Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Exemples de politiques relatives aux ressources de Connect Customer
Connect Customer prend en charge les autorisations au niveau des ressources pour les utilisateurs. Vous pouvez donc leur spécifier des actions pour une instance, comme indiqué dans les politiques suivantes.
**Topics**
+ [Refuser toutes les actions sur une instance Connect Customer](#connect-access-control-resources-example-all)
+ [Refuser les actions « Supprimer » et « Mettre à jour »](#connect-access-control-resources-example2)
+ [Autoriser des actions pour les intégrations portant des noms spécifiques](#connect-access-control-resources-integration-example)
+ [Autoriser « Créer des utilisateurs » mais refuser si vous êtes affecté à un profil de sécurité spécifique](#connect-access-control-resources-example3)
+ [Autoriser les actions d’enregistrement sur un contact](#connect-access-control-resources-example4)
+ [Autoriser ou refuser les actions d’API de file d’attente pour les numéros de téléphone dans une région de réplica](#allow-deny-queue-actions-replica-region)
+ [Afficher des AppIntegrations ressources Amazon spécifiques](#view-specific-appintegrations-resources)
+ [Accorder l'accès aux profils clients Connect](#grant-access-to-customer-profiles)
+ [Accorder un accès en lecture seule aux données de la fonctionnalité Profils des clients](#grant-read-only-access-to-customer-profiles)
+ [Agents Query Connect AI uniquement pour un assistant spécifique](#query-wisdom-assistant)
+ [Accorder un accès complet à Connect Customer Voice ID](#grant-read-only-access-to-voiceid)
+ [Accorder l'accès aux ressources des campagnes sortantes Connect Customer](#grant-read-only-access-to-outboundcommunications)
+ [Restreindre la possibilité de rechercher dans les transcriptions analysées par Lentille de contact client Connect](#restrict-ability-to-search-transcripts-contact-lens)
## Refuser toutes les actions sur une instance Connect Customer
Une instance Connect Customer est la ressource de premier niveau de Connect Customer. Toutes les autres sous-ressources sont créées dans le cadre de son champ d’application. Pour refuser toutes les actions sur toutes les ressources d'une instance Connect Customer, vous pouvez utiliser l'une des méthodes suivantes :
+ Utilisez des clés contextuelles `connect:instanceId`.
+ Utilisez l’ARN de l’instance suivi d’un caractère générique (\*).
L’exemple de politique suivant refuse toutes les actions de connexion pour l’instance ayant l’instanceId 00fbeee1-123e-111e-93e3-11111bfbfcc1.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "connect:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"connect:instanceId": "00fbeee1-123e-111e-93e3-11111bfbfcc1"
}
}
}
]
}
```
------
Vous pouvez également refuser toutes les actions en spécifiant l’ARN de l’instance suivi d’un caractère générique (\*). L’exemple de politique suivant refuse toutes les actions de connexion pour l’instance portant l’ARN d’instance `arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"connect:*"
],
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1*"
}
]
}
```
------
## Refuser les actions « Supprimer » et « Mettre à jour »
L'exemple de politique suivant refuse les actions de « suppression » et de « mise à jour » aux utilisateurs d'une instance Connect Customer. Il utilise un caractère générique à la fin de l'ARN de l'utilisateur Connect Customer afin que « supprimer l'utilisateur » et « mettre à jour l'utilisateur » soient refusés sur l'ARN complet de l'utilisateur (c'est-à-dire tous les utilisateurs Connect Customer de l'instance fournie, tels que arn:aws:connect:us-east- 1:123e-456789012 : -123e-111e-93e3-11e3- /00dtcddd1-123e-111e-93e3-11111e-93e3-11111e-93e3-111e-111e-93e3-111e-111e-93e3-11111e-111e-93e3-11111e-111e-93e3-11111e-111e-93e3-11111e-111e-93e3-11111e-111e-93e3-11111e-bfbfcc1). instance/00fbeee1 11111bfbfcc1/agent
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"connect:DeleteUser",
"connect:UpdateUser*"
],
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/*"
}
]
}
```
------
## Autoriser des actions pour les intégrations portant des noms spécifiques
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllAppIntegrationsActions",
"Effect": "Allow",
"Action": [
"app-integrations:ListEventIntegrations",
"app-integrations:CreateEventIntegration",
"app-integrations:GetEventIntegration",
"app-integrations:UpdateEventIntegration",
"app-integrations:DeleteEventIntegration"
],
"Resource":"arn:aws:app-integrations:*:*:event-integration/MyNamePrefix-*"
}
]
}
```
------
