

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# So arbeitet Connect Customer mit IAM
<a name="security_iam_service-with-iam"></a>

Bevor Sie IAM verwenden, um den Zugriff auf Connect Customer zu verwalten, sollten Sie wissen, welche IAM-Funktionen für Connect Customer verfügbar sind. Einen allgemeinen Überblick darüber, wie Connect Customer und andere AWS Services mit IAM funktionieren, finden Sie im [AWS IAM-Benutzerhandbuch unter Services That Work with *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).

**Topics**
+ [Connect Kundenidentitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies)
+ [Autorisierung basierend auf Connect-Kunden-Tags](#security_iam_service-with-iam-tags)
+ [Connect die IAM-Rollen von Kunden](#security_iam_service-with-iam-roles)

## Connect Kundenidentitätsbasierte Richtlinien
<a name="security_iam_service-with-iam-id-based-policies"></a>

Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Connect Customer unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.

### Aktionen
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.

Richtlinienaktionen in Connect Customer verwenden vor der Aktion das folgende Präfix:`connect:`. Richtlinienanweisungen müssen entweder ein – `Action`oder ein `NotAction`-Element enthalten. Connect Customer definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Service ausführen können.

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:

```
"Action": [
      "connect:action1",
      "connect:action2"
```

Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:

```
"Action": "connect:Describe*"
```

Um eine Liste der Connect-Kundenaktionen, [-aktionen, -ressourcen und -bedingungsschlüssel für Connect Customer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html) anzuzeigen.

### Ressourcen
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

Connect Customer unterstützt Berechtigungen auf Ressourcenebene (Angabe eines Ressourcen-ARN in einer IAM-Richtlinie). Im Folgenden finden Sie eine Liste der Connect-Kundenressourcen:
+ Instance
+ Kontakt
+ Benutzer
+ Weiterleitungsprofil
+ Sicherheitsprofil
+ Hierarchiegruppe
+ Warteschlange
+ Datei
+ Flow
+ Betriebsstunden
+ Phone number (Telefonnummer)
+ Aufgabenvorlagen
+ Kundenprofil-Domain
+ Objekttyp Kundenprofil
+ Ausgehende Kampagnen

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\*), um anzugeben, dass die Anweisung für alle Ressourcen gilt.

```
"Resource": "*"
```

Die Instanzressource Connect Customer hat den folgenden ARN:

```
arn:${Partition}:connect:${Region}:${Account}:instance/${InstanceId}
```

Weitere Informationen zum Format von ARNs finden Sie unter [Amazon Resource Names (ARNs) und AWS Service](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) Namespaces.

Wenn Sie beispielsweise die `i-1234567890abcdef0`-Instance in Ihrer Anweisung angeben möchten, verwenden Sie den folgenden ARN:

```
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/i-1234567890abcdef0"
```

Um alle Instances anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (\*):

```
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/*"
```

Einige Connect Customer-Aktionen, z. B. zum Erstellen von Ressourcen, können nicht für eine bestimmte Ressource ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (\*) verwenden.

```
"Resource": "*"
```

Viele Connect-Customer; API-Aktionen beinhalten mehrere Ressourcen. Zum Beispiel 

Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie die ARNs durch Kommata voneinander. 

```
"Resource": [
      "resource1",
      "resource2"
```

Eine Liste der Connect Customer-Ressourcentypen und ihrer ARNs finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Connect Customer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html). Der gleiche Artikel erklärt, mit welchen Aktionen Sie den ARN der jeweiligen Ressource angeben können.

### Bedingungsschlüssel
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.

Connect Customer definiert seinen eigenen Satz von Bedingungsschlüsseln und unterstützt auch die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [AWS Globale Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.

Alle Amazon EC2-Aktionen unterstützen die Bedingungsschlüssel `aws:RequestedRegion` und `ec2:Region`. Weitere Informationen finden Sie unter [Beispiel: Einschränken des Zugriffs auf eine bestimmte Region](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region). 

Eine Liste der Connect Customer-Bedingungsschlüssel finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Connect Customer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html).

### Beispiele
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>

Beispiele für identitätsbasierte Richtlinien von Connect Customer finden Sie unter. [Connect — Beispiele für auf Kundenidentität basierende Richtlinien](security_iam_id-based-policy-examples.md)

## Autorisierung basierend auf Connect-Kunden-Tags
<a name="security_iam_service-with-iam-tags"></a>

Sie können Tags an Connect-Kundenressourcen anhängen oder Tags in einer Anfrage an Connect Customer weitergeben. Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `connect:ResourceTag/{{key-name}}`, `aws:RequestTag/{{key-name}}`, oder Bedingung `aws:TagKeys` verwenden. 

Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Markierungen dieser Ressource finden Sie unter [Beschreiben und aktualisieren Sie Connect Customer-Benutzer anhand von Stichwörtern](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-widget-tags).

## Connect die IAM-Rollen von Kunden
<a name="security_iam_service-with-iam-roles"></a>

Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität in Ihrem AWS Konto, die über bestimmte Berechtigungen verfügt.

### Temporäre Anmeldeinformationen mit Connect Customer verwenden
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder aufrufen [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html). 

Connect Customer unterstützt die Verwendung temporärer Anmeldeinformationen. 

### Service-linked Rollen
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[Service-linked Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) ermöglichen es AWS Diensten, auf Ressourcen in anderen Diensten zuzugreifen, um eine Aktion in Ihrem Namen auszuführen. Service-linked Rollen werden in Ihrem IAM-Konto angezeigt und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.

Connect Customer unterstützt serviceverknüpfte Rollen. Einzelheiten zum Erstellen oder Verwalten von Rollen, die mit dem Connect Customer Service verknüpft sind, finden Sie unter[Verwenden Sie serviceverknüpfte Rollen und Rollenberechtigungen für Connect Customer](connect-slr.md). 

### Auswahl einer IAM-Rolle in Connect Customer
<a name="security_iam_service-with-iam-roles-choose"></a>

Wenn Sie eine Ressource in Connect Customer erstellen, müssen Sie eine Rolle auswählen, damit Connect Customer in Ihrem Namen auf Amazon EC2 zugreifen kann. Wenn Sie zuvor eine Servicerolle oder eine serviceverknüpfte Rolle erstellt haben, stellt Ihnen Connect Customer eine Liste mit Rollen zur Auswahl zur Verfügung. Es ist wichtig, eine Rolle zu wählen, die Zugriff zum Starten und Stoppen von Amazon-EC2-Instances ermöglicht. 