View a markdown version of this page

Aplique un control de acceso basado en jerarquías en Connect Customer - Amazon Connect Customer
Descripción general deAplique un control de acceso basado en jerarquías mediante el API/SDKAplique un control de acceso basado en jerarquías mediante Connect Customer sitio web de administraciónLimitaciones de la configuraciónPrácticas recomendadas para aplicar controles de acceso basado en jerarquías

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Aplique un control de acceso basado en jerarquías en Connect Customer

Puede restringir el acceso a los contactos en función de la jerarquía de agentes asignada a un usuario. Para ello, utilice permisos de perfil de seguridad, como Restringir acceso a los contactos. Además de estos permisos, las jerarquías también se pueden utilizar para aplicar controles de acceso detallados a los recursos, como los usuarios, y para utilizar las etiquetas.

En este tema se muestra información sobre la configuración de controles de acceso basados en jerarquías.

Descripción general de

Hierarchy-based el control de acceso le permite configurar el acceso granular a recursos específicos en función de la jerarquía de agentes asignada a un usuario. Puede configurar los controles de acceso basados en jerarquías mediante el sitio web API/SDK o el sitio web de Connect Customer administración. 

El único recurso que admite el control de acceso basado en jerarquías son los usuarios. Este modelo de autorización funciona junto con el control de acceso basado en etiquetas, de manera que puede restringir el acceso a los usuarios, lo que les permite ver solo a otros usuarios que pertenecen a su grupo jerárquico y que tienen etiquetas específicas asociadas.

nota

Tras aplicar a los usuarios un control de acceso basado en jerarquías, estos podrán acceder a su grupo jerárquico y a todos sus descendientes (más allá del nivel secundario).

Aplique un control de acceso basado en jerarquías mediante el API/SDK

Para utilizar las jerarquías para controlar el acceso a los recursos de sus AWS cuentas, debe proporcionar la información de la jerarquía en el elemento de condición de una política de IAM. Por ejemplo, para controlar el acceso a un usuario que pertenezca a una jerarquía específica, utilice la clave de connect:HierarchyGroupL3Id/hierarchyGroupId condición junto con un operador específico, por ejemplo, StringEquals para especificar a qué grupo jerárquico debe pertenecer el usuario para permitirle realizar determinadas acciones.

A continuación, se indican las claves de condición admitidas:

  1. connect:HierarchyGroupL1Id/hierarchyGroupId

  2. connect:HierarchyGroupL2Id/hierarchyGroupId

  3. connect:HierarchyGroupL3Id/hierarchyGroupId

  4. connect:HierarchyGroupL4Id/hierarchyGroupId

  5. connect:HierarchyGroupL5Id/hierarchyGroupId

Cada clave representa el identificador de un grupo jerárquico determinado en un nivel específico de la estructura jerárquica del usuario.

Aplique un control de acceso basado en jerarquías mediante Connect Customer sitio web de administración

Para usar jerarquías para controlar el acceso a los recursos del sitio web de Connect Customer administración, debe configurar la sección de control de acceso dentro de un perfil de seguridad determinado.

Por ejemplo, para permitir el control de acceso detallado para un usuario determinado en función de la jerarquía a la que pertenezca, tendrá que configurar el usuario como un recurso de acceso controlado. Para hacerlo, dispone de dos opciones:

  1. Aplicación de un control de acceso basado en jerarquías en función de la jerarquía del usuario

    Esta opción garantiza que el usuario al que se concede el acceso solo pueda administrar los usuarios que pertenezcan a su jerarquía. Por ejemplo, habilitar esta opción para un usuario determinado le permite administrar otros usuarios que pertenezcan a su grupo jerárquico o a un grupo jerárquico secundario.

  2. Aplicación de un control de acceso basado en jerarquías en función de una jerarquía específica 

    Esto garantizará que el usuario al que se concede el acceso solo pueda administrar los usuarios que pertenezcan a la jerarquía definida en el perfil de seguridad. Por ejemplo, habilitar esta opción para un usuario determinado le permite administrar otros usuarios que pertenezcan a su grupo jerárquico especificado en el perfil de seguridad o a un grupo jerárquico secundario.

Limitaciones de la configuración

El control de acceso detallado se configura en un perfil de seguridad. A los usuarios se les puede asignar un máximo de dos perfiles de seguridad que apliquen un control de acceso detallado. En este caso, los permisos se volverán menos restrictivos y actuarán como una unión de ambos conjuntos de permisos.

