Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Beispiele für Amazon-Connect-Richtlinien auf Ressourcenebene
Amazon Connect unterstützt Berechtigungen auf Ressourcenebene für Benutzer, sodass Sie Aktionen für eine Instance angeben können, wie in den folgenden Richtlinien dargestellt.
**Topics**
+ [Ablehnen aller Aktionen in einer Amazon-Connect-Instance](#connect-access-control-resources-example-all)
+ [Verweigern der Aktionen „Löschen“ und „Aktualisieren“](#connect-access-control-resources-example2)
+ [Erlauben Sie Aktionen für Integrationen mit bestimmten Namen](#connect-access-control-resources-integration-example)
+ [Zulassen von „Benutzer erstellen“, aber verweigern, wenn Sie einem bestimmten Sicherheitsprofil zugewiesen sind](#connect-access-control-resources-example3)
+ [Erlauben des Aufzeichnens von Aktionen für einen Kontakt](#connect-access-control-resources-example4)
+ [Zulassen oder Verweigern von Warteschleifen-API-Aktionen für Telefonnummern in einer Replikat-Region](#allow-deny-queue-actions-replica-region)
+ [Spezifische AppIntegrations Amazon-Ressourcen anzeigen](#view-specific-appintegrations-resources)
+ [Gewähren von Zugriff auf Amazon Connect Customer Profiles](#grant-access-to-customer-profiles)
+ [Gewähren von Lesezugriff auf Daten aus Customer Profiles](#grant-read-only-access-to-customer-profiles)
+ [Query Connect AI-Agenten nur für einen bestimmten Assistenten](#query-wisdom-assistant)
+ [Gewährt vollen Zugriff auf Amazon Connect Voice ID](#grant-read-only-access-to-voiceid)
+ [Gewähren von Zugriff auf Ressourcen für Amazon Connect Outbound Campaigns](#grant-read-only-access-to-outboundcommunications)
+ [Beschränken der Möglichkeit, in Transkripten zu suchen, die von Amazon Connect Contact Lens analysiert wurden](#restrict-ability-to-search-transcripts-contact-lens)
## Ablehnen aller Aktionen in einer Amazon-Connect-Instance
Eine Amazon-Connect-Instance ist die Ressource der obersten Ebene von Amazon Connect. Alle anderen Unterressourcen werden innerhalb ihres Gültigkeitsbereichs erstellt. Verwenden Sie eine der folgenden Methoden, wenn Sie alle Aktionen für alle Ressourcen in einer Amazon-Connect-Instance ablehnen möchten:
+ Verwenden Sie `connect:instanceId`-Kontextschlüssel.
+ Verwenden Sie den Instance-ARN gefolgt von einem Platzhalter (\*).
Mit der folgenden Beispielrichtlinie werden alle Verbindungsaktionen für die Instance mit der instanceId „00fbeee1-123e-111e-93e3-11111bfbfcc1“ abgelehnt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "connect:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"connect:instanceId": "00fbeee1-123e-111e-93e3-11111bfbfcc1"
}
}
}
]
}
```
------
Alternativ können Sie alle Aktionen ablehnen, indem Sie den Instance-ARN gefolgt von einem Platzhalter (\*) angeben. Mit der folgenden Beispielrichtlinie werden alle Verbindungsaktionen für die Instance mit dem Instance-ARN „`arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1`“ abgelehnt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"connect:*"
],
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1*"
}
]
}
```
------
## Verweigern der Aktionen „Löschen“ und „Aktualisieren“
Die folgende Beispielrichtlinie verweigert die Aktionen „Löschen“ und „Aktualisieren“ für Benutzer in einer Amazon-Connect-Instance. Sie verwendet einen Platzhalter am Ende des Benutzer-ARN von Amazon Connect, sodass das Löschen und das Aktualisieren von Benutzern auf dem vollständigen Benutzer-ARN verweigert wird (d. h. alle Amazon-Connect-Benutzer in der bereitgestellten Instance, arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/00dtcddd1-123e-111e-93e3-11111bfbfcc1).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"connect:DeleteUser",
"connect:UpdateUser*"
],
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/*"
}
]
}
```
------
## Erlauben Sie Aktionen für Integrationen mit bestimmten Namen
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllAppIntegrationsActions",
"Effect": "Allow",
"Action": [
"app-integrations:ListEventIntegrations",
"app-integrations:CreateEventIntegration",
"app-integrations:GetEventIntegration",
"app-integrations:UpdateEventIntegration",
"app-integrations:DeleteEventIntegration"
],
"Resource":"arn:aws:app-integrations:*:*:event-integration/MyNamePrefix-*"
}
]
}
```
------
## Zulassen von „Benutzer erstellen“, aber verweigern, wenn Sie einem bestimmten Sicherheitsprofil zugewiesen sind
Die folgende Beispielrichtlinie erlaubt „Benutzer erstellen“, verweigert jedoch ausdrücklich die Verwendung von arn:aws:connect:us-west- 2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17 als Parameter für das angeforderte Sicherheitsprofil. [CreateUser](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateUser.html#API_CreateUser_RequestBody)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"connect:CreateUser"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"connect:CreateUser"
],
"Resource": "arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc17/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17"
}
]
}
```
------
## Erlauben des Aufzeichnens von Aktionen für einen Kontakt
Die folgende Beispielrichtlinie ermöglicht das Starten der Kontaktaufzeichnung für einen Kontakt in einer bestimmten Instance. Da ContactID dynamisch ist, wird „\*“ verwendet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"connect:StartContactRecording"
],
"Resource": "arn:aws:connect:us-west-2:111122223333:instance/instanceId/contact/*",
"Effect": "Allow"
}
]
}
```
------
Richten Sie eine Vertrauensbeziehung mit *accountID* ein.
