階層存取控制 (預覽) - Amazon Connect
背景介紹使用/以階層為基礎的API存取控制 SDK使用 Amazon Connect 主控台進行階層式存取控制組態限制套用階層式存取控制的最佳做法

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

階層存取控制 (預覽)

這是預覽版本之服務的發行前版本文件。內容可能變動。

您可以根據指派給使用者的代理程式階層來限制對連絡人的存取。這是通過使用諸如限制聯繫人訪問權限等權限來完成的。除了這些權限之外,階層還可用於對資源 (例如使用者) 與標籤一起強制執行細微的存取控制。本頁的其餘部分包含設定階層式存取控制的其他詳細資訊 (目前為預覽中)。

背景介紹

階層式存取控制可讓您根據指派給使用者的代理程式階層,設定對特定資源的精細存取。 您可以使用API/SDK或在 Amazon Connect 主控台中設定以階層為基礎的存取控制,以取得支援的資源。 

目前,唯一支援階層式存取控制的資源是使用者。此授權模型與以標籤為基礎的存取控制結合使用,可讓您限制使用者的存取權,以便他們只能看到屬於其階層群組的其他使用者,以及與其相關聯的特定標籤的使用者。

使用/以階層為基礎的API存取控制 SDK

若要使用階層來控制 AWS 帳戶內資源的存取,您必須在IAM策略的條件元素中提供階層的資訊。例如,若要控制對屬於特定階層之「使用者」的存取權,請使用connect:HierarchyGroupL3Id/hierarchyGroupId條件索引鍵,以及特定的運算子,例如StringEquals指定使用者必須屬於哪個階層群組,以允許對其執行指定動作。支援的條件鍵為:

  1. 連接:HierarchyGroupL1ID/hierarchyGroupId

  2. connect:HierarchyGroupL2Id/hierarchyGroupId

  3. connect:HierarchyGroupL3Id/hierarchyGroupId

  4. connect:HierarchyGroupL4Id/hierarchyGroupId

  5. connect:HierarchyGroupL5Id/hierarchyGroupId

每個代表用戶層次結構的特定級別中給定階層組的 ID。

如需階層式存取控制的詳細資訊,請參閱《使用指南》中的「IAM使用標籤控制 AWS 資源存取」。

使用 Amazon Connect 主控台進行階層式存取控制

若要使用階層來控制 Amazon Connect 執行個體管理網站內資源的存取,您需要在指定的安全設定檔中設定存取控制區段。例如,若要根據指定使用者所屬的階層為指定使用者啟用精細的存取控制存取權,您需要將使用者設定為存取控制的資源。在這種情況下,您將有兩個選擇:

  1. 根據使用者的階層強制執行階層式存取控制:這樣可確保被授予存取權的使用者只能管理屬於其階層的使用者。例如,為指定的使用者啟用此組態,可讓他們管理屬於其階層群組或子階層群組的其他使用者。這將確保被授予存取權的使用者只能管理屬於其階層的使用者。例如,為主管啟用此組態,可讓他們管理屬於其階層群組或子階層群組的其他使用者。

  2. 根據特定階層強制執行以階層為基礎的存取控制:這樣可確保被授予存取權的使用者只能管理屬於「安全性設定檔」中定義之階層的使用者。例如,為指定的使用者啟用此組態,可讓他們管理屬於「安全性設定檔」或子階層群組中指定之階層群組的其他使用者。

組態限制

在安全性設定檔上設定精細存取控制。 使用者最多可以指派兩個安全性設定檔,以強制執行精細的存取控制。 在這種情況下,權限將變得較不嚴格,並充當兩個權限集的聯集。例如,如果一個「安全性設定檔」強制執行階層式存取控制,而另一個則強制執行以標籤為基礎的存取控制,則使用者將能夠管理屬於相同階層或使用指定標籤的任何使用者。如果以標籤為基礎和階層式的存取控制都配置為相同「安全性設定檔」的一部分,則必須符合這兩個條件。在此情況下,使用者將只能管理屬於相同階層且以指定標記的使用者。 

使用者可以擁有兩個以上的安全性設定檔,只要這些額外的安全性設定檔不會強制執行細微的存取控制。如果多個安全性設定檔具有重疊的資源權限,則沒有階層式存取控制的安全性設定檔將會強制執行在具有階層式存取控制的設定檔上。

需要服務連結角色才能設定階層式存取控制。如果您的執行個體是在 2018 年 10 月之後建立的,您的 Amazon Connect 執行個體預設可使用此執行個體。但是,如果您使用較舊的執行個體,請參閱使用 Amazon Connect 的服務連結角色以取得如何啟用服務連結角色的指示。

套用階層式存取控制的最佳做法

套用階層式存取控制是 Amazon Connect 支援的進階組態功能,並遵循 AWS 共同的責任模型。請務必確保您正確設定執行個體以符合您想要的授權需求。如需詳細資訊,請檢閱AWS 共用的責任模型

請確定您已至少啟用階層式存取控制的資源啟用檢視權限。這將確保您避免導致拒絕存取請求的權限不一致。階層式存取控制會在資源層級啟用,這表示每個資源都可以獨立限制。在強制執行階層式存取控制時,請務必仔細檢閱授與的權限。 例如,啟用階層限制使用者存取權限,以及檢視/編輯權限安全性設定檔,可讓使用者建立/更新具有取代預定使用者存取控制設定之權限的安全性設定檔。

在套用階層式存取控制的情況下登入 Amazon Connect 主控台時,使用者將無法存取其受限資源的歷史變更日誌。

嘗試將子資源指派給具有子資源階層式存取控制的父項資源時,如果子資源不屬於您的階層,則會拒絕該作業。例如,如果您嘗試將使用者指派給快速 Connect,但無法存取使用者的階層,則作業將會失敗。然而,對於分歧來說,這是不正確的。即使假設您具有快速 Connect 的存取權,即使強制執行階層式存取控制,您也可以自由取消使用者的關聯。這是因為取消關聯是放棄兩個資源之間的現有關係 (而不是新的關聯),並且被建模為父資源 (在本例中為快速 Connect) 的一部分,使用者已經有權存取。因此,在使用者資源上強制以階層為基礎的存取控制時,請務必考慮父資源授予的權限,因為使用者在不知情的情況下,可能會取消關聯性。

最佳實務是,在 Amazon Connect 主控台內套用階層式存取控制時,應停用對以下資源/模組的存取權。如果您未停用這些資源的存取權,則在檢視這些頁面的特定資源上具有階層式存取控制的使用者可能會看到不受限制的使用者清單。如需如何管理權限的詳細資訊,請參閱安全性設定檔權限清單

模組 禁用存取權限
聯絡搜尋 聯絡人搜尋-檢視
歷史變更/稽核門戶 存取指標 - 存取
即時指標 即時指標-存取
歷史指標 歷史指標-存取
登入/登出報告 登入/登出報告-查看
規則 規則-檢視
已儲存的報告 已儲存的報告–檢視
客服人員階層 代理程式階層-檢視
流量/流量模組 流量模組-檢視
排程 排程管理員-檢視