Por ejemplo, si un perfil de seguridad impone el control de acceso basado en jerarquías y otro aplica el control de acceso basado en etiquetas, el usuario puede administrar a cualquier usuario que pertenezca a la misma jerarquía o que esté etiquetado con la etiqueta en cuestión. Si tanto el control de acceso basado en etiquetas como el basado en jerarquías están configurados como parte del mismo perfil de seguridad, deberán cumplirse ambas condiciones. En este caso, el usuario solo puede administrar los usuarios que pertenezcan a la misma jerarquía y estén etiquetados con una etiqueta determinada. 

Un usuario puede tener más de dos perfiles de seguridad, siempre y cuando esos perfiles de seguridad adicionales no impongan un control de acceso pormenorizado. Si hay varios perfiles de seguridad con permisos de recursos que se solapen, se aplica el perfil de seguridad sin controles de acceso basados en jerarquías en lugar del perfil con controles de acceso basados en jerarquías.

Las funciones vinculadas a los servicios son necesarias para configurar el control de acceso basado en jerarquías. Si su instancia se creó después de octubre de 2018, está disponible de forma predeterminada con su instancia de Connect Customer. Sin embargo, si tiene una instancia anterior, consulte Usar funciones vinculadas a servicios para Connect Customer para obtener instrucciones sobre cómo habilitar las funciones vinculadas a servicios.

Prácticas recomendadas para aplicar controles de acceso basado en jerarquías

  • Revise el modelo de responsabilidad compartida de AWS.

    La aplicación del control de acceso basado en jerarquías es una función de configuración avanzada compatible con Connect Customer y que sigue el modelo de responsabilidad AWS compartida. Es importante asegurarse de configurar correctamente la instancia para cumplir con las necesidades de autorización deseadas.

  • Asegúrese de haber habilitado al menos los permisos Ver para los recursos para los que habilita el control de acceso basado en jerarquías.

    Esto garantizará que se eviten las incoherencias de permisos que den lugar a la denegación de las solicitudes de acceso. Hierarchy-based los controles de acceso están habilitados a nivel de recurso, lo que significa que cada recurso se puede restringir de forma independiente.

  • Revise detenidamente los permisos que se otorgan cuando se aplica el control de acceso basado en jerarquías.

    Por ejemplo, habilitar el acceso restringido jerárquico a los usuarios y los perfiles de seguridad de view/edit permisos permitiría a un usuario acceder a create/update un perfil de seguridad con privilegios que sustituirían a la configuración de control de acceso del usuario prevista.

    • Al iniciar sesión en la consola de Connect Customer con controles de acceso basados en jerarquías aplicados, los usuarios no podrán acceder a los registros de cambios históricos de los recursos a los que están restringidos.

    • Al intentar asignar un recurso secundario a un recurso principal con un control de acceso basado en jerarquías sobre el recurso secundario, se denegará la operación si el recurso secundario no pertenece a su jerarquía.

      Por ejemplo, si intenta asignar un usuario a una conexión rápida, pero no tiene acceso a la jerarquía de usuarios, la operación fallará. Sin embargo, esto no es cierto en el caso de las disociaciones. Puede desasociar a un usuario libremente incluso si se impusiera un control de acceso basado en jerarquías, suponiendo que tenga acceso a Quick Connect. Esto se debe a que las disociaciones consisten en descartar una relación existente (a diferencia de las nuevas asociaciones) entre dos recursos y se modelan como parte del recurso principal (en este caso, Quick Connect), al que el usuario ya tiene acceso.

  • Tenga en cuenta los permisos que se otorgan a los recursos principales, ya que los usuarios podrían disociarse sin el conocimiento de su supervisor.

  • Inhabilite el acceso a las siguientes funciones al aplicar controles de acceso jerárquicos en el sitio web de administración. Connect Customer

    Funcionalidad Permiso de perfil de seguridad que deshabilita el acceso
    Búsqueda de contactos Búsqueda de contactos - Ver
    Login/Login nuestro informe Login/Login nuestro informe - Ver
    Reglas Reglas - Ver
    Informes guardados Informes guardados - Ver
    Jerarquía de agente Jerarquías de agentes - Ver
    Flow/Flow módulo Módulos de flujo - Ver
    Programación Administrador de programación - Ver

    Si no inhabilitas el acceso a estos recursos, es posible que los usuarios con controles de acceso jerárquicos a un recurso concreto que consulten estas páginas en el sitio web de Connect Customer administración vean una lista de usuarios sin restricciones. Para obtener más información sobre cómo administrar los permisos, consulte Lista de permisos de perfiles de seguridad.