Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Manajemen identitas dan akses untuk Amazon Connect
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diotorisasi* (memiliki izin) untuk menggunakan sumber daya Amazon Connect. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
+ [Izin yang diperlukan untuk kebijakan IAM kustom](security-iam-amazon-connect-permissions.md)
+ [Batasi AWS sumber daya yang dapat dikaitkan dengan Amazon Connect](restrict-access-examples.md)
+ [Bagaimana Amazon Connect bekerja dengan IAM](security_iam_service-with-iam.md)
+ [Contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md)
+ [Contoh kebijakan tingkat sumber daya](security_iam_resource-level-policy-examples.md)
+ [AWS kebijakan terkelola](security_iam_awsmanpol.md)
+ [Pemecahan masalah](security_iam_troubleshoot.md)
+ [Gunakan peran tertaut layanan](connect-slr.md)
+ [Menggunakan peran terkait layanan untuk kampanye keluar](connect-slr-outbound.md)
+ [Menggunakan peran terkait layanan untuk Amazon AppIntegrations](appintegrations-slr.md)
+ [Menggunakan peran terkait layanan untuk Profil Pelanggan Amazon Connect](customerprofiles-slr.md)
+ [Menggunakan peran terkait layanan untuk Sinkronisasi Terkelola Amazon Connect](managed-synchronization-slr.md)
## Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah identitas dan akses Amazon Connect](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana Amazon Connect bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Contoh kebijakan berbasis identitas Amazon Connect](security_iam_id-based-policy-examples.md))
## Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk sebagai identitas federasi menggunakan kredensil dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.
Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.
### Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*.
### Pengguna dan grup
*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.
### Peran IAM
*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
### Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
### Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.
### Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
### Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
# Izin yang diperlukan untuk menggunakan kebijakan IAM khusus untuk mengelola akses ke konsol Amazon Connect
Jika Anda menggunakan kebijakan [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) khusus untuk mengelola akses ke konsol Amazon Connect, pengguna Anda memerlukan beberapa atau semua izin yang tercantum dalam artikel ini, tergantung pada tugas yang perlu mereka lakukan.
**catatan**
Menggunakan `connect:*` dalam kebijakan IAM khusus memberi pengguna Anda semua izin Amazon Connect yang tercantum dalam artikel ini.
**catatan**
Halaman tertentu di konsol Amazon Connect, seperti [Tugas](#tasks-page) dan [Profil Pelanggan](#customer-profiles-page), mengharuskan Anda menambahkan izin ke kebijakan sebaris.
**Topics**
+ [AmazonConnect\$1 FullAccess kebijakan](#amazonconnectfullaccesspolicy)
+ [AmazonConnectReadOnlyAccess kebijakan](#amazonconnectreadonlyaccesspolicy)
+ [Halaman beranda](#console-home-page-permissions)
+ [Halaman detail](#detail-pages)
+ [Halaman Ikhtisar](#overview-page)
+ [Halaman telepon](#telephony-page)
+ [Halaman penyimpanan data](#data-storage-page)
+ [Halaman streaming data](#data-streaming-page)
+ [Halaman Arus](#contact-flows-page)
+ [Contact Lenshalaman konektor](#contactlensconnectors-page)
+ [Halaman integrasi transfer suara](#voice-transfer-integrations-page)
+ [Halaman integrasi aplikasi](#application-integration-page)
+ [Halaman Profil Pelanggan](#customer-profiles-page)
+ [Halaman tugas](#tasks-page)
+ [Halaman email](#email-page)
+ [Halaman kasus](#cases-page)
+ [Halaman otentikasi pelanggan](#customer-authentication-page)
+ [Halaman kampanye keluar](#outbound-campaigns-page)
+ [Halaman Connect AI agent](#wisdom-page)
+ [Halaman ID Suara](#voiceid-page)
+ [Halaman peramalan, perencanaan kapasitas, dan penjadwalan](#forecasting-page)
+ [Federasi](#federations)
## AWS kebijakan terkelola: AmazonConnect \$1 FullAccess kebijakan
Untuk mengizinkan read/write akses penuh ke Amazon Connect, Anda harus melampirkan dua kebijakan ke pengguna, grup, atau peran Anda. Lampirkan `AmazonConnect_FullAccess` kebijakan dan kebijakan khusus dengan konten berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AttachAnyPolicyToAmazonConnectRole",
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/connect.amazonaws.com/AWSServiceRoleForAmazonConnect*"
}
]
}
```
------
Untuk memungkinkan pengguna membuat instance, pastikan bahwa mereka memiliki izin yang diberikan oleh `AmazonConnect_FullAccess` kebijakan.
Saat Anda menggunakan `AmazonConnect_FullAccess` kebijakan, perhatikan hal berikut:
+ Hak istimewa tambahan diperlukan untuk membuat bucket Amazon S3 dengan nama pilihan Anda, atau menggunakan bucket yang ada saat membuat atau memperbarui instance dari Amazon Connect situs web admin. Jika Anda memilih lokasi penyimpanan default untuk rekaman panggilan, transkrip obrolan, pesan email, lampiran, transkrip panggilan, dan data lainnya, sistem akan ditambahkan ke objek tersebut. `"amazon-connect-"`
+ Kunci `aws/connect` KMS tersedia untuk digunakan sebagai opsi enkripsi default. Untuk menggunakan kunci enkripsi khusus, tetapkan hak istimewa KMS tambahan kepada pengguna.
+ Tetapkan hak istimewa tambahan kepada pengguna untuk melampirkan AWS sumber daya lain seperti Amazon Polly, Streaming Media Langsung, Streaming Data, dan bot Lex ke instans Amazon Connect mereka.
## AWS kebijakan terkelola: AmazonConnectReadOnlyAccess kebijakan
Untuk mengizinkan akses hanya-baca, Anda hanya perlu melampirkan kebijakan. `AmazonConnectReadOnlyAccess`
## Halaman beranda konsol Amazon Connect
Gambar berikut menunjukkan contoh halaman beranda konsol Amazon Connect, dengan panah menunjuk ke alias instance. Pilih alias instance untuk menavigasi ke halaman instance terperinci.
![\[Halaman instans pusat kontak virtual Amazon Connect, alias instans.\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/images/instance.png)
Gunakan izin yang tercantum dalam tabel berikut untuk mengelola akses ke halaman ini.
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Daftar contoh | `connect:ListInstances` `ds:DescribeDirectories` |
| Jelaskan contoh: Lihat detail instance/pengaturan saat ini | `connect:DescribeInstance` `connect:ListLambdaFunctions` `connect:ListLexBots` `connect:ListInstanceStorageConfigs` `connect:ListApprovedOrigins` `connect:ListSecurityKeys` `connect:DescribeInstanceAttributes` `connect:DescribeInstanceStorageConfig` `ds:DescribeDirectories` |
| Buat contoh | `connect:AssociateCustomerProfilesDomain` `connect:CreateInstance` `connect:DescribeInstance` `connect:ListInstances` `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceAttribute` `ds:CheckAlias` `ds:CreateAlias` `ds:AuthorizeApplication` `ds:UnauthorizeApplication` `ds:CreateIdentityPoolDirectory` `ds:DescribeDirectories` `iam:CreateServiceLinkedRole` `iam:PutRolePolicy` `kms:CreateGrant` `kms:DescribeKey` `kms:ListAliases` `kms:RetireGrant` `logs:CreateLogGroup` `s3:CreateBucket` `s3:GetBucketLocation` `s3:ListAllMyBuckets` `servicequotas:GetServiceQuota` `profile:CreateDomain` `profile:GetDomain` `profile:GetProfileObjectType` `profile:ListAccountIntegrations` `profile:ListDomains` `profile:ListProfileObjectTypeTemplates` `profile:PutIntegration` |
| Hapus contoh | `connect:DescribeInstance` `connect:DeleteInstance` `connect:ListInstances` `ds:DescribeDirectories` `ds:DeleteDirectory` `ds:UnauthorizeApplication` |
## Halaman contoh rinci
Gambar berikut menunjukkan menu navigasi yang Anda gunakan untuk mengakses setiap halaman contoh rinci.
![\[Menu navigasi di halaman instans Amazon Connect.\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/images/iam-custom-permissions-admin-console-telephony-page.png)
Untuk mengakses halaman instans terperinci, Anda memerlukan izin ke halaman beranda konsol Amazon Connect (jelaskan/daftar). Atau, gunakan `AmazonConnectReadOnlyAccess` kebijakan.
Tabel berikut mencantumkan izin granular untuk setiap halaman contoh rinci.
**catatan**
Untuk melakukan `Edit` tindakan, pengguna juga perlu `List` dan `Describe` izin.
## Halaman Ikhtisar
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Buat peran terkait layanan | `connect:DescribeInstance` `connect:ListInstances` `connect:DescribeInstanceAttribute` `connect:UpdateInstanceAttribute` `connect:ListIntegrationAssociations` `profile:ListAccountIntegrations` `ds:DescribeDirectories` `iam:CreateServiceLinkedRole` `iam:PutRolePolicy` |
## Halaman telepon
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat opsi telepon | `connect:DescribeInstance` |
| Aktifkan/Nonaktifkan opsi telepon | `connect:UpdateInstanceAttribute` |
| Lihat kampanye keluar | `connect-campaigns:GetConnectInstanceConfig` `connect-campaigns:GetInstanceOnboardingJobStatus` `connect:DescribeInstance` `connect:DescribeInstanceAttribute` `kms:DescribeKey` |
| Aktifkan/nonaktifkan kampanye keluar | `connect-campaigns:GetConnectInstanceConfig` `connect-campaigns:GetInstanceOnboardingJobStatus` `connect-campaigns:StartInstanceOnboardingJob` `connect-campaigns:DeleteInstanceOnboardingJob` `connect-campaigns:DeleteConnectInstanceConfig` `connect:DescribeInstance` `connect:DescribeInstanceAttribute` `connect:UpdateInstanceAttribute` `iam:CreateServiceLinkedRole` `iam:DeleteServiceLinkedRole` `iam:AttachRolePolicy` `iam:PutRolePolicy` `iam:DeleteRolePolicy` `events:PutRule` `events:PutTargets` `events:DeleteRule` `events:RemoveTargets` `events:DescribeRule` `events:ListTargetsByRule` `ds:DescribeDirectories` `kms:DescribeKey` `kms:ListKeys` `kms:CreateGrant` `kms:RetireGrant` |
## Halaman penyimpanan data
### Bagian perekaman panggilan
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat rekaman panggilan | `connect:DescribeInstance` `connect:ListInstanceStorageConfigs` `connect:DescribeInstanceStorageConfig` |
| Edit rekaman panggilan | `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceStorageConfig` `connect:DisassociateInstanceStorageConfig` `s3:ListAllMyBuckets` `s3:GetBucketLocation` `s3:GetBucketAcl` `s3:CreateBucket` `kms:CreateGrant` `kms:DescribeKey` `kms:ListAliases` `kms:RetireGrant` `iam:PutRolePolicy` |
### Bagian perekaman layar
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat perekaman layar | `connect:DescribeInstance` `connect:ListInstanceStorageConfigs` `connect:DescribeInstanceStorageConfig` |
| Edit perekaman layar | `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceStorageConfig` `connect:DisassociateInstanceStorageConfig` `s3:ListAllMyBuckets` `s3:GetBucketLocation` `s3:GetBucketAcl` `s3:CreateBucket` `iam:PutRolePolicy` `kms:CreateGrant` `kms:DescribeKey` `kms:ListAliases` `kms:RetireGrant` |
### Bagian transkrip obrolan
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat transkrip obrolan | `connect:DescribeInstance` `connect:DescribeInstanceStorageConfig` `connect:ListInstanceStorageConfigs` |
| Edit transkrip obrolan | `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceStorageConfig` `connect:DisassociateInstanceStorageConfig` `s3:ListAllMyBuckets` `s3:GetBucketLocation` `s3:GetBucketAcl` `s3:CreateBucket` `kms:CreateGrant` `kms:DescribeKey` `kms:ListAliases` `kms:RetireGrant` `iam:PutRolePolicy` |
### Bagian lampiran
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat lampiran | `connect:DescribeInstance` `connect:DescribeInstanceStorageConfig` `connect:ListInstanceStorageConfigs` |
| Edit lampiran | `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceStorageConfig` `connect:DisassociateInstanceStorageConfig` `s3:ListAllMyBuckets` `s3:GetBucketLocation` `s3:CreateBucket` `s3:GetBucketAcl` `kms:CreateGrant` `kms:DescribeKey` `kms:ListAliases` `kms:RetireGrant` `iam:PutRolePolicy` |
### Bagian streaming media langsung
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat streaming media langsung | `connect:DescribeInstance` `connect:ListInstanceStorageConfigs` `connect:DescribeInstanceStorageConfig` |
| Edit streaming media langsung | `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceStorageConfig` `connect:DisassociateInstanceStorageConfig` `kms:CreateGrant` `kms:DescribeKey` `kms:RetireGrant` `iam:PutRolePolicy` |
### Bagian laporan yang diekspor
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat laporan yang diekspor | `connect:DescribeInstance` `connect:ListInstanceStorageConfigs` `connect:DescribeInstanceStorageConfig` |
| Edit laporan yang diekspor | `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceStorageConfig` `connect: DisassociateInstanceStorageConfig` `s3:ListAllMyBuckets` `s3:GetBucketLocation` `s3:CreateBucket` `kms:DescribeKey` `kms:ListAliases` `kms:RetireGrant` `kms:CreateGrant` `iam:PutRolePolicy` |
## Halaman streaming data
### Bagian catatan kontak
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat streaming data - Catatan kontak | `connect:DescribeInstance` `connect:ListInstanceStorageConfigs` `connect:DescribeInstanceStorageConfig` |
| Edit catatan kontak | `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceStorageConfig` `connect:DisassociateInstanceStorageConfig` `firehose:ListDeliveryStreams` `firehose:DescribeDeliveryStream` `kinesis:ListStreams` `kinesis:DescribeStream` `iam:PutRolePolicy` |
### Bagian acara agen
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat streaming data - Acara agen | `connect:DescribeInstance` `connect:ListInstanceStorageConfigs` `connect:DescribeInstanceStorageConfig` |
| Edit acara agen | `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceStorageConfig` `connect:DisassociateInstanceStorageConfig` `kinesis:ListStreams` `kinesis: DescribeStream` `iam:PutRolePolicy` |
## Halaman Arus
### Bagian kunci keamanan mengalir
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat kunci keamanan alur | `connect:DescribeInstance` `connect:ListSecurityKeys` |
| Tambah/hapus kunci keamanan aliran | `connect:AssociateSecurityKey` `connect:DisassociateSecurityKey` |
### Bagian Lex bot
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat Lex bots | `connect:ListLexBots` `connect:ListBots` |
| Tambah/hapus Lex bot | `lex:GetBots` `lex:GetBot` `lex:CreateResourcePolicy` `lex:DeleteResourcePolicy` `lex:UpdateResourcePolicy` `lex:DescribeBotAlias` `lex:ListBotAliases` `lex:ListBots` `connect:AssociateBot` `connect:DisassociateBot` `connect:ListBots` `connect:AssociateLexBot` `connect:DisassociateLexBot` `connect:ListLexBots` `iam:PutRolePolicy` |
### Bagian fungsi Lambda
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat fungsi Lambda | `connect:ListLambdaFunctions` |
| Tambah/hapus fungsi Lambda | `connect:ListLambdaFunctions` `connect:AssociateLambdaFunction` `connect:DisassociateLambdaFunction` `iam:PutRolePolicy` `lambda:ListFunctions` `lambda:AddPermission` `lambda:RemovePermission` |
### Bagian log aliran
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat konfigurasi log alur | `connect:DescribeInstance` `connect:DescribeInstanceAttribute` |
| Aktifkan/nonaktifkan log aliran | `logs:CreateLogGroup` |
### Bagian Amazon Polly
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat opsi Amazon Polly | `connect:DescribeInstance` `connect:DescribeInstanceAttribute` |
| Perbarui opsi Amazon Polly | `connect:UpdateInstanceAttribute` |
## Contact Lenshalaman konektor
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat Contact Lens konektor | `connect:ListIntegrationAssociations` `chime:GetVoiceConnector` `chime:GetVoiceConnectorLoggingConfiguration` `chime:GetVoiceConnectorTermination` `chime:GetVoiceConnectorTerminationHealth` `chime:ListVoiceConnectors` `chime:ListVoiceConnectorTerminationCredentials` `chime:GetVoiceConnectorExternalSystemsConfiguration` |
