Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Use roles y permisos de rol vinculados al servicio para Connect Customer
¿Qué son los roles vinculados al servicio (SLR) y por qué son importantes?
Connect Customer utiliza AWS Identity and Access Management funciones vinculadas al servicio (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a una instancia de Connect Customer.
Service-linked Connect Customer predefine las funciones e incluyen todos los permisos que Connect Customer necesita para llamar a otros AWS servicios en su nombre.
Debe habilitar las funciones vinculadas al servicio para poder utilizar las nuevas funciones de Connect Customer, como la compatibilidad con el etiquetado, la nueva interfaz de usuario en los perfiles de gestión de usuarios y enrutamiento, y las colas con soporte. CloudTrail
Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte los AWS servicios que funcionan con IAM y busque los servicios que tengan la palabra Sí en la columna Función. Service-Linked Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
Service-linked permisos de rol para Connect Customer
Connect Customer utiliza el rol vinculado al servicio con el prefijo AWSServiceRoleForAmazonConnect_ unique-id — Concede permiso a Amazon Connect para acceder a AWS los recursos en su nombre.
El rol vinculado al servicio con el AWSServiceRoleForAmazonConnect prefijo confía en que los siguientes servicios asuman el rol:
-
connect.amazonaws.com
La política de permisos de AmazonConnectServiceLinkedRolePolicyroles permite a Connect Customer completar las siguientes acciones en los recursos especificados:
-
Acción: todas las acciones de Connect Customer
connect:*, en todos los recursos de Connect Customer. -
Acción:
iam:DeleteRolede IAM para permitir la eliminación del rol vinculado al servicio. -
Acción: Amazon S3
s3:GetObject,s3:DeleteObject,s3:GetBucketLocationyGetBucketAclpara el bucket de S3 especificado para las conversaciones registradas.También concede
s3:PutObject,s3:PutObjectAclys3:GetObjectAclen el bucket especificado para los informes exportados. -
Acción: Amazon CloudWatch Logs
logs:CreateLogStreamylogs:PutLogEventsal grupo de CloudWatch registros especificado para el registro de flujos.logs:DescribeLogStreams -
Acción:
lex:ListBotsylex:ListBotAliasesde Amazon Lex para todos los bots creados en la cuenta en todas las regiones. -
Acción: conecte los perfiles
profile:*de clientes de todos los recursos de Connect Customer Profiles con el prefijo deamazon-connect-dominio y los recursos de plantilla asociados a su instancia de Connect Customer, excepto en el caso de las siguientes acciones, que se deniegan explícitamente:-
profile:CreateDomain -
profile:UpdateDomain -
profile:DeleteDomain -
profile:CreateEventStream -
profile:DeleteEventStream -
profile:DeleteWorkflow -
profile:DeleteProfileKey -
profile:UntagResource -
profile:TagResource -
profile:CreateIntegrationWorkflow
Además, se permiten las siguientes acciones en todos los recursos:
profile:ListRecommenderRecipesprofile:ListAccountIntegrations, yprofile:ListDomains.nota
Cada instancia de Connect Customer solo se puede asociar a un dominio a la vez. Sin embargo, puede vincular cualquier dominio a una instancia de Connect Customer. Cross-domain el acceso dentro de la misma cuenta y región de AWS se habilita automáticamente para todos los dominios que comiencen con el prefijo
amazon-connect-. Para restringir el acceso entre dominios, puede usar instancias de Connect Customer independientes para particionar los datos de forma lógica o usar nombres de dominio de perfiles de cliente dentro de la misma instancia que no comiencen con elamazon-connect-prefijo, lo que impide el acceso entre dominios. -
-
Acción: Conecta los agentes de IA
wisdom:*en todos los recursos de Connect Customer Connect AI agents con la etiqueta de recurso'AmazonConnectEnabled':'True'asociada a tu instancia de Connect Customer, excepto en el caso de las siguientes acciones, que se deniegan explícitamente:-
wisdom:DeleteAssistant -
wisdom:DeleteKnowledgeBase
-
-
Acción: Amazon CloudWatch Metrics
cloudwatch:PutMetricDatapublicará en tu cuenta las métricas de uso de Connect Customer correspondientes a una instancia. -
Acción: Amazon Pinpoint SMS y Voice
sms-voice:DescribePhoneNumbersysms-voice:SendTextMessagepermitir que Connect Customer envíe SMS. -
Acción: Amazon Pinpoint permitirá
