View a markdown version of this page

Utiliser les rôles liés au service et les autorisations de rôle pour Connect Customer - Client Amazon Connect
Que sont les rôles liés au service (SLR) et pourquoi sont-ils importants ?Service-linked autorisations de rôleCréation d'un rôle lié à un service pour Connect CustomerPour les instances créées avant octobre 2018Pour les domaines de profil client créés avant le 31 janvier 2025 et configurés avec une clé KMS client pour chiffrer les donnéesModifier un rôle lié à un service pour Connect CustomerVérification qu’un rôle lié à un service dispose d’autorisations pour Amazon LexSupprimer un rôle lié à un service pour Connect CustomerRégions prises en charge pour les rôles liés au service client Connect

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser les rôles liés au service et les autorisations de rôle pour Connect Customer

Que sont les rôles liés au service (SLR) et pourquoi sont-ils importants ?

Connect Customer utilise des Gestion des identités et des accès AWS rôles liés au service (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à une instance Connect Customer.

Service-linked les rôles sont prédéfinis par Connect Customer et incluent toutes les autorisations dont Connect Customer a besoin pour appeler d'autres AWS services en votre nom.

Vous devez activer les rôles liés aux services afin de pouvoir utiliser les nouvelles fonctionnalités de Connect Customer, telles que la prise en charge du balisage, la nouvelle interface utilisateur dans la gestion des utilisateurs et les profils de routage, ainsi que les files d'attente avec assistance. CloudTrail

Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section AWS Services qui fonctionnent avec IAM et recherchez les services dont la valeur est Oui dans la Service-Linked colonne Rôle. Choisissez un Oui ayant un lien permettant de consulter les détails du rôle pour ce service.

Service-linked autorisations de rôle pour Connect Customer

Connect Customer utilise le rôle lié au service avec le préfixe AWSServiceRoleForAmazonConnect_ unique-id — Octroie à Amazon Connect l'autorisation d'accéder aux AWS ressources en votre nom.

Le rôle AWSServiceRoleForAmazonConnect préfixé lié à un service fait confiance aux services suivants pour assumer le rôle :

  • connect.amazonaws.com

La politique d'autorisation des AmazonConnectServiceLinkedRolePolicyrôles permet à Connect Customer d'effectuer les actions suivantes sur les ressources spécifiées :

  • Action : toutes les actions du client Connectconnect:*, sur toutes les ressources du client Connect.

  • Action : iam:DeleteRole d’IAM pour autoriser la suppression du rôle lié à un service.

  • Action : s3:GetObject, s3:DeleteObject, s3:GetBucketLocation et GetBucketAcl d’Amazon S3 pour le compartiment S3 spécifié pour les conversations enregistrées.

    Elle accorde également s3:PutObject, s3:PutObjectAcl et s3:GetObjectAcl au compartiment spécifié pour les rapports exportés.

  • Action : Amazon CloudWatch Logs logs:CreateLogStreamlogs:DescribeLogStreams, et logs:PutLogEvents vers le groupe CloudWatch Logs spécifié pour la journalisation des flux.

  • Action : Amazon Lexlex:ListBots, lex:ListBotAliases pour tous les robots créés dans le compte dans toutes les régions.

  • Action : connectez les profils clients profile:* sur toutes les ressources Connect Customer Customer Profiles avec le préfixe de amazon-connect- domaine et les ressources de modèle associées à votre instance Connect Customer, à l'exception des actions suivantes qui sont explicitement refusées :

    • profile:CreateDomain

    • profile:UpdateDomain

    • profile:DeleteDomain

    • profile:CreateEventStream

    • profile:DeleteEventStream

    • profile:DeleteWorkflow

    • profile:DeleteProfileKey

    • profile:UntagResource

    • profile:TagResource

    • profile:CreateIntegrationWorkflow

    En outre, les actions suivantes sont autorisées sur toutes les ressources :profile:ListRecommenderRecipes,profile:ListAccountIntegrations, etprofile:ListDomains.

    Note

    Chaque instance Connect Customer ne peut être associée qu'à un seul domaine à la fois. Cependant, vous pouvez associer n'importe quel domaine à une instance Connect Customer. Cross-domain l'accès au sein du même compte AWS et de la même région est automatiquement activé pour tous les domaines commençant par le préfixeamazon-connect-. Pour restreindre l'accès entre domaines, vous pouvez soit utiliser des instances Connect Customer distinctes pour partitionner logiquement vos données, soit utiliser des noms de domaine Customer Profiles au sein de la même instance qui ne commencent pas par le amazon-connect- préfixe, empêchant ainsi l'accès entre domaines.

