Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Restrinja AWS los recursos que se pueden asociar a Amazon Connect
Cada instancia de Amazon Connect está asociada a un rol vinculado al servicio de IAM cuando se crea la instancia. Amazon Connect puede integrarse con otros servicios de AWS para casos de uso como el almacenamiento de grabaciones de llamadas (bucket de Amazon S3), bots de lenguaje natural (bots de Amazon Lex) y streaming de datos (Amazon Kinesis Data Streams). Amazon Connect asume el rol vinculado al servicio para interactuar con estos otros servicios. La política se añade primero a la función vinculada al servicio como parte de la correspondiente función APIs en el servicio Amazon Connect (que, a su vez, recibe el nombre de la consola de AWS administración). Por ejemplo, si quiere usar un determinado bucket de Amazon S3 con su instancia de Amazon Connect, el bucket debe pasarse a la AssociateInstanceStorageConfigAPI.
Para conocer el conjunto de acciones de IAM definidas por Amazon Connect, consulte Acciones definidas por Amazon Connect.
A continuación, se ofrecen algunos ejemplos de cómo restringir el acceso a otros recursos que pueden estar asociados a una instancia de Amazon Connect. Deben aplicarse al usuario o rol que interactúa con Amazon Connect APIs o la consola Amazon Connect.
nota
Una política con un Deny explícito anularía la política Allow de estos ejemplos.
Para obtener más información sobre los recursos, las claves de condición y los dependientes APIs que puede utilizar para restringir el acceso, consulte Acciones, recursos y claves de condición de Amazon Connect.
Ejemplo 1: restringir qué buckets de Amazon S3 se pueden asociar a una instancia de Amazon Connect
Este ejemplo permite a una entidad principal de IAM asociar un bucket de Amazon S3 para grabaciones de llamadas para el ARN de instancia de Amazon Connect dado y un bucket de Amazon S3 específico llamado my-connect-recording-bucket. Las acciones AttachRolePolicy y PutRolePolicy tienen como ámbito el rol vinculado al servicio de Amazon Connect (en este ejemplo se utiliza un carácter comodín, pero puede proporcionar el ARN de rol para la instancia si es necesario).
nota
Para usar una AWS KMS clave para cifrar las grabaciones de este depósito, se necesita una política adicional.
Ejemplo 2: restringir qué funciones de AWS Lambda se pueden asociar a una instancia de Amazon Connect
AWS Lambda las funciones están asociadas a una instancia de Amazon Connect, pero el rol vinculado al servicio Amazon Connect no se usa para invocarlas y, por lo tanto, no se modifica. En su lugar, se agrega una política a la función a través de la API lambda:AddPermission, que permite a la instancia de Amazon Connect dada invocar la función.
Para restringir qué funciones pueden asociarse a una instancia de Amazon Connect, debe especificar el ARN de la función de Lambda que un usuario puede utilizar para invocar lambda:AddPermission:
Ejemplo 3: restringir qué flujos de Amazon Kinesis Data Streams se pueden asociar a una instancia de Amazon Connect
Este ejemplo sigue un modelo similar al ejemplo de Amazon S3. Restringe qué flujos de datos de Kinesis específicos pueden asociarse a una instancia de Amazon Connect determinada para entregar registros de contacto.
