为 Amazon Connect 使用服务相关角色和角色权限 - Amazon Connect

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Amazon Connect 使用服务相关角色和角色权限

什么是服务相关角色 (SLR)?它们为何重要?

Amazon Connect 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特的角色类型,直接链接到 Amazon Connect 实例。IAM

服务相关角色由 Amazon Connect 预定义,包括 Amazon Connect 代表您调用其他 AWS 服务所需的所有权限

您需要启用服务相关角色才能使用 Amazon Connect 中的新功能,例如标签支持、用户管理和路由配置文件中的新用户界面以及支持队列。 CloudTrail

有关支持服务相关角色的其他服务的信息,请参阅与服务关联角色配合使用的AWS 服务,IAM并在 “服务相关角色” 列中查找 “” 的服务。选择和链接,查看该服务的服务相关角色文档。

Amazon Connect 的服务相关角色权限

Amazon Connect 使用前缀为 AWSServiceRoleForAmazonConnect_ 的服务相关角色unique-id — 授予 Amazon Connect 代表您访问 AWS 资源的权限。

带 AWSServiceRoleForAmazonConnect 前缀的服务相关角色信任以下服务来代入该角色:

  • connect.amazonaws.com

AmazonConnectServiceLinkedRolePolicy角色权限策略允许 Amazon Connect 对指定资源完成以下操作:

  • 操作:对所有 Amazon Connect 资源执行的所有 Amazon Connect 操作,即 connect:*

  • 操作:IAMiam:DeleteRole允许删除服务相关角色。

  • 操作:Amazon S3 s3:GetObjects3:DeleteObjects3:GetBucketLocationGetBucketAcl,适用于为记录的对话指定的 S3 存储桶。

    对于为导出报告指定的存储桶,它还授予 s3:PutObjects3:PutObjectAcls3:GetObjectAcl

  • 操作:Amazon CloudWatch Logs logs:CreateLogStreamlogs:DescribeLogStreams,然后发送logs:PutLogEvents到为流 CloudWatch 日志指定的日志组。

  • 操作:Amazon Lex lex:ListBotslex:ListBotAliases,适用于在跨所有区域的账户中创建的所有自动程序。

  • 操作:Amazon Connect Customer Profiles

    • profile:SearchProfiles

    • profile:CreateProfile

    • profile:UpdateProfile

    • profile:AddProfileKey

    • profile:ListProfileObjects

    • profile:ListAccountIntegrations

    • profile:ListProfileObjectTypeTemplates

    • profile:GetProfileObjectTypeTemplate

    • profile:ListProfileObjectTypes

    • profile:GetProfileObjectType

    • profile:ListCalculatedAttributeDefinitions

    • profile:GetCalculatedAttributeForProfile

    • profile:ListCalculatedAttributesForProfile

    • profile:GetDomain

    • profile:ListIntegrations

    • profile:CreateCalculatedAttributeDefinition

    • profile:DeleteCalculatedAttributeDefinition

    • profile:GetCalculatedAttributeDefinition

    • profile:UpdateCalculatedAttributeDefinition

    • profile:PutProfileObject

    将您的默认 Customer Profiles 域(包括域中的配置文件和所有对象类型)与 Amazon Connect 流和座席体验应用程序配合使用。

    注意

    每个 Amazon Connect 实例一次只能与一个域关联。但是,您可以将任何域名关联到 Amazon Connect 实例。系统会自动为所有以该前缀amazon-connect-开头的域名启用同一AWS账户和区域内的跨域访问。要限制跨域访问,您可以使用单独的 Amazon Connect 实例对数据进行逻辑分区,也可以在同一实例中使用不以amazon-connect-前缀开头的 Customer Profiles 域名,从而防止跨域访问。

  • 操作:Amazon Connect Amazon Q in Connect

    • wisdom:CreateContent

    • wisdom:DeleteContent

    • wisdom:CreateKnowledgeBase

    • wisdom:GetAssistant

    • wisdom:GetKnowledgeBase

    • wisdom:GetContent

    • wisdom:GetRecommendations

    • wisdom:GetSession

    • wisdom:NotifyRecommendationsReceived

    • wisdom:QueryAssistant

    • wisdom:StartContentUpload

    • wisdom:UntagResource

    • wisdom:TagResource

    • wisdom:CreateSession

    • wisdom:CreateQuickResponse

    • wisdom:GetQuickResponse

    • wisdom:SearchQuickResponses

    • wisdom:StartImportJob

    • wisdom:GetImportJob

    • wisdom:ListImportJobs

    • wisdom:ListQuickResponses

    • wisdom:UpdateQuickResponse

    • wisdom:DeleteQuickResponse

    • wisdom:PutFeedback

    • wisdom:ListContentAssociations

    在与您的 Amazon Connect 实例相关联的所有 Amazon Connect Amazon Q in Connect 资源上使用资源标签 'AmazonConnectEnabled':'True'

