設定 IP 位址限制和工作階段逾時 - Amazon Connect
設定 IP 位址範圍和工作階段持續期設定以 IP 為基礎的存取控制IP 位址組態範例配置會話持續時間

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 IP 位址限制和工作階段逾時

注意

此功能正在預覽版中,可能會有所變更。若要取得此功能的存取權,請聯絡您的 Amazon Connect 解決方案架構師、技術客戶經理或 AWS Support。

您可以設定 IP 位址限制和工作階段逾時,進一步鎖定您的聯絡中心,以符合您所在產業的需求和法規。

  • IP 位址限制要求客服人員只能從您的登入VPN,或封鎖來自特定國家或子網路的存取。

  • 工作階段逾時需要代理程式再次登入 Amazon Connect。

在 Amazon Connect 中,您可以設定身份驗證設定檔來設定已登入代理程式的 IP 地址限制和工作階段持續時間。驗證設定檔是儲存您聯絡中心中使用者驗證設定的資源。

設定 IP 位址範圍和工作階段持續期

您的 Amazon Connect 執行個體包含預設身份驗證設定檔。此驗證設定檔會自動套用至您聯絡中心中的所有使用者。您不需要將驗證設定檔指派給要套用的使用者。

若要設定您的預設驗證設定檔,請使用下列 AWS SDK命令。

提示

您需要您的 Amazon Connect 執行個體 ID 才能執行這些命令。如需如何尋找執行個體 ID 的指示,請參閱找到您的 Amazon Connect 實例 ID/ARN

  1. 列出執行個體中的驗證設定檔,以取得您要更新之驗證設定檔的設定檔 ID。您可以呼叫ListAuthenticationProfileAPI或執行list-authentication-profilesCLI命令。

    以下是一個示例list-authentication-profiles命令:

    aws connect list-authentication-profiles --instance-id your-instance-id

    以下是list-authentication-profiles命令傳回的預設驗證設定檔範例。

    {
    "AuthenticationProfileSummaryList": [
        {
        "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
        "Id": "profile-id",
        "IsDefault": true,
        "LastModifiedRegion": "us-west-2",
        "LastModifiedTime": 1.719249173664E9,
        "Name": "Default Authentication Profile"
        }
    ],
    "NextToken": null
}

  2. 檢視您要更新之驗證設定檔的組態。您可以呼叫DescribeAuthenticationProfile或執行或命describe-authentication-profileCLI令。

    以下是一個示例describe-authentication-profile命令:

    aws connect describe-authentication-profile --instance-id your-instance-id --profile-id profile-id

    以下是由describe-authentication-profile命令返回的信息的一個例子。

    {
    "AuthenticationProfile": {
    "AllowedIps": [],
    "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
    "BlockedIps": [],
    "CreatedTime": 1.718999177811E9,
    "Description": "A basic default Authentication Profile",
    "Id": "profile-id",
    "IsDefault": true,
    "LastModifiedRegion": "us-west-2",
    "LastModifiedTime": 1.719249173664E9,
    "MaxSessionDuration": 720,
    "Name": "Default Authentication Profile",
    "PeriodicSessionDuration": 60
    }
}

    如需每個欄位的說明,請參閱 Amazon Connect API 參考資料AuthenticationProfile中的。

  3. 使用UpdateAuthenticationProfileAPI或update-authentication-profileCLI命令設定驗證設定檔。除了InstanceId和之外的所有欄位ProfileId都是可選的 只會變更您在API通話中定義的設定。

    以下是一個示例update-authentication-profile命令。它會設定自動指派給所有使用者的預設驗證設定檔。它允許某些 IP 地址,阻止其他 IP 地址,並將定期會話持續時間設置為 60 分鐘。

    aws connect update-authentication-profile 
    --instance-id your-instance-id 
    --profile-id profile-id
    --name "Default Authentication Profile"
    --description "A basic default Authentication Profile"
    --allowed-ips "ip-range-1" "ip-range-2" ...
    --blocked-ips "ip-range-3" "ip-range-4" ...
    --periodic-session-duration 60

設定以 IP 為基礎的存取控制

如果您想要根據 IP 位址設定聯絡中心的存取權限,您可以使用驗證設定檔的 IP 型存取控制功能。

您可以在驗證設定檔中設定兩種類型的 IP 設定:允許的 IP 位址範圍和封鎖的 IP 位址範圍。以下幾點說明以 IP 為基礎的存取控制的運作方式。

  • IP 位址可以是IPV4IPV6格式。

  • 您可以使用CIDR標記來定義個別 IP 位址 IP 位址範圍。

  • 封鎖的 IP 組態永遠優先。

  • 如果在「允許的 IP」清單中定義了 IP 位址,則允許這些 IP 位址。

    • 這些 IP 位址的範圍可以依「封鎖的 IP」清單設定。

  • 如果僅定義「封鎖的 IP 位址」,則除了封鎖清單中定義的 IP 位址以,任何 IP 位址都可以存取執行個體。

  • 如果 IP 位址同時在允許和封鎖的 IP 位址清單中定義,則允許在允許範圍內定義的 IP 位址,減去封鎖範圍內的任何 IP 位址。

注意

以 IP 位址為基礎的存取控制不適用於緊急管理員登入。若要對此使用者套用SourceIp限制,您可以在IAM政策中套用限制APIconnect:AdminGetEmergencyAccessToken

