本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Amazon Connect 的服务相关角色和角色权限
什么是服务相关角色 (SLR) 以及为什么它们非常重要?
Amazon Connect 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特类型的 IAM 角色,它与 Amazon Connect 实例直接相关。
服务相关角色由 Amazon Connect 预定义,包括 Amazon Connect 代表您调用其他 AWS 服务所需的所有权限。
您需要启用服务相关角色才能使用 Amazon Connect 中的新功能,例如标签支持、用户管理和路由配置文件中的新用户界面以及支持队列。 CloudTrail
有关支持服务相关角色的其它服务的信息,请参阅与 IAM 配合使用的AWS 服务,并查找服务相关角色列中为是的服务。选择是和链接,查看该服务的服务相关角色文档。
Amazon Connect 的服务相关角色权限
Amazon Connect 使用前缀为 AWSServiceRoleForAmazonConnect_ 的服务相关角色 unique-id — 授予 Amazon Connect 代表您访问 AWS 资源的权限。
带 AWSServiceRoleForAmazonConnect 前缀的服务相关角色信任以下服务来代入该角色:
-
connect.amazonaws.com
AmazonConnectServiceLinkedRolePolicy角色权限策略允许 Amazon Connect 对指定资源完成以下操作:
-
操作:对所有 Amazon Connect 资源执行的所有 Amazon Connect 操作,即
connect:*。 -
操作:IAM
iam:DeleteRole允许删除服务相关角色。 -
操作:Amazon S3
s3:GetObject、s3:DeleteObject、s3:GetBucketLocation和GetBucketAcl,适用于为记录的对话指定的 S3 存储桶。对于为导出报告指定的存储桶,它还授予
s3:PutObject、s3:PutObjectAcl和s3:GetObjectAcl。 -
操作:Amazon CloudWatch Logs
logs:CreateLogStreamlogs:DescribeLogStreams,然后发送logs:PutLogEvents到为流 CloudWatch 日志指定的日志组。 -
操作:Amazon Lex
lex:ListBots、lex:ListBotAliases,适用于在跨所有区域的账户中创建的所有自动程序。 -
操作:Amazon Connect Customer Profiles
-
profile:SearchProfiles -
profile:CreateProfile -
profile:UpdateProfile -
profile:AddProfileKey -
profile:ListProfileObjects -
profile:ListAccountIntegrations -
profile:ListProfileObjectTypeTemplates -
profile:GetProfileObjectTypeTemplate -
profile:ListProfileObjectTypes -
profile:GetProfileObjectType -
profile:ListCalculatedAttributeDefinitions -
profile:GetCalculatedAttributeForProfile -
profile:ListCalculatedAttributesForProfile -
profile:GetDomain -
profile:ListIntegrations -
profile:GetIntegration -
profile:PutIntegration -
profile:DeleteIntegration -
profile:CreateEventTrigger -
profile:GetEventTrigger -
profile:ListEventTriggers -
profile:UpdateEventTrigger -
profile:DeleteEventTrigger -
profile:CreateCalculatedAttributeDefinition -
profile:DeleteCalculatedAttributeDefinition -
profile:GetCalculatedAttributeDefinition -
profile:UpdateCalculatedAttributeDefinition -
profile:PutProfileObject -
profile:ListObjectTypeAttributes -
profile:ListProfileAttributeValues -
profile:BatchGetProfile -
profile:BatchGetCalculatedAttributeForProfile -
profile:ListSegmentDefinitions -
profile:CreateSegmentDefinition -
profile:GetSegmentDefinition -
profile:DeleteSegmentDefinition -
profile:CreateSegmentEstimate -
profile:GetSegmentEstimate -
profile:CreateSegmentSnapshot -
profile:GetSegmentSnapshot -
profile:GetSegmentMembership
将您的默认 Customer Profiles 域(包括域中的配置文件和所有对象类型)与 Amazon Connect 流和座席体验应用程序配合使用。
注意
每个 Amazon Connect 实例一次只能与一个域关联。但是,您可以将任何域链接到 Amazon Connect 实例。在同一 AWS 帐户和区域内,以
amazon-connect-前缀开头的所有域都会自动启用跨域访问。要限制跨域访问,您可以使用单独的 Amazon Connect 实例对数据进行逻辑分区,或者在同一实例中使用不以amazon-connect-前缀开头的 Customer Profiles 域名,从而防止跨域访问。 -
-
操作:Connect 中的 Amazon Q
-
wisdom:CreateContent -
wisdom:DeleteContent -
wisdom:CreateKnowledgeBase -
wisdom:GetAssistant -
wisdom:GetKnowledgeBase -
wisdom:GetContent -
wisdom:GetRecommendations -
wisdom:GetSession -
wisdom:NotifyRecommendationsReceived -
wisdom:QueryAssistant -
wisdom:StartContentUpload -
