Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Uso de permisos de roles y roles vinculados al servicio para Amazon Connect
## ¿Qué son los roles vinculados al servicio (SLR) y por qué son importantes?
Amazon Connect utiliza funciones AWS Identity and Access Management vinculadas a [servicios (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado al servicio es un tipo único de rol de IAM que está vinculado directamente a una instancia de Amazon Connect.
Amazon Connect predefine las funciones vinculadas a servicios e incluyen [todos los permisos](#slr-permissions) que Amazon Connect necesita para llamar a otros AWS servicios en su nombre.
Debe habilitar las funciones vinculadas a servicios para poder utilizar las nuevas funciones de Amazon Connect, como el soporte de etiquetado, la nueva interfaz de **usuario en los perfiles de gestión** **de usuarios y enrutamiento** y las colas con soporte. CloudTrail
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Yes** (Sí) en la columna **Service-Linked Role** (Rol vinculado a servicio). Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados al servicio para Amazon Connect
Amazon Connect utiliza el rol vinculado al servicio con el prefijo **AWSServiceRoleForAmazonConnect**\_ {{unique-id}} — Concede permiso a Amazon Connect para acceder a AWS los recursos en su nombre.
El rol vinculado a un servicio con el AWSService RoleForAmazonConnect prefijo confía en que los siguientes servicios asuman el rol:
+ `connect.amazonaws.com`
La política de permisos de [AmazonConnectServiceLinkedRolePolicy](https://docs.aws.amazon.com/connect/latest/adminguide/security_iam_awsmanpol.html#amazonconnectservicelinkedrolepolicy)roles permite a Amazon Connect realizar las siguientes acciones en los recursos especificados:
+ Acción: todas las acciones de Amazon Connect, `connect:*`, en todos los recursos de Amazon Connect.
+ Acción: `iam:DeleteRole` de IAM para permitir la eliminación del rol vinculado al servicio.
+ Acción: Amazon S3 `s3:GetObject`, `s3:DeleteObject`, `s3:GetBucketLocation` y `GetBucketAcl` para el bucket de S3 especificado para las conversaciones registradas.
También concede `s3:PutObject`, `s3:PutObjectAcl` y `s3:GetObjectAcl` en el bucket especificado para los informes exportados.
+ Acción: Amazon CloudWatch Logs `logs:CreateLogStream` y `logs:PutLogEvents` al grupo de CloudWatch registros especificado para el registro de flujos. `logs:DescribeLogStreams`
+ Acción: `lex:ListBots` y `lex:ListBotAliases` de Amazon Lex para todos los bots creados en la cuenta en todas las regiones.
+ Acción: Perfiles de clientes de Amazon Connect
+ `profile:SearchProfiles`
+ `profile:CreateProfile`
+ `profile:UpdateProfile`
+ `profile:AddProfileKey`
+ `profile:ListProfileObjects`
+ `profile:ListAccountIntegrations`
+ `profile:ListProfileObjectTypeTemplates`
+ `profile:GetProfileObjectTypeTemplate`
+ `profile:ListProfileObjectTypes`
+ `profile:GetProfileObjectType`
+ `profile:ListCalculatedAttributeDefinitions`
+ `profile:GetCalculatedAttributeForProfile`
+ `profile:ListCalculatedAttributesForProfile`
+ `profile:GetDomain`
+ `profile:ListIntegrations`
+ `profile:GetIntegration`
+ `profile:PutIntegration`
+ `profile:DeleteIntegration`
+ `profile:CreateEventTrigger`
+ `profile:GetEventTrigger`
+ `profile:ListEventTriggers`
+ `profile:UpdateEventTrigger`
+ `profile:DeleteEventTrigger`
+ `profile:CreateCalculatedAttributeDefinition`
+ `profile:DeleteCalculatedAttributeDefinition`
+ `profile:GetCalculatedAttributeDefinition`
+ `profile:UpdateCalculatedAttributeDefinition`
+ `profile:PutProfileObject`
+ `profile:ListObjectTypeAttributes`
+ `profile:ListProfileAttributeValues`
+ `profile:BatchGetProfile`
+ `profile:BatchGetCalculatedAttributeForProfile`
+ `profile:ListSegmentDefinitions`
+ `profile:CreateSegmentDefinition`
+ `profile:GetSegmentDefinition`
+ `profile:DeleteSegmentDefinition`
+ `profile:CreateSegmentEstimate`
+ `profile:GetSegmentEstimate`
+ `profile:CreateSegmentSnapshot`
+ `profile:GetSegmentSnapshot`
+ `profile:GetSegmentMembership`
+ `profile:CreateDomainLayout`
+ `profile:UpdateDomainLayout`
+ `profile:DeleteDomainLayout`
+ `profile:GetDomainLayout`
+ `profile:ListDomainLayouts`
+ `profile:GetSimilarProfiles`
+ `profile:GetUploadJob`
+ `profile:GetUploadJobPath`
+ `profile:StartUploadJob`
+ `profile:StopUploadJob`
+ `profile:CreateUploadJob`
+ `profile:ListUploadJobs`
+ `profile:DetectProfileObjectType`
para utilizar su dominio predeterminado de Perfiles de clientes (incluidos los perfiles y todos los tipos de objetos del dominio) con los flujos de Amazon Connect y las aplicaciones de experiencia de agente.
