View a markdown version of this page

Beispiele für Richtlinien auf Ressourcenebene von Connect Customer - Amazon Connect Connect-Kunde

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiele für Richtlinien auf Ressourcenebene von Connect Customer

Connect Customer unterstützt Berechtigungen auf Ressourcenebene für Benutzer, sodass Sie Aktionen für sie für eine Instanz angeben können, wie in den folgenden Richtlinien dargestellt.

Alle Aktionen auf einer Connect-Kundeninstanz ablehnen

Eine Connect Customer-Instanz ist die oberste Ressource innerhalb von Connect Customer. Alle anderen Unterressourcen werden innerhalb ihres Gültigkeitsbereichs erstellt. Um alle Aktionen für alle Ressourcen innerhalb einer Connect Customer-Instanz zu verweigern, können Sie eine der folgenden Methoden verwenden:

  • Verwenden Sie connect:instanceId-Kontextschlüssel.

  • Verwenden Sie den Instance-ARN gefolgt von einem Platzhalter (*).

Mit der folgenden Beispielrichtlinie werden alle Verbindungsaktionen für die Instance mit der instanceId „00fbeee1-123e-111e-93e3-11111bfbfcc1“ abgelehnt.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "connect:*", "Resource": "*", "Condition": { "StringEquals": { "connect:instanceId": "00fbeee1-123e-111e-93e3-11111bfbfcc1" } } } ] }

Alternativ können Sie alle Aktionen ablehnen, indem Sie den Instance-ARN gefolgt von einem Platzhalter (*) angeben. Mit der folgenden Beispielrichtlinie werden alle Verbindungsaktionen für die Instance mit dem Instance-ARN „arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1“ abgelehnt.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "connect:*" ], "Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1*" } ] }

Verweigern der Aktionen „Löschen“ und „Aktualisieren“

Die folgende Beispielrichtlinie verweigert die Aktionen „Löschen“ und „Aktualisieren“ für Benutzer in einer Connect Customer-Instanz. Es verwendet einen Platzhalter am Ende des Connect Customer-Benutzer-ARN, sodass „Benutzer löschen“ und „Benutzer aktualisieren“ für den vollständigen Benutzer-ARN verweigert werden (d. h. alle Connect Customer-Benutzer in der bereitgestellten Instanz), wie arn:aws:connect:us-east- 1:123456789012: -123e-111e-93e3- /00dtcddd1-123e-111e-93e3-11111bfbfcc1). instance/00fbeee1 11111bfbfcc1/agent

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "connect:DeleteUser", "connect:UpdateUser*" ], "Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/*" } ] }

Erlauben Sie Aktionen für Integrationen mit bestimmten Namen

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "AllowAllAppIntegrationsActions", "Effect": "Allow", "Action": [ "app-integrations:ListEventIntegrations", "app-integrations:CreateEventIntegration", "app-integrations:GetEventIntegration", "app-integrations:UpdateEventIntegration", "app-integrations:DeleteEventIntegration" ], "Resource":"arn:aws:app-integrations:*:*:event-integration/MyNamePrefix-*" } ] }

Zulassen von „Benutzer erstellen“, aber verweigern, wenn Sie einem bestimmten Sicherheitsprofil zugewiesen sind

Die folgende Beispielrichtlinie erlaubt „Benutzer erstellen“, verweigert jedoch ausdrücklich die Verwendung von arn:aws:connect:us-west- 2:123456789012: instance/00fbeee1 -123e-111e-93e3- 11111bfbfcc1/security - profile/11dtcggg1 -123e-111e-93e3-11111bfbfcc17 als Parameter für das CreateUserangeforderte Sicherheitsprofil.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "connect:CreateUser" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "connect:CreateUser" ], "Resource": "arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc17/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17" } ] }

Erlauben des Aufzeichnens von Aktionen für einen Kontakt

Die folgende Beispielrichtlinie ermöglicht das Starten der Kontaktaufzeichnung für einen Kontakt in einer bestimmten Instance. Da ContactID dynamisch ist, wird „*“ verwendet.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Action": [ "connect:StartContactRecording" ], "Resource": "arn:aws:connect:us-west-2:111122223333:instance/instanceId/contact/*", "Effect": "Allow" } ] }

Richten Sie eine Vertrauensbeziehung mit accountID ein.

