Aplicación de controles de acceso basado en jerarquías en Amazon Connect - Amazon Connect
Descripción general deAplicación del control de acceso basado en jerarquías mediante la API o el SDKAplica un control de acceso basado en jerarquías mediante el sitio web de administración Amazon ConnectLimitaciones de la configuraciónPrácticas recomendadas para aplicar controles de acceso basado en jerarquías

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Aplicación de controles de acceso basado en jerarquías en Amazon Connect

Puede restringir el acceso a los contactos en función de la jerarquía de agentes asignada a un usuario. Para ello, utilice permisos de perfil de seguridad, como Restringir acceso a los contactos. Además de estos permisos, las jerarquías también se pueden utilizar para aplicar controles de acceso detallados a los recursos, como los usuarios, y para utilizar las etiquetas.

En este tema se muestra información sobre la configuración de controles de acceso basados en jerarquías.

Descripción general de

El control de acceso basado en jerarquías le permite configurar el acceso granular a recursos específicos en función de la jerarquía de agentes asignada a un usuario. Puede configurar los controles de acceso basados en jerarquías mediante el sitio web API/SDK o el sitio web de administración. Amazon Connect  

El único recurso que admite el control de acceso basado en jerarquías son los usuarios. Este modelo de autorización funciona junto con el control de acceso basado en etiquetas, de manera que puede restringir el acceso a los usuarios, lo que les permite ver solo a otros usuarios que pertenecen a su grupo jerárquico y que tienen etiquetas específicas asociadas.

nota

Tras aplicar a los usuarios un control de acceso basado en jerarquías, estos podrán acceder a su grupo jerárquico y a todos sus descendientes (más allá del nivel secundario).

Aplicación del control de acceso basado en jerarquías mediante la API o el SDK

Si quieres usar jerarquías para controlar el acceso a los recursos de tus AWS cuentas, debes proporcionar la información de la jerarquía en el elemento de condición de una política de IAM. Por ejemplo, para controlar el acceso a un usuario que pertenece a una jerarquía específica, utilice la clave de condición connect:HierarchyGroupL3Id/hierarchyGroupId, junto con un operador específico, como StringEquals, para indicar a qué grupo de jerarquía debe pertenecer el usuario, y permitir determinadas acciones para ese grupo.

A continuación, se indican las claves de condición admitidas:

  1. connect:HierarchyGroupL1Id/hierarchyGroupId

  2. connect:HierarchyGroupL2Id/hierarchyGroupId

  3. connect:HierarchyGroupL3Id/hierarchyGroupId

  4. connect:HierarchyGroupL4Id/hierarchyGroupId

  5. connect:HierarchyGroupL5Id/hierarchyGroupId

Cada clave representa el identificador de un grupo jerárquico determinado en un nivel específico de la estructura jerárquica del usuario.

Aplica un control de acceso basado en jerarquías mediante el sitio web de administración Amazon Connect

Para usar jerarquías para controlar el acceso a los recursos del sitio web de Amazon Connect administración, debe configurar la sección de control de acceso dentro de un perfil de seguridad determinado.

Por ejemplo, para permitir el control de acceso detallado para un usuario determinado en función de la jerarquía a la que pertenezca, tendrá que configurar el usuario como un recurso de acceso controlado. Para hacerlo, dispone de dos opciones:

  1. Aplicación de un control de acceso basado en jerarquías en función de la jerarquía del usuario

    Esta opción garantiza que el usuario al que se concede el acceso solo pueda administrar los usuarios que pertenezcan a su jerarquía. Por ejemplo, habilitar esta opción para un usuario determinado le permite administrar otros usuarios que pertenezcan a su grupo jerárquico o a un grupo jerárquico secundario.

  2. Aplicación de un control de acceso basado en jerarquías en función de una jerarquía específica 

    Esto garantizará que el usuario al que se concede el acceso solo pueda administrar los usuarios que pertenezcan a la jerarquía definida en el perfil de seguridad. Por ejemplo, habilitar esta opción para un usuario determinado le permite administrar otros usuarios que pertenezcan a su grupo jerárquico especificado en el perfil de seguridad o a un grupo jerárquico secundario.

Limitaciones de la configuración

El control de acceso detallado se configura en un perfil de seguridad. A los usuarios se les puede asignar un máximo de dos perfiles de seguridad que apliquen un control de acceso detallado. En este caso, los permisos se volverán menos restrictivos y actuarán como una unión de ambos conjuntos de permisos.