Die folgenden Aktionen sind für die Aufzeichnung definiert APIs:
+ „verbinden:StartContactRecording“
+ „verbinden:StopContactRecording“
+ „verbinden:SuspendContactRecording“
+ „verbinden:ResumeContactRecording“
### Erlauben weiterer Kontaktaktionen in derselben Rolle
Wenn dieselbe Rolle für das Anrufen eines anderen Kontakts verwendet wird APIs, können Sie die folgenden Kontaktaktionen auflisten:
+ GetContactAttributes
+ ListContactFlows
+ StartChatContact
+ StartOutboundVoiceContact
+ StopContact
+ UpdateContactAttributes
Oder verwenden Sie einen Platzhalter, um alle Kontaktaktionen zuzulassen, zum Beispiel: „connect: \*“
### Erlauben weiterer Ressourcen
Sie können auch einen Platzhalter verwenden, um mehr Ressourcen zuzulassen. So lassen Sie beispielsweise alle Verbindungsaktionen für alle Kontaktressourcen zu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"connect:*"
],
"Resource": "arn:aws:connect:us-west-2:111122223333:instance/*/contact/*",
"Effect": "Allow"
}
]
}
```
------
## Zulassen oder Verweigern von Warteschleifen-API-Aktionen für Telefonnummern in einer Replikat-Region
Das [CreateQueue](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateQueue.html)und [UpdateQueueOutboundCallerConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateQueueOutboundCallerConfig.html) APIs enthält ein Eingabefeld mit dem Namen`OutboundCallerIdNumberId`. Dieses Feld stellt eine Telefonnummernressource dar, die für eine Datenverkehr-Verteilergruppe beansprucht werden kann. Es unterstützt sowohl das Rufnummern-V1-ARN-Format, das von [ListPhoneNumbers](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListPhoneNumbers.html)zurückgegeben wird, als auch das V2-ARN-Format, das von [ListPhoneNumbersV2](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListPhoneNumbersV2.html) zurückgegeben wird.
Im Folgenden sind die V1- und V2-ARN-Formate aufgeführt, die von `OutboundCallerIdNumberId` unterstützt werden:
+ **V1-ARN-Format**: `arn:aws:connect:{{your-region}}:{{your-account_id}}:instance/{{instance_id}}/phone-number/{{resource_id}}`
+ **V2-ARN-Format**: `arn:aws:connect:{{your-region}}:{{your-account_id}}:phone-number/{{resource_id}}`
**Anmerkung**
Wir empfehlen die Verwendung des V2-ARN-Formats. Das V1-ARN-Format wird in Zukunft nicht mehr verwendet.
### Bereitstellen beider ARN-Formate für Telefonnummernressourcen in der Replikatregion
Wenn die Telefonnummer für eine Verkehrsverteilergruppe beansprucht wird, **müssen Sie die Telefonnummernressource sowohl im V1- als auch im V2-ARN-Format bereitstellen, um während des Betriebs in der Replikatregion korrekt auf die Warteschleifen-API-Aktionen für Telefonnummernressourcen allow/deny ** zugreifen zu können. Wenn Sie die Telefonnummernressource nur in ARN ARN-Format angeben, führt dies nicht zum korrekten allow/deny Verhalten beim Betrieb in der Replikatregion.
### Beispiel 1: Zugriff verweigern auf CreateQueue
Beispiel: Sie arbeiten in der Replikatregion us-west-2 mit Konto ` 123456789012` und Instance `aaaaaaaa-bbbb-cccc-dddd-0123456789012`. Sie möchten den Zugriff auf die [CreateQueue](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateQueue.html)API verweigern, wenn es sich bei dem `OutboundCallerIdNumberId` Wert um eine Telefonnummer handelt, die für eine Verkehrsverteilergruppe mit Ressourcen-ID beansprucht wurde`aaaaaaaa-eeee-ffff-gggg-0123456789012`. In diesem Szenario müssen Sie die folgende Richtlinie verwenden:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyCreateQueueForSpecificNumber",
"Effect": "Deny",
"Action": "connect:CreateQueue",
"Resource": [
"arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
"arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
]
}
]
}
```
------
Wobei us-west-2 die Region ist, in der die Anfrage gestellt wird.