Die folgenden Aktionen sind für die Aufzeichnungs-APIs definiert:

  • StartContactRecording„verbinden:“

  • „verbinden:StopContactRecording“

  • „verbinden:SuspendContactRecording“

  • „verbinden:ResumeContactRecording“

Erlauben weiterer Kontaktaktionen in derselben Rolle

Wenn dieselbe Rolle zum Aufrufen anderer Kontakt-APIs verwendet wird, können Sie die folgenden Kontaktaktionen auflisten:

  • GetContactAttributes

  • ListContactFlows

  • StartChatContact

  • StartOutboundVoiceContact

  • StopContact

  • UpdateContactAttributes

Oder verwenden Sie einen Platzhalter, um alle Kontaktaktionen zuzulassen, zum Beispiel: „connect: *“

Erlauben weiterer Ressourcen

Sie können auch einen Platzhalter verwenden, um mehr Ressourcen zuzulassen. So lassen Sie beispielsweise alle Verbindungsaktionen für alle Kontaktressourcen zu:

JSON
{ "Version":"2012-10-17", "Statement": [ { "Action": [ "connect:*" ], "Resource": "arn:aws:connect:us-west-2:111122223333:instance/*/contact/*", "Effect": "Allow" } ] }

Zulassen oder Verweigern von Warteschleifen-API-Aktionen für Telefonnummern in einer Replikat-Region

Die UpdateQueueOutboundCallerConfigAPIs CreateQueueund enthalten ein Eingabefeld mit dem NamenOutboundCallerIdNumberId. Dieses Feld stellt eine Telefonnummernressource dar, die für eine Datenverkehr-Verteilergruppe beansprucht werden kann. Es unterstützt sowohl das Rufnummern-V1-ARN-Format, das von ListPhoneNumberszurückgegeben wird, als auch das V2-ARN-Format, das von zurückgegeben wird ListPhoneNumbersV2.

Im Folgenden sind die V1- und V2-ARN-Formate aufgeführt, die von OutboundCallerIdNumberId unterstützt werden:

  • V1-ARN-Format: arn:aws:connect:your-region:your-account_id:instance/instance_id/phone-number/resource_id

  • V2-ARN-Format: arn:aws:connect:your-region:your-account_id:phone-number/resource_id

Anmerkung

Wir empfehlen die Verwendung des V2-ARN-Formats. Das V1-ARN-Format wird in Zukunft nicht mehr verwendet.

Bereitstellen beider ARN-Formate für Telefonnummernressourcen in der Replikatregion

Wenn die Telefonnummer für eine Verkehrsverteilergruppe beansprucht wird, müssen Sie die Telefonnummernressource sowohl im V1- als auch im V2-ARN-Format bereitstellen, um während des Betriebs in der Replikatregion korrekt auf die Warteschleifen-API-Aktionen für Telefonnummernressourcen allow/deny zugreifen zu können. Wenn Sie die Telefonnummernressource nur in ARN ARN-Format angeben, führt dies nicht zum korrekten allow/deny Verhalten beim Betrieb in der Replikatregion.

Beispiel 1: Verweigern Sie den Zugriff auf CreateQueue

Beispiel: Sie arbeiten in der Replikatregion us-west-2 mit Konto 123456789012 und Instance aaaaaaaa-bbbb-cccc-dddd-0123456789012. Sie möchten den Zugriff auf die CreateQueueAPI verweigern, wenn es sich bei dem OutboundCallerIdNumberId Wert um eine Telefonnummer handelt, die für eine Verkehrsverteilergruppe mit Ressourcen-ID beansprucht wurdeaaaaaaaa-eeee-ffff-gggg-0123456789012. In diesem Szenario müssen Sie die folgende Richtlinie verwenden:

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "DenyCreateQueueForSpecificNumber", "Effect": "Deny", "Action": "connect:CreateQueue", "Resource": [ "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012", "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012" ] } ] }

Wobei us-west-2 die Region ist, in der die Anfrage gestellt wird.