    • wisdom:ListAssistants

    • wisdom:KnowledgeBases

    在所有 Amazon Connect Amazon Q in Connect 资源上。

  • 操作:用于将实例的 A CloudWatch mazon Connect 使用指标发布到您的账户的亚马逊指标。cloudwatch:PutMetricData

  • 操作:亚马逊 Pinpoint sms:DescribePhoneNumberssms:SendTextMessage允许 Amazon Connect 发送。SMS

  • 操作:Amazon Cognito 用户池,cognito-idp:DescribeUserPoolcognito-idp:ListUserPoolClients允许 Amazon Connect 访问带有资源标签的 Amazon Cognito 用户池资源的精选读取操作。AmazonConnectEnabled

  • 操作:Amazon Chime SDK Voice Connector chime:GetVoiceConnector 允许对所有带有资源标签的 Amazon SDK Chime Voice Connector 资源进行 Amazon Connector 的读取权限。'AmazonConnectEnabled':'True'

  • 操作:Amazon Chime SDK 语音连接器chime:ListVoiceConnectors适用于在所有地区的账户中创建的所有亚马逊 SDK Chime 语音连接器。

在 Amazon Connect 中启用其他功能时,会为服务相关角色添加以下权限,以便使用内联策略访问与这些功能关联的资源:

  • 操作:Amazon Data Firehose firehose:DescribeDeliveryStreamfirehose:PutRecord,以及firehose:PutRecordBatch为代理事件流和联系人记录定义的传输流。

  • 操作:Amazon Kinesis Data Streams kinesis:PutRecordkinesis:PutRecordskinesis:DescribeStream,适用于为座席事件流和联系记录定义的流。

  • 操作:Amazon Lex lex:PostContent,适用于添加到实例中的自动程序。

  • 操作:Amazon Connect Voice-ID voiceid:*,适用于与您的实例相关联的 Voice ID 域。

  • 操作: EventBridge events:PutRule以及events:PutTargets用于发布关联语音 ID 域名CTR记录的 Amazon Connect 托管 EventBridge 规则。

  • 操作:出站活动

    • connect-campaigns:CreateCampaign

    • connect-campaigns:DeleteCampaign

    • connect-campaigns:DescribeCampaign

    • connect-campaigns:UpdateCampaignName

    • connect-campaigns:GetCampaignState

    • connect-campaigns:GetCampaignStateBatch

    • connect-campaigns:ListCampaigns

    • connect-campaigns:UpdateOutboundCallConfig

    • connect-campaigns:UpdateDialerConfig

    • connect-campaigns:PauseCampaign

    • connect-campaigns:ResumeCampaign

    • connect-campaigns:StopCampaign

    用于与出站活动相关的所有操作。

必须配置权限以允许实IAM体(例如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM用户指南》中的服务相关角色权限

创建适用于 Amazon Connect 的服务相关角色

您无需手动创建服务相关角色。当您在的 Amazon Connect 中创建新实例时 AWS Management Console,Amazon Connect 会为您创建与服务相关的角色。

如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您在 Amazon Connect 中创建新实例时,Amazon Connect 将再次为您创建服务相关角色。

您还可以使用IAM控制台通过 Amazon Connect-完全访问用例创建服务相关角色。在IAMCLI或中 IAMAPI,使用服务名称创建服务相关角色。connect.amazonaws.com有关更多信息,请参阅《IAM用户指南》中的创建服务相关角色。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。

适用于 2018 年 10 月之前创建的实例

提示

登录管理 AWS 账户时遇到问题? 不知道谁管理你的 AWS 账户? 如需帮助,请参阅AWS 账户登录问题疑难解答

如果您的 Amazon Connect 实例是在 2018 年 10 月之前创建的,则您尚未设置服务相关角色。要创建服务相关角色,请在账户概览页面上,选择创建服务相关角色,如下图所示。

“账户概览”页面上的“创建服务相关角色”按钮。

有关创建服务相关角色所需的IAM权限列表,请参阅使用自定义IAM策略管理 Amazon Connect 管理网站访问权限所需的权限主题“概述”页面中的。

编辑适用于 Amazon Connect 的服务相关角色

Amazon Connect 不允许您编辑带有 AWSServiceRoleForAmazonConnect 前缀的服务相关角色。创建服务相关角色后,将无法更改角色名称,因为可能有多个实体引用该角色。但是,您可以使用编辑角色的描述IAM。有关更多信息,请参阅《IAM用户指南》中的编辑服务相关角色

检查服务相关角色对 Amazon Lex 是否具有权限

  1. 在IAM控制台的导航窗格上,选择角色

  2. 以下代码示例显示如何将 IAM 策略附加到用户。

删除适用于 Amazon Connect 的服务相关角色

您无需手动删除带 AWSServiceRoleForAmazonConnect 前缀的角色。当您在中删除您的 Amazon Connect 实例时 AWS Management Console,Amazon Connect 会为您清理资源并删除服务相关角色。

Amazon Connect 服务相关角色支持的区域

Amazon Connect 支持在已推出该服务的所有区域中使用服务相关角色。有关更多信息,请参阅AWS 区域和端点