mobiletargeting:SendMessagesa Connect Customer enviar notificaciones push. -
Acción: grupos de usuarios de Amazon Cognito
cognito-idp:DescribeUserPooly permitircognito-idp:ListUserPoolClientsque Connect Customer acceda a determinadas operaciones de lectura en los recursos de los grupos de usuarios de Amazon Cognito que tienenAmazonConnectEnableduna etiqueta de recurso. -
Acción: el conector de voz del SDK de Amazon Chime permite el acceso de lectura
chime:GetVoiceConnectora Connect Customer en todos los recursos del conector de voz del SDK de Amazon Chime que tengan'AmazonConnectEnabled':'True'una etiqueta de recurso. -
Acción:
chime:ListVoiceConnectorsde Amazon Chime SDK Voice Connector para todos los conectores de voz del Amazon Chime SDK creados en la cuenta en todas las regiones. -
Acción: Connect Customer Messaging WhatsApp integration. Otorga a los clientes de Connect permisos para las siguientes API sociales de mensajería para usuarios AWS finales:
-
social-messaging:SendWhatsAppMessage -
social-messaging:PostWhatsAppMessageMedia -
social-messaging:GetWhatsAppMessageMedia -
social-messaging:GetLinkedWhatsAppBusinessAccountPhoneNumber
Las API sociales están restringidas a los recursos de su número de teléfono que están habilitados para Connect Customer. Se etiqueta un número de teléfono
AmazonConnectEnabled : Truecuando se importa a una instancia de Connect Customer. -
-
Acción: Conecte la integración de la plantilla de WhatsApp mensajes de Customer Messaging. Concede permiso al cliente de Connect para llamar a AWS End User Messaging Social las API. Las cuentas WhatsApp empresariales de una AWS cuenta pueden aparecer en la lista. Además, las plantillas de una cuenta WhatsApp empresarial pueden aparecer en la lista y se pueden recuperar los detalles de una plantilla siempre que la cuenta WhatsApp empresarial esté etiquetada
AmazonConnectEnabled: True.-
social-messaging:ListLinkedWhatsAppBusinessAccounts -
social-messaging:GetWhatsAppMessageTemplate -
social-messaging:ListWhatsAppMessageTemplates
-
-
Acción: Amazon SES
-
ses:DescribeReceiptRule -
ses:UpdateReceiptRule
en todas las reglas de recepción de Amazon SES. Se utiliza para enviar y recibir correos electrónicos.
-
ses:DeleteEmailIdentitypara la identidad deinstance-aliasdominio SES {} .email.connect.aws. Se utiliza para la administración del dominio de correo electrónico proporcionada por Connect Customer.
-
ses:SendRawEmailpara enviar correos electrónicos con un conjunto de configuraciones de SES proporcionado por Connect Customer (configuration-set-for-connect-). DO-NOT-DELETE
-
iam:PassRolepara el rol de servicio deAmazonConnectEmailSESAccessRoleque utiliza Amazon SES. Para la administración de reglas de recepción de Amazon SES, Amazon SES exige que se le asigne un rol, el cual asume.
-
-
Acción: Amazon Polly
-
polly:ListLexicons -
polly:DescribeVoices -
polly:SynthesizeSpeech
-
A medida que habilita funciones adicionales en Connect Customer, se agregan los siguientes permisos para que el rol vinculado al servicio acceda a los recursos asociados a esas funciones mediante políticas integradas:
-
Acción:
firehose:DescribeDeliveryStream,firehose:PutRecordyfirehose:PutRecordBatchde Amazon Data Firehose para la secuencia de entrega definida para las secuencias de eventos de agente y los registros de contacto. -
Acción:
kinesis:PutRecord,kinesis:PutRecordsykinesis:DescribeStreamde Amazon Kinesis Data Streams para el flujo especificado para los flujos de eventos de agente y los registros de contacto. -
Acción:
lex:PostContentde Amazon Lex para los bots agregados a su instancia. -
Acción: Conecta al cliente con Voice-ID
voiceid:*los dominios de Voice ID asociados a tu instancia. -
Acción: EventBridge
events:PutRuleyevents:PutTargetspara la EventBridge regla administrada por Connect Customer para publicar registros de CTR para los dominios de Voice ID asociados. -
Acción: campañas externas
-
connect-campaigns:CreateCampaign -
connect-campaigns:DeleteCampaign -
connect-campaigns:DescribeCampaign -
connect-campaigns:UpdateCampaignName -
connect-campaigns:GetCampaignState -
connect-campaigns:GetCampaignStateBatch -
connect-campaigns:ListCampaigns -
connect-campaigns:UpdateOutboundCallConfig -
connect-campaigns:UpdateDialerConfig -
connect-campaigns:PauseCampaign -
connect-campaigns:ResumeCampaign -
connect-campaigns:StopCampaign
para todas las operaciones relacionadas con las campañas externas.
