Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Ejemplos de políticas a nivel de recursos de Connect Customer
Connect Customer admite permisos a nivel de recursos para los usuarios, por lo que puede especificar acciones para ellos en una instancia, como se muestra en las siguientes políticas.
**Topics**
+ [Denegar todas las acciones en una instancia de Connect Customer](#connect-access-control-resources-example-all)
+ [Denegar las acciones eliminar y actualizar](#connect-access-control-resources-example2)
+ [Permiso de acciones para integraciones con nombres específicos](#connect-access-control-resources-integration-example)
+ [Permitir la acción "crear usuarios" pero denegarla si se le asigna a un perfil de seguridad específico](#connect-access-control-resources-example3)
+ [Permiso para grabar acciones en un contacto](#connect-access-control-resources-example4)
+ [Permiso o denegación de acciones de la API de cola para números de teléfono en una región de réplica](#allow-deny-queue-actions-replica-region)
+ [Ver AppIntegrations recursos específicos de Amazon](#view-specific-appintegrations-resources)
+ [Otorgue acceso a los perfiles de clientes de Connect Customer](#grant-access-to-customer-profiles)
+ [Concesión de acceso de solo lectura a los datos de Perfiles de clientes](#grant-read-only-access-to-customer-profiles)
+ [Consulte los agentes de IA de Connect solo para un asistente específico](#query-wisdom-assistant)
+ [Otorgue acceso completo a Connect Customer Voice ID](#grant-read-only-access-to-voiceid)
+ [Otorgue acceso a los recursos de las campañas salientes de Connect Customer](#grant-read-only-access-to-outboundcommunications)
+ [Restrinja la posibilidad de buscar en las transcripciones analizadas por Lente de contacto Connect Customer](#restrict-ability-to-search-transcripts-contact-lens)
## Denegar todas las acciones en una instancia de Connect Customer
Una instancia de Connect Customer es el recurso de nivel superior de Connect Customer. Todos los demás subrecursos se crean dentro de su ámbito. Para denegar todas las acciones en todos los recursos de una instancia de Connect Customer, puede usar uno de los siguientes métodos:
+ Use claves de contexto `connect:instanceId`.
+ Use el ARN de la instancia seguido de un comodín (\*).
El siguiente ejemplo de política deniega todas las acciones de conexión de la instancia con el instanceId 00fbeee1-123e-111e-93e3-11111bfbfcc1.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "connect:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"connect:instanceId": "00fbeee1-123e-111e-93e3-11111bfbfcc1"
}
}
}
]
}
```
------
Como alternativa, puede denegar todas las acciones especificando el ARN de la instancia seguido de un comodín (\*). El siguiente ejemplo de política deniega todas las acciones de conexión de la instancia con el ARN de la instancia `arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"connect:*"
],
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1*"
}
]
}
```
------
## Denegar las acciones eliminar y actualizar
El siguiente ejemplo de política deniega las acciones de «eliminar» y «actualizar» a los usuarios de una instancia de Connect Customer. Utiliza un comodín al final del ARN del usuario de Connect Customer, de modo que se deniegan las palabras «eliminar usuario» y «actualizar usuario» en el ARN de usuario completo (es decir, en todos los usuarios de Connect Customer de la instancia proporcionada, como arn:aws:connect:us-east- 1:123456789012: -123e-111e-93e3- /00dtcddd1-123e-111e-93e3-e3-11111bfbfcc1). instance/00fbeee1 11111bfbfcc1/agent
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"connect:DeleteUser",
"connect:UpdateUser*"
],
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/*"
}
]
}
```
------
## Permiso de acciones para integraciones con nombres específicos
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllAppIntegrationsActions",
"Effect": "Allow",
"Action": [
"app-integrations:ListEventIntegrations",
"app-integrations:CreateEventIntegration",
"app-integrations:GetEventIntegration",
"app-integrations:UpdateEventIntegration",
"app-integrations:DeleteEventIntegration"
],
"Resource":"arn:aws:app-integrations:*:*:event-integration/MyNamePrefix-*"
}
]
}
```
------
## Permitir la acción "crear usuarios" pero denegarla si se le asigna a un perfil de seguridad específico
El siguiente ejemplo de política permite «crear usuarios», pero niega explícitamente el uso de arn:aws:connect:us-west- 2:123456789012: instance/00fbeee1 -123e-111e-93e3- 11111bfbfcc1/security - profile/11dtcggg1 -123e-111e-93e3-11111bfbfcc17 como parámetro del perfil de seguridad [CreateUser](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateUser.html#API_CreateUser_RequestBody)solicitado.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"connect:CreateUser"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"connect:CreateUser"
],
"Resource": "arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc17/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17"
}
]
}
```
------
## Permiso para grabar acciones en un contacto
La siguiente política de ejemplo permite “iniciar la grabación de contactos” en un contacto de una instancia específica. Como ContactID es dinámico, se usa \*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"connect:StartContactRecording"
],
"Resource": "arn:aws:connect:us-west-2:111122223333:instance/instanceId/contact/*",
"Effect": "Allow"
}
]
}
```
------
Configure una relación de confianza con *accountID*.