Beispiel 2: Erlauben Sie nur den Zugriff auf UpdateQueueOutboundCallerConfig

Beispiel: Sie arbeiten in der Replikatregion us-west-2 mit Konto 123456789012 und Instance aaaaaaaa-bbbb-cccc-dddd-0123456789012. Sie möchten den Zugriff auf die UpdateQueueOutboundCallerConfigAPI nur zulassen, wenn es sich bei dem OutboundCallerIdNumberId Wert um eine Telefonnummer handelt, die für eine Verkehrsverteilergruppe mit Ressourcen-ID beansprucht wurdeaaaaaaaa-eeee-ffff-gggg-0123456789012. In diesem Szenario müssen Sie die folgende Richtlinie verwenden:

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "OnlyAllowUpdateQueueOutboundCallerConfigForSpecificNumber", "Effect": "Allow", "Action": "connect:UpdateQueueOutboundCallerConfig", "Resource": [ "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012", "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012" ] } ] }

Spezifische AppIntegrations Amazon-Ressourcen anzeigen

Die folgende Beispielrichtlinie ermöglicht das Abrufen von spezifischen Ereignisintegrationen.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "app-integrations:GetEventIntegration" ], "Resource": "arn:aws:app-integrations:us-west-2:111122223333:event-integration/Name" } ] }

Zugriff auf Connect-Kundenprofile gewähren

Connect-Kundenprofile verwenden anstelle von profile als Präfix für Aktionenconnect. Die folgende Richtlinie gewährt vollen Zugriff auf eine bestimmte Domain in den Kundenprofilen von Connect.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Action": [ "profile:*" ], "Resource": "arn:aws:profile:us-west-2:111122223333:domains/domainName", "Effect": "Allow" } ] }

Richten Sie eine Vertrauensbeziehung mit accountID zur Domain DomainName ein.

Gewähren von Lesezugriff auf Daten aus Customer Profiles

Im Folgenden finden Sie ein Beispiel für die Gewährung von Lesezugriff auf die Daten in Connect Customer Customer Profiles.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Action": [ "profile:SearchProfiles" ], "Resource": "arn:aws:profile:us-east-1:111122223333:domains/domainName", "Effect": "Allow" } ] }

Query Connect AI-Agenten nur für einen bestimmten Assistenten

Die folgende Beispielrichtlinie erlaubt es, nur einen bestimmten Assistenten abzufragen.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "wisdom:QueryAssistant" ], "Resource": "arn:aws:wisdom:us-east-1:111122223333:assistant/assistantID" } ] }

Vollzugriff auf Connect Customer Voice ID gewähren

Connect Customer Voice ID wird anstelle von Connect voiceid als Präfix für Aktionen verwendet. Die folgende Richtlinie gewährt vollen Zugriff auf eine bestimmte Domain in Connect Customer Voice ID:

JSON
{ "Version":"2012-10-17", "Statement": [ { "Action": [ "voiceid:*" ], "Resource": "arn:aws:voiceid:us-west-2:111122223333:domain/domainName", "Effect": "Allow" } ] }

Richten Sie eine Vertrauensbeziehung mit accountID zur Domain DomainName ein.

Zugriff auf Ressourcen für ausgehende Kampagnen von Connect Customer gewähren

Ausgehende Kampagnen verwenden connect-campaign als Präfix für Aktionen anstelle von connect. Die folgende Richtlinie gewährt Vollzugriff auf eine bestimmte ausgehende Kampagne.

{ "Sid": "AllowConnectCampaignsOperations", "Effect": "Allow", "Action": [ "connect-campaigns:DeleteCampaign", "connect-campaigns:DescribeCampaign", "connect-campaigns:UpdateCampaignName", "connect-campaigns:GetCampaignState" "connect-campaigns:UpdateOutboundCallConfig", "connect-campaigns:UpdateDialerConfig", "connect-campaigns:PauseCampaign", "connect-campaigns:ResumeCampaign", "connect-campaigns:StopCampaign" ], "Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId", }

Schränken Sie die Suche nach Transkripten ein, die von analysiert wurden Kundenkontaktlinsen Connect

Die folgende Richtlinie erlaubt das Suchen und Beschreiben von Kontakten, verweigert jedoch die Suche nach Kontakten mithilfe von Transkripten, die von Connect Customer Contact Lens analysiert wurden.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:DescribeContact" ], "Resource": "arn:aws:connect:us-east-1:111122223333:instance/instance-id/contact/*" }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "connect:SearchContacts" ], "Resource": "arn:aws:connect:us-east-1:111122223333:instance/instance-id" }, { "Sid": "VisualEditor2", "Effect": "Deny", "Action": [ "connect:SearchContacts" ], "Resource": "arn:aws:connect:us-east-1:111122223333:instance/instance-id", "Condition": { "ForAnyValue:StringEquals": { "connect:SearchContactsByContactAnalysis": [ "Transcript" ] } } } ] }