  • Action : connectez les agents AI wisdom:* sur toutes les ressources des agents Connect Customer Connect AI avec une balise de ressource 'AmazonConnectEnabled':'True' associée à votre instance Connect Customer, à l'exception des actions suivantes qui sont explicitement refusées :

    • wisdom:DeleteAssistant

    • wisdom:DeleteKnowledgeBase

  • Action : Amazon CloudWatch Metrics cloudwatch:PutMetricData va publier sur votre compte les statistiques d'utilisation des clients Connect pour une instance.

  • Action : Amazon Pinpoint SMS et voix sms-voice:DescribePhoneNumbers et autoriser le client Connect sms-voice:SendTextMessage à envoyer des SMS.

  • Action : Amazon Pinpoint va autoriser mobiletargeting:SendMessages le client Connect à envoyer des notifications push.

  • Action : groupes d'utilisateurs Amazon Cognito cognito-idp:DescribeUserPool et autorisation au client Connect d'accéder cognito-idp:ListUserPoolClients à la sélection des opérations de lecture sur les ressources des groupes d'utilisateurs Amazon Cognito dotées d'une balise de ressource. AmazonConnectEnabled

  • Action : Amazon Chime SDK Voice Connector permet chime:GetVoiceConnector à Connect Customer d'accéder en lecture à toutes les ressources Amazon Chime SDK Voice Connector dotées d'une balise de ressource. 'AmazonConnectEnabled':'True'

  • Action : connecteur vocal SDK Amazon Chime chime:ListVoiceConnectors pour tous les connecteurs vocaux SDK Amazon Chime créés dans le compte dans toutes les régions.

  • Action : WhatsApp Intégration de la messagerie client Connect. Accorde au client Connect des autorisations aux API sociales de messagerie pour utilisateurs AWS finaux suivantes :

    • social-messaging:SendWhatsAppMessage

    • social-messaging:PostWhatsAppMessageMedia

    • social-messaging:GetWhatsAppMessageMedia

    • social-messaging:GetLinkedWhatsAppBusinessAccountPhoneNumber

    Les API sociales sont limitées aux ressources de votre numéro de téléphone activées pour Connect Customer. Un numéro de téléphone est étiqueté AmazonConnectEnabled : True lorsqu'il est importé dans une instance Connect Customer.

  • Action : Intégration du modèle de WhatsApp message Connect Customer Messaging. Accorde au client Connect l'autorisation d'appeler AWS End User Messaging Social des API. Les comptes WhatsApp professionnels d'un AWS compte peuvent être répertoriés. En outre, les modèles d'un compte WhatsApp professionnel peuvent être répertoriés et les détails d'un modèle peuvent être récupérés à condition que le compte WhatsApp professionnel soit étiquetéAmazonConnectEnabled: True.

    • social-messaging:ListLinkedWhatsAppBusinessAccounts

    • social-messaging:GetWhatsAppMessageTemplate

    • social-messaging:ListWhatsAppMessageTemplates

  • Actions : Amazon SES

    • ses:DescribeReceiptRule

    • ses:UpdateReceiptRule

    sur toutes les règles de réception Amazon SES. Utilisé pour envoyer et recevoir des e-mails.

    • ses:DeleteEmailIdentitypour l'identité de instance-alias domaine SES {} .email.connect.aws. Utilisé pour la gestion des domaines de messagerie fournie par Connect Customer.

    • ses:SendRawEmailpour envoyer des e-mails avec un ensemble de configuration SES fourni par Connect Customer (configuration-set-for-connect-). DO-NOT-DELETE

    • iam:PassRole pour le rôle de service AmazonConnectEmailSESAccessRole utilisé par Amazon SES. Pour la gestion des règles de réception Amazon SES, Amazon SES exige qu’un rôle soit transmis, ce qu’il prend en charge.

  • Action : Amazon Polly

    • polly:ListLexicons

    • polly:DescribeVoices

    • polly:SynthesizeSpeech

Lorsque vous activez des fonctionnalités supplémentaires dans Connect Customer, les autorisations suivantes sont ajoutées pour que le rôle lié à un service puisse accéder aux ressources associées à ces fonctionnalités à l'aide de politiques intégrées :

  • Action : Amazon Data Firehose firehose:DescribeDeliveryStream et firehose:PutRecord, et firehose:PutRecordBatch pour le flux de diffusion défini pour les flux d’événements d’agent et les enregistrements de contact.

  • Action : Amazon Kinesis Data Streams kinesis:PutRecord, kinesis:PutRecords et kinesis:DescribeStream pour le flux spécifié pour les flux d’événements d’agent et les enregistrements de contact.

  • Action : Amazon Lex lex:PostContent pour les robots ajoutés à votre instance.

  • Action : Connect Customer Voice-ID voiceid:* pour les domaines Voice ID associés à votre instance.