**nota**
Cada instancia de Amazon Connect solo puede asociarse a un dominio simultáneamente. Sin embargo, puede vincular cualquier dominio a una instancia de Amazon Connect. El acceso entre dominios dentro de la misma cuenta y región de AWS se habilita automáticamente para todos los dominios que comiencen con el prefijo `amazon-connect-`. Para restringir el acceso entre dominios, puede usar instancias de Amazon Connect independientes para particionar sus datos de forma lógica o usar nombres de dominio de perfiles de clientes dentro de la misma instancia que no comiencen con el prefijo `amazon-connect-`, lo que impide el acceso entre dominios.
+ Acción: Conectar agentes de IA
+ `wisdom:CreateContent`
+ `wisdom:DeleteContent`
+ `wisdom:CreateKnowledgeBase`
+ `wisdom:GetAssistant`
+ `wisdom:GetKnowledgeBase`
+ `wisdom:GetContent`
+ `wisdom:GetRecommendations`
+ `wisdom:GetSession`
+ `wisdom:NotifyRecommendationsReceived`
+ `wisdom:QueryAssistant`
+ `wisdom:StartContentUpload`
+ `wisdom:UntagResource`
+ `wisdom:TagResource`
+ `wisdom:CreateSession`
+ `wisdom:CreateQuickResponse`
+ `wisdom:GetQuickResponse`
+ `wisdom:SearchQuickResponses`
+ `wisdom:StartImportJob`
+ `wisdom:GetImportJob`
+ `wisdom:ListImportJobs`
+ `wisdom:ListQuickResponses`
+ `wisdom:UpdateQuickResponse`
+ `wisdom:DeleteQuickResponse`
+ `wisdom:PutFeedback`
+ `wisdom:ListContentAssociations`
+ `wisdom:CreateMessageTemplate`
+ `wisdom:UpdateMessageTemplate`
+ `wisdom:UpdateMessageTemplateMetadata`
+ `wisdom:GetMessageTemplate`
+ `wisdom:DeleteMessageTemplate`
+ `wisdom:ListMessageTemplates`
+ `wisdom:SearchMessageTemplates`
+ `wisdom:ActivateMessageTemplate`
+ `wisdom:DeactivateMessageTemplate`
+ `wisdom:CreateMessageTemplateVersion`
+ `wisdom:ListMessageTemplateVersions`
+ `wisdom:CreateMessageTemplateAttachment`
+ `wisdom:DeleteMessageTemplateAttachment`
+ `wisdom:RenderMessageTemplate`
+ `wisdom:CreateAIAgent`
+ `wisdom:CreateAIAgentVersion`
+ `wisdom:DeleteAIAgent`
+ `wisdom:DeleteAIAgentVersion`
+ `wisdom:UpdateAIAgent`
+ `wisdom:UpdateAssistantAIAgent`
+ `wisdom:RemoveAssistantAIAgent`
+ `wisdom:GetAIAgent`
+ `wisdom:ListAIAgents`
+ `wisdom:ListAIAgentVersions`
+ `wisdom:CreateAIPrompt`
+ `wisdom:CreateAIPromptVersion`
+ `wisdom:DeleteAIPrompt`
+ `wisdom:DeleteAIPromptVersion`
+ `wisdom:UpdateAIPrompt`
+ `wisdom:GetAIPrompt`
+ `wisdom:ListAIPrompts`
+ `wisdom:ListAIPromptVersions`
+ `wisdom:CreateAIGuardrail`
+ `wisdom:CreateAIGuardrailVersion`
+ `wisdom:DeleteAIGuardrail`
+ `wisdom:DeleteAIGuardrailVersion`
+ `wisdom:UpdateAIGuardrail`
+ `wisdom:GetAIGuardrail`
+ `wisdom:ListAIGuardrails`
+ `wisdom:ListAIGuardrailVersions`
+ `wisdom:CreateAssistant`
+ `wisdom:ListTagsForResource`
+ `wisdom:SendMessage`
+ `wisdom:GetNextMessage`
+ `wisdom:ListMessages`
+ `wisdom:Retrieve`
+ `wisdom:ListAssistantAssociations`
con una etiqueta de recurso `'AmazonConnectEnabled':'True'` en todos los recursos de agentes de IA de Amazon Connect Connect asociados a su instancia de Amazon Connect.
