View a markdown version of this page

Membatasi AWS sumber daya yang dapat dikaitkan dengan Connect Customer - Pelanggan Amazon Connect
Contoh 1: Batasi bucket Amazon S3 mana yang dapat dikaitkan dengan instans Connect CustomerContoh 2: Batasi yang mana AWS Lambda fungsi dapat dikaitkan dengan instance Connect CustomerContoh 3: Batasi Amazon Kinesis Data Streams mana yang dapat dikaitkan dengan instans Connect Customer

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membatasi AWS sumber daya yang dapat dikaitkan dengan Connect Customer

Setiap instans Connect Customer dikaitkan dengan peran terkait layanan IAM saat instance dibuat. Connect Customer dapat berintegrasi dengan AWS layanan lain untuk kasus penggunaan seperti penyimpanan rekaman panggilan (bucket Amazon S3), bot bahasa alami (bot Amazon Lex), dan streaming data (Amazon Kinesis Data Streams). Connect Customer mengasumsikan peran terkait layanan untuk berinteraksi dengan layanan lain ini. Kebijakan ini pertama kali ditambahkan ke peran terkait layanan sebagai bagian dari API terkait di layanan Connect Customer (yang selanjutnya dipanggil oleh konsol AWS admin). Misalnya, jika Anda ingin menggunakan bucket Amazon S3 tertentu dengan instans Connect Customer, bucket harus diteruskan ke API. AssociateInstanceStorageConfig

Untuk kumpulan tindakan IAM yang ditentukan oleh Connect Customer, lihat Tindakan yang ditentukan oleh Connect Customer.

Berikut ini adalah beberapa contoh cara membatasi akses ke sumber daya lain yang mungkin terkait dengan instans Connect Customer. Mereka harus diterapkan ke Pengguna atau Peran yang berinteraksi dengan Connect Customer API atau konsol Connect Customer.

catatan

Kebijakan dengan eksplisit Deny akan mengesampingkan Allow kebijakan dalam contoh-contoh ini.

Untuk informasi selengkapnya tentang sumber daya, kunci kondisi, dan API dependen yang dapat Anda gunakan untuk membatasi akses, lihat Tindakan, sumber daya, dan kunci kondisi untuk Connect Customer.

Contoh 1: Batasi bucket Amazon S3 mana yang dapat dikaitkan dengan instans Connect Customer

Contoh ini memungkinkan prinsipal IAM untuk mengaitkan bucket Amazon S3 untuk rekaman panggilan untuk ARN instans Connect Customer yang diberikan, dan bucket Amazon S3 tertentu yang diberi nama. my-connect-recording-bucket PutRolePolicy Tindakan AttachRolePolicy dan dicakup ke peran Connect Customer service-linked (wildcard digunakan dalam contoh ini, tetapi Anda dapat memberikan peran ARN untuk instance jika diperlukan).

catatan

Untuk menggunakan AWS KMS kunci untuk mengenkripsi rekaman di bucket ini, diperlukan kebijakan tambahan.

Contoh 2: Batasi yang mana AWS Lambda fungsi dapat dikaitkan dengan instance Connect Customer

AWS Lambda fungsi dikaitkan dengan instans Connect Customer, tetapi peran terkait layanan Connect Customer tidak digunakan untuk memanggilnya, sehingga tidak dimodifikasi. Sebagai gantinya, kebijakan ditambahkan ke fungsi melalui lambda:AddPermission API yang memungkinkan instance Connect Customer yang diberikan untuk memanggil fungsi tersebut.

Untuk membatasi fungsi mana yang dapat dikaitkan dengan instance Connect Customer, Anda menentukan ARN fungsi Lambda yang dapat digunakan pengguna untuk memanggil: lambda:AddPermission

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:AssociateLambdaFunction",
                "lambda:AddPermission"
            ],
            "Resource": [
                "arn:aws:connect:us-east-1:111122223333:instance/instance-id",
                "arn:aws:lambda:*:*:function:my-function"
            ]
        }
    ]
}

Contoh 3: Batasi Amazon Kinesis Data Streams mana yang dapat dikaitkan dengan instans Connect Customer

Contoh ini mengikuti model yang mirip dengan contoh Amazon S3. Ini membatasi Kinesis Data Streams tertentu yang mungkin terkait dengan instance Connect Customer yang diberikan untuk mengirimkan catatan kontak.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:UpdateInstanceStorageConfig",
                "connect:AssociateInstanceStorageConfig"
            ],
            "Resource": "arn:aws:connect:us-east-1:111122223333:instance/instance-id",
            "Condition": {
                "StringEquals": {
                    "connect:StorageResourceType": "CONTACT_TRACE_RECORDS"
                }
            }
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "kinesis:DescribeStream",
                "iam:PutRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::111122223333:role/aws-service-role/connect.amazonaws.com/*",
                "arn:aws:kinesis:*:111122223333:stream/stream-name"
            ]
        },
        {
            "Sid": "VisualEditor2",
            "Effect": "Allow",
            "Action": "kinesis:ListStreams",
            "Resource": "*"
        }
    ]
}