Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Anwenden von Tag-basierter Zugriffskontrolle in Amazon Connect
Sie wenden Tag-basierte Zugriffskontrollen an, um den detaillierten Zugriff auf bestimmte Ressourcen anhand der zugewiesenen Ressourcen-Tags zu konfigurieren. Sie können tagbasierte Zugriffskontrollen konfigurieren, indem Sie die oder die API/SDK Admin-Website für unterstützte Ressourcen verwenden. Amazon Connect
## Anwenden von Tag-basierter Zugriffskontrolle mithilfe der API/des SDK
Um mit Tags den Zugriff auf Ressourcen innerhalb Ihrer AWS-Konten zu steuern, müssen Sie Tag-Informationen im Bedingungselement einer IAM-Richtlinie angeben. Um beispielsweise den Zugriff auf Ihre Sprach-ID-Domain anhand der Tags zu steuern, die Sie ihr zugewiesen haben, verwenden Sie den `aws:ResourceTag/key-name` Bedingungsschlüssel zusammen mit einem bestimmten Operator, `StringEquals` um anzugeben, welches *Tag-Schlüssel/Wert-Paar* an die Domain angehängt werden muss, um bestimmte Aktionen für sie zuzulassen.
Ausführlichere Informationen zu Tag-basierter Zugriffskontrolle finden Sie unter [Steuerung des Zugriffs auf AWS-Ressourcen mithilfe von Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) im *IAM-Benutzerhandbuch*.
## Wenden Sie die tagbasierte Zugriffskontrolle über die Admin-Website an Amazon Connect
Ein *Ressourcen*-Tag ist ein benutzerdefiniertes Metadatenetikett, das Sie einer Ressource hinzufügen können, um sie leichter zu identifizieren, zu organisieren und in einer Suche zu finden. Sie können Tags mithilfe des Amazon Connect SDK/ programmgesteuert anwendenAPIs, und für bestimmte Ressourcen können Sie Tags von der Amazon Connect Connect-Konsole aus anwenden. Weitere Informationen über Ressourcen-Tags finden Sie unter [Hinzufügen von Tags zu Ressourcen in Amazon Connect](tagging.md).
*Ein Zugriffskontroll-Tag ähnelt einem Ressourcen-Tag insofern, als es dieselbe Key:Value-Struktur verwendet.* Der Unterschied zu einem Zugriffskontrolltag besteht jedoch darin, dass es Autorisierungskontrollen einführt, die den Zugriff eines Benutzers auf bestimmte Ressourcen beschränken, die Ressourcen-Tags mit identischen *Schlüssel:Wert-Paaren* enthalten. Zugriffskontrolltags werden innerhalb von Sicherheitsprofilen definiert, indem zuerst die Ressource (Weiterleitungsprofil, Warteschlange, Benutzer usw.) ausgewählt wird, auf die der Zugriff gesteuert werden soll, und dann das *Schlüssel:Wert-Paar* definiert wird, für das ein Abgleich durchgeführt werden soll. Sobald ein Sicherheitsprofil mit Zugriffskontrolltags auf einen Benutzer angewendet wurde, schränkt es den Zugriff des Benutzers auf der Grundlage der definierten Kombination aus der ausgewählten Ressource (n) und den Zugriffskontroll-Tags (*Key:Value*) ein. Wenn keine Zugriffskontroll-Tags angewendet werden, kann ein Benutzer alle Ressourcen sehen, sofern er dazu berechtigt ist.
Um Tags zur Steuerung des Zugriffs auf Ressourcen auf der Admin-Website Ihrer Amazon-Connect-Instance zu verwenden, müssen Sie den Zugriffskontrollbereich innerhalb eines bestimmten Sicherheitsprofils konfigurieren. Um beispielsweise den Zugriff auf ein Weiterleitungsprofil anhand der Tags zu steuern, die Sie ihm zugewiesen haben, würden Sie das Weiterleitungsprofil als zugriffskontrollierte Ressource angeben und dann angeben, für welches *Tag-Schlüssel:Wert-Paar* Sie den Zugriff aktivieren möchten.
## Einschränkungen der Konfiguration
Tags für die Zugriffskontrolle werden in einem Sicherheitsprofil konfiguriert. Sie können bis zu vier Zugriffskontrolltags für ein einzelnes Sicherheitsprofil konfigurieren. Durch das Hinzufügen zusätzlicher Zugriffskontrolltags wird das Sicherheitsprofil restriktiver. Wenn Sie beispielsweise zwei Zugriffskontrolltags wie `Department:X` und hinzufügen würden`Country:Y`, könnte der Benutzer nur Ressourcen sehen, die beide Tags enthalten.
