Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Appliquer un contrôle d'accès basé sur des balises dans Connect Customer

Les contrôles d’accès basés sur les balises vous permettent de configurer un accès granulaire à des ressources spécifiques en fonction des balises de ressources affectées. Vous pouvez configurer des contrôles d'accès basés sur des balises en utilisant le site Web API/SDK ou le site Web de l' Connect Customer administrateur pour les ressources prises en charge.

Appliquez un contrôle d'accès basé sur des balises à l'aide du API/SDK

Pour contrôler l’accès aux ressources de vos comptes AWS à l’aide de balises, vous devez fournir des informations sur les balises dans l’élément de condition d’une politique IAM. Par exemple, pour contrôler l'accès à votre domaine Voice ID en fonction des balises que vous lui avez attribuées, utilisez la clé de aws:ResourceTag/key-name condition, ainsi qu'un opérateur spécifique, comme StringEquals pour spécifier la paire de balises clé:valeur qui doit être attachée au domaine, afin de permettre des actions spécifiques pour celui-ci.

Pour plus d’informations sur le contrôle d’accès basé sur les balises, consultez Contrôle de l’accès aux ressources AWS à l’aide de balises dans le Guide de l’utilisateur IAM.

Appliquez un contrôle d'accès basé sur des balises à l'aide du Connect Customer site web d'administration

Une balise de ressource est une étiquette de métadonnées personnalisée que vous pouvez ajouter à une ressource pour faciliter son identification, son organisation et sa recherche dans le cadre d'une recherche. Vous pouvez appliquer des balises par programmation à l'aide de Connect Customer SDK/APIs, et pour certaines ressources, vous pouvez appliquer des balises depuis la console Connect Customer. Pour plus d’informations sur les balises de ressources, consultez Ajouter des balises aux ressources dans Connect Customer.

Une balise de contrôle d'accès est similaire à une balise de ressource dans la mesure où elle utilise la même Key:valuestructure. Cependant, la différence avec une balise de contrôle d'accès est qu'elle introduit des contrôles d'autorisation qui limitent l'accès d'un utilisateur aux seules ressources spécifiées contenant des balises de ressources avec des Key:valuepaires identiques. Les balises de contrôle d'accès sont définies dans les profils de sécurité, en sélectionnant d'abord la ressource (profil de routage, file d'attente, utilisateurs, etc.) à laquelle vous souhaitez contrôler l'accès, puis en définissant la Key:valuepaire à associer. Une fois qu'un profil de sécurité avec des balises de contrôle d'accès a été appliqué à un utilisateur, il limite l'accès de l'utilisateur en fonction de la combinaison définie des ressources sélectionnées et des balises de contrôle d'accès (Key:value). Sans l’application de balises de contrôle d’accès, l’utilisateur pourra voir toutes les ressources s’il est autorisé à le faire.

Pour utiliser des balises afin de contrôler l'accès aux ressources sur le site Web d'administration de votre instance Connect Customer, vous devez configurer la section de contrôle d'accès dans un profil de sécurité donné. Par exemple, pour contrôler l'accès à un profil de routage en fonction des balises que vous lui avez attribuées, vous devez spécifier le profil de routage en tant que ressource à accès contrôlé, puis spécifier la Key:valuepaire de balises à laquelle vous souhaitez autoriser l'accès.

Limitations relatives à la configuration

Les balises de contrôle d’accès sont configurées sur un profil de sécurité. Vous pouvez configurer jusqu’à quatre balises de contrôle d’accès sur un même profil de sécurité. L’ajout de balises de contrôle d’accès supplémentaires rendra ce profil de sécurité plus restrictif. Par exemple, si vous ajoutez deux balises de contrôle d’accès comme Department:X et Country:Y, l’utilisateur ne verra plus que les ressources contenant ces deux balises.

Les utilisateurs peuvent se voir attribuer un maximum de trois profils de sécurité contenant des balises de contrôle d’accès. Lorsque plusieurs profils de sécurité contenant des balises de contrôle d’accès sont attribués à un seul utilisateur, les contrôles d’accès basés sur les balises deviennent moins restrictifs. Par exemple, si un utilisateur possède un profil de sécurité avec une balise de contrôle d’accès telle que Country:USA, et un autre profil de sécurité avec une balise de contrôle d’accès comme Country:Argentina, il pourra voir les ressources contenant les balises Country:USA ouCountry:Argentina. Un utilisateur peut avoir d’autres profils de sécurité, à condition que ces profils de sécurité supplémentaires ne contiennent pas de balises. Si plusieurs profils de sécurité comprennent des autorisations de ressources qui se chevauchent, le profil de sécurité sans contrôles d’accès basés sur les balises sera appliqué plutôt que le profil avec des contrôles d’accès basés sur les balises.

Les rôles liés aux services sont nécessaires pour configurer les balises de ressources ou les balises de contrôle d'accès. Si votre instance a été créée après octobre 2018, elle sera disponible par défaut avec votre instance Connect Customer. Toutefois, si vous possédez une instance plus ancienne, reportez-vous à la section Utiliser des rôles liés à un service pour Connect Customer pour savoir comment activer les rôles liés à un service.

Bonnes pratiques pour l’application de contrôles d’accès basés sur les balises

L'application de contrôles d'accès basés sur des balises est une fonctionnalité de configuration avancée prise en charge par Connect Customer et qui suit le modèle de responsabilité AWS partagée. Il est important de veiller à bien configurer votre instance afin de répondre aux besoins d’autorisation souhaités. Pour plus d’informations, passez en revue le modèle de responsabilités partagées AWS.

Assurez-vous d’avoir activé au moins les autorisations d’affichage pour les ressources pour lesquelles vous activez le contrôle d’accès basé sur les balises. Vous éviterez ainsi les incohérences au niveau des autorisations qui entraînent des refus de demandes d’accès.

Tag-based les contrôles d'accès sont activés au niveau des ressources, ce qui signifie que chaque ressource peut être restreinte indépendamment. Dans certains cas d’utilisation, cela peut être acceptable, mais la bonne pratique consiste à mettre en place des contrôles d’accès basés sur les balises pour l’ensemble des ressources. Par exemple, le fait d’autoriser l’accès aux utilisateurs, mais pas aux profils de sécurité, permettrait à un utilisateur de créer un profil de sécurité avec des privilèges qui supplanteraient les paramètres de contrôle d’accès que vous avez définis pour les utilisateurs.

Lorsqu'ils sont connectés à la console Connect Customer et que des contrôles d'accès basés sur des balises sont appliqués, les utilisateurs ne peuvent pas accéder à l'historique des modifications pour les ressources auxquelles ils sont limités.

Il est recommandé de désactiver l'accès aux éléments suivants resources/modules lorsque vous appliquez des contrôles d'accès basés sur des balises dans la console Connect Customer. Si vous ne désactivez pas l’accès à ces ressources, les utilisateurs qui disposent de contrôles d’accès basés sur les balises sur une ressource particulière et qui consultent ces pages peuvent voir une liste non restreinte d’utilisateurs, de profils de sécurité, de profils de routage, de files d’attente, de flux ou de modules de flux. Pour plus d’informations sur la gestion des autorisations, consultez Liste des autorisations du profil de sécurité dans Connect Customer.