  • Action : EventBridge events:PutRule et events:PutTargets pour la EventBridge règle gérée par le client Connect pour la publication des enregistrements CTR pour les domaines Voice ID associés.

  • Action : campagnes sortantes

    • connect-campaigns:CreateCampaign

    • connect-campaigns:DeleteCampaign

    • connect-campaigns:DescribeCampaign

    • connect-campaigns:UpdateCampaignName

    • connect-campaigns:GetCampaignState

    • connect-campaigns:GetCampaignStateBatch

    • connect-campaigns:ListCampaigns

    • connect-campaigns:UpdateOutboundCallConfig

    • connect-campaigns:UpdateDialerConfig

    • connect-campaigns:PauseCampaign

    • connect-campaigns:ResumeCampaign

    • connect-campaigns:StopCampaign

    pour toutes les opérations liées aux campagnes sortantes.

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez les autorisations relatives aux Service-linked rôles dans le guide de l'utilisateur IAM.

Création d'un rôle lié à un service pour Connect Customer

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez une nouvelle instance dans Amazon Connect dans le AWS Management Console, Connect Customer crée pour vous le rôle lié au service.

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez une nouvelle instance dans Amazon Connect, Connect Customer crée à nouveau le rôle lié au service pour vous.

Vous pouvez également utiliser la console IAM pour créer un rôle lié à un service avec le cas d’utilisation Amazon Connect - Accès complet. Dans l’interface de ligne de commande (CLI) IAM ou l’API IAM, créez un rôle lié à un service avec le nom de service connect.amazonaws.com. Pour plus d’informations, consultez Création d’un rôle lié à un service dans le Guide de l’utilisateur IAM. Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.

Pour les instances créées avant octobre 2018

Astuce

Vous ne parvenez pas à vous connecter pour gérer votre AWS compte ? Vous ne savez pas qui gère votre compte AWS  ? Pour obtenir de l’aide, consultez Dépannage de problèmes de connexion au compte AWS.

Si votre instance Connect Customer a été créée avant octobre 2018, aucun rôle lié à un service n'est configuré. Pour créer un rôle lié à un service, sur la page Présentation du compte, choisissez Créer un rôle lié à un service, comme illustré dans l’image suivante.

Page Présentation du compte, bouton Créer un rôle lié à un service.

Pour obtenir la liste des autorisations IAM requises pour créer le rôle lié à un service, consultez Page Présentation la rubrique Autorisations requises pour utiliser des politiques IAM personnalisées afin de gérer l'accès à la console Connect Customer.

Pour les domaines de profil client créés avant le 31 janvier 2025 et configurés avec une clé KMS client pour chiffrer les données, vous devez accorder des autorisations KMS supplémentaires à votre instance Amazon Connect.

Si votre domaine de profil client associé a été créé avant le 31 janvier 2025 et que le domaine utilise une clé Customer-Managed KMS (CMK) pour le chiffrement, afin de permettre l'application de la CMK par l'instance Connect, effectuez les actions suivantes :

  1. Donnez à une Connect Customer instance l'autorisation Service-Linked Role (SLR) d'utiliser les AWS KMS clés de votre domaine Customer Profiles en accédant à la page des profils clients dans la console de gestion Connect Customer AWS et en choisissant Mettre à jour l'autorisation KMS.

    Cliquez sur le bouton Mettre à jour les autorisations KMS pour accorder des autorisations KMS pour le rôle lié au service de votre instance Connect Customer.

  2. Créez un ticket d'assistance auprès de l'équipe Connect Customer Customer Profiles pour demander l'application des autorisations CMK pour votre compte.

Pour obtenir la liste des autorisations IAM permettant de mettre à jour votre Connect Customer instance, consultez l'autorisation requise pour les politiques IAM personnalisées pour le. Page Profils des clients

Modifier un rôle lié à un service pour Connect Customer

Connect Customer ne vous permet pas de modifier le rôle AWSServiceRoleForAmazonConnect préfixé lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez Modification d’un rôle lié à un service dans le Guide de l’utilisateur IAM.

Vérification qu’un rôle lié à un service dispose d’autorisations pour Amazon Lex

  1. Dans le panneau de navigation de la console IAM, choisissez Rôles.

  2. Choisissez le nom du rôle à modifier.

Supprimer un rôle lié à un service pour Connect Customer

Il n'est pas nécessaire de supprimer manuellement le rôle AWSServiceRoleForAmazonConnect préfixé. Lorsque vous supprimez votre instance Amazon Connect dans le AWS Management Console, Connect Customer nettoie les ressources et supprime le rôle lié au service pour vous.

Régions prises en charge pour les rôles liés au service client Connect

Connect Customer prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez AWS Régions et points de terminaison.