Benutzern können maximal drei Sicherheitsprofile zugewiesen werden, die Tags für die Zugriffskontrolle enthalten. Wenn einem einzelnen Benutzer mehrere Sicherheitsprofile mit Zugriffskontrolltags zugewiesen werden, werden die tagbasierten Zugriffskontrollen weniger restriktiv. Wenn ein Benutzer beispielsweise ein Sicherheitsprofil mit einem Zugriffskontrolltag wie `Country:USA` und ein anderes Sicherheitsprofil mit einem Zugriffskontrolltag wie hätte`Country:Argentina`, könnte ein Benutzer Ressourcen sehen, die mit `Country:USA` oder gekennzeichnet sind`Country:Argentina`. Ein Benutzer kann andere Sicherheitsprofile haben, sofern diese zusätzlichen Sicherheitsprofile keine Tags enthalten. Wenn mehrere Sicherheitsprofile mit sich überschneidenden Ressourcenberechtigungen vorhanden sind, wird das Sicherheitsprofil ohne tagbasierte Zugriffskontrollen gegenüber dem Profil mit tagbasierten Zugriffskontrollen durchgesetzt.
Serviceverknüpfte Rollen sind erforderlich, um [Ressourcen-Tags oder [Zugriffskontroll-Tags](https://docs.aws.amazon.com/connect/latest/adminguide/tag-based-access-control.html)](https://docs.aws.amazon.com/connect/latest/adminguide/tagging.html) zu konfigurieren. Wenn Ihre Instance nach Oktober 2018 erstellt wurde, ist diese standardmäßig mit Ihrer Amazon-Connect-Instance verfügbar. Wenn Sie jedoch eine ältere Instance haben, finden Sie unter [Verwenden von serviceverknüpften Rollen für Amazon Connect](https://docs.aws.amazon.com/connect/latest/adminguide/connect-slr.html) Anweisungen zur Aktivierung von serviceverknüpften Rollen.
## Bewährte Methoden für die Anwendung tagbasierter Zugriffskontrollen
Die Anwendung von tagbasierten Zugriffskontrollen ist eine erweiterte Konfigurationsfunktion, die von Amazon Connect unterstützt wird und dem Modell der AWS gemeinsamen Verantwortung folgt. Es ist wichtig sicherzustellen, dass Sie Ihre Instance korrekt konfigurieren, damit sie Ihren gewünschten Autorisierungsanforderungen entspricht. Weitere Informationen finden Sie unter [AWS -Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/).
Stellen Sie sicher, dass Sie mindestens die *Leseberechtigungen* für die Ressourcen aktiviert haben, für die Sie die tagbasierte Zugriffskontrolle aktivieren. Dadurch wird sichergestellt, dass Sie Inkonsistenzen bei den Berechtigungen vermeiden, die zu verweigerten Zugriffsanfragen führen.
Tagbasierte Zugriffskontrollen werden auf Ressourcenebene aktiviert, was bedeutet, dass jede Ressource unabhängig eingeschränkt werden kann. In bestimmten Anwendungsfällen mag dies akzeptabel sein, es wird jedoch als bewährte Methode angesehen, tagbasierte Zugriffskontrollen für alle Ressourcen zusammen zu aktivieren. Wenn Sie beispielsweise den Zugriff für Benutzer, aber nicht für Sicherheitsprofile aktivieren, könnte ein Benutzer ein Sicherheitsprofil mit Rechten erstellen, die Ihre beabsichtigten Einstellungen für die Benutzerzugriffskontrolle ersetzen.
Wenn Benutzer bei der Amazon-Connect-Konsole angemeldet sind und tagbasierte Zugriffskontrollen angewendet wurden, können sie nicht auf historische Änderungsprotokolle für die Ressourcen zugreifen, auf die sie beschränkt sind.
Als bewährte Methode sollten Sie den Zugriff auf die folgenden Ressourcen/Module deaktivieren, wenn Sie tagbasierte Zugriffskontrollen in der Amazon-Connect-Konsole anwenden. Wenn Sie den Zugriff auf diese Ressourcen nicht deaktivieren, wird Benutzern mit Tag-basierten Zugriffskontrollen für eine bestimmte Ressource, die diese Seiten aufrufen, möglicherweise eine uneingeschränkte Liste von Benutzern, Sicherheitsprofilen, Weiterleitungsprofilen, Warteschlangen, Flows oder Flow-Modulen angezeigt. Weitere Informationen über die Verwaltung von Berechtigungen finden Sie unter [Liste der Sicherheitsprofilberechtigungen in Amazon Connect](security-profile-list.md).
| Module | Erlaubnis, den Zugriff zu deaktivieren |
| --- | --- |
| Kontaktsuche | Kontaktsuche |
| Dashboard | Zugriff auf Metriken |
| Flüsse | Flows – Anzeigen |
| Flow-Module | Flow-Module – Ansicht |
| Prognosen | Prognosen |
| Historisches changes/Audit Portal | Zugriff auf Metriken |
| Betriebsstunden | Betriebsstunden – Anzeigen |
| Anmelde-/Abmeldebericht | Anmelde-/Abmeldebericht – Anzeigen |
| Outbound-Kampagne | Kampagnen – Ansicht |
| Eingabeaufforderungen | Eingabeaufforderungen – Ansicht |
| Schnellverbindung | Schnellverbindungen – Anzeigen |
| Regeln | Regeln – Anzeigen |
| Gespeicherte Berichte | Gespeicherte Berichte – Anzeigen |
| Planung | Zeitplanmanager |
| Planung | Veröffentlichter Terminkalender |