Amazon Connect 的安全最佳实践

Amazon Connect 提供了在您开发和实施自己的安全策略时需要考虑的大量安全功能。以下最佳实践是一般指导原则，并不代表完整安全解决方案。这些最佳实践可能不适合环境或不满足环境要求，请将其视为有用的考虑因素而不是惯例。

Amazon Connect 预防性安全最佳实践

• 确保所有配置文件权限的限制性都尽可能高。仅允许访问用户角色绝对需要的那些资源。例如，不要授予座席在 Amazon Connect 中创建、读取或更新用户的权限。

• 确保通过 SAML 2.0 身份提供商或 Radius 服务器（如果这更适用于您的应用场景）设置多重身份验证 (MFA)。设置 MFA 后，Amazon Connect 登录页面上会显示第三个文本框以提供第二个因素。

• 如果您使用现有目录 AWS Directory Service 或基于 SAML 的身份验证进行身份管理，请确保遵守适用于您的用例的所有安全要求。

• 仅在紧急情况下使用 AWS 控制台实例页面上的登录紧急访问网址，而不是日常使用。有关更多信息，请参阅紧急管理员登录。

使用服务控制策略 (SCP)

服务控制策略 (SCP) 是一种组织策略，可用于管理组织中的权限。SCP 为账户管理员可以委派给受影响账户中的用户和角色的操作定义防护机制或设置限制。您可以使用 SCP 来保护与您的 Amazon Connect 工作负载相关联的关键资源。

设置服务控制策略以防止删除关键资源

如果您使用基于 SAML 2.0 的身份验证并删除用于对 Amazon Connect 用户进行身份验证的 AWS IAM 角色，则用户将无法登录 Amazon Connect 实例。您将需要删除并重新创建用户才能与新角色相关联。这样会导致删除与这些用户相关联的所有数据。

为了防止意外删除关键资源并保护 Amazon Connect 实例的可用性，您可以将服务控制策略 (SCP) 设置为额外的控制。

以下是 SCP 示例，可以应用于 AWS 账户、组织单位或组织根目录，以防止删除 Amazon Connect 实例和相关角色：

{    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonConnectRoleDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "iam:DeleteRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/Amazon Connect user role"
      ]
    },
    {
      "Sid": "AmazonConnectInstanceDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "connect:DeleteInstance"         
      ],
      "Resource": [
        "Amazon Connect instance ARN"
      ]
    }
  ]
} 

Amazon Connect 检测性安全最佳实践

日志记录和监控对于联系中心的可用性、可靠性和性能非常重要。您应该记录来 CloudWatch 自 Amazon Connect 流的相关信息，并基于这些信息创建警报和通知。

尽早定义日志保留要求和生命周期策略，并计划尽快将日志文件移至经济高效的存储位置。Amazon Connect 公共 API 登录到 CloudTrail。根据 CloudTrail 日志查看并自动执行操作。

建议采用 Amazon S3 对日志数据进行长期保留和存档，特别是对于具有合规性计划的组织更是如此，这些组织要求以本机格式对日志数据进行审计。将日志数据存入 Amazon S3 存储桶后，定义生命周期规则以自动强制执行保留策略，并将这些对象移至其他经济高效的存储类，例如 Amazon S3 Standard - 不频繁访问（标准 IA）或 Amazon S3 Glacier。

AWS 云提供了灵活的基础架构和工具，以支持复杂的合作伙伴产品和自我管理的集中式日志解决方案。这包括诸如亚马逊 OpenSearch 服务和亚马逊 CloudWatch 日志之类的解决方案。

您可以根据自己的要求自定义 Amazon Connect 流，从而对传入联系人实施欺诈检测和防范。例如，您可以在 Dynamo DB 中对照之前的联系人活动来检查传入联系人，然后采取措施，例如断开拒绝列表上的联系人的连接。