本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
基于标签的访问控制
基于标签的访问控制使您能够根据分配的资源标签配置对特定资源的精细访问权限。您可以使用 API/SDK 或在 Amazon Connect 控制台(获取支持的资源)中配置基于标签的访问控制。
使用 API/SDK 的访问控制
要使用标签控制对 AWS 账户内资源的访问,您需要在 IAM 策略的条件元素中提供标签信息。例如,要根据您为其分配的标签控制对语音 ID 域的访问权限,请使用aws:ResourceTag/key-name
条件键以及特定的运算符,例如StringEquals
指定必须将哪个标签键:valu e 对附加到该域,以允许对其执行给定操作。
有关基于标签的访问控制的更多详细信息,请参阅《IAM 用户指南》中的使用标签控制对 AWS 资源的访问。
使用 Amazon Connect 控制台的访问控制
资源标签是一种自定义的元数据标签,您可以将其添加到资源中,以便在搜索中更容易识别、组织和查找。您可以使用 Amazon Connect 软件开发工具包/API 以编程方式应用标签,对于某些资源,您可以从 Amazon Connect 控制台中应用标签。要了解有关资源标签的更多信息,请参阅在 Amazon Connect 中为资源添加。
访问控制标签与资源标签类似,因为它使用相同的 key: Valu e 结构。但是,访问控制标签的区别在于,它引入了授权控制,限制用户的访问权限,仅限于包含具有相同 key: Valu e 对的资源标签的指定资源。访问控制标签是在安全配置文件中定义的,方法是首先选择要控制访问的资源(路由配置文件、队列、用户等),然后定义要匹配的 key: Valu e 对。将带有访问控制标签的安全配置文件应用于用户后,它将根据所选资源和访问控制标签(key: Val ue)的定义组合来限制用户的访问权限。在不应用访问控制标签的情况下,如果获得权限,用户将能够查看所有资源。
要使用标签控制对您的 Amazon Connect 实例管理网站内资源的访问权限,您需要在给定的安全配置文件中配置访问控制部分。例如,要根据分配给路由配置文件的标签控制对路由配置文件的访问权限,您需要将该路由配置文件指定为访问控制资源,然后指定要启用对哪个标签键:值对的访问权限。
配置限制
访问控制标签是在安全配置文件上配置的。您最多可以在单个安全配置文件上配置两个访问控制标签。添加额外的访问控制标签将使该安全配置文件更具限制性。例如,如果您要添加两个访问控制标签,例如Department:X
和Country:Y
,则用户将只能看到包含这两个标签的资源。
最多可以为用户分配一个包含访问控制标签的安全配置文件。他们可以有其他安全配置文件,只要这些额外的安全配置文件不包含标签。在存在多个资源权限重叠的安全配置文件的情况下,没有基于标签的访问控制的安全配置文件将强制执行于具有基于标签的访问控制的安全配置文件。
需要服务关联角色才能配置资源标签或访问控制标签。如果您的实例是在 2018 年 10 月之后创建的,则默认情况下,这将在您的 Amazon Connect 实例中可用。但是,如果您使用的是较旧的实例,请参阅在 Amazon Connect 中使用服务关联角色,了解如何启用服务关联角色的说明。
Amazon Connect 标记最佳实践
应用基于标签的访问控制是一项高级配置功能,由 Amazon Connect 支持,遵循AWS分担责任模式。重要的是要确保正确配置实例以满足所需的授权需求。有关更多信息,请查看责任AWS分担模型
确保对启用基于标签的访问控制的资源至少启用了查看权限。这将确保您避免权限不一致导致访问请求被拒绝。
基于标签的访问控制在资源级别启用,这意味着可以单独限制每个资源。在某些用例中,这可能是可以接受的,但最好同时对所有资源启用基于标签的访问控制。例如,启用用户访问权限但不启用安全配置文件,将允许用户创建具有取代预期用户访问控制设置的权限的安全配置文件。
在应用基于标签的访问控制的情况下登录 Amazon Connect 控制台时,用户将无法访问受限资源的历史变更日志。
最佳做法是,在 Amazon Connect 控制台中应用基于标签的访问控制时,应禁用对以下资源/模块的访问权限。如果您不禁用对这些资源的访问权限,则在查看这些页面的特定资源上具有基于标签的访问控制的用户可能会看到不受限制的用户、安全配置文件、路由配置文件或队列列表。有关如何管理许可的更多信息,请参阅安全配置文件权限列表。
模块 |
禁用访问权限 |
---|---|
客服活动审核 |
客服活动审核 |
联系人搜索 |
联系人搜索 |
控制面板 |
访问指标 |
流量/流量模块 |
接触流模块-查看 |
预测 |
预测 |
历史变更/审计门户 |
访问指标 |
历史指标 |
历史指标 |
登录/登出报告 |
登录/注销报告-查看 |
出站活动 |
广告活动-查看 |
快速连接 |
快速连接 - 查看 |
规则 |
规则-查看 |
已保存的报告 |
已保存的报告-查看 |
计划 |
日程安排经理 |