将服务相关角色用于 Amazon Connect - Amazon Connect

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将服务相关角色用于 Amazon Connect

什么是服务相关角色 (SLR) 以及为什么它们非常重要?

Amazon Connect 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特类型的 IAM 角色,它与 Amazon Connect 实例直接相关。

服务相关角色由 Amazon Connect 预定义,包括 Amazon Connect 代表您调用其他 AWS 服务所需的所有权限

您需要启用服务相关角色才能使用 Amazon Connect 中的新功能,例如标签支持、用户管理和路由配置文件中的新用户界面以及支持队列。 CloudTrail

有关支持服务相关角色的其他服务的信息,请参阅可与 IAM 搭配使用的AWS 服务,并查找服务相关角色列中为的服务。选择和链接,查看该服务的服务相关角色文档。

Amazon Connect 的服务相关角色权限

Amazon Connect 使用带有前缀 AWSServiceRoleForAmazonConnect_ uni que-id 的服务相关角色 — 授予 Amazon Connect 代表您访问 AWS 资源的权限。

带 AWSServiceRoleForAmazonConnect 前缀的服务相关角色信任以下服务来代入该角色:

  • connect.amazonaws.com

AmazonConnectServiceLinkedRolePolicy角色权限策略允许 Amazon Connect 对指定资源完成以下操作:

  • 操作:对所有 Amazon Connect 资源执行的所有 Amazon Connect 操作,即 connect:*

  • 操作:IAM iam:DeleteRole 允许删除服务相关角色。

  • 操作:Amazon S3 s3:GetObjects3:DeleteObjects3:GetBucketLocationGetBucketAcl,适用于为记录的对话指定的 S3 存储桶。

    对于为导出报告指定的存储桶,它还授予 s3:PutObjects3:PutObjectAcls3:GetObjectAcl

  • 操作:Amazon CloudWatch Logs logs:CreateLogStreamlogs:DescribeLogStreams,然后发送logs:PutLogEvents到为流 CloudWatch 日志指定的日志组。

  • 操作:Amazon Lex lex:ListBotslex:ListBotAliases,适用于在跨所有区域的账户中创建的所有自动程序。

  • 操作:Amazon Connect Customer Profiles

    • profile:SearchProfiles

    • profile:CreateProfile

    • profile:UpdateProfile

    • profile:AddProfileKey

    • profile:ListProfileObjects

    • profile:ListAccountIntegrations

    • profile:ListProfileObjectTypeTemplates

    • profile:GetProfileObjectTypeTemplate

    • profile:ListProfileObjectTypes

    • profile:GetProfileObjectType

    • profile:ListCalculatedAttributeDefinitions

    • profile:GetCalculatedAttributeForProfile

    • profile:ListCalculatedAttributesForProfile

    • profile:GetDomain

    • profile:ListIntegrations

    • profile:CreateCalculatedAttributeDefinition

    • profile:DeleteCalculatedAttributeDefinition

    • profile:GetCalculatedAttributeDefinition

    • profile:UpdateCalculatedAttributeDefinition

    将您的默认 Customer Profiles 域(包括域中的配置文件和所有对象类型)与 Amazon Connect 流和座席体验应用程序配合使用。

  • 操作:Amazon Connect Amazon Q in Connect

    • wisdom:CreateContent

    • wisdom:DeleteContent

    • wisdom:CreateKnowledgeBase

    • wisdom:GetAssistant

    • wisdom:GetKnowledgeBase

    • wisdom:GetContent

    • wisdom:GetRecommendations

    • wisdom:GetSession

    • wisdom:NotifyRecommendationsReceived

    • wisdom:QueryAssistant

    • wisdom:StartContentUpload

    • wisdom:UntagResource

    • wisdom:TagResource

    • wisdom:CreateSession

    • wisdom:CreateQuickResponse

    • wisdom:GetQuickResponse

    • wisdom:SearchQuickResponses

    • wisdom:StartImportJob

    • wisdom:GetImportJob

    • wisdom:ListImportJobs

    • wisdom:ListQuickResponses

    • wisdom:UpdateQuickResponse

    • wisdom:DeleteQuickResponse

    • wisdom:PutFeedback

    在与您的 Amazon Connect 实例相关联的所有 Amazon Connect Amazon Q in Connect 资源上使用资源标签 'AmazonConnectEnabled':'True'