當使用者的 IP 位址判定為遭執行個體封鎖時,使用者的工作階段將會失效。登出事件會發佈在「登入/登出」報告中。

當使用者的 IP 位址檢查失敗時會遇到什麼

客服人員

當代理在聯繫人控制面板(CCP)中處於活動狀態時,會定期檢查其 IP 地址。Amazon Connect 檢查 IP 位址的頻率是根據您設定身份驗證設定檔的定期工作階段持續時間的方式而定。

以下是如果 IP 位址未通過檢查,會發生什麼情況:

  • 如果代理程式不在作用中的通話中,如果代理程式的 IP 位址變更為不允許的位址,則會登出代理程式。

  • 如果代理程式正在進行作用中呼叫,則代理程式的工作階段會失效,但是,這會結束目前作用中的呼叫。將發生以下情況:

    1. 代理程式無法採取任何動作,例如變更代理程式狀態、轉接呼叫、保留通話、結束通話或建立案例。

    2. 代理程式會收到通知,他們在中採取動作的能力CCP受到限制。

    3. 如果他們在工作階段失效後成功登入,則會將它們放回使用中呼叫中,並且可以再次採取行動。

使用 Amazon Connect 管理員網站的管理員和使用者

如果系統管理員和其他使用者在 Amazon Connect 管理員網站上執行動作 (例如儲存資源更新或將資源更新匯入作用中的通話),則會自動登出 IP 位址檢查。

IP 位址組態範例

範例 1:僅在允許的 IP 清單中定義的 IP 位址

  • AllowedIps: [ 111.222.0.0/16 ]

  • BlockedIps: [ ]

成果:

  • 111.222.255.255有介於111.222.0.0和之間的 IP 位址才能存取執行個體。

範例 2:僅在封鎖的 IP 清單中定義的 IP 位址

  • AllowedIps: [ ]

  • BlockedIps: [155.155.155.0/24 ]

成果:

  • 允許所有 IP 位址,155.155.155.0 - 155.155.155.255包含 IP 位址範圍除外

範例 3:在允許的 IP 清單和封鎖的 IP 清單中定義的 IP 位址

  • AllowedIps: [ 200.255.0.0/16 ]

  • BlockedIps: [200.255.10.0/24, 200.255.40.50, 192.123.211.211 ]

成果:

  • 允許之間200.255.0.0 - 200.255.255.255的 IP 位址,減去(200.255.10.0 - 200.255.10.255 AND 200.255.40.50)

  • 有效地,200.255.0.0 - 200.255.9.255, 200.255.11.0 - 200.255.40.49, 200.255.40.51 - 200.255.255.255是允許的。

  • 192.123.211.211會有效地忽略,因為它不在「允許」範圍內。

範例 4:未在允許的 IP 清單或封鎖的 IP 清單中定義 IP 位址

  • AllowedIps: [ ]

  • BlockedIps: [ ]

在這種情況下,沒有任何限制。

重要

allowedIps列表定義了您的聯絡中心IPs允許的可能範圍,只當它不是空的。如果它是空的,則允許任何 IP 地址訪問您的聯絡中心,除非被blockedIps列表明確阻止。

配置會話持續時間

您可以根據組織的偏好設定和安全性需求,微調定期工作階段持續時間。例如,您可以將定期工作階段持續時間設定為 20 分鐘,以便在中的 20 分鐘內檢查代理程式的 IP 位址和工作階段持續時間CCP。

Amazon Connect 使用基於令牌的身份驗證模型。連絡中心中有兩個工作階段逾時適用於使用者工作階段:

  • 定期工作階段持續時間:驗證聯絡中心使用者之前的最長時間段。預設值 = 60 分鐘。此選項可設定為介於 10-60 之間的不同值。

    注意

    雖然此設定定義了在驗證使用者之前所能經過的時間間隔上限,但在特定情況下,驗證可能會較早發生。例如,在 Amazon Connect 管理員網站中,每當執行某些動作 (例如建立使用者或變更安全性設定檔) 時,也會發生驗證。

  • 工作階段持續時間上限:在強制重新登入之前,聯絡中心使用者可以登入的最長時間。預設值 = 12 小時;無法設定為不同的值。