View a markdown version of this page

Restrict AWS ressources pouvant être associées à Connect Customer - Client Amazon Connect
Exemple 1 : restreindre les compartiments Amazon S3 pouvant être associés à une instance Connect CustomerExemple 2 : Restreindre lequel AWS Lambda les fonctions peuvent être associées à une instance Connect CustomerExemple 3 : restreindre les Amazon Kinesis Data Streams qui peuvent être associés à une instance Connect Customer

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Restrict AWS ressources pouvant être associées à Connect Customer

Chaque instance Connect Customer est associée à un rôle lié à un service IAM lors de sa création. Connect Customer peut s'intégrer à d'autres AWS services pour des cas d'utilisation tels que le stockage des enregistrements d'appels (compartiment Amazon S3), les robots en langage naturel (robots Amazon Lex) et le streaming de données (Amazon Kinesis Data Streams). Connect Customer assume le rôle lié au service pour interagir avec ces autres services. La politique est d'abord ajoutée au rôle lié au service dans le cadre des API correspondantes du service Connect Customer (qui sont à leur tour appelées par la console AWS d'administration). Par exemple, si vous souhaitez utiliser un certain compartiment Amazon S3 avec votre instance Connect Customer, le compartiment doit être transmis à l' AssociateInstanceStorageConfigAPI.

Pour l'ensemble des actions IAM définies par Connect Customer, voir Actions définies par Connect Customer.

Vous trouverez ci-dessous quelques exemples de la manière de restreindre l'accès à d'autres ressources susceptibles d'être associées à une instance Connect Customer. Ils doivent être appliqués à l'utilisateur ou au rôle qui interagit avec les API Connect Customer ou la console Connect Customer.

Note

Une politique comportant une instruction explicite Deny remplacerait la politique Allow décrite dans ces exemples.

Pour plus d'informations sur les ressources, les clés de condition et les API dépendantes que vous pouvez utiliser pour restreindre l'accès, consultez la section Actions, ressources et clés de condition pour Connect Customer.

Exemple 1 : restreindre les compartiments Amazon S3 pouvant être associés à une instance Connect Customer

Cet exemple permet à un directeur IAM d'associer un compartiment Amazon S3 pour les enregistrements d'appels pour l'ARN d'instance Connect Customer donné et un compartiment Amazon S3 spécifique nommémy-connect-recording-bucket. Les PutRolePolicy actions AttachRolePolicy et sont limitées au rôle lié au service Connect Customer (un caractère générique est utilisé dans cet exemple, mais vous pouvez fournir l'ARN du rôle pour l'instance si nécessaire).

Note

Pour utiliser une AWS KMS clé afin de chiffrer les enregistrements de ce compartiment, une politique supplémentaire est nécessaire.

Exemple 2 : Restreindre lequel AWS Lambda les fonctions peuvent être associées à une instance Connect Customer

AWS Lambda les fonctions sont associées à une instance Connect Customer, mais le rôle lié au service Connect Customer n'est pas utilisé pour les appeler et n'est donc pas modifié. Au lieu de cela, une politique est ajoutée à la fonction via l'lambda:AddPermissionAPI qui permet à l'instance Connect Customer donnée d'invoquer la fonction.

Pour limiter les fonctions pouvant être associées à une instance Connect Customer, vous devez spécifier l'ARN de la fonction Lambda qu'un utilisateur peut utiliser pour appeler : lambda:AddPermission

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:AssociateLambdaFunction",
                "lambda:AddPermission"
            ],
            "Resource": [
                "arn:aws:connect:us-east-1:111122223333:instance/instance-id",
                "arn:aws:lambda:*:*:function:my-function"
            ]
        }
    ]
}

Exemple 3 : restreindre les Amazon Kinesis Data Streams qui peuvent être associés à une instance Connect Customer

Cet exemple suit un modèle similaire à celui d’Amazon S3. Il limite les Kinesis Data Streams spécifiques qui peuvent être associés à une instance Connect Customer donnée pour la livraison des enregistrements de contacts.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:UpdateInstanceStorageConfig",
                "connect:AssociateInstanceStorageConfig"
            ],
            "Resource": "arn:aws:connect:us-east-1:111122223333:instance/instance-id",
            "Condition": {
                "StringEquals": {
                    "connect:StorageResourceType": "CONTACT_TRACE_RECORDS"
                }
            }
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "kinesis:DescribeStream",
                "iam:PutRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::111122223333:role/aws-service-role/connect.amazonaws.com/*",
                "arn:aws:kinesis:*:111122223333:stream/stream-name"
            ]
        },
        {
            "Sid": "VisualEditor2",
            "Effect": "Allow",
            "Action": "kinesis:ListStreams",
            "Resource": "*"
        }
    ]
}