View a markdown version of this page

Autorisations requises pour utiliser des politiques IAM personnalisées afin de gérer les dossiers clients Connect - Client Amazon Connect
Affichage des détails du domaine CasIntégration à la fonctionnalité Cas

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations requises pour utiliser des politiques IAM personnalisées afin de gérer les dossiers clients Connect

Si vous utilisez des politiques IAM personnalisées pour gérer l'accès aux dossiers clients Connect, vos utilisateurs ont besoin de certaines ou de toutes les autorisations répertoriées dans cet article, en fonction des tâches qu'ils doivent effectuer.

Affichage des détails du domaine Cas

Il existe deux options pour accorder aux utilisateurs les autorisations IAM leur permettant de consulter les détails du domaine Cases sur la console Connect Customer.

Option 1 : autorisations IAM minimales requises

Pour consulter les détails du domaine Cases dans la console Connect Customer, les utilisateurs doivent disposer des autorisations IAM suivantes :

  • connect:ListInstances

  • ds:DescribeDirectories

  • connect:ListIntegrationAssociations

  • cases:GetDomain

Voici un exemple de politique IAM avec ces autorisations :

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowsViewingConnectConsole",
            "Effect": "Allow",
            "Action": [
                "connect:ListInstances",
                "ds:DescribeDirectories"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListIntegrationAssociations",
            "Effect": "Allow",
            "Action": [
                "connect:ListIntegrationAssociations"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CasesGetDomain",
            "Effect": "Allow",
            "Action": [
                "cases:GetDomain"
            ],
            "Resource": "*"
        }
    ]
}

Notez ce qui suit :

  • L’action cases:GetDomain est requise sur la ressource *

  • L’action connect:ListIntegrationAssociations prend en charge le type de ressource instance. Consultez le tableau dans Actions définies par Connect Customer.

Option 2 : mettre à jour la politique existante du client Connect en fonction des cas : GetDomain et du profil : SearchProfiles

Incluez la AmazonConnectReadOnlyAccesspolitique et cases:GetDomain ajoutez-la, comme indiqué dans l'exemple suivant.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "CasesGetDomain",
            "Effect": "Allow",
            "Action": [
                "cases:GetDomain"
            ],
            "Resource": "*"
        }        
    ]
}

Intégration à la fonctionnalité Cas

Il existe deux options pour accorder aux utilisateurs les autorisations IAM leur permettant d'intégrer Cases à l'aide de la console Connect Customer.

Option 1 : autorisations minimales requises

Pour intégrer Cases à l'aide de la console Connect Customer, les utilisateurs doivent disposer des autorisations IAM suivantes :

  • connect:ListInstances

  • ds:DescribeDirectories

  • connect:ListIntegrationAssociations

  • cases:GetDomain

  • cases:CreateDomain

  • connect:CreateIntegrationAssociation

  • connect:DescribeInstance

  • iam:PutRolePolicy

  • profile:SearchProfiles

Voici un exemple de politique IAM avec ces autorisations :

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AllowsViewingConnectConsole",
            "Effect": "Allow",
            "Action": [
                "connect:ListInstances",
                "ds:DescribeDirectories"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ListIntegrationAssociations",
            "Effect": "Allow",
            "Action": [
                "connect:ListIntegrationAssociations"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CasesGetDomain",
            "Effect": "Allow",
            "Action": [
                "cases:GetDomain"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CasesCreateDomain",
            "Effect": "Allow",
            "Action": [
                "cases:CreateDomain"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateIntegrationAssociationsAndDependencies",
            "Effect": "Allow",
            "Action": [
                "connect:CreateIntegrationAssociation",
                "connect:DescribeInstance"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AttachAnyPolicyToAmazonConnectRole",
            "Effect": "Allow",
            "Action": "iam:PutRolePolicy",
            "Resource": "arn:aws:iam::*:role/aws-service-role/connect.amazonaws.com/AWSServiceRoleForAmazonConnect*"
        },
        {
            "Sid": "ProfileSearchProfiles",
            "Effect": "Allow",
            "Action": [
                "profile:SearchProfiles"
            ],
            "Resource": "*"
        }
    ]
}

Notez ce qui suit :

  • L’action cases:GetDomain est requise sur la ressource *

  • Vous pouvez définir les autorisations pour des tâches spécifiques de Connect Customer en utilisant les informations contenues dans Actions, ressources et clés de condition pour Connect Customer.

  • L’action profile:SearchProfiles est requise, car l’API CreateCase appelle l’API SearchProfiles pour rechercher des profils clients à valider, puis associer le profil au cas.

Option 2 : utiliser une combinaison de politiques existantes

La combinaison de politiques suivante fonctionnera également :

  • AmazonConnect_ FullAccess politique

  • iam:PutRolePolicy pour modifier le rôle lié à un service. Pour obtenir un exemple, consultez AWS politique gérée : AmazonConnect _ FullAccess politique.

  • La politique IAM suivante :

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "CasesGetDomain",
            "Effect": "Allow",
            "Action": [
                "cases:GetDomain",
                "cases:CreateDomain"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ProfileSearchProfiles",
            "Effect": "Allow",
            "Action": [
                "profile:SearchProfiles"
            ],
            "Resource": "*"
        }
    ]
}