Application d’un contrôle d’accès basé sur la hiérarchie dans Amazon Connect - Amazon Connect
Présentation deApplication d’un contrôle d’accès basé sur la hiérarchie à l’aide de l’API/du kit SDKAppliquer un contrôle d'accès basé sur la hiérarchie à l'aide du site Web d'administration Amazon ConnectLimitations relatives à la configurationBonnes pratiques relatives à l’application de contrôles d’accès basés sur la hiérarchie

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Application d’un contrôle d’accès basé sur la hiérarchie dans Amazon Connect

Vous pouvez limiter l’accès aux contacts en fonction de la hiérarchie d’agents affectée à un utilisateur. Vous y parvenez à l’aide d’autorisations de profil de sécurité telles que Restreindre l’accès des contacts. Outre ces autorisations, vous pouvez également utiliser des hiérarchies, appliquer des contrôles d’accès granulaires à des ressources telles que les utilisateurs et utiliser des balises.

Cette rubrique fournit des informations sur la configuration des contrôles d’accès basés sur la hiérarchie.

Présentation de

Le contrôle d'accès basé sur la hiérarchie vous permet de configurer un accès granulaire à des ressources spécifiques en fonction de la hiérarchie des agents attribuée à un utilisateur. Vous pouvez configurer des contrôles d'accès basés sur la hiérarchie à l'aide du site Web API/SDK ou du site Web Amazon Connect d'administration. 

Les utilisateurs sont les seules ressources qui prennent en charge le contrôle d’accès basé sur la hiérarchie. Ce modèle d’autorisation utilise un contrôle d’accès basé sur les balises afin que vous puissiez limiter l’accès aux utilisateurs, en leur permettant de ne voir que les autres utilisateurs appartenant à leur même groupe hiérarchique et auxquels des balises spécifiques sont associées.

Note

Une fois que vous avez appliqué le contrôle d’accès basé sur la hiérarchie aux utilisateurs, ils peuvent accéder à leur groupe hiérarchique et à tous ses descendants (au-delà du niveau enfant).

Application d’un contrôle d’accès basé sur la hiérarchie à l’aide de l’API/du kit SDK

Pour utiliser les hiérarchies afin de contrôler l'accès aux ressources au sein de vos AWS comptes, vous devez fournir les informations de la hiérarchie dans l'élément de condition d'une politique IAM. Par exemple, vous pouvez contrôler l’accès à un utilisateur appartenant à une hiérarchie spécifique à l’aide de la clé de condition connect:HierarchyGroupL3Id/hierarchyGroupId et d’un opérateur spécifique tel que StringEquals pour spécifier le groupe hiérarchique auquel l’utilisateur doit appartenir, afin d’autoriser certaines actions pour celui-ci.

Voici les clés de condition prises en charge :

  1. connect:HierarchyGroupL1Id/hierarchyGroupId

  2. connect:HierarchyGroupL2Id/hierarchyGroupId

  3. connect:HierarchyGroupL3Id/hierarchyGroupId

  4. connect:HierarchyGroupL4Id/hierarchyGroupId

  5. connect:HierarchyGroupL5Id/hierarchyGroupId

Chaque clé représente l’identifiant d’un groupe hiérarchique donné à un niveau spécifique de la structure hiérarchique de l’utilisateur.

Appliquer un contrôle d'accès basé sur la hiérarchie à l'aide du site Web d'administration Amazon Connect

Pour utiliser des hiérarchies afin de contrôler l'accès aux ressources du site Web Amazon Connect d'administration, vous configurez la section de contrôle d'accès au sein d'un profil de sécurité donné.

Par exemple, pour activer le contrôle d’accès granulaire pour un utilisateur donné en fonction de la hiérarchie à laquelle il appartient, vous configurez l’utilisateur en tant que ressource à accès contrôlé. Pour ce faire, vous disposez des deux options suivantes :

  1. Application d’un contrôle d’accès basé sur la hiérarchie en fonction de la hiérarchie de l’utilisateur

    Cette option garantit que l’utilisateur auquel l’accès est accordé ne peut gérer que les utilisateurs appartenant à cette hiérarchie. Par exemple, l’activation de cette configuration pour un utilisateur donné lui permet de gérer d’autres utilisateurs appartenant à son groupe hiérarchique ou à un groupe hiérarchique enfant.

  2. Application d’un contrôle d’accès basé sur la hiérarchie en fonction d’une hiérarchie spécifique

    Cette option garantit que l’utilisateur auquel l’accès est accordé ne peut gérer que les utilisateurs appartenant à la hiérarchie définie dans le profil de sécurité. Par exemple, l’activation de cette configuration pour un utilisateur donné lui permet de gérer d’autres utilisateurs appartenant au groupe hiérarchique spécifié dans le profile de sécurité ou à un groupe hiérarchique enfant.

Limitations relatives à la configuration

Le contrôle d’accès granulaire est configuré sur un profil de sécurité. Les utilisateurs peuvent se voir affecter un maximum de deux profils de sécurité qui appliquent un contrôle d’accès granulaire. Dans ce cas, les autorisations deviennent moins restrictives et font office d’union des deux ensembles d’autorisations.