| Add/Update/RemoveContact Lenskonektor | `chime:CreateVoiceConnector` `chime:DeleteVoiceConnector` `chime:DeleteVoiceConnectorTermination` `chime:DeleteVoiceConnectorTerminationCredentials` `chime:GetVoiceConnector` `chime:GetVoiceConnectorLoggingConfiguration` `chime:GetVoiceConnectorTermination` `chime:GetVoiceConnectorTerminationHealth` `chime:ListVoiceConnectors` `chime:ListVoiceConnectorTerminationCredentials` `chime:PutVoiceConnectorLoggingConfiguration` `chime:PutVoiceConnectorTermination` `chime:PutVoiceConnectorTerminationCredentials` `chime:UpdateVoiceConnector` `chime:CreateConnectAnalyticsConnector` `chime:PutVoiceConnectorExternalSystemsConfiguration` `chime:GetVoiceConnectorExternalSystemsConfiguration` `chime:DeleteVoiceConnectorExternalSystemsConfiguration` `chime:AssociateVoiceConnectorConnect` `chime:DisassociateVoiceConnectorConnect` `chime:TagResources` `chime:UntagResources` `chime:ListTagsForResource` |
## Halaman integrasi transfer suara
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat konektor transfer suara eksternal | `connect:ListIntegrationAssociations` `chime:GetVoiceConnector` `chime:GetVoiceConnectorLoggingConfiguration` `chime:GetVoiceConnectorTermination` `chime:GetVoiceConnectorTerminationHealth` `chime:ListVoiceConnectors` `chime:ListVoiceConnectorTerminationCredentials` `chime:GetVoiceConnectorExternalSystemsConfiguration` `servicequotas:GetServiceQuota` |
| Add/Update/Removekonektor transfer suara eksternal | `connect:CreateIntegrationAssociation` `connect:DeleteIntegrationAssociation` `connect:ListIntegrationAssociations` `chime:CreateConnectCallTransferConnector` `chime:CreateVoiceConnector` `chime:DeleteVoiceConnector` `chime:DeleteVoiceConnectorTermination` `chime:DeleteVoiceConnectorTerminationCredentials` `chime:GetVoiceConnector` `chime:GetVoiceConnectorLoggingConfiguration` `chime:GetVoiceConnectorOrigination` `chime:GetVoiceConnectorTermination` `chime:GetVoiceConnectorTerminationHealth` `chime:ListVoiceConnectors` `chime:ListVoiceConnectorTerminationCredentials` `chime:PutVoiceConnectorLoggingConfiguration` `chime:PutVoiceConnectorOrigination` `chime:PutVoiceConnectorTermination` `chime:PutVoiceConnectorTerminationCredentials` `chime:UpdateVoiceConnector` `chime:CreateConnectAnalyticsConnector` `chime:PutVoiceConnectorExternalSystemsConfiguration` `chime:GetVoiceConnectorExternalSystemsConfiguration` `chime:DeleteVoiceConnectorExternalSystemsConfiguration` `chime:AssociateVoiceConnectorConnect` `chime:DisassociateVoiceConnectorConnect` `chime:TagResources` `chime:UntagResources` `chime:ListTagsForResource` `servicequotas:GetServiceQuota` |
## Halaman integrasi aplikasi
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat asal yang disetujui | `connect:DescribeInstance` `connect:ListApprovedOrigins` |
| Edit asal yang disetujui | `connect: AssociateApprovedOrigin` `connect:ListApprovedOrigins` `connect:DisassociateApprovedOrigin` |
## Halaman Profil Pelanggan
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat profil pelanggan | `app-integrations:ListEventIntegrations` `appflow:DescribeConnectorEntity` `appflow:DescribeConnectorProfiles` `appflow:DescribeFlow` `appflow:ListFlows` `appflow:ListConnectorEntities` `appflow:ListConnectorProfiles` `cloudwatch:GetMetricData` `connect:DescribeInstance` `connect:ListInstances` `ds:DescribeDirectories` `iam:ListRoles` `kinesis:DescribeStreamSummary` `kms:Decrypt` `kms:DescribeKey` `kms:GenerateDataKey` `kms:ListKeys` `profile:GetCalculatedAttributeDefinition` `profile:GetDomain` `profile:GetEventStream` `profile:GetIdentityResolutionJob` `profile:GetIntegration` `profile:GetProfileObjectType` `profile:GetProfileObjectTypeTemplate` `profile:GetWorkflow` `profile:ListAccountIntegrations` `profile:ListCalculatedAttributeDefinitions` `profile:ListDomains` `profile:ListDomainLayouts` `profile:ListEventStreams` `profile:ListIdentityResolutionJobs` `profile:ListIntegrations` `profile:ListProfileObjectTypes` `profile:ListProfileObjectTypeTemplates` `profile:ListRecommenders` `profile:ListSegmentDefinitions` `sqs:ListQueues` |
| Edit profil pelanggan | `app-integrations:CreateEventIntegration` `app-integrations:ListEventIntegrations` `appflow:CreateFlow` `appflow:CreateConnectorProfile` `appflow:DescribeFlow` `appflow:DeleteFlow` `appflow:DescribeConnectorEntity` `appflow:DescribeConnectorProfiles` `appflow:ListFlows` `appflow:ListConnectorEntities` `appflow:ListConnectorProfiles` `appflow:StartFlow` `cloudwatch:GetMetricData` `connect:DescribeInstance` `connect:ListInstances` `ds:DescribeDirectories` `events:CreateEventBus` `events:DescribeEventBus` `events:DescribeEventSource` `events:ListEventSources` `iam:CreateRole` `iam:CreatePolicy` `iam:AttachRolePolicy` `iam:ListRoles` `iam:PutRolePolicy` `kinesis:DescribeStreamSummary` `kinesis:ListStreams` `kms:CreateGrant` `kms:Decrypt` `kms:DescribeKey` `kms:GenerateDataKey` `kms:ListAliases` `kms:ListKeys` `kms:ListGrants` `profile:CreateCalculatedAttributeDefinition` `profile:CreateDomain` `profile:CreateDomainLayout` `profile:CreateEventStream` `profile:CreateIntegrationWorkflow` `profile:CreateSegmentDefinition` `profile:DeleteEventStream` `profile:DeleteIntegration` `profile:DeleteDomain` `profile:DeleteProfileObjectType` `profile:DetectProfileObjectType` `profile:GetCalculatedAttributeDefinition` `profile:GetDomain` `profile:GetEventStream` `profile:GetIdentityResolutionJob` `profile:GetIntegration` `profile:GetProfileObjectType` `profile:GetProfileObjectTypeTemplate` `profile:GetWorkflow` `profile:ListAccountIntegrations` `profile:ListCalculatedAttributeDefinitions` `profile:ListDomains` `profile:ListDomainLayouts` `profile:ListEventStreams` `profile:ListIdentityResolutionJobs` `profile:ListIntegrations` `profile:ListProfileObjectTypes` `profile:ListProfileObjectTypeTemplates` `profile:ListSegmentDefinitions` `profile:PutIntegration` `profile:PutProfileObjectType` `profile:TagResource` `profile:UntagResource` `profile:UpdateDomain` `s3:GetBucketLocation` `s3:GetBucketPolicy` `s3:GetObject` `s3:HeadBucket` `s3:ListAllMyBuckets` `s3:ListBucket` `s3:ListObjectsV2` `s3:PutBucketPolicy` `s3:SelectObjectContent` `sqs:ListQueues` |
## Halaman tugas
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat Integrasi Tugas | `app-integrations:GetEventIntegration` `connect:ListIntegrationAssociations` |
| Edit Integrasi Tugas | `app-integrations:CreateEventIntegration` `app-integrations:GetEventIntegration` `app-integrations:ListEventIntegrations` `app-integrations:DeleteEventIntegrationAssociation` `app-integrations:CreateEventIntegrationAssociation` `appflow:CreateFlow` `appflow:CreateConnectorProfile` `appflow:DescribeFlow` `appflow:DeleteFlow` `appflow:DeleteConnectorProfile` `appflow:DescribeConnectorEntity` `appflow:ListFlows` `appflow:ListConnectorEntities` `appflow:StartFlow` `connect:ListIntegrationAssociations` `connect:DeleteIntegrationAssociation` `connect:ListUseCases` `connect:DeleteUseCase` `events:ActivateEventSource` `events:CreateEventBus` `events:DescribeEventBus` `events:DescribeEventSource` `events:ListEventSources` `events:ListTargetsByRule` `events:PutRule` `events:PutTargets` `events:DeleteRule` `events:RemoveTargets` `kms:CreateGrant` `kms:DescribeKey` `kms:ListAliases` `kms:ListKeys` `kms:ListGrants` |
## Halaman email
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat domain dan alamat email | `ses:GetIdentityVerificationAttributes` `ses:DescribeReceiptRule` `ses:DescribeActiveReceiptRuleSet` `ses:GetEmailIdentity` `ses:DescribeReceiptRuleSet` `ses:GetConfigurationSetEventDestinations` `ses:GetConfigurationSet` |
| Edit domain dan alamat email | `ses:CreateReceiptRule` `ses:UpdateReceiptRule` `ses:SetActiveReceiptRuleSet` `ses:CreateReceiptRuleSet` `ses:CreateEmailIdentity` `ses:TagResource` `ses:UntagResource` `ses:DeleteReceiptRule` `ses:DeleteReceiptRuleSet` `ses:CloneReceiptRuleSet` `ses:CreateConfigurationSet` `ses:CreateConfigurationSetEventDestination` `ses:PutEmailIdentityConfigurationSetAttributes` `ses:CreateEmailIdentityPolicy` `ses:UpdateEmailIdentityPolicy` `ses:DeleteEmailIdentityPolicy` `iam:CreateServiceLinkedRole` `iam:PassRole` `iam:CreateRole` `iam:CreatePolicy` |
## Halaman kasus
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat detail domain Kasus | `connect:ListInstances` `ds:DescribeDirectories` `connect:ListIntegrationAssociations` `cases:GetDomain` |
| Onboard ke Kasus | `connect:ListInstances` `connect:ListIntegrationAssociations` `cases:GetDomain` `cases:CreateDomain` `connect:CreateIntegrationAssociation` `connect:DescribeInstance` `iam:PutRolePolicy` |
## Halaman otentikasi pelanggan
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat otentikasi pelanggan | `connect:ListIntegrationAssociations` `cognito-idp:ListUserPools` `cognito-idp:DescribeUserPool` |
| Onboard ke otentikasi pelanggan | `connect:CreateIntegrationAssociation` `connect:DeleteIntegrationAssociation` `connect:ListIntegrationAssociations` `cognito-idp:ListUserPools` `cognito-idp:DescribeUserPool` `cognito-idp:ListUserPoolClients` `cognito-idp:TagResource` `cognito-idp:CreateUserPool` |
## Halaman kampanye keluar
| Tindakan/Kasus penggunaan | Izin diperlukan |
| --- | --- |
| Lihat kampanye keluar | `connect:ListIntegrationAssociations` `connect:ListPhoneNumbersV2` `connect:SearchEmailAddresses` `connect:DescribeInstance` `connect:DescribeInstanceAttribute` `kms:DescribeKey` `kms:ListKeys` `profile:ListAccountIntegrations` `profile:ListIntegrations` `profile:ListDomains` `profile:GetDomain` `wisdom:ListKnowledgeBases` `wisdom:GetKnowledgeBase` `connect-campaigns:GetInstanceOnboardingJobStatus` `connect-campaigns:GetConnectInstanceConfig` `connect-campaigns:ListConnectInstanceIntegrations` |
| Buat kampanye keluar | `connect-campaigns:StartInstanceOnboardingJob` `connect-campaigns:DeleteInstanceOnboardingJob` `connect-campaigns:GetConnectInstanceConfig` `connect-campaigns:GetInstanceOnboardingJobStatus` `connect-campaigns:DeleteConnectInstanceConfig` `connect:DescribeInstance` `connect:DescribeInstanceAttribute` `connect:UpdateInstanceAttribute` `iam:CreateServiceLinkedRole` `iam:DeleteServiceLinkedRole` `iam:AttachRolePolicy` `iam:PutRolePolicy` `iam:DeleteRolePolicy` `events:PutRule` `events:PutTargets` `events:DeleteRule` `events:RemoveTargets` `events:DescribeRule` `events:ListTargetsByRule` `ds:DescribeDirectories` `kms:DescribeKey` `kms:ListKeys` `kms:CreateGrant` `kms:RetireGrant` `profile:CreateDomain` `profile:ListAccountIntegrations` `profile:ListIntegrations` `profile:PutIntegration` `profile:PutProfileObjectType` `connect:CreateIntegrationAssociation` `connect:ListIntegrationAssociations` `connect:UpdateInstanceAttribute` `connect:AssociateCustomerProfilesDomain` `connect-campaigns:ListConnectInstanceIntegrations` `connect-campaigns:PutConnectInstanceIntegration` `wisdom:CreateKnowledgeBase` `wisdom:ListKnowledgeBases` |
## Halaman Connect AI agent
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat domain dan integrasi | `wisdom:ListAssistantAssociations` `appflow:DescribeConnectorProfiles` `app-integrations:GetDataIntegration` `connect:DescribeInstance` `connect:DescribeInstanceAttribute` `connect:ListIntegrationAssociations` `kms:DescribeKey` `kms:ListGrants` `wisdom:GetAssistant` `wisdom:GetKnowledgeBase` `wisdom:ListAssistantAssociations` |
| Menambah atau menghapus domain | `connect:CreateIntegrationAssociation` `connect:DeleteIntegrationAssociation` `connect:ListIntegrationAssociations` `iam:DeleteRolePolicy` `iam:PutRolePolicy` `kms:CreateGrant` `kms:DescribeKey` `kms:ListAliases` `wisdom:CreateAssistant` `wisdom:DeleteAssistant` `wisdom:GetAssistant` `wisdom:ListAssistantAssociations` `wisdom:ListAssistants` `wisdom:TagResource` |
| Menambah atau menghapus integrasi | `wisdom:ListAssistantAssociations` `app-integrations:CreateDataIntegration` `app-integrations:CreateDataIntegrationAssociation` `app-integrations:DeleteDataIntegrationAssociation` `app-integrations:GetDataIntegration` `app-integrations:ListDataIntegrations` `appflow:CreateConnectorProfile` `appflow:CreateFlow` `appflow:DeleteFlow` `appflow:DescribeConnector` `appflow:DescribeConnectorEntity` `appflow:DescribeConnectorProfiles` `appflow:DescribeConnectors` `appflow:DescribeFlow` `appflow:ListConnectorEntities` `appflow:StartFlow` `appflow:StopFlow` `appflow:TagResource` `appflow:UseConnectorProfile` `connect:CreateIntegrationAssociation` `connect:DeleteIntegrationAssociation` `connect:ListIntegrationAssociations` `iam:DeleteRolePolicy` `iam:PutRolePolicy` `kms:CreateGrant` `kms:Decrypt` `kms:DescribeKey` `kms:GenerateDataKey` `kms:ListAliases` `kms:ListGrants` `secretsmanager:CreateSecret` `secretsmanager:PutResourcePolicy` `wisdom:CreateAssistantAssociation` `wisdom:CreateKnowledgeBase` `wisdom:DeleteAssistantAssociation` `wisdom:DeleteKnowledgeBase` `wisdom:GetAssistant` `wisdom:GetKnowledgeBase` `wisdom:ListAssistantAssociations` `wisdom:ListKnowledgeBases` `wisdom:TagResource` |
## Halaman ID Suara
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat integrasi ID Suara | `voiceid:DescribeDomain` `voiceid:ListDomains` `voiceid:RegisterComplianceConsent` `voiceid:DescribeComplianceConsent` `connect:ListIntegrationAssociations` |
| Edit integrasi ID Suara | `voiceid:DescribeDomain` `voiceid:ListDomains` `voiceid:RegisterComplianceConsent` `voiceid:DescribeComplianceConsent` `voiceid:UpdateDomain` `voiceid:CreateDomain` `connect:ListIntegrationAssociations` `connect:CreateIntegrationAssociation` `connect:DeleteIntegrationAssociation` `events:PutRule` `events:DeleteRule` `events:PutTargets` `events:RemoveTargets` `iam:PutRolePolicy` |
## Halaman peramalan, perencanaan kapasitas, dan penjadwalan
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Lihat peramalan, perencanaan kapasitas, dan penjadwalan | `connect:DescribeForecastingPlanningSchedulingIntegration` |
| Aktifkan peramalan, perencanaan kapasitas, dan penjadwalan | `connect:UpdateInstanceAttribute` `connect:StartForecastingPlanningSchedulingIntegration` |
| Nonaktifkan peramalan, perencanaan kapasitas, dan penjadwalan | `connect:UpdateInstanceAttribute` `connect:StopForecastingPlanningSchedulingIntegration` |
## Federasi
### Federasi SAFL
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Federasi SAFL | `connect:GetFederationToken` |
### Admin/Federasi Darurat
| Kasus tindakan/penggunaan | Izin diperlukan |
| --- | --- |
| Admin/Federasi Darurat | `connect:AdminGetEmergencyAccessToken` |
# Batasi AWS sumber daya yang dapat dikaitkan dengan Amazon Connect
Setiap instans Amazon Connect dikaitkan dengan [peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) IAM saat instance dibuat. Amazon Connect dapat berintegrasi dengan AWS layanan lain untuk kasus penggunaan seperti penyimpanan rekaman panggilan (Amazon S3 bucket), bot bahasa alami (bot Amazon Lex), dan streaming data (Amazon Kinesis Data Streams). Amazon Connect mengasumsikan peran terkait layanan untuk berinteraksi dengan layanan lain ini. Kebijakan ini pertama kali ditambahkan ke peran terkait layanan sebagai bagian dari terkait APIs pada layanan Amazon Connect (yang pada gilirannya dipanggil oleh konsol AWS admin). Misalnya, jika Anda ingin menggunakan bucket Amazon S3 tertentu dengan instans Amazon Connect, bucket harus diteruskan ke API. [ AssociateInstanceStorageConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_AssociateInstanceStorageConfig.html)
Untuk kumpulan tindakan IAM yang ditentukan oleh Amazon Connect, lihat [Tindakan yang ditentukan oleh Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html#amazonconnect-actions-as-permissions).