    • wisdom:ListAssistants

    • wisdom:KnowledgeBases

    在所有 Amazon Connect Amazon Q in Connect 资源上。

  • 操作:用于将实例的 A CloudWatch mazon Connect 使用指标发布到您的账户的亚马逊指标。cloudwatch:PutMetricData

  • 操作:Amazon Pinpoint sms:DescribePhoneNumberssms:SendTextMessage 允许 Amazon Connect 发送短信。

在 Amazon Connect 中启用其他功能时,会为服务相关角色添加以下权限,以便使用内联策略访问与这些功能关联的资源:

  • 操作:Amazon Data Firehose firehose:DescribeDeliveryStreamfirehose:PutRecord,以及firehose:PutRecordBatch为代理事件流和联系人记录定义的传输流。

  • 操作:Amazon Kinesis Data Streams kinesis:PutRecordkinesis:PutRecordskinesis:DescribeStream,适用于为座席事件流和联系记录定义的流。

  • 操作:Amazon Lex lex:PostContent,适用于添加到实例中的自动程序。

  • 操作:Amazon Connect Voice-ID voiceid:*,适用于与您的实例相关联的 Voice ID 域。

  • 操作: EventBridge events:PutRule以及events:PutTargets用于发布关联语音 ID 域的点击率记录的 Amazon Connect 托管 EventBridge 规则。

  • 操作:出站活动

    • connect-campaigns:CreateCampaign

    • connect-campaigns:DeleteCampaign

    • connect-campaigns:DescribeCampaign

    • connect-campaigns:UpdateCampaignName

    • connect-campaigns:GetCampaignState

    • connect-campaigns:GetCampaignStateBatch

    • connect-campaigns:ListCampaigns

    • connect-campaigns:UpdateOutboundCallConfig

    • connect-campaigns:UpdateDialerConfig

    • connect-campaigns:PauseCampaign

    • connect-campaigns:ResumeCampaign

    • connect-campaigns:StopCampaign

    用于与出站活动相关的所有操作。

您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限

创建适用于 Amazon Connect 的服务相关角色

您无需手动创建服务相关角色。当您在的 Amazon Connect 中创建新实例时 AWS Management Console,Amazon Connect 会为您创建与服务相关的角色。

如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您在 Amazon Connect 中创建新实例时,Amazon Connect 将再次为您创建服务相关角色。

您也可以使用 IAM 控制台为 Amazon Connect – 完全访问权限应用场景创建服务相关角色。在 IAM CLI 或 IAM API 中,用 connect.amazonaws.com 服务名称创建一个服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的创建服务相关角色。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。

适用于 2018 年 10 月之前创建的实例

提示

登录管理 AWS 账户时遇到问题? 不知道谁管理你的 AWS 账户? 如需帮助,请参阅AWS 账户登录问题疑难解答

如果您的 Amazon Connect 实例是在 2018 年 10 月之前创建的,则您尚未设置服务相关角色。要创建服务相关角色,请在账户概览页面上,选择创建服务相关角色,如下图所示。

“账户概览”页面上的“创建服务相关角色”按钮。

有关创建服务相关角色所需的 IAM 权限的列表,请参阅使用自定义 IAM 策略管理 Amazon Connect 管理网站访问权限所需的权限主题中的“概述”页面

编辑适用于 Amazon Connect 的服务相关角色

Amazon Connect 不允许您编辑带有 AWSServiceRoleForAmazonConnect 前缀的服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色

检查服务相关角色对 Amazon Lex 是否具有权限

  1. 在 IAM 控制台的导航窗格中,选择角色

  2. 以下代码示例显示如何将 IAM 策略附加到用户。

删除适用于 Amazon Connect 的服务相关角色

您无需手动删除带 AWSServiceRoleForAmazonConnect 前缀的角色。当您在中删除您的 Amazon Connect 实例时 AWS Management Console,Amazon Connect 会为您清理资源并删除服务相关角色。

Amazon Connect 服务相关角色支持的区域

Amazon Connect 支持在已推出该服务的所有区域中使用服务相关角色。有关更多信息,请参阅AWS 区域和端点