProfileObjectTypeTemplatesprofile:GetProfileObjectTypeTemplateprofile:ListProfileObjectTypesprofile:GetProfileObjectType
将您的默认客户档案域(包括域中的配置文件和所有对象类型)与 Amazon Connect 流程和代理体验应用程序一起使用。
-
操作:Amazon Kinesis Dat
firehose:PutRecorda Firefirehose:PutRecordBatchhosefirehose:DescribeDeliveryStream和,以及为代理事件流和联系记录定义的传输流。 -
操作:Amazon Kinesis Data Streams
kinesis:PutRecords、以及kinesis:DescribeStream为代理事件流和联系记录指定的数据流kinesis:PutRecord。 -
操作:Amazon Lex
lex:PostContent适用于已添加到您的实例中的机器人。 -
操作:Amazon Lex
lex:ListBots,lex:ListBotAliases适用于所有地区在账户中创建的所有机器人。 -
操作:AmazonCloudWatch Logs
logs:CreateLogStreamlogs:DescribeLogStreams、和logs:PutLogEvents到为流量CloudWatch日志记录指定的日志组。 -
操作:亚马逊CloudWatch指标
cloudwatch:PutMetricData将实例的 Amazon Connect 使用指标发布到您的账户。 -
操作:与您的实例关联的语音 ID 域
voiceid:*的 Amazon Connect Voice-ID。 -
操作:EventBridge
events:PutRule以及events:PutTargets用于发布关联语音 ID 域的 CTR 记录的 Amazon Connect 托管EventBridge规则。 -
行动:出境活动
-
connect-campaigns:CreateCampaign -
connect-campaigns:DeleteCampaign -
connect-campaigns:DescribeCampaign -
connect-campaigns:UpdateCampaignName -
connect-campaigns:GetCampaignState -
connect-campaigns:GetCampaignStateBatch -
connect-campaigns:ListCampaigns -
connect-campaigns:UpdateOutboundCallConfig -
connect-campaigns:UpdateDialerConfig -
connect-campaigns:PauseCampaign -
connect-campaigns:ResumeCampaign -
connect-campaigns:StopCampaign用于与出站活动相关的所有操作。
-
必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限。
为 Amazon Connect 创建服务相关角色
无需手动创建服务相关角色。当您在中的 Amazon Connect 中创建新实例时AWS Management Console,Amazon Connect 为您创建服务相关角色。
如果删除此服务相关角色,然后需要再次创建,可以使用相同流程在账户中重新创建此角色。当您在 Amazon Connect 中创建新实例时,Amazon Connect 再次为您创建服务相关角色。
您也可以使用 IAM 控制台借助 AA mazon Connect-完全访问权限使用案例创建服务相关角色。在 IAM CLI 或 IAM API 中,用 connect.amazonaws.com 服务名称创建一个服务相关角色。有关更多信息,请参阅《IAM 用户指南》 中的创建服务相关角色。如果您删除了此服务相关角色,则可以使用此相同过程再次创建角色。
适用于 2018 年 10 月之前创建的实例
如果您的 Amazon Connect 实例是在 2018 年 10 月之前创建的,则您没有设置服务相关角色。要创建服务相关角色,请在账户概述页面上选择创建服务关联角色,如下图所示。
有关创建服务相关角色所需的 IAM 权限列表,请参阅使用自定义 IAM 策略管理对 Amazon Connect 控制台的访问所需的权限主题概述页面中的。
为 Amazon Connect 编辑服务相关角色
Amazon Connect 不允许您编辑AWSServiceRoleForAmazonConnect前缀服务相关角色。创建服务相关角色后,将无法更改角色名称,因为可能有多个实体引用该角色。但是可以使用 IAM 编辑角色说明。有关更多信息,请参阅 IAM 用户指南中的编辑服务相关角色。
检查服务相关角色是否具有 Amazon Lex 的权限
-
在 IAM 控制台的导航窗格中,选择角色。
-
以下代码示例显示如何将 IAM policy 附加到用户。
删除适用于 Amazon Connect 的服务相关角色
无需手动删除带前AWSServiceRoleForAmazonConnect缀角色。当您在中删除 Amazon Connect 实例时AWS Management Console,Amazon Connect 会清理资源并为您删除服务相关角色。
Amazon Connect 服务相关角色支持的区域
Amazon Connect 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 AWS 区域和终端节点。