Par exemple, si un profil de sécurité applique le contrôle d’accès basé sur la hiérarchie et qu’un autre applique le contrôle d’accès basé sur les balises, l’utilisateur peut gérer tout utilisateur appartenant à la même hiérarchie ou balisé avec la balise donnée. Si le contrôle d’accès basé sur les balises et le contrôle d’accès basé sur la hiérarchie sont configurés dans le cadre du même profil de sécurité, les deux conditions doivent être remplies. Dans ce cas, l’utilisateur ne peut gérer que les utilisateurs appartenant à la même hiérarchie et balisés avec une balise donnée. 

Un utilisateur peut avoir plus de deux profils de sécurité, à condition que ces profils de sécurité supplémentaires n’appliquent pas le contrôle d’accès granulaire. Si plusieurs profils de sécurité comprennent des autorisations de ressources qui se chevauchent, le profil de sécurité sans contrôle d’accès basé sur la hiérarchie est appliqué plutôt que celui avec le contrôle d’accès basé sur la hiérarchie.

Des rôles liés à un service sont nécessaires pour configurer le contrôle d’accès basé sur la hiérarchie. Si votre instance a été créée après octobre 2018, cela est disponible par défaut avec votre instance Amazon Connect. Toutefois, si votre instance est plus ancienne, consultez Utilisation de rôles liés à un service pour Amazon Connect pour découvrir comment activer des rôles liés à un service.

Bonnes pratiques relatives à l’application de contrôles d’accès basés sur la hiérarchie

  • Examinez le modèle de responsabilité partagée d’AWS.

    L'application du contrôle d'accès basé sur la hiérarchie est une fonctionnalité de configuration avancée prise en charge par Amazon Connect et qui suit le modèle de responsabilité AWS partagée. Il est important de veiller à bien configurer votre instance afin de répondre aux besoins d’autorisation souhaités.

  • Assurez-vous d’avoir activé au moins les autorisations d’affichage pour les ressources pour lesquelles vous activez le contrôle d’accès basé sur la hiérarchie.

    Vous éviterez ainsi les incohérences au niveau des autorisations qui entraînent des refus de demandes d’accès. Les contrôles d’accès basés sur la hiérarchie sont activés au niveau des ressources. Autrement dit, chaque ressource peut être restreinte indépendamment.

  • Examinez attentivement les autorisations accordées lorsque le contrôle d’accès basé sur la hiérarchie est appliqué.

    Par exemple, l'activation de la hiérarchie limite l'accès aux utilisateurs et view/edit permissions security profiles would allow a user to create/update d'un profil de sécurité avec des privilèges qui remplacent les paramètres de contrôle d'accès utilisateur prévus.

    • Lorsqu’ils sont connectés à la console Amazon Connect et que des contrôles d’accès basés sur la hiérarchie sont appliqués, les utilisateurs ne peuvent pas accéder aux journaux des modifications historiques pour les ressources sur lesquelles ils sont soumis à des restrictions.

    • Lorsque vous essayez d’attribuer une ressource enfant à une ressource parent avec un contrôle d’accès basé sur la hiérarchie sur la ressource enfant, l’opération est refusée si la ressource enfant n’appartient pas à votre hiérarchie.

      Par exemple, si vous essayez d’affecter un utilisateur à une connexion rapide, mais que vous n’avez pas accès à la hiérarchie de l’utilisateur, l’opération échoue. Ce n’est toutefois pas le cas pour les dissociations. Vous pouvez dissocier librement un utilisateur même si le contrôle d’accès basé sur la hiérarchie est appliqué, en supposant que vous ayez accès à la connexion rapide. En effet, les dissociations consistent à supprimer une relation existante (par opposition à de nouvelles associations) entre deux ressources et sont modélisées dans le cadre de la ressource parent (dans ce cas, la connexion rapide) à laquelle l’utilisateur a déjà accès.

  • Prêtez attention aux autorisations accordées sur les ressources parent, car les utilisateurs peuvent être dissociés à l’insu de leur superviseur.

  • Désactivez l'accès aux fonctionnalités suivantes lorsque vous appliquez des contrôles d'accès basés sur la hiérarchie sur le site Web de l' Amazon Connect administrateur.

    Fonctionnalité Autorisation de profil de sécurité qui désactive l’accès
    Recherche de contacts Recherche de contacts - Afficher
    Rapports Connexion/Déconnexion Rapports Connexion/Déconnexion - Afficher
    Rules Règles - Afficher
    Rapports enregistrés Rapports enregistrés - Afficher
    Hiérarchie des agents Hiérarchie des agents - Afficher
    Flux/Module de flux Modules de flux - Afficher
    Planification Gestionnaire de planification - Afficher

    Si vous ne désactivez pas l'accès à ces ressources, les utilisateurs dotés de contrôles d'accès hiérarchiques sur une ressource donnée qui consultent ces pages sur le site Web Amazon Connect d'administration peuvent voir une liste illimitée d'utilisateurs. Pour plus d’informations sur la gestion des autorisations, consultez Liste des autorisations des profils de sécurité.