-
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte los permisos de Service-linked función en la Guía del usuario de IAM.
Crear un rol vinculado al servicio para Connect Customer
No necesita crear manualmente un rol vinculado a servicios. Cuando creas una nueva instancia en Amazon Connect Consola de administración de AWS, Connect Customer crea el rol vinculado al servicio por ti.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea una nueva instancia en Amazon Connect, Connect Customer vuelve a crear el rol vinculado al servicio para usted.
También puede utilizar la consola de IAM para crear un rol vinculado al servicio con el caso de uso de Amazon Connect - Acceso completo. En la CLI de IAM o la API de IAM, cree un rol vinculado a servicio con el nombre de servicio connect.amazonaws.com. Para obtener más información, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.
Para las instancias creadas antes de octubre de 2018
sugerencia
¿Tienes problemas para iniciar sesión para administrar tu cuenta? AWS ¿No sabe quién administra su cuenta de AWS ? Para obtener ayuda, consulte Troubleshooting AWS account sign-in issues.
Si su instancia de Connect Customer se creó antes de octubre de 2018, no tiene configurados los roles vinculados al servicio. Para crear un rol vinculado al servicio, en la página Información general de la cuenta, elija Crear un rol vinculado al servicio, como se muestra en la siguiente imagen.
Para obtener una lista de los permisos de IAM necesarios para crear el rol de IAM vinculado al servicio, consulte Página de información general en el tema Permisos necesarios para usar políticas de IAM personalizadas para administrar el acceso a la consola Connect Customer.
En el caso de los dominios de Perfil de clientes creados antes del 31 de enero de 2025 y configurados con una clave de KMS de cliente para cifrar datos, debe conceder permisos de KMS adicionales a su instancia de Amazon Connect.
Si su dominio de perfil de cliente asociado se creó antes del 31 de enero de 2025 y el dominio utiliza una clave Customer-Managed KMS (CMK) para el cifrado, para permitir que la instancia de Connect aplique la CMK, lleve a cabo las siguientes acciones:
-
Proporcione el permiso de Service-Linked rol (SLR) de una Connect Customer instancia para usar AWS KMS las claves de su dominio de perfiles de clientes navegando a la página de perfiles de clientes en la consola de administración de Connect Customer AWS y seleccionando el permiso Actualizar KMS.
-
Cree un ticket de asistencia
con el equipo de perfiles de clientes de Connect para solicitar la aplicación de los permisos de CMK para su cuenta.
Para obtener una lista de los permisos de IAM para actualizar su Connect Customer instancia, consulte el permiso necesario para las políticas de IAM personalizadas de. Página de Perfiles de clientes
Editar un rol vinculado a un servicio para Connect Customer
Connect Customer no le permite editar la función vinculada al servicio con el AWSServiceRoleForAmazonConnect prefijo. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.
Comprobación de que un rol vinculado al servicio tiene permisos para Amazon Lex
-
En el panel de navegación de la consola de IAM, elija Roles.
-
Seleccione el nombre del rol que desea modificar.
Eliminar un rol vinculado a un servicio para Connect Customer
No es necesario eliminar manualmente el rol con AWSServiceRoleForAmazonConnect prefijo. Cuando eliminas tu instancia de Amazon Connect en Consola de administración de AWS, Connect Customer limpia los recursos y elimina el rol vinculado al servicio por ti.
Regiones compatibles con las funciones vinculadas al servicio de atención al cliente de Connect
Connect Customer admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte AWS Regiones y puntos de conexión.