基于标签的访问控制 - Amazon Connect
使用 API/SDK 进行基于标签的访问控制使用 Amazon Connect 控制台进行基于标签的访问控制配置限制Amazon Connect 标签最佳实践

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

基于标签的访问控制

基于标签的访问控制使您能够根据分配的资源标签配置对特定资源的精细访问权限。您可以使用 API/SDK 或在 Amazon Connect 控制台(针对支持的资源)中配置基于标签的访问控制。

使用 API/SDK 进行基于标签的访问控制

要使用标签控制对您的 AWS 账户内资源的访问,您需要在 IAM 策略的条件元素中提供标签信息。例如,要根据您分配给语音 ID 域的标签控制对语音 ID 域的访问权限,请使用aws:ResourceTag/key-name条件键以及特定的运算符,例如StringEquals指定必须将哪个标签键:值对附加到该域,以便允许对其执行给定操作。

有关基于标签的访问控制的更多详细信息,请参阅 IAM 用户指南中的使用标签控制 AWS 资源的访问权限

使用 Amazon Connect 控制台进行基于标签的访问控制

资源标签是一种自定义的元数据标签,您可以将其添加到资源中,以便在搜索中更轻松地识别、组织和查找。您可以使用 Amazon Connect 软件开发工具包/API 以编程方式应用标签,对于某些资源,您可以从 Amazon Connect 控制台中应用标签。要了解有关资源标签的更多信息,请参阅在 Amazon Connect 中为资源添加标签

访问控制标签与资源标签类似,因为它使用相同的 key: Valu e 结构。但是,访问控制标签的区别在于,它引入了授权控制,将用户的访问权限限制为仅限于包含具有相同 key: Valu e 对的资源标签的指定资源。访问控制标签是在安全配置文件中定义的,方法是首先选择要控制访问的资源(路由配置文件、队列、用户等),然后定义要匹配的 Key: Value 对。将带有访问控制标签的安全配置文件应用于用户后,它将根据所选资源和访问控制标签(Key: Val ue)的定义组合限制用户的访问权限。如果不应用访问控制标签,则如果获得权限,用户将能够查看所有资源。

要使用标签控制对您的 Amazon Connect 实例管理网站内资源的访问,您需要在给定的安全配置文件中配置访问控制部分。例如,要根据分配给路由配置文件的标签来控制对路由配置文件的访问权限,您可以将该路由配置文件指定为访问控制资源,然后指定要允许访问的标签 key: Valu e 对。

配置限制

访问控制标签是在安全配置文件上配置的。您最多可以在一个安全配置文件上配置四个访问控制标记。添加额外的访问控制标签将使该安全配置文件更加严格。例如,如果您要添加两个访问控制标签(如Department:X和)Country:Y,则用户只能看到包含这两个标签的资源。

最多可以为用户分配两个包含访问控制标签的安全配置文件。将包含访问控制标签的多个安全配置文件分配给单个用户时,基于标签的访问控制将变得不那么严格。例如,如果用户有一个带有类似Country:USA访问控制标签的安全配置文件和另一个带有访问控制标签的类似的安全配置文件Country:Argentina,则用户将能够看到标有Country:USA或的资源Country:Argentina。用户可以拥有其他安全配置文件,前提是这些额外的安全配置文件不包含标签。在存在多个安全配置文件且资源权限重叠的情况下,没有基于标签的访问控制的安全配置文件将优先于具有基于标签的访问控制的安全配置文件。

需要服务关联角色才能配置资源标签访问控制标签。如果您的实例是在 2018 年 10 月之后创建的,则默认情况下,该实例将在您的 Amazon Connect 实例中可用。但是,如果您使用的是较旧的实例,请参阅在 Amazon Connect 中使用服务相关角色,了解如何启用服务关联角色的说明。

Amazon Connect 标签最佳实践

应用基于标签的访问控制是一项高级配置功能,由 Amazon Connect 支持,遵循责任AWS共担模式。请务必确保正确配置您的实例以符合所需的授权需求。如需了解更多信息,请查看责任AWS共担模型

对于启用基于标签的访问控制的资源,请确保至少启用了查看权限。这将确保您避免导致访问请求被拒绝的权限不一致。

基于标签的访问控制在资源级别启用,这意味着可以独立限制每种资源。在某些用例中,这可能是可以接受的,但同时对所有资源启用基于标签的访问控制被认为是最佳实践。例如,启用对用户的访问权限但不允许访问安全配置文件将允许用户创建具有取代目标用户访问控制设置的权限的安全配置文件。

当用户在应用基于标签的访问控制的情况下登录 Amazon Connect 控制台时,将无法访问他们受限的资源的历史变更日志。

作为最佳实践,在 Amazon Connect 控制台中应用基于标签的访问控制时,应禁用对以下资源/模块的访问权限。如果您不禁用对这些资源的访问权限,则在查看这些页面的特定资源上拥有基于标签的访问控制的用户可能会看到不受限制的用户、安全配置文件、路由配置文件或队列列表。有关如何管理权限的更多信息,请参阅安全配置文件权限列表

模块

禁用访问权限

联系人搜索

联系人搜索

控制面板

访问指标

流量/流量模块

流程模块-查看

预测

预测

历史变更/审计门户

访问指标

历史指标

历史指标

登录/登出报告

登录/注销报告-查看

出境活动

广告系列-查看

快速连接

快速连接 - 查看

规则

规则-查看

保存的报告

已保存的报告-查看

计划

日程管理器

计划

已发布的日程日历