## Autoriser « Créer des utilisateurs » mais refuser si vous êtes affecté à un profil de sécurité spécifique
L'exemple de politique suivant permet de « créer des utilisateurs » mais interdit explicitement d'utiliser arn:aws:connect:us-west- 2:123456789012 : instance/00fbeee1 -123e-111e-93e3- - -123e-111e-93e3-11111bfbfcc17 comme paramètre du profil de sécurité dans la demande. 11111bfbfcc1/security profile/11dtcggg1 [CreateUser](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateUser.html#API_CreateUser_RequestBody)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"connect:CreateUser"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"connect:CreateUser"
],
"Resource": "arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc17/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17"
}
]
}
```
------
## Autoriser les actions d’enregistrement sur un contact
L’exemple de politique suivant permet l’action « start contact recording » sur un contact dans une instance spécifique. contactID étant dynamique, \* est utilisé.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"connect:StartContactRecording"
],
"Resource": "arn:aws:connect:us-west-2:111122223333:instance/instanceId/contact/*",
"Effect": "Allow"
}
]
}
```
------
Établissez une relation de confiance avec *accountID.*
Les actions suivantes sont définies pour les API d’enregistrement :
+ « connecter : StartContactRecording »
+ « connecter : StopContactRecording »
+ « connecter : SuspendContactRecording »
+ « connecter : ResumeContactRecording »
### Autoriser un plus grand nombre d’actions de contact dans le même rôle
Si le même rôle est utilisé pour appeler d’autres API de contact, vous pouvez répertorier les actions de contact suivantes :
+ GetContactAttributes
+ ListContactFlows
+ StartChatContact
+ StartOutboundVoiceContact
+ StopContact
+ UpdateContactAttributes
Vous pouvez également utiliser un caractère générique pour autoriser toutes les actions de contact, par exemple : « connect:\* »
### Autoriser davantage de ressources
Vous pouvez également utiliser un caractère générique pour autoriser davantage de ressources. Par exemple, voici comment autoriser toutes les actions de connexion sur toutes les ressources de contact :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"connect:*"
],
"Resource": "arn:aws:connect:us-west-2:111122223333:instance/*/contact/*",
"Effect": "Allow"
}
]
}
```
------
## Autoriser ou refuser les actions d’API de file d’attente pour les numéros de téléphone dans une région de réplica
Les [UpdateQueueOutboundCallerConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateQueueOutboundCallerConfig.html)API [CreateQueue](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateQueue.html)et contiennent un champ de saisie nommé`OutboundCallerIdNumberId`. Cette zone représente une ressource de numéro de téléphone qui peut être demandée à un groupe de répartition du trafic. Il prend en charge à la fois le format ARN V1 du numéro de téléphone renvoyé par [ListPhoneNumbers](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListPhoneNumbers.html)et le format ARN V2 renvoyé par [ListPhoneNumbersV2](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListPhoneNumbersV2.html).
Les formats ARN V1 et V2 pris en charge par `OutboundCallerIdNumberId` sont les suivants :
+ **Format ARN V1** : `arn:aws:connect:{{your-region}}:{{your-account_id}}:instance/{{instance_id}}/phone-number/{{resource_id}}`
+ **Format ARN V2** : `arn:aws:connect:{{your-region}}:{{your-account_id}}:phone-number/{{resource_id}}`
**Note**
Nous vous recommandons d’utiliser le format ARN V2. Le format ARN V1 sera obsolète à l’avenir.
### Fournir les deux formats ARN pour les ressources de numéro de téléphone dans la région de réplica
Si le numéro de téléphone est revendiqué auprès d'un groupe de distribution du trafic, pour allow/deny accéder correctement aux actions de l'API de file d'attente pour les ressources du numéro de téléphone lorsque vous opérez dans la région de réplication, **vous devez fournir la ressource du numéro de téléphone aux formats ARN V1 et V2**. Si vous fournissez la ressource de numéro de téléphone dans un seul format ARN, cela ne se traduira pas par un allow/deny comportement correct lors de l'exploitation dans la région de réplication.
### Exemple 1 : Refuser l'accès à CreateQueue
Par exemple, vous opérez dans la région de réplica us-west-2 avec un compte ` 123456789012` et une instance `aaaaaaaa-bbbb-cccc-dddd-0123456789012`. Vous souhaitez refuser l'accès à l'[CreateQueue](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateQueue.html)API lorsque la `OutboundCallerIdNumberId` valeur est un numéro de téléphone réclamé à un groupe de distribution de trafic avec un ID de ressource`aaaaaaaa-eeee-ffff-gggg-0123456789012`. Dans ce scénario, vous devez utiliser la stratégie suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyCreateQueueForSpecificNumber",
"Effect": "Deny",
"Action": "connect:CreateQueue",
"Resource": [
"arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
"arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
]
}
]
}
```
------
Où us-west-2 est la région où la demande est effectuée.