Por ejemplo, si un perfil de seguridad impone el control de acceso basado en jerarquías y otro aplica el control de acceso basado en etiquetas, el usuario puede administrar a cualquier usuario que pertenezca a la misma jerarquía o que esté etiquetado con la etiqueta en cuestión. Si tanto el control de acceso basado en etiquetas como el basado en jerarquías están configurados como parte del mismo perfil de seguridad, deberán cumplirse ambas condiciones. En este caso, el usuario solo puede administrar los usuarios que pertenezcan a la misma jerarquía y estén etiquetados con una etiqueta determinada. 

Un usuario puede tener más de dos perfiles de seguridad, siempre y cuando esos perfiles de seguridad adicionales no impongan un control de acceso pormenorizado. Si hay varios perfiles de seguridad con permisos de recursos que se solapen, se aplica el perfil de seguridad sin controles de acceso basados en jerarquías en lugar del perfil con controles de acceso basados en jerarquías.

Los roles vinculados al servicio son necesarios para configurar el control de acceso basado en jerarquías. Si su instancia se creó después de octubre de 2018, está disponible de forma predeterminada con su instancia de Amazon Connect. Sin embargo, si tiene una instancia anterior, consulte Uso de roles vinculados al servicio para Amazon Connect para obtener instrucciones sobre cómo habilitar los roles vinculados al servicio.

Prácticas recomendadas para aplicar controles de acceso basado en jerarquías

  • Revise el modelo de responsabilidad compartida de AWS.

    La aplicación del control de acceso basado en jerarquías es una función de configuración avanzada compatible con Amazon Connect y que sigue el modelo de responsabilidad AWS compartida. Es importante asegurarse de configurar correctamente la instancia para cumplir con las necesidades de autorización deseadas.

  • Asegúrese de haber habilitado al menos los permisos Ver para los recursos para los que habilita el control de acceso basado en jerarquías.

    Esto garantizará que se eviten las incoherencias de permisos que den lugar a la denegación de las solicitudes de acceso. Los controles de acceso basados en jerarquías están habilitados en el nivel de recurso, lo que significa que cada recurso se puede restringir de forma independiente.

  • Revise detenidamente los permisos que se otorgan cuando se aplica el control de acceso basado en jerarquías.

    Por ejemplo, habilitar el acceso restringido jerárquico a los usuarios y view/edit permissions security profiles would allow a user to create/update un perfil de seguridad con privilegios que sustituyen a la configuración de control de acceso de los usuarios prevista.

    • Al iniciar sesión en la consola de Amazon Connect con los controles de acceso basados en jerarquías aplicados, los usuarios no podrán acceder a los registros de historial de cambios de los recursos que tienen restringidos.

    • Al intentar asignar un recurso secundario a un recurso principal con un control de acceso basado en jerarquías sobre el recurso secundario, se denegará la operación si el recurso secundario no pertenece a su jerarquía.

      Por ejemplo, si intenta asignar un usuario a una conexión rápida, pero no tiene acceso a la jerarquía de usuarios, la operación fallará. Sin embargo, esto no es cierto en el caso de las disociaciones. Puede desasociar a un usuario libremente incluso si se impusiera un control de acceso basado en jerarquías, suponiendo que tenga acceso a Quick Connect. Esto se debe a que las disociaciones consisten en descartar una relación existente (a diferencia de las nuevas asociaciones) entre dos recursos y se modelan como parte del recurso principal (en este caso, Quick Connect), al que el usuario ya tiene acceso.

  • Tenga en cuenta los permisos que se otorgan a los recursos principales, ya que los usuarios podrían disociarse sin el conocimiento de su supervisor.

  • Inhabilite el acceso a las siguientes funciones al aplicar controles de acceso basados en jerarquías en el Amazon Connect sitio web de administración.

    Funcionalidad Permiso de perfil de seguridad que deshabilita el acceso
    Búsqueda de contactos Búsqueda de contactos - Ver
    Informe de inicio/cierre de sesión Informe de inicio/cierre de sesión - Ver
    Reglas Reglas - Ver
    Informes guardados Informes guardados - Ver
    Jerarquía de agente Jerarquías de agentes - Ver
    Flujo/Módulo de flujo Módulos de flujo - Ver
    Programación Administrador de programación - Ver

    Si no inhabilitas el acceso a estos recursos, es posible que los usuarios con controles de acceso jerárquicos a un recurso concreto que consulten estas páginas en el sitio web de Amazon Connect administración vean una lista de usuarios sin restricciones. Para obtener más información sobre cómo administrar los permisos, consulte Lista de permisos de perfiles de seguridad.