层次结构访问控制(预览) - Amazon Connect
背景使用/进行基于层次结构的API访问控制 SDK使用 Amazon Connect 控制台进行基于层次结构的访问控制配置限制应用基于层次结构的访问控制的最佳实践

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

层次结构访问控制(预览)

这是面向预览版中服务的预发行文档。本文档随时可能更改。

您可以根据分配给用户的代理层次结构限制对联系人的访问权限。这是通过使用诸如 “限制联系人访问权限” 之类的权限来实现的。除了这些权限外,层次结构还可以与标签一起用于对资源(例如用户)实施精细的访问控制。本页的其余部分包含有关配置基于层次结构的访问控制(当前为预览版)的更多详细信息。

背景

基于层次结构的访问控制允许您根据分配给用户的代理层次结构配置对特定资源的精细访问权限。 您可以使用API/SDK或在 Amazon Connect 控制台中为支持的资源配置基于层次结构的访问控制。 

当前,唯一支持基于层次结构的访问控制的资源是用户。此授权模型与基于标签的访问控制配合使用,允许您限制用户的访问权限,以便他们只能看到属于其层次结构组且具有与之关联的特定标签的其他用户。

使用/进行基于层次结构的API访问控制 SDK

为了使用层次结构来控制对 AWS 账户内资源的访问权限,您需要在IAM策略的条件元素中提供层次结构的信息。例如,要控制对属于特定层次结构的用户的访问权限,请使用connect:HierarchyGroupL3Id/hierarchyGroupId条件键以及特定运算符,例如StringEquals指定该用户必须属于哪个层次结构组,以便允许其执行给定操作。支持的条件键有:

  1. 连接:HierarchyGroupL1Id/ hierarchyGroupId

  2. connect:HierarchyGroupL2Id/hierarchyGroupId

  3. connect:HierarchyGroupL3Id/hierarchyGroupId

  4. connect:HierarchyGroupL4Id/hierarchyGroupId

  5. connect:HierarchyGroupL5Id/hierarchyGroupId

每个都表示用户层次结构中特定级别中给定层次结构组的 ID。

有关基于层次结构的访问控制的更多详细信息,请参阅《IAM用户指南》中的使用标签控制对 AWS 资源的访问权限

使用 Amazon Connect 控制台进行基于层次结构的访问控制

要使用层次结构来控制对您的 Amazon Connect 实例管理网站内资源的访问,您需要在给定的安全配置文件中配置访问控制部分。例如,要根据给定用户所属的层次结构为其启用精细的访问控制访问权限,您需要将该用户配置为访问控制资源。在这种情况下,您将有两个选择:

  1. 根据用户的层次结构实施基于层次结构的访问控制:这将确保获得访问权限的用户只能管理属于其层次结构的用户。例如,为给定用户启用此配置将使他们能够管理属于其层次结构组或子层次结构组的其他用户。这将确保获得访问权限的用户只能管理属于其层次结构的用户。例如,为主管启用此配置将使他们能够管理属于其层次结构组或子层次结构组的其他用户。

  2. 基于特定层次结构实施基于层次结构的访问控制:这将确保获得访问权限的用户只能管理属于安全配置文件中定义的层次结构的用户。例如,为给定用户启用此配置将使他们能够管理属于安全配置文件中指定的层次结构组或子层次结构组的其他用户。

配置限制

精细的访问控制是在安全配置文件上配置的。 最多可以为用户分配两个安全配置文件,以实施精细的访问控制。 在这种情况下,权限的限制性将降低,并充当两个权限集的组合。例如,如果一个安全配置文件强制执行基于层次结构的访问控制,而另一个安全配置文件强制执行基于标签的访问控制,则用户将能够管理属于同一层次结构或使用给定标签标记的任何用户。如果将基于标签的访问控制和基于层次结构的访问控制配置为同一个安全配置文件的一部分,则需要同时满足这两个条件。在这种情况下,用户只能管理属于同一层次结构并使用给定标签标记的用户。 

一个用户可以拥有两个以上的安全配置文件,前提是这些额外的安全配置文件不强制执行精细的访问控制。如果存在多个安全配置文件具有重叠的资源权限,则没有基于层次结构的访问控制的安全配置文件将优先于具有基于层次结构的访问控制的安全配置文件。

需要服务关联角色才能配置基于层次结构的访问控制。如果您的实例是在 2018 年 10 月之后创建的,则默认情况下,Amazon Connect 实例将提供此功能。但是,如果您使用的是较旧的实例,请参阅在 Amazon Connect 中使用服务相关角色以获取有关如何启用服务关联角色的说明。

应用基于层次结构的访问控制的最佳实践

应用基于层次结构的访问控制是 Amazon Connect 支持的一项高级配置功能,它遵循责任 AWS 共担模式。请务必确保正确配置您的实例以符合所需的授权需求。有关更多信息,请查看责任AWS 共担模型

对于启用基于层次结构的访问控制的资源,请确保至少启用了查看权限。这将确保您避免因权限不一致而导致的访问请求被拒绝。在资源级别启用了基于层次结构的访问控制,这意味着可以单独限制每种资源。请务必仔细检查在实施基于层次结构的访问控制时授予的权限。 例如,启用层次结构限制用户访问权限和查看/编辑权限安全配置文件,将允许用户创建/更新具有取代目标用户访问控制设置的权限的安全配置文件。

在应用了基于层次结构的访问控制的情况下登录到 Amazon Connect 控制台时,用户将无法访问其受限资源的历史变更日志。

尝试将子资源分配给具有基于层次结构的子资源访问控制的父资源时,如果子资源不属于您的层次结构,则该操作将被拒绝。例如,如果您尝试将用户分配给 Quick Connect,但您无权访问该用户的层次结构,则操作将失败。但是,对于取消关联来说,情况并非如此。假设您有权访问 Quick Connect,即使强制实施了基于层次结构的访问控制,您也可以自由解除用户的关联。这是因为取消关联是指丢弃两个资源之间的现有关系(而不是新的关联),并被建模为父资源(在本例中为 Quick Connect)的一部分,用户已经可以访问该资源。因此,在对用户资源实施基于层次结构的访问控制时,重要的是要考虑授予父资源的权限,因为用户可能会在主管不知情的情况下取消关联。

作为最佳实践,在 Amazon Connect 控制台中应用基于层次结构的访问控制时,应禁用对以下资源/模块的访问权限。如果您不禁用对这些资源的访问权限,则对查看这些页面的特定资源具有基于层次结构的访问控制的用户可能会看到不受限制的用户列表。有关如何管理权限的更多信息,请参阅安全配置文件权限列表

模块 禁用访问的权限
联系搜索 搜索联系人-查看
历史变更/审计门户 访问指标 - 访问
实时指标 实时指标-访问权限
历史指标 历史指标-访问权限
登录/注销报告 登录/退出报告-查看
规则 规则 - 查看
已保存的报告 已保存的报告 - 查看
座席层次结构 代理层次结构-查看
流/流模块 流模块 - 查看
调度 日程安排管理器 - 查看