Berikut adalah beberapa contoh cara membatasi akses ke sumber daya lain yang mungkin terkait dengan instans Amazon Connect. Mereka harus diterapkan ke Pengguna atau Peran yang berinteraksi dengan Amazon Connect APIs atau konsol Amazon Connect.
**catatan**
Kebijakan dengan eksplisit `Deny` akan mengesampingkan `Allow` kebijakan dalam contoh-contoh ini.
Untuk informasi selengkapnya tentang sumber daya, kunci kondisi, dan dependen yang dapat APIs Anda gunakan untuk membatasi akses, lihat [Tindakan, sumber daya, dan kunci kondisi untuk Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html).
## Contoh 1: Batasi bucket Amazon S3 mana yang dapat dikaitkan dengan instans Amazon Connect
Contoh ini memungkinkan prinsipal IAM untuk mengaitkan bucket Amazon S3 untuk rekaman panggilan untuk ARN instans Amazon Connect yang diberikan, dan bucket Amazon S3 tertentu yang diberi nama. `my-connect-recording-bucket` `PutRolePolicy `Tindakan `AttachRolePolicy` dan dicakup ke peran terkait layanan Amazon Connect (wildcard digunakan dalam contoh ini, tetapi Anda dapat memberikan peran ARN untuk instance jika diperlukan).
**catatan**
Untuk menggunakan AWS KMS kunci untuk mengenkripsi rekaman di bucket ini, diperlukan kebijakan tambahan.
## Contoh 2: Batasi AWS Lambda fungsi mana yang dapat dikaitkan dengan instans Amazon Connect
AWS Lambda fungsi dikaitkan dengan instans Amazon Connect, tetapi peran terkait layanan Amazon Connect tidak digunakan untuk memanggilnya, sehingga tidak dimodifikasi. Sebagai gantinya, kebijakan ditambahkan ke fungsi melalui `lambda:AddPermission` API yang memungkinkan instance Amazon Connect yang diberikan untuk memanggil fungsi tersebut.
Untuk membatasi fungsi mana yang dapat dikaitkan dengan instans Amazon Connect, Anda menentukan ARN fungsi Lambda yang dapat digunakan pengguna untuk memanggil: `lambda:AddPermission`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"connect:AssociateLambdaFunction",
"lambda:AddPermission"
],
"Resource": [
"arn:aws:connect:us-east-1:111122223333:instance/instance-id",
"arn:aws:lambda:*:*:function:my-function"
]
}
]
}
```
------
## Contoh 3: Batasi Amazon Kinesis Data Streams mana yang dapat dikaitkan dengan instans Amazon Connect
Contoh ini mengikuti model yang mirip dengan contoh Amazon S3. Ini membatasi Kinesis Data Streams tertentu yang mungkin terkait dengan instans Amazon Connect tertentu untuk mengirimkan catatan kontak.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"connect:UpdateInstanceStorageConfig",
"connect:AssociateInstanceStorageConfig"
],
"Resource": "arn:aws:connect:us-east-1:111122223333:instance/instance-id",
"Condition": {
"StringEquals": {
"connect:StorageResourceType": "CONTACT_TRACE_RECORDS"
}
}
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"kinesis:DescribeStream",
"iam:PutRolePolicy"
],
"Resource": [
"arn:aws:iam::111122223333:role/aws-service-role/connect.amazonaws.com/*",
"arn:aws:kinesis:*:111122223333:stream/stream-name"
]
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": "kinesis:ListStreams",
"Resource": "*"
}
]
}
```
------
# Bagaimana Amazon Connect bekerja dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses ke Amazon Connect, Anda harus memahami fitur IAM apa yang tersedia untuk digunakan dengan Amazon Connect. Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja Amazon Connect dan AWS layanan lainnya dengan IAM, lihat [AWS Layanan yang Bekerja dengan IAM di Panduan Pengguna *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
**Topics**
+ [Kebijakan berbasis identitas Amazon Connect](#security_iam_service-with-iam-id-based-policies)
+ [Otorisasi berdasarkan tag Amazon Connect](#security_iam_service-with-iam-tags)
+ [Peran IAM Amazon Connect](#security_iam_service-with-iam-roles)
## Kebijakan berbasis identitas Amazon Connect
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Amazon Connect mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat [Referensi Elemen Kebijakan JSON IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
### Tindakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Tindakan kebijakan di Amazon Connect menggunakan awalan berikut sebelum tindakan:`connect:`. Pernyataan kebijakan harus memuat elemen `Action` atau `NotAction`. Amazon Connect mendefinisikan serangkaian tindakannya sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:
```
"Action": [
"connect:action1",
"connect:action2"
```
Anda dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata `Describe`, sertakan tindakan berikut:
```
"Action": "connect:Describe*"
```
Untuk melihat daftar tindakan, [Tindakan, Sumber Daya, dan Kunci Kondisi Amazon Connect untuk Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html).
### Sumber daya
Amazon Connect mendukung izin tingkat sumber daya (menentukan ARN sumber daya dalam kebijakan IAM). Berikut ini adalah daftar sumber daya Amazon Connect:
+ Instans
+ Kontak
+ Pengguna
+ Profil perutean
+ Profil keamanan
+ Kelompok hierarki
+ Antrean
+ File
+ Aliran
+ Jam operasi
+ Nomor telepon
+ Template tugas
+ Domain profil pelanggan
+ Jenis objek profil pelanggan
+ Kampanye keluar
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
Sumber daya instans Amazon Connect memiliki ARN berikut:
```
arn:${Partition}:connect:${Region}:${Account}:instance/${InstanceId}
```
Untuk informasi selengkapnya tentang format ARNs, lihat [Amazon Resource Names (ARNs) dan Ruang Nama AWS Layanan](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Misalnya, untuk menentukan instans `i-1234567890abcdef0` dalam pernyataan Anda, gunakan ARN berikut:
```
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/i-1234567890abcdef0"
```
Untuk menentukan semua instans milik akun tertentu, gunakan wildcard (\$1):
```
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/*"
```
Beberapa tindakan Amazon Connect, seperti tindakan untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (\$1).
```
"Resource": "*"
```
Banyak Amazon Connect; Tindakan API melibatkan banyak sumber daya. Misalnya,
Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma.
```
"Resource": [
"resource1",
"resource2"
```
Untuk melihat daftar jenis sumber daya Amazon Connect dan jenisnya ARNs, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html). Artikel yang sama menjelaskan dengan tindakan mana Anda dapat menentukan ARN dari setiap sumber daya.
### Kunci syarat
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
Amazon Connect mendefinisikan set kunci kondisinya sendiri dan juga mendukung penggunaan beberapa tombol kondisi global. Untuk melihat semua kunci kondisi AWS global, lihat [Kunci Konteks Kondisi AWS Global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
Semua tindakan Amazon EC2 men-support kunci syarat `aws:RequestedRegion` dan `ec2:Region`. Untuk informasi selengkapnya, lihat [Contoh: Membatasi Akses ke Wilayah Tertentu](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region).
Untuk melihat daftar kunci kondisi Amazon Connect, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html).
### Contoh
Untuk melihat contoh kebijakan berbasis identitas Amazon Connect, lihat. [Contoh kebijakan berbasis identitas Amazon Connect](security_iam_id-based-policy-examples.md)
## Otorisasi berdasarkan tag Amazon Connect
Anda dapat melampirkan tag ke sumber daya Amazon Connect atau meneruskan tag dalam permintaan ke Amazon Connect. Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `connect:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`.
Untuk melihat contoh kebijakan berbasis identitas untuk membatasi akses ke sumber daya berdasarkan tag pada sumber daya tersebut, lihat [Jelaskan dan perbarui pengguna Amazon Connect berdasarkan tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-widget-tags).
## Peran IAM Amazon Connect
[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) adalah entitas dalam AWS akun Anda yang memiliki izin tertentu.
### Menggunakan kredensil sementara dengan Amazon Connect
Anda dapat menggunakan kredensial sementara untuk masuk dengan gabungan, menjalankan IAM role, atau menjalankan peran lintas akun. Anda memperoleh kredensyal keamanan sementara dengan memanggil operasi AWS STS API seperti [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)atau. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)
Amazon Connect mendukung penggunaan kredensi sementara.
### Peran terkait layanan
[Peran terkait AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator IAM dapat melihat tetapi tidak dapat mengedit izin untuk peran terkait layanan.
Amazon Connect mendukung peran terkait layanan. Untuk detail tentang membuat atau mengelola peran terkait layanan Amazon Connect, lihat. [Menggunakan peran terkait layanan dan izin peran untuk Amazon Connect](connect-slr.md)
### Memilih peran IAM di Amazon Connect
Saat membuat sumber daya di Amazon Connect, Anda harus memilih peran untuk mengizinkan Amazon Connect mengakses Amazon EC2 atas nama Anda. Jika sebelumnya Anda telah membuat peran layanan atau peran terkait layanan, Amazon Connect memberi Anda daftar peran yang dapat dipilih. Penting untuk memilih peran yang memungkinkan akses untuk memulai dan menghentikan instans Amazon EC2.
# Contoh kebijakan berbasis identitas Amazon Connect
Secara default, entitas IAM tidak memiliki izin untuk membuat atau memodifikasi sumber daya Amazon Connect. Mereka juga tidak dapat melakukan tugas menggunakan Konsol Manajemen AWS, AWS CLI, atau AWS API. Administrator IAM harus membuat kebijakan IAM yang memberikan izin kepada entitas IAM untuk melakukan operasi API tertentu pada sumber daya tertentu yang mereka butuhkan. Administrator IAM kemudian harus melampirkan kebijakan tersebut ke entitas IAM yang memerlukan izin tersebut.
Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan di tab JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dalam *Panduan Pengguna IAM*.
**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Izinkan pengguna IAM untuk melihat izin mereka sendiri](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Berikan izin “Lihat Pengguna”](#security_iam_id-based-policy-example-view-user-permissions)
+ [Memungkinkan pengguna untuk berintegrasi dengan aplikasi eksternal](#security_iam_id-based-policy-examples-integrate)
+ [Jelaskan dan perbarui pengguna Amazon Connect berdasarkan tag](#security_iam_id-based-policy-examples-view-widget-tags)
+ [Buat pengguna Amazon Connect berdasarkan tag](#connect-access-control-resources-example1)
+ [Membuat dan melihat AppIntegrations sumber daya Amazon](#appintegration-resources-example1)
+ [Membuat dan melihat Connect AI agent Assistants](#wisdom-resources-example1)
+ [Mengelola sumber daya kampanye keluar](#outboundcommunications-policy-example1)
## Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya Amazon Connect di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin dengan hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
## Izinkan pengguna IAM untuk melihat izin mereka sendiri
Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Berikan izin “Lihat Pengguna”
Saat membuat pengguna atau [grup](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_iam-groups) di AWS akun, Anda dapat mengaitkan kebijakan IAM dengan grup atau pengguna tersebut, yang menentukan izin yang ingin Anda berikan.
Misalnya, bayangkan Anda memiliki sekelompok developer pemula. Anda dapat membuat grup IAM bernama`Junior application developers`, dan menyertakan semua pengembang entry-level. Kemudian, kaitkan kebijakan dengan grup yang memberi mereka izin untuk melihat pengguna Amazon Connect. Dalam skenario ini, Anda mungkin memiliki kebijakan seperti contoh berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"connect:DescribeUser",
"connect:ListUsers"
],
"Resource": "*"
}
]
}
```
------
Kebijakan sampel ini memberikan izin untuk tindakan API yang tercantum dalam elemen. `Action`
**catatan**
Jika Anda tidak menentukan ARN atau ID pengguna dalam pernyataan Anda, Anda juga harus memberikan izin untuk menggunakan semua sumber daya untuk tindakan menggunakan wildcard \$1 untuk elemen tersebut. `Resource`
## Memungkinkan pengguna untuk berintegrasi dengan aplikasi eksternal
Contoh ini menunjukkan cara membuat kebijakan yang memungkinkan pengguna berinteraksi dengan integrasi aplikasi eksternal mereka.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllAppIntegrationsActions",
"Effect": "Allow",
"Action": [
"app-integrations:ListEventIntegrations",
"app-integrations:CreateEventIntegration",
"app-integrations:GetEventIntegration",
"app-integrations:UpdateEventIntegration",
"app-integrations:DeleteEventIntegration",
"app-integrations:ListDataIntegrations",
"app-integrations:CreateDataIntegration",
"app-integrations:GetDataIntegration",
"app-integrations:UpdateDataIntegration",
"app-integrations:DeleteDataIntegration"
],
"Resource": "*"
}
]
}
```
------
## Jelaskan dan perbarui pengguna Amazon Connect berdasarkan tag
Dalam kebijakan IAM, Anda dapat secara opsional menentukan kondisi yang mengontrol kapan kebijakan diberlakukan. Misalnya, Anda dapat menentukan kebijakan yang memungkinkan pengguna hanya memperbarui pengguna Amazon Connect yang bekerja di lingkungan pengujian.
Anda dapat menentukan beberapa kondisi yang khusus untuk Amazon Connect, dan menentukan kondisi lain yang berlaku untuk semua kondisi AWS. Untuk informasi selengkapnya dan daftar kondisi AWS-wide, lihat Kondisi dalam [Referensi Elemen Kebijakan IAM JSON di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) Pengguna *IAM*.
Kebijakan contoh berikut memungkinkan tindakan “deskripsikan” dan “perbarui” untuk pengguna dengan tag tertentu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"connect:DescribeUser",
"connect:UpdateUser*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Test"
}
}
}
]
}
```
------
Kebijakan ini memungkinkan “deskripsikan pengguna” dan “perbarui pengguna” tetapi hanya untuk pengguna Amazon Connect yang diberi tag “Department: Test” di mana “Department” adalah kunci tag dan “Test” adalah nilai tag.
## Buat pengguna Amazon Connect berdasarkan tag
Kebijakan contoh berikut memungkinkan tindakan buat untuk pengguna dengan tag permintaan tertentu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"connect:CreateUser",
"connect:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Owner": "TeamA"
}
}
}
]
}
```
------
Kebijakan ini memungkinkan “buat pengguna” dan “sumber daya tag” tetapi tag “Pemilik: TeaMa” harus ada dalam permintaan.
## Membuat dan melihat AppIntegrations sumber daya Amazon
Kebijakan sampel berikut memungkinkan integrasi peristiwa dibuat, dicantumkan, dan diambil.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"app-integrations:CreateEventIntegration",
"app-integrations:GetEventIntegration",
"app-integrations:ListEventIntegrations"
],
"Resource": "*"
}
]
}
```
------
## Membuat dan melihat Connect AI agent Assistants
Kebijakan contoh berikut memungkinkan asisten agen Connect AI dibuat, dicantumkan, diambil, dan dihapus.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wisdom:CreateContent",
"wisdom:DeleteContent",
"wisdom:CreateKnowledgeBase",
"wisdom:GetAssistant",
"wisdom:GetKnowledgeBase",
"wisdom:GetContent",
"wisdom:GetRecommendations",
"wisdom:GetSession",
"wisdom:NotifyRecommendationsReceived",
"wisdom:QueryAssistant",
"wisdom:StartContentUpload",
"wisdom:UpdateContent",
"wisdom:UntagResource",
"wisdom:TagResource",
"wisdom:CreateSession"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonConnectEnabled": "True"
}
}
},
{
"Action": [
"wisdom:ListAssistants",
"wisdom:ListKnowledgeBases"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Mengelola sumber daya kampanye keluar
Izin orientasi: Kebijakan contoh berikut memungkinkan instans Amazon Connect untuk di-onboard ke kampanye keluar.
```
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": [
"arn:aws:kms:region:account-id:key/key-id"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"connect:DescribeInstance"
],
"Resource": [
"arn:aws:connect:region:account-id:instance/instance-id"
]
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": [
"events:PutTargets",
"events:PutRule",
"iam:CreateServiceLinkedRole",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"ds:DescribeDirectories",
"connect-campaigns:StartInstanceOnboardingJob",
"connect-campaigns:GetConnectInstanceConfig",
"connect-campaigns:GetInstanceOnboardingJobStatus",
"connect-campaigns:DeleteInstanceOnboardingJob",
"connect:DescribeInstanceAttribute",
"connect:UpdateInstanceAttribute",
"connect:ListInstances",
"kms:ListAliases"
],
"Resource": "*"
}
```
Untuk menonaktifkan kampanye keluar untuk sebuah instance, tambahkan izin berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:RetireGrant"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/KeyId"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"events:DeleteRule",
"events:RemoveTargets",
"events:DescribeRule",
"iam:DeleteRolePolicy",
"events:ListTargetsByRule",
"iam:DeleteServiceLinkedRole",
"connect-campaigns:DeleteConnectInstanceConfig"
],
"Resource": "*"
}
]
}
```
------
Izin manajemen: Kebijakan contoh berikut memungkinkan semua operasi baca dan tulis pada kampanye keluar.