wisdom:UntagResource -
wisdom:TagResource -
wisdom:CreateSession -
wisdom:CreateQuickResponse -
wisdom:GetQuickResponse -
wisdom:SearchQuickResponses -
wisdom:StartImportJob -
wisdom:GetImportJob -
wisdom:ListImportJobs -
wisdom:ListQuickResponses -
wisdom:UpdateQuickResponse -
wisdom:DeleteQuickResponse -
wisdom:PutFeedback -
wisdom:ListContentAssociations -
wisdom:CreateMessageTemplate -
wisdom:UpdateMessageTemplate -
wisdom:UpdateMessageTemplateMetadata -
wisdom:GetMessageTemplate -
wisdom:DeleteMessageTemplate -
wisdom:ListMessageTemplates -
wisdom:SearchMessageTemplates -
wisdom:ActivateMessageTemplate -
wisdom:DeactivateMessageTemplate -
wisdom:CreateMessageTemplateVersion -
wisdom:ListMessageTemplateVersions -
wisdom:CreateMessageTemplateAttachment -
wisdom:DeleteMessageTemplateAttachment -
wisdom:RenderMessageTemplate -
wisdom:CreateAIAgent -
wisdom:CreateAIAgentVersion -
wisdom:DeleteAIAgent -
wisdom:DeleteAIAgentVersion -
wisdom:UpdateAIAgent -
wisdom:UpdateAssistantAIAgent -
wisdom:RemoveAssistantAIAgent -
wisdom:GetAIAgent -
wisdom:ListAIAgents -
wisdom:ListAIAgentVersions -
wisdom:CreateAIPrompt -
wisdom:CreateAIPromptVersion -
wisdom:DeleteAIPrompt -
wisdom:DeleteAIPromptVersion -
wisdom:UpdateAIPrompt -
wisdom:GetAIPrompt -
wisdom:ListAIPrompts -
wisdom:ListAIPromptVersions -
wisdom:CreateAIGuardrail -
wisdom:CreateAIGuardrailVersion -
wisdom:DeleteAIGuardrail -
wisdom:DeleteAIGuardrailVersion -
wisdom:UpdateAIGuardrail -
wisdom:GetAIGuardrail -
wisdom:ListAIGuardrails -
wisdom:ListAIGuardrailVersions -
wisdom:CreateAssistant -
wisdom:ListTagsForResource -
wisdom:SendMessage -
wisdom:GetNextMessage -
wisdom:ListMessages
在与您的 Amazon Connect 实例相关联的所有 Amazon Connect Amazon Q 的 Connect 资源上使用资源标签
'AmazonConnectEnabled':'True'。-
wisdom:ListAssistants -
wisdom:KnowledgeBases
在所有 Amazon Q in Connect 资源上。
-
-
操作:用于将实例的 A CloudWatch mazon Connect 使用指标发布到您的账户的亚马逊指标。
cloudwatch:PutMetricData -
操作:Amazon Pinpoint
sms:DescribePhoneNumbers和sms:SendTextMessage允许 Amazon Connect 发送短信。 -
操作:亚马逊 Pinpoint
mobiletargeting:SendMessages允许亚马逊 Connect 发送推送通知。 -
操作:Amazon Cognito 用户池
cognito-idp:DescribeUserPool和cognito-idp:ListUserPoolClients,并允许 Amazon Connect 对带有AmazonConnectEnabled资源标签的 Amazon Cognito 用户池资源进行选择读取操作。 -
操作:Amazon Chime SDK Voice Connector
chime:GetVoiceConnector允许 Amazon Connect 读取所有带有'AmazonConnectEnabled':'True'资源标签的 Amazon Chime SDK Voice Connector 资源。 -
操作:所有区域账户中创建的所有 Amazon Chime SDK Voice Connector 的 Amazon Chime SDK Voice Connector
chime:ListVoiceConnectors。 -
操作:Amazon Connect 消息 WhatsApp 集成。向以下 AWS 最终用户消息社交授予 Amazon Connect 权限 APIs:
-
social-messaging:SendWhatsAppMessage -
social-messaging:PostWhatsAppMessageMedia -
social-messaging:GetWhatsAppMessageMedia -
social-messaging:GetLinkedWhatsAppBusinessAccountPhoneNumber
社交仅限于 APIs 您启用了 Amazon Connect 的电话号码资源。电话号码在导入 Amazon Connect 实例
AmazonConnectEnabled : true时会被标记。 -
-
操作:Amazon Connect 消息 WhatsApp 集成。向以下最终用户消息社交授予 Amazon Connect 权限 APIs:
-
social-messaging:SendWhatsAppMessage -
social-messaging:PostWhatsAppMessageMedia -
social-messaging:GetWhatsAppMessageMedia -
social-messaging:GetLinkedWhatsAppBusinessAccountPhoneNumber
