Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Ressourcen einschränken, die mit Amazon Connect verknüpft werden können

Jede Amazon-Connect-Instance wird bei der Erstellung der Instance einer mit dem IAM-Service verknüpften Rolle zugeordnet. Amazon Connect kann für Anwendungsfälle wie Anrufaufzeichnungsspeicher (Amazon-S3-Bucket), Natural Language Bots (Amazon-Lex-Bots) und Datenstreaming (Amazon Kinesis Data Streams) in andere AWS -Dienste integriert werden. Amazon Connect übernimmt die serviceverknüpfte Rolle, um mit diesen anderen Diensten zu interagieren. Die Richtlinie wird zunächst der serviceverknüpften Rolle als Teil der entsprechenden Dienste APIs auf Amazon Connect hinzugefügt (die wiederum von der AWS Admin-Konsole aufgerufen werden). Wenn Sie beispielsweise einen bestimmten Amazon S3-Bucket mit Ihrer Amazon Connect Connect-Instance verwenden möchten, muss der Bucket an die AssociateInstanceStorageConfigAPI übergeben werden.

Informationen zu den von Amazon Connect definierten IAM-Aktionen finden Sie unter Von Amazon Connect definierte Aktionen.

Im Folgenden finden Sie einige Beispiele dafür, wie Sie den Zugriff auf andere Ressourcen einschränken können, die möglicherweise mit einer Amazon-Connect-Instance verknüpft sind. Sie sollten auf den Benutzer oder die Rolle angewendet werden, die mit Amazon Connect APIs oder der Amazon Connect Connect-Konsole interagiert.

Weitere Informationen darüber, welche Ressourcen, Bedingungsschlüssel und abhängige Personen APIs Sie verwenden können, um den Zugriff einzuschränken, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Connect.

Beispiel 1: Beschränken, welche Amazon-S3-Buckets mit einer Amazon-Connect-Instance verknüpft werden können

JSON

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "connect:UpdateInstanceStorageConfig",
        "connect:AssociateInstanceStorageConfig"
      ],
      "Resource": "arn:aws:connect:region:account-id:instance/instance-id",
      "Condition": {
        "StringEquals": {
          "connect:StorageResourceType": "CALL_RECORDINGS"
        }
      }
    },
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
        "iam:PutRolePolicy",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:iam::account-id:role/aws-service-role/connect.amazonaws.com/*",
        "arn:aws:s3:::amzn-s3-demo-bucket"
      ]
    },
    {
      "Sid": "VisualEditor2",
      "Effect": "Allow",
      "Action": "s3:ListAllMyBuckets",
      "Resource": "*"
    }
  ]
}

In diesem Beispiel kann ein IAM-Prinzipal einen Amazon-S3-Bucket für Anrufaufzeichnungen für den angegebenen ARN der Amazon-Connect-Instance und einen bestimmten Amazon-S3-Bucket mit dem Namen my-connect-recording-bucket verknüpfen. Die Aktionen AttachRolePolicy und PutRolePolicy sind auf die mit dem Service verknüpfte Amazon-Connect-Rolle beschränkt (in diesem Beispiel wird ein Platzhalter verwendet, aber Sie können bei Bedarf den Rollen-ARN für die Instance angeben).

Beispiel 2: Beschränken Sie, welche AWS Lambda -Funktionen einer Amazon-Connect-Instance zugeordnet werden können

AWS Lambda Funktionen sind mit einer Amazon Connect Connect-Instance verknüpft, aber die mit dem Service verknüpfte Amazon Connect Connect-Rolle wird nicht verwendet, um sie aufzurufen, weshalb sie nicht geändert werden. Stattdessen wird der Funktion über die API lambda:AddPermission eine Richtlinie hinzugefügt, mit der die angegebene Amazon-Connect-Instance die Funktion aufrufen kann.

Um einzuschränken, welche Funktionen einer Amazon-Connect-Instance zugeordnet werden können, geben Sie den Lambda-Funktions-ARN an, mit dem Benutzer lambda:AddPermission aufrufen können:

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:AssociateLambdaFunction",
                "lambda:AddPermission"
            ],
            "Resource": [
                "arn:aws:connect:region:account-id:instance/instance-id",
                "arn:aws:lambda:*:*:function:my-function"      
            ]
        }
    ]
} 

Beispiel 3: Beschränken, welche Amazon Kinesis Data Streams mit einer Amazon-Connect-Instance verknüpft werden können

Dieses Beispiel folgt einem ähnlichen Modell wie das Amazon-S3-Beispiel. Es schränkt ein, welche spezifischen Kinesis Data Streams einer bestimmten Amazon-Connect-Instance für die Übermittlung von Kontaktdatensätzen zugeordnet werden können.

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:UpdateInstanceStorageConfig",
                "connect:AssociateInstanceStorageConfig"
            ],
            "Resource": "arn:aws:connect:region:account-id:instance/instance-id",
            "Condition": {
                "StringEquals": {
                    "connect:StorageResourceType": "CONTACT_TRACE_RECORDS"
                }
            }
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "kinesis:DescribeStream",
                "iam:PutRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::account-id:role/aws-service-role/connect.amazonaws.com/*",
                "arn:aws:kinesis:*:account-id:stream/stream-name"
            ]
        }, 
        {
            "Sid": "VisualEditor2",
            "Effect": "Allow",
            "Action":  "kinesis:ListStreams",
            "Resource": "*"            
        }
    ]
}