```
{
"Sid": "AllowConnectCampaignsOperations",
"Effect": "Allow",
"Action": [
"connect-campaigns:CreateCampaign",
"connect-campaigns:DeleteCampaign",
"connect-campaigns:DescribeCampaign",
"connect-campaigns:UpdateCampaignName",
"connect-campaigns:GetCampaignState"
"connect-campaigns:UpdateOutboundCallConfig",
"connect-campaigns:UpdateDialerConfig",
"connect-campaigns:PauseCampaign",
"connect-campaigns:ResumeCampaign",
"connect-campaigns:StopCampaign",
"connect-campaigns:GetCampaignStateBatch",
"connect-campaigns:ListCampaigns"
],
"Resource": "*"
}
```
ReadOnly izin: Kebijakan contoh berikut memungkinkan akses hanya-baca ke kampanye.
```
{
"Sid": "AllowConnectCampaignsReadOnlyOperations",
"Effect": "Allow",
"Action": [
"connect-campaigns:DescribeCampaign",
"connect-campaigns:GetCampaignState",
"connect-campaigns:GetCampaignStateBatch",
"connect-campaigns:ListCampaigns"
],
"Resource": "*",
}
```
Izin berbasis tag: Kebijakan contoh berikut membatasi akses ke kampanye yang terintegrasi dengan instans Amazon Connect tertentu menggunakan tag. Lebih banyak izin dapat ditambahkan berdasarkan kasus penggunaan.
```
{
"Sid": "AllowConnectCampaignsOperations",
"Effect": "Allow",
"Action": [
"connect-campaigns:DescribeCampaign",
"connect-campaigns:GetCampaignState"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/owner": "arn:aws:connect:region:customer_account_id:instance/connect_instance_id"
}
}
}
```
**catatan**
`connect-campaigns:ListCampaigns`dan `connect-campaigns:GetCampaignStateBatch` operasi tidak dapat dibatasi oleh Tag.
# Contoh kebijakan tingkat sumber daya Amazon Connect
Amazon Connect mendukung izin tingkat sumber daya untuk pengguna, sehingga Anda dapat menentukan tindakan untuk instans, seperti yang ditunjukkan dalam kebijakan berikut.
**Topics**
+ [Tolak semua tindakan pada instans Amazon Connect](#connect-access-control-resources-example-all)
+ [Tolak tindakan “hapus” dan “perbarui”](#connect-access-control-resources-example2)
+ [Izinkan tindakan untuk integrasi dengan nama tertentu](#connect-access-control-resources-integration-example)
+ [Izinkan “buat pengguna” tetapi tolak jika Anda ditugaskan ke profil keamanan tertentu](#connect-access-control-resources-example3)
+ [Izinkan tindakan perekaman pada kontak](#connect-access-control-resources-example4)
+ [Izinkan atau Tolak tindakan API antrian untuk nomor telepon di Wilayah replika](#allow-deny-queue-actions-replica-region)
+ [Lihat AppIntegrations sumber daya Amazon tertentu](#view-specific-appintegrations-resources)
+ [Berikan akses ke Profil Pelanggan Amazon Connect](#grant-access-to-customer-profiles)
+ [Berikan akses read-only ke data Profil Pelanggan](#grant-read-only-access-to-customer-profiles)
+ [Agen Query Connect AI hanya untuk Asisten tertentu](#query-wisdom-assistant)
+ [Berikan akses penuh ke Amazon Connect Voice ID](#grant-read-only-access-to-voiceid)
+ [Berikan akses ke sumber daya kampanye keluar Amazon Connect](#grant-read-only-access-to-outboundcommunications)
+ [Batasi kemampuan untuk mencari transkrip yang dianalisis oleh Amazon Connect Contact Lens](#restrict-ability-to-search-transcripts-contact-lens)
## Tolak semua tindakan pada instans Amazon Connect
Instans Amazon Connect adalah sumber daya tingkat atas dalam Amazon Connect. Semua sub-sumber daya lainnya dibuat dalam ruang lingkupnya. Untuk menolak semua tindakan pada semua sumber daya dalam instans Amazon Connect, Anda dapat menggunakan salah satu metode berikut:
+ Gunakan tombol `connect:instanceId` konteks.
+ Gunakan Instance ARN diikuti oleh wildcard (\$1).
Kebijakan contoh berikut menyangkal semua tindakan connect untuk instance dengan InstanceId 00fbeee1-123e-111e-93e3-11111bfbfcc1.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "connect:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"connect:instanceId": "00fbeee1-123e-111e-93e3-11111bfbfcc1"
}
}
}
]
}
```
------
Atau, Anda dapat menolak semua tindakan dengan menentukan ARN Instance diikuti dengan wildcard (\$1). Kebijakan contoh berikut menyangkal semua tindakan connect untuk instance dengan ARN `arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1` instance.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"connect:*"
],
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1*"
}
]
}
```
------
## Tolak tindakan “hapus” dan “perbarui”
Kebijakan contoh berikut ini menyangkal tindakan “hapus” dan “perbarui” untuk pengguna dalam satu instance Amazon Connect. Ini menggunakan kartu liar di akhir ARN pengguna Amazon Connect sehingga “hapus pengguna” dan “perbarui pengguna” ditolak pada ARN pengguna penuh (yaitu, semua pengguna Amazon Connect dalam contoh yang disediakan, seperti arn:aws:connect:us-east- 1:123456789012: instance/00fbeee1-123e-111e-93e3-111111bfbfcc1/agen/00dtcddd1-123e-111e-93e3-111bfcc1 arn:aws:east-1:123456789012:instance/00fbeee1-123e-111e-93e3-111bfcc1/agent/00dtcdd1-123e3-111bfbfcc1).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"connect:DeleteUser",
"connect:UpdateUser*"
],
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/*"
}
]
}
```
------
## Izinkan tindakan untuk integrasi dengan nama tertentu
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllAppIntegrationsActions",
"Effect": "Allow",
"Action": [
"app-integrations:ListEventIntegrations",
"app-integrations:CreateEventIntegration",
"app-integrations:GetEventIntegration",
"app-integrations:UpdateEventIntegration",
"app-integrations:DeleteEventIntegration"
],
"Resource":"arn:aws:app-integrations:*:*:event-integration/MyNamePrefix-*"
}
]
}
```
------
## Izinkan “buat pengguna” tetapi tolak jika Anda ditugaskan ke profil keamanan tertentu
Kebijakan contoh berikut memungkinkan “buat pengguna” tetapi secara eksplisit menyangkal menggunakan arn:aws:connect:us-west- 2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17 sebagai parameter untuk keamanan profil dalam permintaan. [CreateUser](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateUser.html#API_CreateUser_RequestBody)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"connect:CreateUser"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"connect:CreateUser"
],
"Resource": "arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc17/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17"
}
]
}
```
------
## Izinkan tindakan perekaman pada kontak
Kebijakan sampel berikut memungkinkan “mulai perekaman kontak” pada kontak dalam contoh tertentu. Karena Contactid bersifat dinamis, \$1 digunakan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"connect:StartContactRecording"
],
"Resource": "arn:aws:connect:us-west-2:111122223333:instance/instanceId/contact/*",
"Effect": "Allow"
}
]
}
```
------
Siapkan hubungan tepercaya dengan *AccountID*.
Tindakan berikut didefinisikan untuk perekaman APIs:
+ “sambungkan:StartContactRecording”
+ “sambungkan:StopContactRecording”
+ “sambungkan:SuspendContactRecording”
+ “sambungkan:ResumeContactRecording”
### Izinkan lebih banyak tindakan kontak dalam peran yang sama
Jika peran yang sama digunakan untuk memanggil kontak lain APIs, Anda dapat mencantumkan tindakan kontak berikut:
+ GetContactAttributes
+ ListContactFlows
+ StartChatContact
+ StartOutboundVoiceContact
+ StopContact
+ UpdateContactAttributes
Atau gunakan wildcard untuk mengizinkan semua tindakan kontak, misalnya: “connect: \$1”
### Izinkan lebih banyak sumber daya
Anda juga dapat menggunakan wildcard untuk memungkinkan lebih banyak sumber daya. Misalnya, berikut cara mengizinkan semua tindakan menghubungkan pada semua sumber daya kontak:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"connect:*"
],
"Resource": "arn:aws:connect:us-west-2:111122223333:instance/*/contact/*",
"Effect": "Allow"
}
]
}
```
------
## Izinkan atau Tolak tindakan API antrian untuk nomor telepon di Wilayah replika
[CreateQueue](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateQueue.html)Dan [UpdateQueueOutboundCallerConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateQueueOutboundCallerConfig.html) APIs berisi kolom input bernama`OutboundCallerIdNumberId`. Bidang ini mewakili sumber daya nomor telepon yang dapat diklaim ke grup distribusi lalu lintas. [Ini mendukung format ARN nomor telepon V1 yang dikembalikan [ListPhoneNumbers](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListPhoneNumbers.html)oleh dan format V2 ARN yang dikembalikan oleh V2. ListPhoneNumbers](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListPhoneNumbersV2.html)
Berikut ini adalah format `OutboundCallerIdNumberId` ARN V1 dan V2 yang mendukung:
+ **Format V1 ARN**: `arn:aws:connect:your-region:your-account_id:instance/instance_id/phone-number/resource_id`
+ **Format V2 ARN**: `arn:aws:connect:your-region:your-account_id:phone-number/resource_id`
**catatan**
Kami merekomendasikan menggunakan format V2 ARN. Format V1 ARN akan usang di masa mendatang.
### Menyediakan kedua format ARN untuk sumber daya nomor telepon di Wilayah replika
Jika nomor telepon diklaim ke grup distribusi lalu lintas, untuk allow/deny mengakses dengan benar ke tindakan API antrian untuk sumber daya nomor telepon saat beroperasi di Wilayah replika, **Anda harus menyediakan sumber daya nomor telepon dalam format ARN V1 dan V2**. Jika Anda memberikan sumber daya nomor telepon hanya dalam satu format ARN, itu tidak menghasilkan allow/deny perilaku yang benar saat beroperasi di Wilayah replika.
### Contoh 1: Tolak akses ke CreateQueue
Misalnya, Anda beroperasi di replika Region us-west-2 dengan akun dan instance. ` 123456789012` `aaaaaaaa-bbbb-cccc-dddd-0123456789012` Anda ingin menolak akses ke [CreateQueue](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateQueue.html)API jika `OutboundCallerIdNumberId` nilainya adalah nomor telepon yang diklaim ke grup distribusi lalu lintas dengan ID sumber daya`aaaaaaaa-eeee-ffff-gggg-0123456789012`. Dalam skenario ini Anda harus menggunakan kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyCreateQueueForSpecificNumber",
"Effect": "Deny",
"Action": "connect:CreateQueue",
"Resource": [
"arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
"arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
]
}
]
}
```
------
Dimana us-west-2 adalah Wilayah tempat permintaan dibuat.
### Contoh 2: Hanya izinkan akses ke UpdateQueueOutboundCallerConfig
Misalnya, Anda beroperasi di replika Region us-west-2 dengan akun dan instance. `123456789012` `aaaaaaaa-bbbb-cccc-dddd-0123456789012` Anda hanya ingin mengizinkan akses ke [UpdateQueueOutboundCallerConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateQueueOutboundCallerConfig.html)API jika `OutboundCallerIdNumberId` nilainya adalah nomor telepon yang diklaim ke grup distribusi lalu lintas dengan ID sumber daya`aaaaaaaa-eeee-ffff-gggg-0123456789012`. Dalam skenario ini Anda harus menggunakan kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OnlyAllowUpdateQueueOutboundCallerConfigForSpecificNumber",
"Effect": "Allow",
"Action": "connect:UpdateQueueOutboundCallerConfig",
"Resource": [
"arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
"arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
]
}
]
}
```
------
## Lihat AppIntegrations sumber daya Amazon tertentu
Kebijakan sampel berikut memungkinkan integrasi peristiwa tertentu untuk diambil.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"app-integrations:GetEventIntegration"
],
"Resource": "arn:aws:app-integrations:us-west-2:111122223333:event-integration/Name"
}
]
}
```
------
## Berikan akses ke Profil Pelanggan Amazon Connect
Profil Pelanggan Amazon Connect digunakan `profile` sebagai awalan untuk tindakan, bukan. `connect` Kebijakan berikut memberikan akses penuh ke domain tertentu di Profil Pelanggan Amazon Connect.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"profile:*"
],
"Resource": "arn:aws:profile:us-west-2:111122223333:domains/domainName",
"Effect": "Allow"
}
]
}
```
------
Siapkan hubungan tepercaya dengan AccountID ke domain domainName.
## Berikan akses read-only ke data Profil Pelanggan
Berikut ini adalah contoh untuk memberikan akses baca ke data di Amazon Connect Customer Profiles.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"profile:SearchProfiles"
],
"Resource": "arn:aws:profile:us-east-1:111122223333:domains/domainName",
"Effect": "Allow"
}
]
}
```
------
## Agen Query Connect AI hanya untuk Asisten tertentu
Kebijakan contoh berikut memungkinkan kueri hanya Asisten tertentu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wisdom:QueryAssistant"
],
"Resource": "arn:aws:wisdom:us-east-1:111122223333:assistant/assistantID"
}
]
}
```
------
## Berikan akses penuh ke Amazon Connect Voice ID
Amazon Connect Voice ID digunakan `voiceid` sebagai awalan untuk tindakan, bukan menghubungkan. Kebijakan berikut memberikan akses penuh ke domain tertentu di ID Suara Amazon Connect:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"voiceid:*"
],
"Resource": "arn:aws:voiceid:us-west-2:111122223333:domain/domainName",
"Effect": "Allow"
}
]
}
```
------
Siapkan hubungan tepercaya dengan AccountID ke domain domainName.
## Berikan akses ke sumber daya kampanye keluar Amazon Connect
Kampanye keluar digunakan `connect-campaign` sebagai awalan untuk tindakan, bukan. `connect` Kebijakan berikut memberikan akses penuh ke kampanye keluar tertentu.
```
{
"Sid": "AllowConnectCampaignsOperations",
"Effect": "Allow",
"Action": [
"connect-campaigns:DeleteCampaign",
"connect-campaigns:DescribeCampaign",
"connect-campaigns:UpdateCampaignName",
"connect-campaigns:GetCampaignState"
"connect-campaigns:UpdateOutboundCallConfig",
"connect-campaigns:UpdateDialerConfig",
"connect-campaigns:PauseCampaign",
"connect-campaigns:ResumeCampaign",
"connect-campaigns:StopCampaign"
],
"Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId",
}
```
## Batasi kemampuan untuk mencari transkrip yang dianalisis oleh Amazon Connect Contact Lens
Kebijakan berikut memungkinkan pencarian dan deskripsikan kontak, tetapi menyangkal mencari kontak menggunakan transkrip yang dianalisis oleh. Amazon Connect Contact Lens
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"connect:DescribeContact"
],
"Resource": "arn:aws:connect:us-east-1:111122223333:instance/instance-id/contact/*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"connect:SearchContacts"
],
"Resource": "arn:aws:connect:us-east-1:111122223333:instance/instance-id"
},
{
"Sid": "VisualEditor2",
"Effect": "Deny",
"Action": [
"connect:SearchContacts"
],
"Resource": "arn:aws:connect:us-east-1:111122223333:instance/instance-id",
"Condition": {
"ForAnyValue:StringEquals": {
"connect:SearchContactsByContactAnalysis": [
"Transcript"
]
}
}
}
]
}
```
------
# AWS kebijakan terkelola untuk Amazon Connect
Untuk menambahkan izin ke pengguna, grup, dan peran, lebih efisien menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk [membuat kebijakan terkelola pelanggan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di AWS akun Anda. Untuk informasi lebih lanjut tentang kebijakan yang dikelola AWS , lihat [kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html) di *Panduan Pengguna IAM*.
AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan AWS terkelola untuk mendukung fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan AWS terkelola saat fitur baru diluncurkan atau saat operasi baru tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.
Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan ReadOnlyAccess AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat [kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) di *Panduan Pengguna IAM*.
## AWS kebijakan terkelola: AmazonConnect \$1 FullAccess
Untuk mengizinkan read/write akses penuh ke Amazon Connect, Anda harus melampirkan dua kebijakan ke pengguna, grup, atau peran IAM Anda. Lampirkan `AmazonConnect_FullAccess` kebijakan dan kebijakan khusus untuk memiliki akses penuh Amazon Connect.
Untuk melihat izin `AmazonConnect_FullAccess` kebijakan, lihat [AmazonConnect\$1 FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonConnect_FullAccess.html) di *Referensi Kebijakan Terkelola AWS*.
**Kebijakan Kustom**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AttachAnyPolicyToAmazonConnectRole",
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/connect.amazonaws.com/AWSServiceRoleForAmazonConnect*"
}
]
}
```
------
Untuk memungkinkan pengguna membuat instance, pastikan bahwa mereka memiliki izin yang diberikan oleh `AmazonConnect_FullAccess` kebijakan.