社交仅限于 APIs 您启用了 Amazon Connect 的电话号码资源。电话号码在导入 Amazon Connect 实例
AmazonConnectEnabled : true时会被标记。 -
-
行动:亚马逊 SES
-
ses:DescribeReceiptRule -
ses:UpdateReceiptRule
关于所有 Amazon SES 收据规则。用于发送和接收电子邮件。
-
ses:DeleteEmailIdentity用于 {instance-alias} .email.connect.aws SES 域身份。用于 Amazon Connect 提供的电子邮件域名管理。
-
ses:SendRawEmail用于发送包含 Amazon Connect 提供的 SES 配置集的电子邮件(configuration-set-for-connect-DO-NOT-DELETE)。
-
iam:PassRole适用于 Amazon SES 使用的 AmazonConnectEmailSESAccess角色服务角色。对于 Amazon SES 收据规则管理,Amazon SES 需要传递一个角色,由它代替。
-
在 Amazon Connect 中启用其他功能时,会为服务相关角色添加以下权限,以便使用内联策略访问与这些功能关联的资源:
-
操作:Amazon Data Firehose
firehose:DescribeDeliveryStream和firehose:PutRecord以及firehose:PutRecordBatch,适用于为座席事件流和联系记录定义的传输流。 -
操作:Amazon Kinesis Data Streams
kinesis:PutRecord、kinesis:PutRecords和kinesis:DescribeStream,适用于为座席事件流和联系记录定义的流。 -
操作:Amazon Lex
lex:PostContent,适用于添加到实例中的自动程序。 -
操作:Amazon Connect Voice-ID
voiceid:*,适用于与您的实例相关联的 Voice ID 域。 -
操作: EventBridge
events:PutRule以及events:PutTargets用于发布关联语音 ID 域的点击率记录的 Amazon Connect 托管 EventBridge 规则。 -
操作:出站活动
-
connect-campaigns:CreateCampaign -
connect-campaigns:DeleteCampaign -
connect-campaigns:DescribeCampaign -
connect-campaigns:UpdateCampaignName -
connect-campaigns:GetCampaignState -
connect-campaigns:GetCampaignStateBatch -
connect-campaigns:ListCampaigns -
connect-campaigns:UpdateOutboundCallConfig -
connect-campaigns:UpdateDialerConfig -
connect-campaigns:PauseCampaign -
connect-campaigns:ResumeCampaign -
connect-campaigns:StopCampaign
用于与出站活动相关的所有操作。
-
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限。
创建适用于 Amazon Connect 的服务相关角色
您无需手动创建服务相关角色。当您在的 Amazon Connect 中创建新实例时 AWS Management Console,Amazon Connect 会为您创建与服务相关的角色。
如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您在 Amazon Connect 中创建新实例时,Amazon Connect 将再次为您创建服务相关角色。
您也可以使用 IAM 控制台为 Amazon Connect – 完全访问权限应用场景创建服务相关角色。在 IAM CLI 或 IAM API 中,用 connect.amazonaws.com 服务名称创建一个服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的创建服务相关角色。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。
适用于 2018 年 10 月之前创建的实例
提示
登录管理 AWS 账户时遇到问题? 不知道谁在管理您的 AWS 账户? 如需帮助,请参阅解决 AWS 账户登录问题。
如果您的 Amazon Connect 实例是在 2018 年 10 月之前创建的,则您尚未设置服务相关角色。要创建服务相关角色,请在账户概览页面上,选择创建服务相关角色,如下图所示。
有关创建服务相关角色所需的 IAM 权限的列表,请参阅使用自定义 IAM 策略管理对 Amazon Connect 控制台的访问权限所需的权限主题中的“概述”页面。
对于在 2025 年 1 月 31 日之前创建并配置了用于加密数据的客户 KMS 密钥的客户资料域,您需要向 Amazon Connect 实例授予额外的 KMS 权限。
如果您关联的客户资料域是在 2025 年 1 月 31 日之前创建的,并且该域使用客户管理的 KMS 密钥 (CMK) 进行加密,则要启用 Connect 实例强制执行 CMK,请采取以下措施:
-
导航到 AWS 管理控制台中的客户资料页面,然后选择更新 KM Amazon Connect S 权限,为 Amazon Connect 实例提供服务相关角色 (SLR) 使用您的客户档案域 AWS KMS 密钥的权限。
-
向 Amazon Connect 客户档案团队创建支持
请求,请求为您的账户强制执行 CMK 权限。
有关更新您的 Amazon Connect 实例的 IAM 权限列表,请参阅自定义 IAM 策略所需的权限“客户资料”页面 。
编辑适用于 Amazon Connect 的服务相关角色
Amazon Connect 不允许您编辑带有 AWSServiceRoleForAmazonConnect 前缀的服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色。
检查服务相关角色对 Amazon Lex 是否具有权限
-
在 IAM 控制台的导航窗格中,选择角色。
-
以下代码示例显示如何将 IAM 策略附加到用户。
删除适用于 Amazon Connect 的服务相关角色
您无需手动删除带 AWSServiceRoleForAmazonConnect 前缀的角色。当您在中删除您的 Amazon Connect 实例时 AWS Management Console,Amazon Connect 会为您清理资源并删除服务相关角色。
Amazon Connect 服务相关角色支持的区域
Amazon Connect 支持在已推出该服务的所有区域中使用服务相关角色。有关更多信息,请参阅AWS 区域和端点。