### Exemple 2 : autoriser uniquement l'accès à UpdateQueueOutboundCallerConfig
Par exemple, vous opérez dans la région de réplica us-west-2 avec un compte `123456789012` et une instance `aaaaaaaa-bbbb-cccc-dddd-0123456789012`. Vous souhaitez autoriser l'accès à l'[UpdateQueueOutboundCallerConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateQueueOutboundCallerConfig.html)API uniquement lorsque la `OutboundCallerIdNumberId` valeur est un numéro de téléphone revendiqué auprès d'un groupe de distribution du trafic avec un ID de ressource`aaaaaaaa-eeee-ffff-gggg-0123456789012`. Dans ce scénario, vous devez utiliser la stratégie suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OnlyAllowUpdateQueueOutboundCallerConfigForSpecificNumber",
"Effect": "Allow",
"Action": "connect:UpdateQueueOutboundCallerConfig",
"Resource": [
"arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
"arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
]
}
]
}
```
------
## Afficher des AppIntegrations ressources Amazon spécifiques
L’exemple de politique suivant permet de récupérer des intégrations d’événements spécifiques.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"app-integrations:GetEventIntegration"
],
"Resource": "arn:aws:app-integrations:us-west-2:{{111122223333}}:event-integration/Name"
}
]
}
```
------
## Accorder l'accès aux profils clients Connect
Connect Customer Les profils clients sont utilisés `profile` comme préfixe pour les actions au lieu de`connect`. La politique suivante accorde un accès complet à un domaine spécifique dans Connect Customer Customer Profiles.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"profile:*"
],
"Resource": "arn:aws:profile:us-west-2:{{111122223333}}:domains/domainName",
"Effect": "Allow"
}
]
}
```
------
Établissez une relation de confiance avec accountID pour le domaine domainName.
## Accorder un accès en lecture seule aux données de la fonctionnalité Profils des clients
Vous trouverez ci-dessous un exemple d'octroi d'un accès en lecture aux données des profils clients Connect.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"profile:SearchProfiles"
],
"Resource": "arn:aws:profile:{{us-east-1}}:{{111122223333}}:domains/domainName",
"Effect": "Allow"
}
]
}
```
------
## Agents Query Connect AI uniquement pour un assistant spécifique
L’exemple de politique suivant permet de n’interroger qu’un assistant spécifique.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wisdom:QueryAssistant"
],
"Resource": "arn:aws:wisdom:{{us-east-1}}:{{111122223333}}:assistant/{{assistantID}}"
}
]
}
```
------
## Accorder un accès complet à Connect Customer Voice ID
Connect Customer Voice ID est utilisé `voiceid` comme préfixe pour les actions au lieu de connecter. La politique suivante accorde un accès complet à un domaine spécifique dans Connect Customer Voice ID :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"voiceid:*"
],
"Resource": "arn:aws:voiceid:us-west-2:{{111122223333}}:domain/domainName",
"Effect": "Allow"
}
]
}
```
------
Établissez une relation de confiance avec accountID pour le domaine domainName.
## Accorder l'accès aux ressources des campagnes sortantes Connect Customer
Les campagnes sortantes utilisent `connect-campaign` comme préfixe pour les actions au lieu de `connect`. La stratégie suivante accorde l’accès total à une campagne sortante spécifique.
```
{
"Sid": "AllowConnectCampaignsOperations",
"Effect": "Allow",
"Action": [
"connect-campaigns:DeleteCampaign",
"connect-campaigns:DescribeCampaign",
"connect-campaigns:UpdateCampaignName",
"connect-campaigns:GetCampaignState"
"connect-campaigns:UpdateOutboundCallConfig",
"connect-campaigns:UpdateDialerConfig",
"connect-campaigns:PauseCampaign",
"connect-campaigns:ResumeCampaign",
"connect-campaigns:StopCampaign"
],
"Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId",
}
```
## Restreindre la possibilité de rechercher dans les transcriptions analysées par Lentille de contact client Connect
La politique suivante permet de rechercher et de décrire des contacts, mais interdit de rechercher un contact à l’aide des transcriptions analysées par Connect Customer Contact Lens.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"connect:DescribeContact"
],
"Resource": "arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{instance-id}}/contact/*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"connect:SearchContacts"
],
"Resource": "arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{instance-id}}"
},
{
"Sid": "VisualEditor2",
"Effect": "Deny",
"Action": [
"connect:SearchContacts"
],
"Resource": "arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{instance-id}}",
"Condition": {
"ForAnyValue:StringEquals": {
"connect:SearchContactsByContactAnalysis": [
"Transcript"
]
}
}
}
]
}
```
------