Saat Anda menggunakan `AmazonConnect_FullAccess` kebijakan, perhatikan hal berikut:
+ Kebijakan kustom yang berisi `iam:PutRolePolicy` tindakan, memungkinkan pengguna dengan kebijakan ini yang ditetapkan untuk mengonfigurasi sumber daya apa pun di akun agar berfungsi dengan instans Amazon Connect. Karena tindakan tambahan ini memberikan izin luas seperti itu, tetapkan hanya jika diperlukan. Sebagai alternatif, Anda dapat membuat peran terkait layanan dengan akses ke sumber daya yang diperlukan dan membiarkan pengguna memiliki akses untuk meneruskan peran terkait layanan ke Amazon Connect (yang diberikan oleh kebijakan). `AmazonConnect_FullAccess`
+ Hak istimewa tambahan diperlukan untuk membuat bucket Amazon S3 dengan nama pilihan Anda, atau menggunakan bucket yang ada saat membuat atau memperbarui instance dari Amazon Connect situs web admin. Jika Anda memilih lokasi penyimpanan default untuk rekaman panggilan, transkrip obrolan, transkrip panggilan, dan data lainnya, sistem akan menambahkan “amazon-connect-” ke nama objek tersebut.
+ Kunci aws/connect KMS tersedia untuk digunakan sebagai opsi enkripsi default. Untuk menggunakan kunci enkripsi khusus, tetapkan hak istimewa KMS tambahan kepada pengguna.
+ Tetapkan hak istimewa tambahan kepada pengguna untuk melampirkan AWS sumber daya lain seperti Amazon Polly, Streaming Media Langsung, Streaming Data, dan bot Lex ke instans Amazon Connect mereka.
Untuk informasi selengkapnya dan izin terperinci, lihat[Izin yang diperlukan untuk menggunakan kebijakan IAM khusus untuk mengelola akses ke konsol Amazon Connect](security-iam-amazon-connect-permissions.md).
## AWS kebijakan terkelola: AmazonConnectReadOnlyAccess
Untuk mengizinkan akses hanya-baca, Anda dapat melampirkan kebijakan. `AmazonConnectReadOnlyAccess`
Untuk melihat izin kebijakan ini, lihat [AmazonConnectReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonConnectReadOnlyAccess.html)di *Referensi Kebijakan Terkelola AWS*.
## AWS kebijakan terkelola: AmazonConnectServiceLinkedRolePolicy
Kebijakan ini dilampirkan ke peran terkait layanan yang diberi nama `AWSServiceRoleForAmazonConnect` Amazon Connect untuk memungkinkan melakukan berbagai tindakan pada sumber daya tertentu. Saat Anda mengaktifkan fitur tambahan Amazon Connect, izin tambahan ditambahkan untuk peran [AWSServiceRoleForAmazonConnect](https://docs.aws.amazon.com/connect/latest/adminguide/connect-slr.html#slr-permissions)terkait layanan untuk mengakses sumber daya yang terkait dengan fitur tersebut.
Untuk melihat izin kebijakan ini, lihat [AmazonConnectServiceLinkedRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonConnectServiceLinkedRolePolicy.html)di *Referensi Kebijakan Terkelola AWS*.
## AWS kebijakan terkelola: AmazonConnectCampaignsServiceLinkedRolePolicy
Kebijakan izin `AmazonConnectCampaignsServiceLinkedRolePolicy` peran memungkinkan kampanye Amazon Connect keluar untuk melakukan berbagai tindakan pada sumber daya tertentu. Saat Anda mengaktifkan fitur tambahan Amazon Connect, izin tambahan ditambahkan untuk peran [AWSServiceRoleForConnectCampaigns](https://docs.aws.amazon.com/connect/latest/adminguide/connect-slr-outbound.html#slr-permissions-outbound)terkait layanan untuk mengakses sumber daya yang terkait dengan fitur tersebut.
Untuk melihat izin kebijakan ini, lihat [AmazonConnectCampaignsServiceLinkedRolePolicy ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonConnectCampaignsServiceLinkedRolePolicy.html)di *Referensi Kebijakan Terkelola AWS*.
## AWS kebijakan terkelola: AmazonConnectVoice IDFull Akses
Untuk mengizinkan akses penuh ke ID Suara Amazon Connect, Anda harus melampirkan dua kebijakan ke pengguna, grup, atau peran Anda. Lampirkan `AmazonConnectVoiceIDFullAccess` kebijakan dan kebijakan khusus untuk mengakses ID Suara melalui situs web Amazon Connect admin.
Untuk melihat izin `AmazonConnectVoiceIDFullAccess` kebijakan, lihat [AmazonConnectVoiceIDFullAkses](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonConnectVoiceIDFullAccess.html) di *Referensi Kebijakan Terkelola AWS*.
**Kebijakan kustom**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AttachAnyPolicyToAmazonConnectRole",
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/connect.amazonaws.com/AWSServiceRoleForAmazonConnect*"
},
{
"Effect": "Allow",
"Action": [
"connect:CreateIntegrationAssociation",
"connect:DeleteIntegrationAssociation",
"connect:ListIntegrationAssociations"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"events:DeleteRule",
"events:PutRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"events:ManagedBy": "connect.amazonaws.com"
}
}
}
]
}
```
------
Kebijakan kustom mengonfigurasi hal-hal berikut:
+ `iam:PutRolePolicy`Ini memungkinkan pengguna yang mendapatkan kebijakan tersebut untuk mengonfigurasi sumber daya apa pun di akun agar berfungsi dengan instans Amazon Connect. Karena cakupannya yang luas, berikan izin ini hanya jika benar-benar diperlukan.
+ Melampirkan domain ID Suara ke Amazon Connect instans memerlukan EventBridge izin tambahan Amazon Connect dan Amazon. Anda memerlukan izin untuk memanggil Amazon Connect APIs untuk membuat, menghapus, dan mencantumkan asosiasi integrasi. Selain itu, EventBridge izin diperlukan untuk membuat dan menghapus aturan yang menyediakan catatan kontak yang terkait dengan ID Suara.
ID Suara Amazon Connect tidak memiliki opsi enkripsi default, jadi Anda harus mengizinkan operasi API berikut dalam kebijakan kunci untuk menggunakan kunci yang dikelola pelanggan. Selain itu, Anda perlu memberikan izin ini pada kunci yang relevan, karena tidak termasuk dalam kebijakan terkelola.
+ `kms:Decrypt`- untuk mengakses atau menyimpan data terenkripsi.
+ `kms:CreateGrant`— saat membuat atau memperbarui domain, digunakan untuk membuat hibah ke kunci yang dikelola pelanggan untuk domain ID Suara. Pemberian mengontrol akses ke kunci KMS tertentu yang memungkinkan akses untuk [memberikan operasi](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) yang diperlukan ID Suara Amazon Connect. Untuk informasi selengkapnya tentang penggunaan hibah, lihat [Menggunakan hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) di Panduan *Pengembang Layanan Manajemen AWS Kunci*.
+ `kms:DescribeKey`— saat membuat atau memperbarui domain, memungkinkan menentukan ARN untuk kunci KMS yang Anda berikan.
Untuk selengkapnya tentang membuat domain dan kunci KMS, lihat [Mulai mengaktifkan ID Suara di Amazon Connect](enable-voiceid.md) dan. [Enkripsi saat istirahat di Amazon Connect](encryption-at-rest.md)
## AWS kebijakan terkelola: CustomerProfilesServiceLinkedRolePolicy
Kebijakan izin `CustomerProfilesServiceLinkedRolePolicy` peran memungkinkan Amazon Connect untuk melakukan berbagai tindakan pada sumber daya tertentu. Saat Anda mengaktifkan fitur tambahan di Amazon Connect, izin tambahan ditambahkan untuk peran [AWSServiceRoleForProfile](customerprofiles-slr.md#slr-permissions-customerprofiles)terkait layanan untuk mengakses sumber daya yang terkait dengan fitur tersebut.
Untuk melihat izin kebijakan ini, lihat [CustomerProfilesServiceLinkedRolePolicy ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CustomerProfilesServiceLinkedRolePolicy.html)di *Referensi Kebijakan Terkelola AWS*.
## AWS kebijakan terkelola: AmazonConnectSynchronizationServiceRolePolicy
Kebijakan `AmazonConnectSynchronizationServiceRolePolicy` izin memungkinkan Sinkronisasi Amazon Connect Terkelola untuk melakukan berbagai tindakan pada sumber daya tertentu. Karena sinkronisasi sumber daya diaktifkan untuk lebih banyak sumber daya, izin tambahan ditambahkan ke peran [AWSServiceRoleForAmazonConnectSynchronization](managed-synchronization-slr.md#slr-permissions-managed-synchronization)terkait layanan untuk mengakses sumber daya ini.
Untuk melihat izin kebijakan ini, lihat [AmazonConnectSynchronizationServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonConnectSynchronizationServiceRolePolicy.html)di *Referensi Kebijakan Terkelola AWS*.
## Amazon Connect memperbarui kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon Connect sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan ke umpan RSS pada halaman [Riwayat Dokumen Amazon Connect](doc-history.md).
| Perubahan | Deskripsi | Date |
| --- | --- | --- |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Tindakan yang ditambahkan untuk agen Connect AI | Menambahkan tindakan Connect AI agent berikut ke kebijakan peran terkait layanan: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | November 18, 2025 |
| [AmazonConnectSynchronizationServiceRolePolicy](#amazonconnectsynchronizationservicerolepolicy)— Tindakan yang ditambahkan untuk Sinkronisasi Terkelola | Memodifikasi tindakan yang diizinkan dengan menambahkan wildcard batch dan impor. Tindakan berikut ditambahkan: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | November 21, 2025 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Tindakan yang ditambahkan untuk AWS End User Messaging Social | Menambahkan AWS End User Messaging Tindakan sosial untuk memungkinkan daftar akun WhatsApp bisnis dan pengambilan templat WhatsApp pesan akun bisnis. Tindakan berikut ditambahkan: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) Templat Sosial Pesan Pengguna Akhir AWS APIs dibatasi untuk akun WhatsApp bisnis yang diberi tag`AmazonConnectEnabled : True`. | Oktober 20, 2025 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Tindakan yang ditambahkan untuk Profil Pelanggan Amazon Connect | Menambahkan tindakan Profil Pelanggan Amazon Connect berikut ke kebijakan peran terkait layanan di bawah Sid. **AllowCustomerProfilesForConnectDomain** Selain itu, menambahkan dukungan untuk profil UploadJobs di semua sumber daya amazon-connect-\$1, dan bukan hanya sumber daya “upload-jobs”: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | Juli 25, 2025 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Menambahkan tindakan untuk Amazon Polly | Menambahkan tindakan Amazon Polly berikut ke kebijakan peran terkait layanan: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | Juli 9, 2025 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Tindakan yang ditambahkan untuk Profil Pelanggan Amazon Connect | Menambahkan tindakan Profil Pelanggan Amazon Connect berikut ke kebijakan peran terkait layanan: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | Juni 30, 2025 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Tindakan yang ditambahkan untuk Profil Pelanggan Amazon Connect | Menambahkan tindakan Profil Pelanggan berikut ke kebijakan peran terkait layanan: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | Juni 9, 2025 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Tindakan yang ditambahkan untuk agen Connect AI, untuk mendukung pengiriman pesan | Menambahkan tindakan Connect AI agent berikut ke kebijakan peran terkait layanan untuk mendukung pesan. Tindakan ini memungkinkan Amazon Connect mengirim, membuat daftar, dan mendapatkan pesan berikutnya dengan menggunakan Connect AI agent API: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | 14 Maret 2025 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Tindakan yang ditambahkan untuk agen Connect AI | Menambahkan tindakan Connect AI agent berikut ke kebijakan peran terkait layanan: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | Desember 31, 2024 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Menambahkan tindakan untuk Amazon Pinpoint, untuk mendukung pemberitahuan push | Menambahkan tindakan Amazon Pinpoint berikut ke kebijakan peran terkait layanan untuk mendukung pemberitahuan push. Tindakan ini memungkinkan Amazon Connect mengirim pemberitahuan push dengan menggunakan Amazon Pinpoint API: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | Desember 10, 2024 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Ditambahkan tindakan untuk integrasi dengan AWS End User Messaging Sosial | Menambahkan tindakan Sosial Pesan Pengguna AWS Akhir berikut ke kebijakan peran terkait layanan. Tindakan tersebut memungkinkan Amazon Connect untuk memanggilnya APIs di nomor telepon Sosial Pesan Pengguna Akhir yang memiliki tag `'AmazonConnectEnabled':'True'` sumber daya. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | Desember 2, 2024 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Menambahkan tindakan untuk Amazon SES, untuk mendukung saluran email | Menambahkan tindakan Amazon SES berikut ke kebijakan peran terkait layanan untuk mendukung saluran email. Tindakan ini memungkinkan Amazon Connect mengirim, menerima, dan mengelola email dengan menggunakan Amazon SES APIs: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | November 22, 2024 |
| [AmazonConnectServiceLinkedRolePolicy](#amazonconnectservicelinkedrolepolicy)— Tindakan Ditambahkan untuk Profil Pelanggan Amazon Connect | Menambahkan tindakan berikut untuk mengelola sumber daya Amazon Connect Customer Profiles: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | November 18, 2024 |
| [CustomerProfilesServiceLinkedRolePolicy](#customerprofilesservicelinkedrolepolicy)— Menambahkan izin untuk mengelola kampanye keluar | Menambahkan tindakan berikut untuk mengambil informasi profil dan memicu kampanye. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | Desember 1, 2024 |
| [AmazonConnectServiceLinkedRolePolicy](#amazonconnectservicelinkedrolepolicy)— Menambahkan Tindakan untuk Profil Pelanggan Amazon Connect dan agen Connect AI | Menambahkan tindakan berikut untuk mengelola sumber daya Amazon Connect Customer Profiles: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) Menambahkan tindakan berikut untuk mengelola sumber daya Connect AI agent: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | November 18, 2024 |
| [AmazonConnectCampaignsServiceLinkedRolePolicy](#amazonconnectcampaignsservicelinkedrolepolicy)— Menambahkan Tindakan untuk Profil Pelanggan Amazon Connect dan agen Connect AI | Menambahkan tindakan berikut untuk mengelola Amazon Connect sumber daya: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) Menambahkan tindakan berikut untuk mengelola EventBridge sumber daya: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) Menambahkan tindakan berikut untuk mengelola sumber daya Connect AI agent: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | November 18, 2024 |
| [AmazonConnectSynchronizationServiceRolePolicy](#amazonconnectsynchronizationservicerolepolicy)— Mengkonsolidasikan tindakan yang diizinkan dan menambahkan daftar penolakan tindakan untuk Sinkronisasi Terkelola | Memodifikasi tindakan yang diizinkan dengan menggunakan wildcard dan menambahkan daftar tindakan penolakan eksplisit. | November 12, 2024 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)- Tindakan yang ditambahkan untuk Konektor Suara Amazon Chime SDK | Menambahkan tindakan Amazon Chime SDK Voice Connector berikut ke kebijakan peran terkait layanan. Tindakan ini memungkinkan Amazon Connect mendapatkan informasi Amazon Chime Voice Connector dengan menggunakan get dan list Amazon Chime SDK Voice Connector: APIs [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | Oktober 25, 2024 |
| [AmazonConnectSynchronizationServiceRolePolicy](#amazonconnectsynchronizationservicerolepolicy)- Ditambahkan untuk Sinkronisasi Terkelola | Menambahkan tindakan berikut ke kebijakan terkelola peran terkait layanan untuk mendukung peluncuran atribut. `HoursOfOperationOverride` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | September 25, 2024 |
| [AmazonConnectSynchronizationServiceRolePolicy](#amazonconnectsynchronizationservicerolepolicy)- Ditambahkan untuk Sinkronisasi Terkelola | Menambahkan tindakan berikut ke kebijakan terkelola peran terkait layanan untuk sinkronisasi terkelola: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | Juli 5, 2024 |
