View a markdown version of this page

So arbeitet Connect Customer mit IAM - Amazon Connect Connect-Kunde
Connect Kundenidentitätsbasierte RichtlinienAutorisierung basierend auf Connect-Kunden-TagsConnect die IAM-Rollen von Kunden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So arbeitet Connect Customer mit IAM

Bevor Sie IAM verwenden, um den Zugriff auf Connect Customer zu verwalten, sollten Sie wissen, welche IAM-Funktionen für Connect Customer verfügbar sind. Einen allgemeinen Überblick darüber, wie Connect Customer und andere AWS Services mit IAM funktionieren, finden Sie im AWS IAM-Benutzerhandbuch unter Services That Work with IAM.

Connect Kundenidentitätsbasierte Richtlinien

Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Connect Customer unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der IAM-Referenz für JSON-Richtlinienelemente im IAM-Benutzerhandbuch.

Aktionen

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher Prinzipal Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen kann.

Das Element Action einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.

Richtlinienaktionen in Connect Customer verwenden vor der Aktion das folgende Präfix:connect:. Richtlinienanweisungen müssen entweder ein – Actionoder ein NotAction-Element enthalten. Connect Customer definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Service ausführen können.

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:

"Action": [
      "connect:action1",
      "connect:action2"

Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort Describe beginnen, einschließlich der folgenden Aktion:

"Action": "connect:Describe*"

Um eine Liste der Connect-Kundenaktionen, -aktionen, -ressourcen und -bedingungsschlüssel für Connect Customer anzuzeigen.

Ressourcen

Connect Customer unterstützt Berechtigungen auf Ressourcenebene (Angabe eines Ressourcen-ARN in einer IAM-Richtlinie). Im Folgenden finden Sie eine Liste der Connect-Kundenressourcen:

  • Instance

  • Kontakt

  • Benutzer

  • Weiterleitungsprofil

  • Sicherheitsprofil

  • Hierarchiegruppe

  • Warteschlange

  • Datei

  • Flow

  • Betriebsstunden

  • Phone number (Telefonnummer)

  • Aufgabenvorlagen

  • Kundenprofil-Domain

  • Objekttyp Kundenprofil

  • Ausgehende Kampagnen

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher Prinzipal Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen kann.

Das JSON-Richtlinienelement Resource gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen Amazon-Ressourcennamen (ARN) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (*), um anzugeben, dass die Anweisung für alle Ressourcen gilt.

"Resource": "*"

Die Instanzressource Connect Customer hat den folgenden ARN:

arn:${Partition}:connect:${Region}:${Account}:instance/${InstanceId}

Weitere Informationen zum Format von ARNs finden Sie unter Amazon Resource Names (ARNs) und AWS Service Namespaces.

Wenn Sie beispielsweise die i-1234567890abcdef0-Instance in Ihrer Anweisung angeben möchten, verwenden Sie den folgenden ARN:

"Resource": "arn:aws:connect:us-east-1:123456789012:instance/i-1234567890abcdef0"

Um alle Instances anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (*):

"Resource": "arn:aws:connect:us-east-1:123456789012:instance/*"

Einige Connect Customer-Aktionen, z. B. zum Erstellen von Ressourcen, können nicht für eine bestimmte Ressource ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (*) verwenden.

"Resource": "*"

Viele Connect-Customer; API-Aktionen beinhalten mehrere Ressourcen. Zum Beispiel

Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie die ARNs durch Kommata voneinander. 

"Resource": [
      "resource1",
      "resource2"

Eine Liste der Connect Customer-Ressourcentypen und ihrer ARNs finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Connect Customer. Der gleiche Artikel erklärt, mit welchen Aktionen Sie den ARN der jeweiligen Ressource angeben können.

Bedingungsschlüssel

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher Prinzipal Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen kann.

Das Element Condition gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die Bedingungsoperatoren verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter Kontextschlüssel für AWS globale Bedingungen im IAM-Benutzerhandbuch.

Connect Customer definiert seinen eigenen Satz von Bedingungsschlüsseln und unterstützt auch die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter AWS Globale Bedingungskontextschlüssel im IAM-Benutzerhandbuch.

Alle Amazon EC2-Aktionen unterstützen die Bedingungsschlüssel aws:RequestedRegion und ec2:Region. Weitere Informationen finden Sie unter Beispiel: Einschränken des Zugriffs auf eine bestimmte Region.

Eine Liste der Connect Customer-Bedingungsschlüssel finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Connect Customer.

Beispiele

Beispiele für identitätsbasierte Richtlinien von Connect Customer finden Sie unter. Connect — Beispiele für auf Kundenidentität basierende Richtlinien

Autorisierung basierend auf Connect-Kunden-Tags

Sie können Tags an Connect-Kundenressourcen anhängen oder Tags in einer Anfrage an Connect Customer weitergeben. Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer Richtlinie Tag-Informationen an, indem Sie die Schlüssel connect:ResourceTag/key-name, aws:RequestTag/key-name, oder Bedingung aws:TagKeys verwenden.

Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Markierungen dieser Ressource finden Sie unter Beschreiben und aktualisieren Sie Connect Customer-Benutzer anhand von Stichwörtern.

Connect die IAM-Rollen von Kunden

Eine IAM-Rolle ist eine Entität in Ihrem AWS Konto, die über bestimmte Berechtigungen verfügt.

Temporäre Anmeldeinformationen mit Connect Customer verwenden

Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie AssumeRoleoder aufrufen GetFederationToken.

Connect Customer unterstützt die Verwendung temporärer Anmeldeinformationen.

Service-linked Rollen

Service-linked Rollen ermöglichen es AWS Diensten, auf Ressourcen in anderen Diensten zuzugreifen, um eine Aktion in Ihrem Namen auszuführen. Service-linked Rollen werden in Ihrem IAM-Konto angezeigt und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.

Connect Customer unterstützt serviceverknüpfte Rollen. Einzelheiten zum Erstellen oder Verwalten von Rollen, die mit dem Connect Customer Service verknüpft sind, finden Sie unterVerwenden Sie serviceverknüpfte Rollen und Rollenberechtigungen für Connect Customer.

Auswahl einer IAM-Rolle in Connect Customer

Wenn Sie eine Ressource in Connect Customer erstellen, müssen Sie eine Rolle auswählen, damit Connect Customer in Ihrem Namen auf Amazon EC2 zugreifen kann. Wenn Sie zuvor eine Servicerolle oder eine serviceverknüpfte Rolle erstellt haben, stellt Ihnen Connect Customer eine Liste mit Rollen zur Auswahl zur Verfügung. Es ist wichtig, eine Rolle zu wählen, die Zugriff zum Starten und Stoppen von Amazon-EC2-Instances ermöglicht.