Anwenden einer hierarchiebasierten Zugriffskontrolle in Amazon Connect - Amazon Connect
-ÜbersichtAnwenden von hierarchiebasierter Zugriffskontrolle mithilfe der API/des SDKWenden Sie mithilfe der Admin-Website eine hierarchiebasierte Zugriffskontrolle an Amazon ConnectEinschränkungen der KonfigurationBewährte Methoden für die Anwendung hierarchiebasierter Zugriffskontrollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anwenden einer hierarchiebasierten Zugriffskontrolle in Amazon Connect

Sie können den Zugriff auf Kontakte auf der Grundlage der Kundendienstmitarbeiterhierarchie einschränken, die einem Benutzer zugewiesen ist. Dazu verwenden Sie Sicherheitsprofilberechtigungen wie Beschränken des Kontaktzugriffs. Zusätzlich zu diesen Berechtigungen können Sie auch Hierarchien verwenden, um detaillierte Zugriffskontrollen für Ressourcen wie Benutzer zu erzwingen, sowie Tags verwenden.

In diesem Thema finden Sie Informationen zur Konfiguration hierarchiebasierter Zugriffskontrollen.

-Übersicht

Mithilfe der hierarchiebasierten Zugriffskontrolle können Sie den detaillierten Zugriff auf bestimmte Ressourcen auf der Grundlage der Agentenhierarchie konfigurieren, die einem Benutzer zugewiesen ist. Sie können hierarchiebasierte Zugriffskontrollen über die oder die API/SDK Admin-Website konfigurieren. Amazon Connect  

Die einzige Ressource, die hierarchiebasierte Zugriffskontrolle unterstützt, sind Benutzer. Dieses Autorisierungsmodell arbeitet mit Tag-basierter Zugriffskontrolle, sodass Sie den Zugriff auf Benutzer einschränken können, indem sie nur andere Benutzer sehen können, die zur selben Hierarchiegruppe gehören und denen bestimmte Tags zugeordnet wurden.

Anmerkung

Nachdem Sie die hierarchiebasierte Zugriffskontrolle auf Benutzer angewendet haben, können diese Benutzer auf ihre Hierarchiegruppe und alle ihre untergeordneten Elemente (über die direkte untergeordnete Ebene hinaus) zugreifen.

Anwenden von hierarchiebasierter Zugriffskontrolle mithilfe der API/des SDK

Um den Zugriff auf Ressourcen in Ihren AWS Konten mithilfe von Hierarchien zu steuern, müssen Sie die Informationen zur Hierarchie im Bedingungselement einer IAM-Richtlinie angeben. So verwenden Sie beispielsweise für die Steuerung des Zugriffs eines Benutzers, der einer bestimmten Hierarchie angehört, den Bedingungsschlüssel connect:HierarchyGroupL3Id/hierarchyGroupId zusammen mit einem bestimmten Operator wie StringEquals, um anzugeben, welcher Hierarchiegruppe der Benutzer angehören muss, damit er bestimmte Aktionen ausführen kann.

Nachfolgend sind die unterstützten Bedingungsschlüssel aufgeführt:

  1. connect:HierarchyGroupL1Id/hierarchyGroupId

  2. connect:HierarchyGroupL2Id/hierarchyGroupId

  3. connect:HierarchyGroupL3Id/hierarchyGroupId

  4. connect:HierarchyGroupL4Id/hierarchyGroupId

  5. connect:HierarchyGroupL5Id/hierarchyGroupId

Jeder Schlüssel steht für die ID einer bestimmten Hierarchiegruppe auf einer bestimmten Ebene der Hierarchiestruktur des Benutzers.

Wenden Sie mithilfe der Admin-Website eine hierarchiebasierte Zugriffskontrolle an Amazon Connect

Um den Zugriff auf Ressourcen auf der Amazon Connect Admin-Website mithilfe von Hierarchien zu steuern, konfigurieren Sie den Bereich für die Zugriffskontrolle innerhalb eines bestimmten Sicherheitsprofils.