| [AmazonConnectReadOnlyAccess](#amazonconnectreadonlyaccess-policy)— Mengganti nama tindakan `connect:GetFederationTokens` dan diubah menjadi `connect:AdminGetEmergencyAccessToken` | Kebijakan AmazonConnectReadOnlyAccess terkelola telah diperbarui karena penggantian nama tindakan Amazon Connect `connect:GetFederationTokens` menjadi`connect:AdminGetEmergencyAccessToken`. Perubahan ini kompatibel ke belakang dan `connect:AdminGetEmergencyAccessToken` tindakan akan berfungsi dengan cara yang sama seperti `connect:GetFederationTokens` tindakan. Jika Anda meninggalkan `connect:GetFederationTokens` tindakan yang disebutkan sebelumnya dalam kebijakan Anda, tindakan tersebut akan terus berfungsi seperti yang diharapkan. | Juni 15, 2024 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Menambahkan tindakan untuk kumpulan pengguna Amazon Cognito dan Profil Pelanggan Amazon Connect | Menambahkan tindakan kumpulan pengguna Amazon Cognito berikut ke kebijakan peran terkait layanan untuk mengizinkan operasi baca tertentu pada sumber daya Kumpulan Pengguna Kumpulan Pengguna Cognito yang memiliki tag sumber daya. `AmazonConnectEnabled` Tag ini diletakkan di sumber daya saat `CreateIntegrationAssociations` API dipanggil: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) Menambahkan tindakan Profil Pelanggan Amazon Connect berikut ke kebijakan peran terkait layanan untuk mengizinkan izin memasukkan data ke layanan yang berdekatan dengan Connect, Profil Pelanggan: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | Mei 23, 2024 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Tindakan yang ditambahkan untuk agen Connect AI | Tindakan berikut diizinkan untuk dilakukan pada sumber daya Connect AI agent yang memiliki tag sumber daya `'AmazonConnectEnabled':'True'` di Connect AI agents Knowledge Base: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | Mei 20, 2024 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Tindakan yang ditambahkan untuk Amazon Pinpoint | Menambahkan tindakan berikut ke kebijakan peran terkait layanan untuk menggunakan nomor telepon Amazon Pinpoint agar Amazon Connect memungkinkan pengiriman SMS: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | 17 November 2023 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Tindakan yang ditambahkan untuk agen Connect AI | Tindakan berikut diizinkan untuk dilakukan pada sumber daya Connect AI agent yang memiliki tag sumber daya `'AmazonConnectEnabled':'True'` di Connect AI agents Knowledge Base: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | 15 November 2023 |
| [AmazonConnectCampaignsServiceLinkedRolePolicy](connect-slr-outbound.md#slr-permissions-outbound)— Ditambahkan tindakan untuk Amazon Connect | Amazon Connect menambahkan tindakan baru untuk mengambil kampanye keluar: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | 8 November 2023 |
| [AmazonConnectSynchronizationServiceRolePolicy](#amazonconnectsynchronizationservicerolepolicy)— Menambahkan kebijakan AWS terkelola baru | Menambahkan kebijakan terkelola peran terkait layanan baru untuk sinkronisasi terkelola. Kebijakan ini menyediakan akses untuk membaca, membuat, memperbarui, dan menghapus Amazon Connect sumber daya dan digunakan untuk menyinkronkan AWS sumber daya secara otomatis di seluruh AWS wilayah. | 3 November 2023 |
| [AmazonConnectServiceLinkedRolePolicy](#amazonconnectservicelinkedrolepolicy)— Tindakan yang ditambahkan untuk Profil Pelanggan | Menambahkan tindakan berikut untuk mengelola Peran Tertaut Layanan Profil Amazon Connect Pelanggan: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | 30 Oktober 2023 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Tindakan yang ditambahkan untuk agen Connect AI | Tindakan berikut diizinkan untuk dilakukan pada sumber daya Connect AI agent yang memiliki tag sumber daya `'AmazonConnectEnabled':'True'` di Connect AI agents Knowledge Base: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | 25 Oktober 2023 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Tindakan yang ditambahkan untuk Profil Pelanggan | Menambahkan tindakan berikut untuk mengelola Peran Tertaut Layanan Profil Amazon Connect Pelanggan: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | Oktober 6, 2023 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Tindakan yang ditambahkan untuk agen Connect AI | Tindakan berikut diizinkan untuk dilakukan pada sumber daya Connect AI agent yang memiliki tag sumber daya `'AmazonConnectEnabled':'True'` pada basis pengetahuan dan asisten agen Connect AI: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) `List`Tindakan berikut diizinkan untuk dilakukan pada semua sumber daya Connect AI agent: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | September 29, 2023 |
| [CustomerProfilesServiceLinkedRolePolicy](#customerprofilesservicelinkedrolepolicy)— Ditambahkan CustomerProfilesServiceLinkedRolePolicy | Kebijakan terkelola baru. | 7 Maret 2023 |
| [AmazonConnect\$1 FullAccess](#AmazonConnect_FullAccess-policy) — Menambahkan izin untuk mengelola Peran Tertaut Layanan Profil Pelanggan Amazon Connect | Menambahkan tindakan berikut untuk mengelola Peran Tertaut Layanan Profil Pelanggan Amazon Connect. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | 26 Januari 2023 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Menambahkan tindakan untuk Amazon CloudWatch | Menambahkan tindakan berikut untuk memublikasikan metrik Amazon Connect penggunaan untuk instans ke akun Anda. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | Februari 22, 2022 |
| [AmazonConnect\$1 FullAccess](#AmazonConnect_FullAccess-policy) — Menambahkan izin untuk mengelola domain Profil Pelanggan Amazon Connect | Menambahkan semua izin untuk mengelola domain Profil Pelanggan Amazon Connect yang dibuat untuk instans Amazon Connect baru. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) Izin berikut diizinkan untuk dilakukan pada domain dengan nama yang diawali dengan: `amazon-connect-` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | 12 November 2021 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Tindakan yang ditambahkan untuk Profil Pelanggan Amazon Connect | Menambahkan tindakan berikut agar alur Amazon Connect dan pengalaman agen dapat berinteraksi dengan profil di domain Profil Pelanggan default Anda: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) Menambahkan tindakan berikut agar alur Amazon Connect dan pengalaman agen dapat berinteraksi dengan objek profil di domain Profil Pelanggan default Anda: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) Menambahkan tindakan berikut agar alur Amazon Connect dan pengalaman agen dapat menentukan apakah Profil Pelanggan diaktifkan untuk instans Amazon Connect Anda: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | 12 November 2021 |
| [AmazonConnectVoiceIDFullAkses](#amazonconnectvoiceidfullaccesspolicy) - Ditambahkan kebijakan AWS terkelola baru | Menambahkan kebijakan AWS terkelola baru sehingga Anda dapat mengatur pengguna untuk menggunakan ID Suara Amazon Connect. Kebijakan ini menyediakan akses penuh ke Amazon Connect Voice ID melalui AWS konsol, SDK, atau cara lain. | 27 September 2021 |
| [AmazonConnectCampaignsServiceLinkedRolePolicy](connect-slr-outbound.md#slr-permissions-outbound)— Menambahkan kebijakan peran terkait layanan baru | Menambahkan kebijakan peran terkait layanan baru untuk kampanye keluar. Kebijakan ini menyediakan akses untuk mengambil semua kampanye keluar. | 27 September 2021 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Tindakan yang ditambahkan untuk Amazon Lex | Menambahkan tindakan berikut untuk semua bot yang dibuat di akun di semua Wilayah. Tindakan ini ditambahkan untuk mendukung integrasi dengan Amazon Lex. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | 15 Juni 2021 |
| [AmazonConnect\$1 FullAccess](security-iam-amazon-connect-permissions.md) - Tindakan yang ditambahkan untuk Amazon Lex | Menambahkan tindakan berikut untuk semua bot yang dibuat di akun di semua Wilayah. Tindakan ini ditambahkan untuk mendukung integrasi dengan Amazon Lex. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/security_iam_awsmanpol.html) | 15 Juni 2021 |
| Amazon Connect mulai melacak perubahan | Amazon Connect mulai melacak perubahan untuk kebijakan AWS terkelolanya. | 15 Juni 2021 |
# Memecahkan masalah identitas dan akses Amazon Connect
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan Amazon Connect dan IAM.
**Topics**
+ [Saya tidak berwenang untuk melakukan iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses sumber daya Amazon Connect saya](#security_iam_troubleshoot-cross-account-access)
## Saya tidak berwenang untuk melakukan iam: PassRole
Jika Anda menerima kesalahan yang tidak diizinkan untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran ke Amazon Connect.
Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.
Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol untuk melakukan tindakan di Amazon Connect. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses sumber daya Amazon Connect saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mengetahui apakah Amazon Connect mendukung fitur ini, lihat[Bagaimana Amazon Connect bekerja dengan IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*
# Menggunakan peran terkait layanan dan izin peran untuk Amazon Connect
## Apa itu peran terkait layanan (SLR) dan mengapa itu penting?
Amazon Connect menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke instans Amazon Connect.
Peran terkait layanan telah ditentukan sebelumnya oleh Amazon Connect dan menyertakan [semua izin yang diperlukan Amazon](#slr-permissions) Connect untuk memanggil AWS layanan lain atas nama Anda.
Anda perlu mengaktifkan peran terkait layanan sehingga Anda dapat menggunakan fitur baru di Amazon Connect, seperti dukungan penandaan, antarmuka pengguna baru dalam **manajemen Pengguna** dan **profil Perutean, dan antrian dengan** dukungan. CloudTrail
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) lalu cari layanan yang menampilkan **Ya** pada kolom **Peran Terkait Layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk Amazon Connect
Amazon Connect menggunakan peran terkait layanan dengan awalan **AWSServiceRoleForAmazonConnect**\$1 *unique-id* — Memberikan izin Amazon Connect untuk AWS mengakses sumber daya atas nama Anda.
Peran terkait layanan AWSService RoleForAmazonConnect awalan mempercayai layanan berikut untuk mengambil peran:
+ `connect.amazonaws.com`
Kebijakan izin [AmazonConnectServiceLinkedRolePolicy](https://docs.aws.amazon.com/connect/latest/adminguide/security_iam_awsmanpol.html#amazonconnectservicelinkedrolepolicy)peran memungkinkan Amazon Connect menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Tindakan: semua tindakan Amazon Connect,`connect:*`, di semua sumber daya Amazon Connect.
+ Tindakan: IAM `iam:DeleteRole` untuk memungkinkan penghapusan peran terkait layanan.
+ Tindakan: Amazon S3`s3:GetObject`,, `s3:DeleteObject``s3:GetBucketLocation`, dan `GetBucketAcl` untuk bucket S3 yang ditentukan untuk rekaman percakapan.
Ini juga memberikan`s3:PutObject`,`s3:PutObjectAcl`, dan `s3:GetObjectAcl` ke ember yang ditentukan untuk laporan yang diekspor.
+ Tindakan: Amazon CloudWatch Logs`logs:CreateLogStream`,`logs:DescribeLogStreams`, dan `logs:PutLogEvents` ke grup CloudWatch Log yang ditentukan untuk flow logging.
+ Tindakan: Amazon Lex`lex:ListBots`, `lex:ListBotAliases` untuk semua bot yang dibuat di akun di semua Wilayah.
+ Tindakan: Profil Pelanggan Amazon Connect
+ `profile:SearchProfiles`
+ `profile:CreateProfile`
+ `profile:UpdateProfile`
+ `profile:AddProfileKey`
+ `profile:ListProfileObjects`
+ `profile:ListAccountIntegrations`
+ `profile:ListProfileObjectTypeTemplates`
+ `profile:GetProfileObjectTypeTemplate`
+ `profile:ListProfileObjectTypes`
+ `profile:GetProfileObjectType`
+ `profile:ListCalculatedAttributeDefinitions`
+ `profile:GetCalculatedAttributeForProfile`
+ `profile:ListCalculatedAttributesForProfile`
+ `profile:GetDomain`
+ `profile:ListIntegrations`
+ `profile:GetIntegration`
+ `profile:PutIntegration`
+ `profile:DeleteIntegration`
+ `profile:CreateEventTrigger`
+ `profile:GetEventTrigger`
+ `profile:ListEventTriggers`
+ `profile:UpdateEventTrigger`
+ `profile:DeleteEventTrigger`
+ `profile:CreateCalculatedAttributeDefinition`
+ `profile:DeleteCalculatedAttributeDefinition`
+ `profile:GetCalculatedAttributeDefinition`
+ `profile:UpdateCalculatedAttributeDefinition`
+ `profile:PutProfileObject`
+ `profile:ListObjectTypeAttributes`
+ `profile:ListProfileAttributeValues`
+ `profile:BatchGetProfile`
+ `profile:BatchGetCalculatedAttributeForProfile`
+ `profile:ListSegmentDefinitions`
+ `profile:CreateSegmentDefinition`
+ `profile:GetSegmentDefinition`
+ `profile:DeleteSegmentDefinition`
+ `profile:CreateSegmentEstimate`
+ `profile:GetSegmentEstimate`
+ `profile:CreateSegmentSnapshot`
+ `profile:GetSegmentSnapshot`
+ `profile:GetSegmentMembership`
+ `profile:CreateDomainLayout`
+ `profile:UpdateDomainLayout`
+ `profile:DeleteDomainLayout`
+ `profile:GetDomainLayout`
+ `profile:ListDomainLayouts`
+ `profile:GetSimilarProfiles`
+ `profile:GetUploadJob`
+ `profile:GetUploadJobPath`
+ `profile:StartUploadJob`
+ `profile:StopUploadJob`
+ `profile:CreateUploadJob`
+ `profile:ListUploadJobs`
+ `profile:DetectProfileObjectType`
untuk menggunakan domain Profil Pelanggan default Anda (termasuk profil dan semua tipe objek dalam domain) dengan alur Amazon Connect dan aplikasi pengalaman agen.
**catatan**
Setiap instans Amazon Connect hanya dapat dikaitkan dengan satu domain dalam satu waktu. Namun, Anda dapat menautkan domain apa pun ke instans Amazon Connect. Akses lintas domain dalam akun dan wilayah AWS yang sama diaktifkan secara otomatis untuk semua domain yang dimulai dengan awalan. `amazon-connect-` Untuk membatasi akses lintas domain, Anda dapat menggunakan instans Amazon Connect terpisah untuk mempartisi data secara logis atau menggunakan nama domain Profil Pelanggan dalam instance yang sama yang tidak dimulai dengan `amazon-connect-` awalan, sehingga mencegah akses lintas domain.
+ Tindakan: Connect agen AI
+ `wisdom:CreateContent`
+ `wisdom:DeleteContent`
+ `wisdom:CreateKnowledgeBase`
+ `wisdom:GetAssistant`
+ `wisdom:GetKnowledgeBase`
+ `wisdom:GetContent`
+ `wisdom:GetRecommendations`
+ `wisdom:GetSession`
+ `wisdom:NotifyRecommendationsReceived`
+ `wisdom:QueryAssistant`
+ `wisdom:StartContentUpload`
+ `wisdom:UntagResource`
+ `wisdom:TagResource`
+ `wisdom:CreateSession`
+ `wisdom:CreateQuickResponse`
+ `wisdom:GetQuickResponse`
+ `wisdom:SearchQuickResponses`
+ `wisdom:StartImportJob`
+ `wisdom:GetImportJob`
+ `wisdom:ListImportJobs`
+ `wisdom:ListQuickResponses`
+ `wisdom:UpdateQuickResponse`
+ `wisdom:DeleteQuickResponse`
+ `wisdom:PutFeedback`
+ `wisdom:ListContentAssociations`
+ `wisdom:CreateMessageTemplate`
+ `wisdom:UpdateMessageTemplate`
+ `wisdom:UpdateMessageTemplateMetadata`
+ `wisdom:GetMessageTemplate`
+ `wisdom:DeleteMessageTemplate`
+ `wisdom:ListMessageTemplates`
+ `wisdom:SearchMessageTemplates`
+ `wisdom:ActivateMessageTemplate`
+ `wisdom:DeactivateMessageTemplate`
+ `wisdom:CreateMessageTemplateVersion`
+ `wisdom:ListMessageTemplateVersions`
+ `wisdom:CreateMessageTemplateAttachment`
+ `wisdom:DeleteMessageTemplateAttachment`
+ `wisdom:RenderMessageTemplate`
+ `wisdom:CreateAIAgent`
+ `wisdom:CreateAIAgentVersion`
+ `wisdom:DeleteAIAgent`
+ `wisdom:DeleteAIAgentVersion`
+ `wisdom:UpdateAIAgent`
+ `wisdom:UpdateAssistantAIAgent`
+ `wisdom:RemoveAssistantAIAgent`
+ `wisdom:GetAIAgent`
+ `wisdom:ListAIAgents`
+ `wisdom:ListAIAgentVersions`
+ `wisdom:CreateAIPrompt`
+ `wisdom:CreateAIPromptVersion`
+ `wisdom:DeleteAIPrompt`
+ `wisdom:DeleteAIPromptVersion`
+ `wisdom:UpdateAIPrompt`
+ `wisdom:GetAIPrompt`
+ `wisdom:ListAIPrompts`
+ `wisdom:ListAIPromptVersions`
+ `wisdom:CreateAIGuardrail`
+ `wisdom:CreateAIGuardrailVersion`
+ `wisdom:DeleteAIGuardrail`
+ `wisdom:DeleteAIGuardrailVersion`
+ `wisdom:UpdateAIGuardrail`
+ `wisdom:GetAIGuardrail`
+ `wisdom:ListAIGuardrails`
+ `wisdom:ListAIGuardrailVersions`
+ `wisdom:CreateAssistant`
+ `wisdom:ListTagsForResource`
+ `wisdom:SendMessage`
+ `wisdom:GetNextMessage`
+ `wisdom:ListMessages`
+ `wisdom:Retrieve`
+ `wisdom:ListAssistantAssociations`
dengan tag sumber daya `'AmazonConnectEnabled':'True'` di semua sumber daya agen AI Amazon Connect Connect yang terkait dengan instans Amazon Connect Anda.
+ `wisdom:ListAssistants`
+ `wisdom:KnowledgeBases`
pada semua sumber daya Connect AI agent.
+ Tindakan: Amazon CloudWatch Metrics `cloudwatch:PutMetricData` untuk mempublikasikan metrik penggunaan Amazon Connect untuk instans ke akun Anda.
