Applicare il controllo degli accessi basato su gerarchia in Amazon Connect - Amazon Connect
PanoramicaApplicare il controllo degli accessi basato su gerarchia tramite API/SDKApplica il controllo degli accessi basato sulla gerarchia utilizzando il sito Web di amministrazione Amazon ConnectLimitazioni di configurazioneBest practice per l’applicazione di controlli degli accessi basati su gerarchia

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Applicare il controllo degli accessi basato su gerarchia in Amazon Connect

Puoi limitare l’accesso ai contatti in base alla gerarchia di agenti assegnata a un utente. A tale scopo, puoi utilizzare le autorizzazioni del profilo di sicurezza, ad esempio Limita l’accesso ai contatti. Oltre a queste autorizzazioni, puoi anche utilizzare gerarchie, applicare controlli di accesso granulari per risorse come gli utenti e utilizzare tag.

In questo argomento vengono fornite informazioni sulla configurazione dei controlli degli accessi basati su gerarchia.

Panoramica

Il controllo degli accessi basato sulla gerarchia consente di configurare l'accesso granulare a risorse specifiche in base alla gerarchia degli agenti assegnata a un utente. È possibile configurare i controlli di accesso basati sulla gerarchia utilizzando il sito Web o l'amministratore. API/SDK Amazon Connect  

Gli utenti sono l’unica risorsa che supporta il controllo degli accessi basato su gerarchia. Questo modello di autorizzazione funziona con il controllo degli accessi basato su tag in modo da poter limitare l’accesso agli utenti, permettendo loro di vedere solo gli altri utenti che appartengono allo stesso gruppo gerarchico e a cui sono associati tag specifici.

Nota

Dopo aver applicato il controllo degli accessi basato su gerarchia agli utenti, questi possono accedere al proprio gruppo gerarchico e a tutti i relativi discendenti (oltre il livello secondario).

Applicare il controllo degli accessi basato su gerarchia tramite API/SDK

Per utilizzare le gerarchie per controllare l'accesso alle risorse all'interno AWS dei tuoi account, devi fornire le informazioni della gerarchia nell'elemento condition di una policy IAM. Ad esempio, per controllare l’accesso a un utente appartenente a una specifica gerarchia, utilizza la chiave di condizione connect:HierarchyGroupL3Id/hierarchyGroupId insieme a uno specifico operatore come StringEquals per specificare a quale gruppo gerarchico deve appartenere l’utente per consentire le azioni specificate.

Di seguito sono riportate le chiavi di condizione supportate:

  1. connect:HierarchyGroupL1Id/hierarchyGroupId

  2. connect:HierarchyGroupL2Id/hierarchyGroupId

  3. connect:HierarchyGroupL3Id/hierarchyGroupId

  4. connect:HierarchyGroupL4Id/hierarchyGroupId

  5. connect:HierarchyGroupL5Id/hierarchyGroupId

Ogni chiave rappresenta l’ID di un determinato gruppo gerarchico in uno specifico livello della struttura gerarchica dell’utente.

Applica il controllo degli accessi basato sulla gerarchia utilizzando il sito Web di amministrazione Amazon Connect

Per utilizzare le gerarchie per controllare l'accesso alle risorse del sito Web di Amazon Connect amministrazione, è necessario configurare la sezione di controllo degli accessi all'interno di un determinato profilo di sicurezza.

Ad esempio, per abilitare il controllo granulare degli accessi per un determinato utente in base alla gerarchia a cui appartiene, devi configurare l’utente come risorsa ad accesso controllato. A tale scopo, hai a disposizione le due seguenti opzioni:

  1. Applicare il controllo degli accessi basato su gerarchia in base alla gerarchia dell’utente

    Questa opzione garantisce che l’utente a cui viene concesso l’accesso possa gestire solo gli utenti che appartengono alla gerarchia in questione. Ad esempio, l’abilitazione di questa configurazione per un determinato utente consente a quest’ultimo di gestire altri utenti che appartengono al gruppo gerarchico dell’utente o a un gruppo gerarchico secondario.

  2. Applicare il controllo degli accessi basato su gerarchia in base a una gerarchia specifica

    Questa opzione garantisce che l’utente a cui viene concesso l’accesso possa gestire solo gli utenti che appartengono alla gerarchia definita nel profilo di sicurezza. Ad esempio, l’abilitazione di questa configurazione per un determinato utente consente a quest’ultimo di gestire altri utenti che appartengono al gruppo gerarchico specificato nel profilo di sicurezza o a un gruppo gerarchico secondario.

Limitazioni di configurazione

Il controllo degli accessi granulare è configurato in un profilo di sicurezza. Agli utenti possono essere assegnati al massimo due profili di sicurezza che applicano un controllo degli accessi granulare. In questo caso, le autorizzazioni diventano meno restrittive e agiscono come un’unione di entrambi i set di autorizzazioni.