+ `wisdom:ListAssistants`
+ `wisdom:KnowledgeBases`
en todos los recursos de agentes de Connect AI.
+ Acción: Amazon CloudWatch Metrics publicará `cloudwatch:PutMetricData` las métricas de uso de Amazon Connect de una instancia en su cuenta.
+ Action: `sms-voice:DescribePhoneNumbers` y `sms-voice:SendTextMessage` de SMS y voz de Amazon Pinpoint para permitir que Amazon Connect envíe SMS.
+ Acción: `mobiletargeting:SendMessages` de Amazon Pinpoint para permitir a Amazon Connect enviar notificaciones push.
+ Acción: grupos de usuarios de Amazon Cognito `cognito-idp:DescribeUserPool` y `cognito-idp:ListUserPoolClients` para permitir el acceso de Amazon Connect a determinadas operaciones de lectura en los recursos de los grupos de usuarios de Amazon Cognito que tienen una etiqueta de recurso `AmazonConnectEnabled`.
+ Acción: `chime:GetVoiceConnector` de Amazon Chime SDK Voice Connector para permitir el acceso de lectura a Amazon Connect en todos los recursos del Amazon Chime SDK Voice Connector que tengan una etiqueta de recurso `'AmazonConnectEnabled':'True'`.
+ Acción: `chime:ListVoiceConnectors` de Amazon Chime SDK Voice Connector para todos los conectores de voz del Amazon Chime SDK creados en la cuenta en todas las regiones.
+ Acción: WhatsApp integración de Amazon Connect Messaging. Otorga permisos de Amazon Connect a las siguientes redes sociales de mensajería para usuarios AWS finales APIs:
+ `social-messaging:SendWhatsAppMessage`
+ `social-messaging:PostWhatsAppMessageMedia`
+ `social-messaging:GetWhatsAppMessageMedia`
+ `social-messaging:GetLinkedWhatsAppBusinessAccountPhoneNumber`
APIs Las redes sociales están restringidas a los recursos de tu número de teléfono que estén habilitados para Amazon Connect. Un número de teléfono se etiqueta con `AmazonConnectEnabled : True` cuando se importa a una instancia de Amazon Connect.
+ Acción: integración de la plantilla de WhatsApp mensajes de Amazon Connect Messaging. Concede permiso a Amazon Connect para realizar llamadas AWS End User Messaging Social APIs. Las cuentas WhatsApp empresariales de una AWS cuenta pueden aparecer en la lista. Además, las plantillas de una cuenta WhatsApp empresarial pueden aparecer en la lista y se pueden recuperar los detalles de una plantilla siempre que la cuenta WhatsApp empresarial esté etiquetada`AmazonConnectEnabled: True`.
+ `social-messaging:ListLinkedWhatsAppBusinessAccounts`
+ `social-messaging:GetWhatsAppMessageTemplate`
+ `social-messaging:ListWhatsAppMessageTemplates`
+ Acción: Amazon SES
+ `ses:DescribeReceiptRule`
+ `ses:UpdateReceiptRule`
en todas las reglas de recepción de Amazon SES. Se utiliza para enviar y recibir correos electrónicos.
+ `ses:DeleteEmailIdentity`para la identidad de {{instance-alias}} dominio SES {} .email.connect.aws. Se utiliza para la administración del dominio de correo electrónico proporcionada por Amazon Connect.
+ `ses:SendRawEmail`para enviar correos electrónicos con un conjunto de configuraciones de SES proporcionado por Amazon Connect (configuration-set-for-connect-DO-NOT-DELETE).
+ `iam:PassRole` para el rol de servicio de `AmazonConnectEmailSESAccessRole` que utiliza Amazon SES. Para la administración de reglas de recepción de Amazon SES, Amazon SES exige que se le asigne un rol, el cual asume.
+ Acción: Amazon Polly
+ `polly:ListLexicons`
+ `polly:DescribeVoices`
+ `polly:SynthesizeSpeech`
A medida que se habilitan las características adicionales en Amazon Connect, se agregan permisos adicionales para el rol vinculado al servicio a fin de acceder a los recursos asociados con estas características mediante el uso de políticas en línea:
+ Acción: `firehose:DescribeDeliveryStream`, `firehose:PutRecord` y `firehose:PutRecordBatch` de Amazon Data Firehose para la secuencia de entrega definida para las secuencias de eventos de agente y los registros de contacto.
+ Acción: `kinesis:PutRecord`, `kinesis:PutRecords` y `kinesis:DescribeStream` de Amazon Kinesis Data Streams para el flujo especificado para los flujos de eventos de agente y los registros de contacto.
+ Acción: `lex:PostContent` de Amazon Lex para los bots agregados a su instancia.
+ Acción: `voiceid:*` de Amazon Connect Voice ID para los dominios de Voice ID asociados a su instancia.