+ Tindakan: Amazon Pinpoint SMS dan Voice `sms-voice:DescribePhoneNumbers` dan `sms-voice:SendTextMessage` untuk memungkinkan Amazon Connect mengirim SMS.
+ Tindakan: Amazon Pinpoint `mobiletargeting:SendMessages` untuk memungkinkan Amazon Connect mengirim pemberitahuan push.
+ Tindakan: Kumpulan pengguna Amazon Cognito `cognito-idp:DescribeUserPool` dan `cognito-idp:ListUserPoolClients` untuk mengizinkan akses Amazon Connect untuk memilih operasi baca di sumber daya kumpulan pengguna Amazon Cognito yang memiliki `AmazonConnectEnabled` tag sumber daya.
+ Tindakan: Konektor Suara Amazon Chime SDK `chime:GetVoiceConnector` untuk mengizinkan akses baca untuk Amazon Connect di semua sumber daya Amazon Chime SDK Voice Connector yang memiliki tag sumber daya. `'AmazonConnectEnabled':'True'`
+ Tindakan: Konektor Suara Amazon Chime SDK `chime:ListVoiceConnectors` untuk semua Konektor Suara Amazon Chime SDK yang dibuat di akun di semua Wilayah.
+ Tindakan: WhatsApp Integrasi Pesan Amazon Connect. Memberikan izin Amazon Connect ke Sosial Pesan Pengguna AWS Akhir berikut: APIs
+ `social-messaging:SendWhatsAppMessage`
+ `social-messaging:PostWhatsAppMessageMedia`
+ `social-messaging:GetWhatsAppMessageMedia`
+ `social-messaging:GetLinkedWhatsAppBusinessAccountPhoneNumber`
Sosial APIs dibatasi untuk sumber daya nomor telepon Anda yang diaktifkan untuk Amazon Connect. Nomor telepon ditandai dengan `AmazonConnectEnabled : True` saat diimpor ke instans Amazon Connect.
+ Tindakan: Integrasi template WhatsApp pesan Amazon Connect Messaging. Memberikan izin Amazon Connect untuk menelepon Media Sosial Olah Pesan Pengguna Akhir AWS APIs. AWS Akun WhatsApp bisnis akun dapat dicantumkan. Selain itu, templat akun WhatsApp bisnis dapat dicantumkan dan detail templat dapat diambil selama akun WhatsApp bisnis ditandai`AmazonConnectEnabled: True`.
+ `social-messaging:ListLinkedWhatsAppBusinessAccounts`
+ `social-messaging:GetWhatsAppMessageTemplate`
+ `social-messaging:ListWhatsAppMessageTemplates`
+ Tindakan: Amazon SES
+ `ses:DescribeReceiptRule`
+ `ses:UpdateReceiptRule`
pada semua aturan penerimaan Amazon SES. Digunakan untuk mengirim dan menerima email.
+ `ses:DeleteEmailIdentity`untuk \$1*instance-alias*\$1 .email.connect.aws identitas domain SES. Digunakan untuk manajemen domain email yang disediakan oleh Amazon Connect.
+ `ses:SendRawEmail`untuk mengirim email dengan set konfigurasi SES yang disediakan oleh Amazon Connect (configuration-set-for-connect-DO-NOT-DELETE).
+ `iam:PassRole`untuk peran `AmazonConnectEmailSESAccessRole` layanan yang digunakan oleh Amazon SES. Untuk manajemen aturan Tanda Terima Amazon SES, Amazon SES memerlukan peran yang harus diteruskan, yang diasumsikan.
+ Tindakan: Amazon Polly
+ `polly:ListLexicons`
+ `polly:DescribeVoices`
+ `polly:SynthesizeSpeech`
Saat Anda mengaktifkan fitur tambahan di Amazon Connect, izin berikut ditambahkan untuk peran terkait layanan untuk mengakses sumber daya yang terkait dengan fitur tersebut dengan menggunakan kebijakan in-line:
+ Tindakan: Amazon Data Firehose `firehose:DescribeDeliveryStream` dan`firehose:PutRecord`, dan `firehose:PutRecordBatch` untuk aliran pengiriman yang ditentukan untuk aliran peristiwa agen dan catatan kontak.
+ Tindakan: Amazon Kinesis `kinesis:PutRecord` Data `kinesis:PutRecords` Streams,`kinesis:DescribeStream`, dan untuk aliran yang ditentukan untuk aliran peristiwa agen dan catatan kontak.
+ Tindakan: Amazon Lex `lex:PostContent` untuk bot yang ditambahkan ke instans Anda.
+ Tindakan: Amazon Connect Voice-ID `voiceid:*` untuk domain ID Suara yang terkait dengan instans Anda.
+ Tindakan: EventBridge `events:PutRule` dan `events:PutTargets` untuk EventBridge aturan terkelola Amazon Connect untuk menerbitkan rekaman CTR untuk domain ID Suara terkait.
+ Aksi: kampanye keluar
+ `connect-campaigns:CreateCampaign`
+ `connect-campaigns:DeleteCampaign`
+ `connect-campaigns:DescribeCampaign`
+ `connect-campaigns:UpdateCampaignName`
+ `connect-campaigns:GetCampaignState`
+ `connect-campaigns:GetCampaignStateBatch`
+ `connect-campaigns:ListCampaigns`
+ `connect-campaigns:UpdateOutboundCallConfig`
+ `connect-campaigns:UpdateDialerConfig`
+ `connect-campaigns:PauseCampaign`
+ `connect-campaigns:ResumeCampaign`
+ `connect-campaigns:StopCampaign`
untuk semua operasi yang terkait dengan kampanye keluar.
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk Amazon Connect
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat instance baru di Amazon Connect di Konsol Manajemen AWS, Amazon Connect akan membuat peran terkait layanan untuk Anda.
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda membuat instance baru di Amazon Connect, Amazon Connect akan membuat peran terkait layanan untuk Anda lagi.
Anda juga dapat menggunakan konsol IAM untuk membuat peran terkait layanan dengan **Amazon Connect - Kasus penggunaan akses penuh**. Di IAM CLI atau IAM API, buat peran tertaut layanan dengan nama layanan `connect.amazonaws.com`. Untuk informasi selengkapnya, lihat [Membuat peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dalam *Panduan Pengguna IAM*. Jika Anda menghapus peran tertaut layanan ini, Anda dapat mengulang proses yang sama untuk membuat peran tersebut lagi.
## Untuk contoh yang dibuat sebelum Oktober 2018
**Tip**
Mengalami masalah saat masuk untuk mengelola AWS akun Anda? Tidak tahu siapa yang mengelola AWS akun Anda? Untuk bantuan, lihat [Memecahkan masalah login AWS akun](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html).
Jika instans Amazon Connect dibuat sebelum Oktober 2018, Anda tidak memiliki peran terkait layanan yang disiapkan. Untuk membuat peran terkait layanan, pada halaman **Ringkasan akun**, pilih **Buat peran terkait layanan**, seperti yang ditunjukkan pada gambar berikut.
![\[Halaman ikhtisar akun, tombol buat peran terkait layanan.\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/images/slr-create-slr.png)
Untuk daftar izin IAM yang diperlukan untuk membuat peran terkait layanan, lihat [Halaman Ikhtisar](security-iam-amazon-connect-permissions.md#overview-page) di topik. [Izin yang diperlukan untuk menggunakan kebijakan IAM khusus untuk mengelola akses ke konsol Amazon Connect](security-iam-amazon-connect-permissions.md)
## Untuk domain Profil Pelanggan yang dibuat sebelum 31 Januari 2025 dan dikonfigurasi dengan kunci KMS pelanggan untuk mengenkripsi data, Anda harus memberikan izin KMS tambahan ke Instans Amazon Connect Anda.
Jika domain Profil Pelanggan terkait Anda dibuat sebelum 31 Januari 2025 dan domain tersebut menggunakan kunci KMS yang Dikelola Pelanggan (CMK) untuk enkripsi, guna mengaktifkan penegakan CMK oleh Instans Connect, lakukan tindakan berikut:
1. **Berikan izin Service-Linked Role (SLR) Amazon Connect instans untuk menggunakan AWS KMS kunci domain Profil Pelanggan Anda dengan menavigasi ke halaman Profil Pelanggan di Amazon Connect AWS Management Console dan pilih Perbarui izin KMS.**
![\[Pilih tombol Perbarui izin KMS untuk memberikan izin KMS bagi peran terkait layanan instans Amazon Connect.\]](http://docs.aws.amazon.com/id_id/connect/latest/adminguide/images/kms-permissions-slr-1.png)
1. Buat [tiket dukungan](https://support.console.aws.amazon.com/support) dengan tim Profil Pelanggan Amazon Connect untuk meminta penegakan izin CMK untuk akun Anda.
Untuk daftar izin IAM untuk memperbarui Amazon Connect instans Anda, lihat izin yang diperlukan untuk kebijakan IAM khusus untuk. [Halaman Profil Pelanggan](security-iam-amazon-connect-permissions.md#customer-profiles-page)
## Mengedit peran terkait layanan untuk Amazon Connect
Amazon Connect tidak mengizinkan Anda mengedit peran terkait layanan yang AWSService RoleForAmazonConnect diawali. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Memeriksa peran terkait layanan memiliki izin untuk Amazon Lex
1. **Pada panel navigasi konsol IAM, pilih Peran.**
1. Pilih nama peran yang akan diubah.
## Menghapus peran terkait layanan untuk Amazon Connect
Anda tidak perlu menghapus peran AWSService RoleForAmazonConnect awalan secara manual. Saat menghapus instans Amazon Connect di Konsol Manajemen AWS, Amazon Connect membersihkan sumber daya dan menghapus peran terkait layanan untuk Anda.
## Wilayah yang Didukung untuk peran terkait layanan Amazon Connect
Amazon Connect mendukung penggunaan peran terkait layanan di semua wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat [AWS Wilayah dan Titik Akhir](https://docs.aws.amazon.com/general/latest/gr/rande.html#connect_region).
# Menggunakan peran terkait layanan untuk kampanye keluar di Amazon Connect
Kampanye keluar Amazon Connect menggunakan peran AWS Identity and Access Management terkait layanan. Jika instans Amazon Connect diaktifkan untuk menggunakan kampanye keluar, instans Amazon Connect akan menciptakan peran unik terkait layanan yang memungkinkannya melakukan tindakan pada instans Amazon Connect.
Peran terkait layanan membuat pengaturan kampanye keluar lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Kampanye keluar menentukan izin peran terkait layanan, dan kecuali ditentukan lain, hanya kampanye keluar yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [AWS layanan yang bekerja dengan IAM di Panduan Pengguna *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Cari layanan yang memiliki **Yes **di kolom **Service-Linked Role**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk kampanye keluar
Kampanye keluar menggunakan awalan peran terkait layanan `AWSServiceRoleForConnectCampaigns` —Memberikan izin kampanye keluar untuk mengakses sumber daya atas nama Anda. AWS
Peran tertaut layanan `AWSServiceRoleForConnectCampaigns` memercayai layanan berikut untuk mengambil peran tersebut:
+ `connect-campaigns.amazonaws.com`
Kebijakan izin [AmazonConnectCampaignsServiceLinkedRolePolicy](security_iam_awsmanpol.md#amazonconnectcampaignsservicelinkedrolepolicy)peran memungkinkan kampanye keluar menyelesaikan tindakan berikut pada sumber daya yang ditentukan. Izin tambahan ditambahkan untuk peran terkait layanan untuk mengakses sumber daya:
+ Tindakan: Kampanye keluar `connect-campaigns:ListCampaigns` untuk AWS akun.
+ Tindakan: Amazon Connect
+ `connect:BatchPutContact`
+ `connect:StopContact`
untuk semua instans Amazon Connect.
+ Tindakan: Amazon Connect
+ `connect:StartOutboundVoiceContact`
+ `connect:GetMetricData`
+ `connect:GetCurrentMetricData`
+ `connect:BatchPutContact`
+ `connect:StopContact`
+ `connect:GetMetricDataV2`
+ `connect:DescribeContactFlow`
+ `connect:SendOutboundEmail`
Untuk instans Amazon Connect yang ditentukan.
+ Tindakan: EventBridge:
+ `events:ListRules`
Untuk semua acara.
+ Tindakan: EventBridge:
+ `events:DeleteRule`
+ `events:PutRule`
+ `events:PutTargets`
+ `events:RemoveTargets`
+ `events:ListTargetsByRule`
untuk aturan bernama `ConnectCampaignsRule*` dikelola oleh**connect-campaigns.amazonaws.com**.
+ Tindakan: Hubungkan Template Pesan agen AI:
+ `wisdom:GetMessageTemplate`
+ `wisdom:RenderMessageTemplate`
pada semua sumber daya yang ditandai dengan`aws:ResourceTag/AmazonConnectCampaignsEnabled`.
Izin untuk Profil Pelanggan Amazon Connect akan ditambahkan ke template EZCRC:. `ConnectCampaignsCustomerProfilesIntegrationAccess`
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk kampanye keluar
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda mengaitkan instans Amazon Connect dengan kampanye keluar dengan menjalankan `StartInstanceOnboardingJob` API, kampanye keluar akan membuat peran terkait layanan untuk Anda.
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda mengaitkan instans Amazon Connect baru dengan kampanye keluar, Amazon Connect akan membuat peran terkait layanan untuk Anda lagi.
## Mengedit peran terkait layanan untuk kampanye keluar
Kampanye keluar tidak memungkinkan Anda mengedit peran `AWSServiceRoleForConnectCampaigns` terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk kampanye keluar
Jika Anda tidak lagi memerlukan kampanye keluar, sebaiknya hapus peran terkait layanan terkait. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya secara manual.
**Untuk menghapus sumber daya kampanye keluar yang digunakan oleh `AWSServiceRoleForConnectCampaigns`**
+ Hapus semua pengaturan kampanye untuk AWS akun.
**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**
+ Gunakan konsol IAM, AWS CLI, atau AWS API untuk menghapus peran terkait layanan`AWSServiceRoleForConnectCampaigns`. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.
## Wilayah yang Didukung untuk kampanye keluar peran terkait layanan
Kampanye keluar mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat [AWS Wilayah dan Titik Akhir](https://docs.aws.amazon.com/general/latest/gr/rande.html#connect_region).
# Menggunakan peran terkait layanan untuk Amazon AppIntegrations
Amazon AppIntegrations menggunakan peran AWS Identity and Access Management [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke Amazon. AppIntegrations Peran terkait layanan telah ditentukan sebelumnya oleh Amazon AppIntegrations dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
Peran terkait layanan membuat pengaturan Amazon AppIntegrations lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Amazon AppIntegrations mendefinisikan izin peran terkait layanannya, dan kecuali ditentukan lain, hanya Amazon yang AppIntegrations dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi AppIntegrations sumber daya Amazon Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [Layanan AWS yang Bekerja bersama IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan mencari layanan yang memiliki **Ya** dalam **Peran Terkait Layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk Amazon AppIntegrations
Amazon AppIntegrations menggunakan nama peran terkait layanan **AWSServiceRoleForAppIntegrations**yang memungkinkan Anda AppIntegrations mengakses layanan dan sumber daya AWS atas nama Anda.
Peran AWSService RoleForAppIntegrations terkait layanan mempercayai layanan berikut untuk mengambil peran:
+ `app-integrations.amazonaws.com`
Kebijakan izin peran bernama AppIntegrationsServiceLinkedRolePolicy memungkinkan Amazon AppIntegrations menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/AppIntegrations"
}
}
},
{
"Effect": "Allow",
"Action": [
"appflow:DescribeConnectorEntity",
"appflow:ListConnectorEntities"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"appflow:DescribeConnectorProfiles",
"appflow:UseConnectorProfile"
],
"Resource": "arn:aws:appflow:*:*:connector-profile/*"
},
{
"Effect": "Allow",
"Action": [
"appflow:DeleteFlow",
"appflow:DescribeFlow",
"appflow:DescribeFlowExecutionRecords",
"appflow:StartFlow",
"appflow:StopFlow",
"appflow:UpdateFlow"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AppIntegrationsManaged": "true"
}
},
"Resource": "arn:aws:appflow:*:*:flow/FlowCreatedByAppIntegrations-*"
},
{
"Effect": "Allow",
"Action": [
"appflow:TagResource"
],
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"AppIntegrationsManaged"
]
}
},
"Resource": "arn:aws:appflow:*:*:flow/FlowCreatedByAppIntegrations-*"
}
]
}
```
------
+ Tindakan: `cloudwatch:PutMetricData` saat `"*"` menggunakan `StringEquals` kondisi`"cloudwatch:namespace": "AWS/AppIntegrations"`.
+ Aksi: `appflow:DescribeConnectorEntity` dan `appflow:ListConnectorEntities` seterusnya`"*"`.
+ Aksi: `appflow:DescribeConnectorProfiles` dan `appflow:UseConnectorProfile` seterusnya ` arn:aws:appflow:*:*:connector-profile/*`
+ Tindakan:`appflow:DeleteFlow`,`appflow:DescribeFlow`,`appflow:DescribeFlowExecutionRecords`, `appflow:StartFlow``appflow:StopFlow`,, dan `appflow:UpdateFlow` pada ` arn:aws:appflow:*:*:flow/FlowCreatedByAppIntegrations-*` penggunaan `StringEquals` kondisi`"aws:ResourceTag/AppIntegrationsManaged": "true"`.