### Beispiel 2: Erlauben Sie nur den Zugriff auf UpdateQueueOutboundCallerConfig
Beispiel: Sie arbeiten in der Replikatregion us-west-2 mit Konto `123456789012` und Instance `aaaaaaaa-bbbb-cccc-dddd-0123456789012`. Sie möchten den Zugriff auf die [UpdateQueueOutboundCallerConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateQueueOutboundCallerConfig.html)API nur zulassen, wenn es sich bei dem `OutboundCallerIdNumberId` Wert um eine Telefonnummer handelt, die für eine Verkehrsverteilergruppe mit Ressourcen-ID beansprucht wurde`aaaaaaaa-eeee-ffff-gggg-0123456789012`. In diesem Szenario müssen Sie die folgende Richtlinie verwenden:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OnlyAllowUpdateQueueOutboundCallerConfigForSpecificNumber",
"Effect": "Allow",
"Action": "connect:UpdateQueueOutboundCallerConfig",
"Resource": [
"arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
"arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
]
}
]
}
```
------
## Spezifische AppIntegrations Amazon-Ressourcen anzeigen
Die folgende Beispielrichtlinie ermöglicht das Abrufen von spezifischen Ereignisintegrationen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"app-integrations:GetEventIntegration"
],
"Resource": "arn:aws:app-integrations:us-west-2:{{111122223333}}:event-integration/Name"
}
]
}
```
------
## Gewähren von Zugriff auf Amazon Connect Customer Profiles
Amazon Connect Customer Profiles verwenden `profile` anstelle von `connect` als Präfix für Aktionen. Die folgende Richtlinie gewährt Vollzugriff auf eine bestimmte Domain in Amazon Connect Customer Profiles.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"profile:*"
],
"Resource": "arn:aws:profile:us-west-2:{{111122223333}}:domains/domainName",
"Effect": "Allow"
}
]
}
```
------
Richten Sie eine Vertrauensbeziehung mit accountID zur Domain DomainName ein.
## Gewähren von Lesezugriff auf Daten aus Customer Profiles
Im Folgenden finden Sie ein Beispiel für die Gewährung von Lesezugriff auf die Daten in Amazon Connect Customer Profiles.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"profile:SearchProfiles"
],
"Resource": "arn:aws:profile:{{us-east-1}}:{{111122223333}}:domains/domainName",
"Effect": "Allow"
}
]
}
```
------
## Query Connect AI-Agenten nur für einen bestimmten Assistenten
Die folgende Beispielrichtlinie erlaubt es, nur einen bestimmten Assistenten abzufragen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wisdom:QueryAssistant"
],
"Resource": "arn:aws:wisdom:{{us-east-1}}:{{111122223333}}:assistant/{{assistantID}}"
}
]
}
```
------
## Gewährt vollen Zugriff auf Amazon Connect Voice ID
Amazon Connect Voice ID verwendet anstelle von Connect `voiceid` als Präfix für Aktionen. Die folgende Richtlinie gewährt Vollzugriff auf eine bestimmte Domain in Amazon Connect Voice ID:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"voiceid:*"
],
"Resource": "arn:aws:voiceid:us-west-2:{{111122223333}}:domain/domainName",
"Effect": "Allow"
}
]
}
```
------
Richten Sie eine Vertrauensbeziehung mit accountID zur Domain DomainName ein.
## Gewähren von Zugriff auf Ressourcen für Amazon Connect Outbound Campaigns
Ausgehende Kampagnen verwenden `connect-campaign` als Präfix für Aktionen anstelle von `connect`. Die folgende Richtlinie gewährt Vollzugriff auf eine bestimmte ausgehende Kampagne.
```
{
"Sid": "AllowConnectCampaignsOperations",
"Effect": "Allow",
"Action": [
"connect-campaigns:DeleteCampaign",
"connect-campaigns:DescribeCampaign",
"connect-campaigns:UpdateCampaignName",
"connect-campaigns:GetCampaignState"
"connect-campaigns:UpdateOutboundCallConfig",
"connect-campaigns:UpdateDialerConfig",
"connect-campaigns:PauseCampaign",
"connect-campaigns:ResumeCampaign",
"connect-campaigns:StopCampaign"
],
"Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId",
}
```
## Beschränken der Möglichkeit, in Transkripten zu suchen, die von Amazon Connect Contact Lens analysiert wurden
Die folgende Richtlinie erlaubt das Suchen und Beschreiben von Kontakten, verweigert jedoch die Suche nach Kontakten mithilfe von Transkripten, die von Amazon Connect Contact Lens analysiert wurden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"connect:DescribeContact"
],
"Resource": "arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{instance-id}}/contact/*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"connect:SearchContacts"
],
"Resource": "arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{instance-id}}"
},
{
"Sid": "VisualEditor2",
"Effect": "Deny",
"Action": [
"connect:SearchContacts"
],
"Resource": "arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{instance-id}}",
"Condition": {
"ForAnyValue:StringEquals": {
"connect:SearchContactsByContactAnalysis": [
"Transcript"
]
}
}
}
]
}
```
------