Wenn Sie beispielsweise eine detaillierte Zugriffskontrolle für einen bestimmten Benutzer auf der Grundlage der Hierarchie, zu der er gehört, aktivieren möchten, konfigurieren Sie den Benutzer als zugriffskontrollierte Ressource. Dazu haben Sie die beiden folgenden Möglichkeiten:

  1. Erzwingen einer hierarchiebasierten Zugriffskontrolle auf der Grundlage der Hierarchie des Benutzers

    Diese Option stellt sicher, dass der Benutzer, dem Zugriff gewährt wird, nur Benutzer verwalten kann, die zu dieser Hierarchie gehören. Wenn Sie diese Konfiguration beispielsweise für einen bestimmten Benutzer aktivieren, kann er andere Benutzer verwalten, die entweder zu seiner Hierarchiegruppe oder einer untergeordneten Hierarchiegruppe gehören.

  2. Erzwingen einer hierarchiebasierte Zugriffskontrolle auf der Grundlage einer bestimmten Hierarchie

    Diese Option stellt sicher, dass der Benutzer, dem Zugriff gewährt wird, nur Benutzer verwalten kann, die zu der Hierarchie gehören, die im Sicherheitsprofil definiert wurde. Wenn Sie diese Konfiguration beispielsweise für einen bestimmten Benutzer aktivieren, kann er andere Benutzer verwalten, die entweder zu der Hierarchiegruppe, die im Sicherheitsprofil angegeben ist, oder einer untergeordneten Hierarchiegruppe gehören.

Einschränkungen der Konfiguration

Die detaillierte Zugriffskontrolle wird in einem Sicherheitsprofil konfiguriert. Benutzern können maximal zwei Sicherheitsprofile zugewiesen werden, die eine detaillierte Zugriffskontrolle erzwingen. In diesem Fall werden die Berechtigungen weniger restriktiv und dienen als Vereinigung beider Berechtigungssätze.

Wenn beispielsweise ein Sicherheitsprofil eine hierarchiebasierte Zugriffskontrolle und ein anderes Sicherheitsprofil eine Tag-basierte Zugriffskontrolle erzwingt, kann der Benutzer jeden Benutzer verwalten, der zur selben Hierarchie gehört oder mit dem angegebenen Tag gekennzeichnet ist. Wenn sowohl die Tag-basierte als auch die hierarchiebasierte Zugriffskontrolle als Teil desselben Sicherheitsprofils konfiguriert sind, müssen beide Bedingungen erfüllt sein. In diesem Fall kann der Benutzer nur Benutzer verwalten, die zur selben Hierarchie gehören und mit einem bestimmten Tag gekennzeichnet sind. 

Ein Benutzer kann mehr als zwei Sicherheitsprofile besitzen, sofern diese zusätzlichen Sicherheitsprofile keine detaillierte Zugriffskontrolle erzwingen. Wenn mehrere Sicherheitsprofile mit sich überschneidenden Ressourcenberechtigungen vorhanden sind, wird das Sicherheitsprofil ohne hierarchiebasierte Zugriffskontrolle vor dem Sicherheitsprofil mit hierarchiebasierter Zugriffskontrolle durchgesetzt.

Für die Konfiguration einer hierarchiebasierten Zugriffskontrolle sind serviceverknüpfte Rollen erforderlich. Wenn Ihre Instance nach Oktober 2018 erstellt wurde, ist sie standardmäßig mit Ihrer Amazon-Connect-Instance verfügbar. Wenn Sie jedoch eine ältere Instance haben, finden Sie unter Verwenden von serviceverknüpften Rollen für Amazon Connect Anweisungen zur Aktivierung von serviceverknüpften Rollen.

Bewährte Methoden für die Anwendung hierarchiebasierter Zugriffskontrollen

  • Sehen Sie sich das AWS -Modell der geteilten Verantwortung an.

    Die Anwendung der hierarchiebasierten Zugriffskontrolle ist eine erweiterte Konfigurationsfunktion, die von Amazon Connect unterstützt wird und dem Modell der AWS gemeinsamen Verantwortung folgt. Es ist wichtig sicherzustellen, dass Sie Ihre Instance korrekt konfigurieren, damit sie Ihren gewünschten Autorisierungsanforderungen entspricht.