+ Tindakan: `appflow:TagResource` saat `arn:aws:appflow:*:*:flow/FlowCreatedByAppIntegrations-*` menggunakan `ForAllValues:StringEquals aws:TagKeys` kondisi`AppIntegrationsManaged`.
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk Amazon AppIntegrations
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat integrasi data atau peristiwa menggunakan agen Connect AI, Customer Profiles, atau widget Tasks di Amazon Connect di Konsol Manajemen AWS AWS CLI, the, atau AWS API, Amazon AppIntegrations membuat peran terkait layanan untuk Anda.
**penting**
Peran tertaut layanan ini dapat muncul di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang disupport oleh peran ini. Selain itu, jika Anda membuat AppIntegrations sumber daya Amazon baru setelah 30 September 2022, ketika mulai mendukung peran terkait layanan, Amazon AppIntegrations membuat AWSService RoleForAppIntegrations peran tersebut di akun Anda. Untuk mempelajari lebih lanjut, lihat [Peran baru muncul di akun IAM saya](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda membuat integrasi data atau peristiwa menggunakan agen Connect AI, Customer Profiles, atau widget Tasks di Amazon Connect, Amazon akan AppIntegrations membuat peran terkait layanan untuk Anda lagi.
Anda juga dapat menggunakan konsol IAM untuk membuat peran terkait layanan dengan kasus penggunaan. **AppIntegrations** Di AWS CLI atau AWS API, buat peran terkait layanan dengan nama `app-integrations.amazonaws.com` layanan. Untuk informasi selengkapnya, lihat [Membuat peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dalam *Panduan Pengguna IAM*. Jika Anda menghapus peran tertaut layanan ini, Anda dapat mengulang proses yang sama untuk membuat peran tersebut lagi.
## Mengedit peran terkait layanan untuk Amazon AppIntegrations
Amazon AppIntegrations tidak mengizinkan Anda mengedit peran AWSService RoleForAppIntegrations terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk Amazon AppIntegrations
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya secara manual. Pertama-tama Anda harus menghapus data dan asosiasi integrasi acara di AWS Konsol, lalu menghapus data dan integrasi acara menggunakan. AWS CLI
**catatan**
Jika AppIntegrations layanan Amazon menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
**Untuk menghapus asosiasi integrasi data yang digunakan oleh AWSService RoleForAppIntegrations di AWS Konsol**
1. Buka bagian Connect AI agents di Amazon Connect Console dan pilih nama asosiasi integrasi data yang ingin Anda hapus.
1. Pilih **Hapus** di sisi kanan bagian **Detail integrasi**.
1. Di kotak pop, masukkan nama integrasi untuk konfirmasi dan pilih **Hapus**.
**Untuk menghapus integrasi data yang digunakan oleh AWSService RoleForAppIntegrations menggunakan AWS CLI**
1. Buat daftar integrasi data Anda untuk melihat nama integrasi yang ada.
`aws appintegrations list-data-integrations`
1. Hapus setiap integrasi menggunakan nama integrasi data.
`aws appintegrations delete-data-integration --data-integration-identifier DATA_INTEGRATION_NAME`
**Untuk menghapus asosiasi integrasi acara yang digunakan oleh AWSService RoleForAppIntegrations di AWS Konsol**
1. Buka Profil Pelanggan atau bagian Tugas di Konsol Amazon Connect dan pilih nama asosiasi integrasi acara yang ingin Anda hapus.
1. Setelah Anda memilih integrasi acara di bagian Tugas, pop-up akan muncul. Pilih tombol **Hapus koneksi** dan masukkan kata hapus untuk *menghapus* asosiasi integrasi acara Anda.
**Untuk menghapus integrasi acara yang digunakan oleh AWSService RoleForAppIntegrations menggunakan AWS CLI**
1. Buat daftar integrasi acara Anda untuk melihat nama integrasi yang ada.
`aws appintegrations list-event-integrations`
1. Hapus setiap integrasi menggunakan nama integrasi data.
`aws appintegrations delete-event-integration --name EVENT_INTEGRATION_NAME`
**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran AWSService RoleForAppIntegrations terkait layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.
## Wilayah yang didukung untuk peran AppIntegrations terkait layanan Amazon
Amazon AppIntegrations mendukung penggunaan peran terkait layanan di semua wilayah tempat layanan tersedia. Untuk informasi selengkapnya, silakan lihat [Wilayah AWS dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/rande.html).
Anda dapat menggunakan AWSService RoleForAppIntegrations peran di wilayah berikut.
****
| Nama wilayah | Identitas wilayah | Support di Amazon AppIntegrations |
| --- | --- | --- |
| US East (Northern Virginia) | us-east-1 | Ya |
| US West (Oregon) | us-west-2 | Ya |
| Asia Pacific (Mumbai) | ap-south-1 | Ya |
| Asia Pacific (Seoul) | ap-northeast-2 | Ya |
| Asia Pacific (Singapore) | ap-southeast-1 | Ya |
| Asia Pacific (Sydney) | ap-southeast-2 | Ya |
| Asia Pacific (Tokyo) | ap-northeast-1 | Ya |
| Canada (Central) | ca-sentral-1 | Ya |
| Eropa (Frankfurt) | eu-central-1 | Ya |
| Eropa (London) | eu-west-2 | Ya |
| Africa (Cape Town) | af-south-1 | Ya |
# Menggunakan peran terkait layanan untuk Profil Pelanggan Amazon Connect
Profil Pelanggan Amazon Connect menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke Profil Pelanggan. Peran terkait layanan telah ditentukan sebelumnya oleh Profil Pelanggan dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
Peran terkait layanan membuat pengaturan Profil Pelanggan Amazon Connect menjadi lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Profil Pelanggan Amazon Connect mendefinisikan izin peran terkait layanannya, dan kecuali ditentukan lain, hanya Profil Pelanggan Amazon Connect yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat [layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran terkait layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk Profil Pelanggan Amazon Connect
Profil Pelanggan Amazon Connect menggunakan peran terkait layanan bernama **AWSServiceRoleForProfile\$1** *unique-id* yang memungkinkan Profil Pelanggan Amazon Connect mengakses layanan dan sumber daya AWS atas nama Anda..
Peran terkait layanan **AWSServiceRoleForProfile**awalan mempercayai layanan berikut untuk mengambil peran:
+ `profile.amazonaws.com`
Kebijakan izin peran bernama [CustomerProfilesServiceLinkedRolePolicy](security_iam_awsmanpol.md#customerprofilesservicelinkedrolepolicy)memungkinkan Profil Pelanggan Amazon Connect menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Tindakan: Amazon CloudWatch Metrics `cloudwatch:PutMetricData` untuk mempublikasikan metrik penggunaan Amazon Connect untuk instans ke akun Anda.
+ Tindakan: IAM `iam:DeleteRole` untuk menghapus peran terkait layanan yang **AWSServiceRoleForProfile**diawali itu sendiri saat Domain Profil Pelanggan Amazon Connect terkait dihapus.
+ Tindakan: Amazon Connect Outbound Campaigns `connect-campaigns:PutProfileOutboundRequestBatch` untuk memicu kampanye berdasarkan Definisi Pemicu Peristiwa Profil Pelanggan Anda.
+ Tindakan: Profil Pelanggan Amazon Connect `profile:BatchGetProfile` untuk mengambil informasi profil yang diperlukan untuk memicu kampanye.
+ Tindakan: Profil Pelanggan Amazon Connect `profile:GetRecommender` untuk mengambil pemberi rekomendasi yang diperlukan untuk memicu kampanye.
+ Tindakan: Profil Pelanggan Amazon Connect `profile:GetCalculatedAttributeForProfile` untuk mengambil atribut terhitung yang diperlukan untuk memicu kampanye.
+ Tindakan: Profil Pelanggan Amazon Connect `profile:GetProfileRecommendations` untuk mengambil rekomendasi profil yang diperlukan untuk memicu kampanye.
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk Profil Pelanggan Amazon Connect
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat Domain Profil Pelanggan Amazon Connect pertama Anda di Konsol Manajemen AWS, API AWS CLI, atau AWS API, Profil Pelanggan akan membuat peran terkait layanan untuk Anda. Perhatikan bahwa setiap domain Profil Pelanggan Amazon Connect memerlukan SLR khusus agar Profil Pelanggan Amazon Connect dapat mengambil tindakan untuk Anda.
**penting**
Peran tertaut layanan ini dapat muncul di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang disupport oleh peran ini. Selain itu, jika Anda menggunakan layanan Profil Pelanggan Amazon Connect sebelum 8 Juni 2023, saat layanan tersebut mulai mendukung peran terkait layanan, maka Profil Pelanggan Amazon Connect membuat peran **AWSServiceRoleForProfile**awalan di akun Anda. Untuk mempelajari lebih lanjut, lihat [Peran baru muncul di akun IAM saya](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda membuat Domain Profil Pelanggan Amazon Connect pertama Anda, Profil Pelanggan akan membuat peran terkait layanan untuk Anda lagi.
## Mengedit peran terkait layanan untuk Profil Pelanggan Amazon Connect
Profil Pelanggan Amazon Connect tidak mengizinkan Anda mengedit peran terkait layanan yang **AWSServiceRoleForProfile**diawali. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk Profil Pelanggan Amazon Connect
Anda tidak perlu menghapus peran **AWSServiceRoleForProfile**awalan secara manual. Saat Anda menghapus Domain Profil Pelanggan Amazon Connect di Konsol Manajemen AWS, API AWS CLI, atau AWS API, Profil Pelanggan membersihkan sumber daya dan menghapus peran terkait layanan untuk Anda.
Anda juga dapat menggunakan AWS CLI atau AWS API untuk menghapus peran terkait layanan secara manual. Untuk melakukannya, Anda harus membersihkan sumber daya untuk peran tertaut layanan terlebih dahulu, lalu Anda dapat menghapusnya secara manual.
**catatan**
Jika layanan Profil Pelanggan Amazon Connect menggunakan peran saat Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
**Untuk menghapus sumber daya Amazon Connect Customer Profiles yang digunakan oleh AWSService RoleForProfile peran terkait layanan awalan**
+ Hapus domain Profil Pelanggan Amazon Connect di Konsol Manajemen AWS, API AWS CLI, atau AWS API.
**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**
Gunakan AWS CLI atau AWS API untuk menghapus peran terkait layanan yang **AWSServiceRoleForProfile**diawali. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.
## Wilayah yang didukung untuk peran terkait layanan Amazon Connect Customer Profiles
Profil Pelanggan Amazon Connect mendukung penggunaan peran terkait layanan di semua wilayah tempat layanan tersedia. Untuk informasi selengkapnya, silakan lihat [Wilayah AWS dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/rande.html).
****
| Nama wilayah | Identitas wilayah | Support di Amazon Connect |
| --- | --- | --- |
| US East (Northern Virginia) | us-east-1 | Ya |
| US West (Oregon) | us-west-2 | Ya |
| Asia Pacific (Seoul) | ap-northeast-2 | Ya |
| Asia Pacific (Singapore) | ap-southeast-1 | Ya |
| Asia Pacific (Sydney) | ap-southeast-2 | Ya |
| Asia Pacific (Tokyo) | ap-northeast-1 | Ya |
| Canada (Central) | ca-sentral-1 | Ya |
| Eropa (Frankfurt) | eu-central-1 | Ya |
| Eropa (London) | eu-west-2 | Ya |
| Africa (Cape Town) | af-south-1 | Ya |
# Menggunakan peran terkait layanan untuk Sinkronisasi Terkelola Amazon Connect
Sinkronisasi terkelola Amazon Connect menggunakan AWS Identity and Access Management peran terkait [layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke Sinkronisasi Terkelola. Peran terkait layanan telah ditentukan sebelumnya oleh Sinkronisasi Terkelola dan menyertakan semua izin yang diperlukan layanan untuk memanggil layanan lain AWS atas nama Anda.
Peran terkait layanan membuat pengaturan Sinkronisasi Terkelola lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Sinkronisasi Terkelola mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya Sinkronisasi Terkelola yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi sumber daya Sinkronisasi Terkelola karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat [layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran terkait layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk Sinkronisasi Terkelola
Sinkronisasi Terkelola menggunakan peran terkait layanan yang diawali dengan yang **AWSServiceRoleForAmazonConnectSynchronization**memberikan izin baca, tulis, perbarui, dan hapus Sinkronisasi Terkelola Amazon Connect untuk mengakses sumber daya AWS atas nama Anda. Nama lengkap peran di akun Anda akan berisi awalan dan ID unik yang akan mirip dengan yang berikut ini:
`AWSServiceRoleForAmazonConnectSynchronization_unique-id`
Peran terkait layanan **AWSServiceRoleForAmazonConnectSynchronization**awalan mempercayai layanan berikut untuk mengambil peran:
+ `synchronization.connect.amazonaws.com`
Kebijakan izin peran bernama [AmazonConnectSynchronizationServiceRolePolicy](security_iam_awsmanpol.md#amazonconnectsynchronizationservicerolepolicy)memungkinkan Sinkronisasi Terkelola untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Tindakan: Amazon Connect untuk semua sumber daya Amazon Connect
+ `connect:Create*`
+ `connect:Update*`
+ `connect:Delete*`
+ `connect:Describe*`
+ `connect:BatchCreate*`
+ `connect:BatchUpdate*`
+ `connect:BatchDelete*`
+ `connect:BatchDescribe*`
+ `connect:List*`
+ `connect:Search*`
+ `connect:Associate*`
+ `connect:Disassociate*`
+ `connect:Get*`
+ `connect:BatchGet*`
+ `connect:Import*`
+ `connect:TagResource`
+ `connect:UntagResource`
+ Tindakan: CloudWatch Metrik Amazon `cloudwatch:PutMetricData` untuk mempublikasikan metrik penggunaan Amazon Connect untuk instans ke akun Anda.
Kebijakan izin peran yang diberi nama [AmazonConnectSynchronizationServiceRolePolicy](security_iam_awsmanpol.md#amazonconnectsynchronizationservicerolepolicy)melarang Sinkronisasi Terkelola menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Tindakan: Amazon Connect untuk semua sumber daya Amazon Connect
+ `connect:Start*`
+ `connect:Stop*`
+ `connect:Resume*`
+ `connect:Suspend*`
+ `connect:*Contact`
+ `connect:*Contacts`
+ `connect:*ContactAttributes*`
+ `connect:*RealtimeContact*`
+ `connect:*AnalyticsData*`
+ `connect:*MetricData*`
+ `connect:*UserData*`
+ `connect:*ContactEvaluation`
+ `connect:*AttachedFile*`
+ `connect:UpdateContactSchedule`
+ `connect:UpdateContactRoutingData`
+ `connect:ListContactReferences`
+ `connect:CreateParticipant`
+ `connect:CreatePersistentContactAssociation`
+ `connect:CreateInstance`
+ `connect:DeleteInstance`
+ `connect:ListInstances`
+ `connect:ReplicateInstance`
+ `connect:GetFederationToken`
+ `connect:ClaimPhoneNumber`
+ `connect:ImportPhoneNumber`
+ `connect:ReleasePhoneNumber`
+ `connect:SearchAvailablePhoneNumbers`
+ `connect:CreateTrafficDistributionGroup`
+ `connect:DeleteTrafficDistributionGroup`
+ `connect:GetTrafficDistribution`
+ `connect:UpdateTrafficDistribution`
Anda harus mengonfigurasi izin agar pengguna, grup, atau peran Anda membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk Sinkronisasi Terkelola
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda mereplikasi instans Amazon Connect dengan menjalankan `ReplicateInstance` API, Sinkronisasi Terkelola akan membuat peran terkait layanan untuk Anda.
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda mereplikasi instans Amazon Connect lagi, Sinkronisasi Terkelola akan membuat peran terkait layanan untuk Anda lagi.
## Mengedit peran terkait layanan untuk Sinkronisasi Terkelola
Sinkronisasi Terkelola tidak memungkinkan Anda mengedit peran terkait layanan yang AWSService RoleForAmazonConnectSynchronization diawali. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk Sinkronisasi Terkelola
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya secara manual.
**catatan**
Jika layanan Sinkronisasi Terkelola menggunakan peran saat Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
**Untuk menghapus sumber daya Sinkronisasi Terkelola yang digunakan oleh peran AWSService RoleForAmazonConnectSynchronization awalan**
+ Hapus semua replika instans Amazon Connect untuk instance sumber.
**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran terkait layanan AWSService RoleForAmazonConnectSynchronization awalan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.
## Wilayah yang Didukung untuk peran terkait layanan Sinkronisasi Terkelola
Sinkronisasi Terkelola mendukung penggunaan peran terkait layanan di semua Wilayah tempat Amazon Connect Global Resiliency tersedia. Untuk informasi selengkapnya, lihat [Siapkan Ketahanan Global Amazon Connect](setup-connect-global-resiliency.md).
****
| Nama wilayah | Identitas wilayah | Support dalam Sinkronisasi Terkelola |
| --- | --- | --- |
| US East (Northern Virginia) | us-east-1 | Ya |
| US West (Oregon) | us-west-2 | Ya |