Ad esempio, se un profilo di sicurezza applica il controllo degli accessi basato su gerarchia e un altro applica il controllo degli accessi basato su tag, l’utente può gestire qualsiasi utente appartenente alla stessa gerarchia o contrassegnato con il tag specificato. Se il controllo degli accessi basato su tag e quello basato su gerarchia sono configurati come parte dello stesso profilo di sicurezza, dovranno essere soddisfatte entrambe le condizioni. In questo caso, l’utente può gestire solo gli utenti che appartengono alla stessa gerarchia e che sono contrassegnati con un determinato tag. 

Un utente può avere altri profili di sicurezza, purché i profili aggiuntivi non prevedano l’applicazione del controllo degli accessi granulare. Se sono presenti più profili di sicurezza con autorizzazioni sovrapposte a livello delle risorse, viene applicato il profilo di sicurezza senza controllo degli accessi basato su gerarchia a scapito di quello con controllo degli accessi basato su gerarchia.

Per configurare il controllo degli accessi basato su gerarchia, sono necessari ruoli collegati al servizio. Se l’istanza in uso è stata creata dopo il mese di ottobre 2018, questa opzione è già disponibile per impostazione predefinita con l’istanza Amazon Connect. Se invece l’istanza è meno recente, consulta Uso di ruoli collegati al servizio per Amazon Connect per istruzioni su come abilitare ruoli collegati al servizio.

Best practice per l’applicazione di controlli degli accessi basati su gerarchia

  • Consulta il modello di responsabilità condivisa AWS.

    L'applicazione del controllo degli accessi basato sulla gerarchia è una funzionalità di configurazione avanzata supportata da Amazon Connect e che segue il modello di responsabilità AWS condivisa. È importante verificare di configurare correttamente l'istanza in modo da soddisfare le esigenze di autorizzazione desiderate.

  • Assicurati di aver abilitato almeno le autorizzazioni di visualizzazione per le risorse per cui abiliti il controllo degli accessi basato su gerarchia.

    In questo modo, eviterai incoerenze nelle autorizzazioni, che possono provocare il rifiuto delle richieste di accesso. I controlli degli accessi basati su gerarchia vengono abilitati a livello di risorsa, ovvero è possibile applicare restrizioni a ogni risorsa in modo indipendente.

  • Esamina attentamente le autorizzazioni concesse quando viene applicato il controllo degli accessi basato su gerarchia.

    Ad esempio, abilitando la gerarchia, l'accesso limitato agli utenti e view/edit permissions security profiles would allow a user to create/update un profilo di sicurezza con privilegi che sostituiscono le impostazioni di controllo dell'accesso utente previste.

    • Gli utenti a cui sono applicati controlli degli accessi basati su gerarchia che accedono alla console di Amazon Connect non potranno accedere ai log della cronologia delle modifiche per le risorse per cui sono soggetti a restrizioni.

    • Quando tenti di assegnare una risorsa secondaria a una risorsa principale con controllo degli accessi basato su gerarchia applicato alla risorsa secondaria, l’operazione verrà negata se la risorsa secondaria non appartiene alla tua gerarchia.

      Ad esempio, se tenti di assegnare un utente a una connessione rapida ma non hai accesso alla gerarchia dell’utente, l’operazione ha esito negativo. Questo non è tuttavia vero per le dissociazioni. Puoi liberamente annullare l’associazione di un utente anche con il controllo degli accessi basato su gerarchia applicato, presupponendo che tu abbia accesso alla connessione rapida. Questo perché le dissociazioni consistono nell’eliminazione di una relazione esistente (e non di nuove associazioni) tra due risorse e sono modellate come parte della risorsa principale (in questo caso, la connessione rapida), a cui l’utente ha già accesso.

  • Presta attenzione alle autorizzazioni concesse alle risorse principali, poiché l’associazione degli utenti potrebbe essere annullata all’insaputa dei rispettivi supervisori.

  • Disabilita l'accesso alle seguenti funzionalità quando applichi controlli di accesso basati sulla gerarchia nel sito Web di amministrazione. Amazon Connect

    Funzionalità Autorizzazione del profilo di sicurezza che disabilita l’accesso
    Ricerca contatti Ricerca contatti - Visualizza
    Report Login/Logout Report di Login/Logout - Visualizza
    Regole Regole – Visualizza
    Report salvati. Report salvati – Visualizza
    Gerarchia degli agenti Gerarchia di agenti - Visualizza
    Flusso/Modulo di flusso Moduli di flusso – Visualizza
    Pianificazione Gestore pianificazione – Visualizza

    Se non disabiliti l'accesso a queste risorse, gli utenti con controlli di accesso basati sulla gerarchia su una particolare risorsa che visualizzano queste pagine nel sito Web di Amazon Connect amministrazione potrebbero visualizzare un elenco di utenti senza restrizioni. Per ulteriori informazioni su come gestire le autorizzazioni, consulta Elenco delle autorizzazioni dei profili di sicurezza.