  • Vergewissern Sie sich, dass mindestens view-Berechtigungen für die Ressourcen aktiviert sind, für die Sie die hierarchiebasierte Zugriffskontrolle aktivieren.

    Dadurch wird sichergestellt, dass Sie Inkonsistenzen bei den Berechtigungen vermeiden, die zu verweigerten Zugriffsanfragen führen. Hierarchiebasierte Zugriffskontrollen werden auf Ressourcenebene aktiviert. Das bedeutet, dass jede Ressource unabhängig eingeschränkt werden kann.

  • Überprüfen Sie sorgfältig die Berechtigungen, die gewährt werden, wenn die hierarchische Zugriffskontrolle durchgesetzt wird.

    Zum Beispiel die Aktivierung eines hierarchischen eingeschränkten Zugriffs für Benutzer und view/edit permissions security profiles would allow a user to create/update eines Sicherheitsprofils mit Rechten, die die vorgesehenen Einstellungen für die Benutzerzugriffskontrolle ersetzen.

    • Wenn Benutzer bei der Amazon-Connect-Konsole angemeldet sind und hierarchiebasierte Zugriffskontrollen angewendet wurden, können sie nicht auf historische Änderungsprotokolle für die Ressourcen zugreifen, auf die sie beschränkt sind.

    • Wenn Sie versuchen, einer übergeordneten Ressource eine untergeordnete Ressource zuzuweisen, und die übergeordnete Ressource über eine hierarchiebasierte Zugriffskontrolle für die untergeordnete Ressource verfügt, wird der Vorgang verweigert, falls die untergeordnete Ressource nicht zu Ihrer Hierarchie gehört.

      Versuchen Sie beispielsweise, einen Benutzer einer Schnellverbindung zuzuweisen, Sie aber keinen Zugriff auf die Hierarchie des Benutzers haben, schlägt der Vorgang fehl. Dies gilt jedoch nicht für die Aufhebung von Zuordnungen. Sie können die Zuordnung eines Benutzers auch bei erzwungener hierarchiebasierter Zugriffskontrolle nach Belieben aufheben, vorausgesetzt, Sie haben Zugriff auf die Schnellverbindung. Das liegt daran, dass bei der Aufhebung von Zuordnungen eine bestehende Beziehung (im Gegensatz zu neuen Zuordnungen) zwischen zwei Ressourcen verworfen wird. Diese Beziehung wird als Teil der übergeordneten Ressource (in diesem Fall der Schnellverbindung) modelliert, auf die der Benutzer bereits Zugriff hat.

  • Überlegen Sie genau, welche Berechtigungen Sie für übergeordnete Ressourcen gewähren, da die Zuordnung von Benutzern ohne Wissen ihres Supervisors aufgehoben werden könnte.

  • Deaktivieren Sie den Zugriff auf die folgenden Funktionen, wenn Sie hierarchiebasierte Zugriffskontrollen auf der Admin-Website anwenden. Amazon Connect

    Funktionalität Sicherheitsprofilberechtigung, die den Zugriff deaktiviert
    Kontaktsuche Kontaktsuche – Anzeigen
    Anmelde-/Abmeldebericht Anmelde-/Abmeldebericht – Anzeigen
    Regeln Regeln – Anzeigen
    Gespeicherte Berichte Gespeicherte Berichte – Anzeigen
    Agent Hierarchy (Kundendienstmitarbeiterhierarchie) Kundendienstmitarbeiterhierarchie – Anzeigen
    Flow/Flow-Modul Flow-Module – Ansicht
    Planung Zeitplanmanager – Ansicht

    Wenn Sie den Zugriff auf diese Ressourcen nicht deaktivieren, wird Benutzern mit hierarchiebasierten Zugriffskontrollen für eine bestimmte Ressource, die diese Seiten auf der Amazon Connect Admin-Website aufrufen, möglicherweise eine uneingeschränkte Benutzerliste angezeigt. Weitere Informationen zur Verwaltung von Berechtigungen finden Sie unter Liste der Sicherheitsprofilberechtigungen.