Se han definido las siguientes acciones para las API de grabación:
+ StartContactRecording«connect:»
+ «conectarStopContactRecording»:
+ «conectarSuspendContactRecording»:
+ «conectarResumeContactRecording»:
### Permiso para más acciones de contacto en el mismo rol
Si se utiliza el mismo rol para llamar a otras API de contacto, puede enumerar las siguientes acciones de contacto:
+ GetContactAttributes
+ ListContactFlows
+ StartChatContact
+ StartOutboundVoiceContact
+ StopContact
+ UpdateContactAttributes
O utilice un carácter comodín para permitir todas las acciones de contacto, por ejemplo “connect:\*”.
### Permiso para más recursos
También puede utilizar un comodín para permitir más recursos. Por ejemplo, a continuación le mostramos cómo permitir todas las acciones de conexión en todos los recursos de contacto:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"connect:*"
],
"Resource": "arn:aws:connect:us-west-2:111122223333:instance/*/contact/*",
"Effect": "Allow"
}
]
}
```
------
## Permiso o denegación de acciones de la API de cola para números de teléfono en una región de réplica
[UpdateQueueOutboundCallerConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateQueueOutboundCallerConfig.html)Las API [CreateQueue](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateQueue.html)y contienen un campo de entrada denominado`OutboundCallerIdNumberId`. Este campo representa un recurso de número de teléfono que puede solicitarse para un grupo de distribución de tráfico. Admite tanto el formato ARN V1 de número de teléfono devuelto por [ListPhoneNumbers](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListPhoneNumbers.html)como el formato ARN V2 devuelto por. [ListPhoneNumbersV2](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListPhoneNumbersV2.html)
A continuación, se indican los formatos ARN V1 y V2 que `OutboundCallerIdNumberId` admite:
+ **Formato ARN V1**: `arn:aws:connect:{{your-region}}:{{your-account_id}}:instance/{{instance_id}}/phone-number/{{resource_id}}`
+ **Formato ARN V2**: `arn:aws:connect:{{your-region}}:{{your-account_id}}:phone-number/{{resource_id}}`
**nota**
Le recomendamos que utilice el formato ARN V2. El formato ARN V1 quedará obsoleto en el futuro.
### Suministro de ambos formatos de ARN para los recursos de números de teléfono en la región de réplica
Si un grupo de distribución de tráfico reclama el número de teléfono, para allow/deny acceder correctamente a las acciones de la API de cola para los recursos de números de teléfono mientras se opera en la región de réplica, **debe proporcionar el recurso de número de teléfono en los formatos ARN V1 y V2**. Si proporciona el recurso de número de teléfono en un solo formato ARN, no se produce el allow/deny comportamiento correcto al operar en la región de réplica.
### Ejemplo 1: denegar el acceso a CreateQueue
Por ejemplo, está operando en la región de réplica us-west-2 con cuenta de ` 123456789012` e instancia `aaaaaaaa-bbbb-cccc-dddd-0123456789012`. Desea denegar el acceso a la [CreateQueue](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateQueue.html)API cuando el `OutboundCallerIdNumberId` valor es un número de teléfono reclamado a un grupo de distribución de tráfico con un identificador de recurso`aaaaaaaa-eeee-ffff-gggg-0123456789012`. En este escenario debe utilizar la siguiente política:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyCreateQueueForSpecificNumber",
"Effect": "Deny",
"Action": "connect:CreateQueue",
"Resource": [
"arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
"arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
]
}
]
}
```
------
Donde us-west-2 es la región donde se realiza la solicitud.