+ Acción: EventBridge `events:PutRule` y `events:PutTargets` para la EventBridge regla gestionada de Amazon Connect para publicar registros de CTR para los dominios de Voice ID asociados.
+ Acción: campañas externas
+ `connect-campaigns:CreateCampaign`
+ `connect-campaigns:DeleteCampaign`
+ `connect-campaigns:DescribeCampaign`
+ `connect-campaigns:UpdateCampaignName`
+ `connect-campaigns:GetCampaignState`
+ `connect-campaigns:GetCampaignStateBatch`
+ `connect-campaigns:ListCampaigns`
+ `connect-campaigns:UpdateOutboundCallConfig`
+ `connect-campaigns:UpdateDialerConfig`
+ `connect-campaigns:PauseCampaign`
+ `connect-campaigns:ResumeCampaign`
+ `connect-campaigns:StopCampaign`
para todas las operaciones relacionadas con las campañas externas.
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Creación de un rol vinculado al servicio para Amazon Connect
No necesita crear manualmente un rol vinculado a servicios. Cuando creas una nueva instancia en Amazon Connect en Consola de administración de AWS, Amazon Connect crea el rol vinculado al servicio por ti.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando cree una nueva instancia en Amazon Connect, este volverá a crear el rol vinculado al servicio para usted.
También puede utilizar la consola de IAM para crear un rol vinculado al servicio con el caso de uso de **Amazon Connect - Acceso completo**. En la CLI de IAM o la API de IAM, cree un rol vinculado a servicio con el nombre de servicio `connect.amazonaws.com`. Para obtener más información, consulte [Crear un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.
## Para las instancias creadas antes de octubre de 2018
**sugerencia**
¿Tienes problemas para iniciar sesión para administrar tu cuenta? AWS ¿No sabe quién administra su cuenta de AWS ? Para obtener ayuda, consulte [Troubleshooting AWS account sign-in issues](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html).
Si su instancia de Amazon Connect se creó antes de octubre de 2018, no tiene configurados los roles vinculados al servicio. Para crear un rol vinculado al servicio, en la página **Información general de la cuenta**, elija **Crear un rol vinculado al servicio**, como se muestra en la siguiente imagen.
Para obtener una lista de los permisos de IAM necesarios para crear el rol de IAM vinculado al servicio, consulte [Página de información general](security-iam-amazon-connect-permissions.md#overview-page) en el tema [Permisos necesarios para utilizar políticas de IAM personalizadas para administrar el acceso a la consola de Amazon Connect](security-iam-amazon-connect-permissions.md).
## En el caso de los dominios de Perfil de clientes creados antes del 31 de enero de 2025 y configurados con una clave de KMS de cliente para cifrar datos, debe conceder permisos de KMS adicionales a su instancia de Amazon Connect.
Si su dominio de Perfil de clientes asociado se creó antes del 31 de enero de 2025 y el dominio utiliza una clave de KMS administrada por el cliente (CMK) para el cifrado, para permitir que la instancia de Connect aplique la CMK, lleve a cabo las siguientes acciones:
1. **Proporcione el permiso de rol vinculado a servicios (SLR) de una Connect Customer instancia para usar AWS KMS las claves de su dominio de perfiles de clientes navegando a la página de perfiles de clientes en la consola de administración de Connect Customer AWS y seleccionando el permiso Actualizar KMS.**
1. Cree un [ticket de soporte](https://support.console.aws.amazon.com/support) para el equipo de Perfiles de clientes de Amazon Connect para solicitar la aplicación de los permisos de CMK en su cuenta.
Si desea ver una lista de los permisos de IAM para actualizar su Connect Customer instancia, consulte el permiso necesario para las políticas de IAM personalizadas de. [Página de Perfiles de clientes](security-iam-amazon-connect-permissions.md#customer-profiles-page)
## Edición de un rol vinculado al servicio para Amazon Connect
Amazon Connect no le permite editar la función vinculada al servicio con AWSService RoleForAmazonConnect prefijo. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Comprobación de que un rol vinculado al servicio tiene permisos para Amazon Lex
1. En el panel de navegación de la consola de IAM, elija **Roles**.
1. Seleccione el nombre del rol que desea modificar.
## Eliminación de un rol vinculado al servicio para Amazon Connect
No es necesario que elimine manualmente el rol con el AWSService RoleForAmazonConnect prefijo. Cuando eliminas tu instancia de Amazon Connect en Consola de administración de AWS, Amazon Connect limpia los recursos y elimina el rol vinculado al servicio por ti.
## Regiones compatibles con los roles vinculados al servicio de Amazon Connect
Amazon Connect es compatible con el uso de roles vinculados al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [AWS Regiones y puntos de conexión](https://docs.aws.amazon.com/general/latest/gr/rande.html#connect_region).