### Ejemplo 2: permitir el acceso únicamente a UpdateQueueOutboundCallerConfig
Por ejemplo, está operando en la región de réplica us-west-2 con cuenta de `123456789012` e instancia `aaaaaaaa-bbbb-cccc-dddd-0123456789012`. Desea permitir el acceso a la [UpdateQueueOutboundCallerConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateQueueOutboundCallerConfig.html)API únicamente cuando el `OutboundCallerIdNumberId` valor sea un número de teléfono atribuido a un grupo de distribución de tráfico con un identificador de recurso`aaaaaaaa-eeee-ffff-gggg-0123456789012`. En este escenario debe utilizar la siguiente política:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OnlyAllowUpdateQueueOutboundCallerConfigForSpecificNumber",
"Effect": "Allow",
"Action": "connect:UpdateQueueOutboundCallerConfig",
"Resource": [
"arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
"arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
]
}
]
}
```
------
## Ver AppIntegrations recursos específicos de Amazon
La siguiente política de ejemplo permite recuperar integraciones de eventos específicas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"app-integrations:GetEventIntegration"
],
"Resource": "arn:aws:app-integrations:us-west-2:{{111122223333}}:event-integration/Name"
}
]
}
```
------
## Otorgue acceso a los perfiles de clientes de Connect Customer
Connect Customer Los perfiles de clientes `profile` se utilizan como prefijo para las acciones en lugar de`connect`. La siguiente política otorga acceso total a un dominio específico en los perfiles de clientes de Connect Customer.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"profile:*"
],
"Resource": "arn:aws:profile:us-west-2:{{111122223333}}:domains/domainName",
"Effect": "Allow"
}
]
}
```
------
Configure una relación de confianza con accountID para el dominio domainName.
## Concesión de acceso de solo lectura a los datos de Perfiles de clientes
A continuación se muestra un ejemplo para conceder acceso de lectura a los datos de los perfiles de clientes de Connect Customer.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"profile:SearchProfiles"
],
"Resource": "arn:aws:profile:{{us-east-1}}:{{111122223333}}:domains/domainName",
"Effect": "Allow"
}
]
}
```
------
## Consulte los agentes de IA de Connect solo para un asistente específico
La siguiente política de ejemplo permite consultar solo un asistente específico.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wisdom:QueryAssistant"
],
"Resource": "arn:aws:wisdom:{{us-east-1}}:{{111122223333}}:assistant/{{assistantID}}"
}
]
}
```
------
## Otorgue acceso completo a Connect Customer Voice ID
Connect Customer Voice ID `voiceid` se usa como prefijo para las acciones en lugar de conectarse. La siguiente política otorga acceso total a un dominio específico en Connect Customer Voice ID:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"voiceid:*"
],
"Resource": "arn:aws:voiceid:us-west-2:{{111122223333}}:domain/domainName",
"Effect": "Allow"
}
]
}
```
------
Configure una relación de confianza con accountID para el dominio domainName.
## Otorgue acceso a los recursos de las campañas salientes de Connect Customer
Las campañas externas utilizan `connect-campaign` como prefijo para las acciones en lugar de `connect`. La siguiente política concede acceso total a una campaña externa específica.
```
{
"Sid": "AllowConnectCampaignsOperations",
"Effect": "Allow",
"Action": [
"connect-campaigns:DeleteCampaign",
"connect-campaigns:DescribeCampaign",
"connect-campaigns:UpdateCampaignName",
"connect-campaigns:GetCampaignState"
"connect-campaigns:UpdateOutboundCallConfig",
"connect-campaigns:UpdateDialerConfig",
"connect-campaigns:PauseCampaign",
"connect-campaigns:ResumeCampaign",
"connect-campaigns:StopCampaign"
],
"Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId",
}
```
## Restrinja la posibilidad de buscar en las transcripciones analizadas por Lente de contacto Connect Customer
La siguiente política permite buscar y describir contactos, pero no permite buscar un contacto mediante las transcripciones analizadas por Connect Customer Contact Lens.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"connect:DescribeContact"
],
"Resource": "arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{instance-id}}/contact/*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"connect:SearchContacts"
],
"Resource": "arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{instance-id}}"
},
{
"Sid": "VisualEditor2",
"Effect": "Deny",
"Action": [
"connect:SearchContacts"
],
"Resource": "arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{instance-id}}",
"Condition": {
"ForAnyValue:StringEquals": {
"connect:SearchContactsByContactAnalysis": [
"Transcript"
]
}
}
}
]
}
```
------