Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Limita AWS le risorse che possono essere associate ad Amazon Connect

Ogni istanza Amazon Connect è associata a un ruolo orientato ai servizi IAM al momento della creazione dell'istanza. Amazon Connect può integrarsi con altri servizi AWS per casi di utilizzo come lo storage delle registrazioni delle chiamate (bucket Amazon S3), i bot in linguaggio naturale (bot Amazon Lex) e lo streaming di dati (flusso di dati Amazon Kinesis). Amazon Connect assume il ruolo orientato ai servizi per interagire con questi altri servizi. La policy viene prima aggiunta al ruolo collegato al servizio come parte del corrispondente APIs servizio Amazon Connect (che a sua volta viene richiamato dalla console di AWS amministrazione). Ad esempio, se desideri utilizzare un determinato bucket Amazon S3 con la tua istanza Amazon Connect, il bucket deve essere passato all'API. AssociateInstanceStorageConfig

Per il set di azioni IAM definito da Amazon Connect, consulta Operazioni definite da Amazon Connect.

Di seguito sono riportati alcuni esempi di come limitare l'accesso ad altre risorse che possono essere associate a un'istanza Amazon Connect. Devono essere applicati all'utente o al ruolo che interagisce con Amazon Connect APIs o la console Amazon Connect.

Per ulteriori informazioni su quali risorse, chiavi di condizione e dipendenti APIs puoi utilizzare per limitare l'accesso, consulta Azioni, risorse e chiavi di condizione per Amazon Connect.

Esempio 1: limitazione dei bucket Amazon S3 che possono essere associati a un'istanza Amazon Connect

JSON

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "connect:UpdateInstanceStorageConfig",
        "connect:AssociateInstanceStorageConfig"
      ],
      "Resource": "arn:aws:connect:region:account-id:instance/instance-id",
      "Condition": {
        "StringEquals": {
          "connect:StorageResourceType": "CALL_RECORDINGS"
        }
      }
    },
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
        "iam:PutRolePolicy",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:iam::account-id:role/aws-service-role/connect.amazonaws.com/*",
        "arn:aws:s3:::amzn-s3-demo-bucket"
      ]
    },
    {
      "Sid": "VisualEditor2",
      "Effect": "Allow",
      "Action": "s3:ListAllMyBuckets",
      "Resource": "*"
    }
  ]
}

Questo esempio consente a un principale IAM di associare un bucket Amazon S3 per le registrazioni delle chiamate per l'ARN dell'istanza Amazon Connect specificata, oltre a un bucket Amazon S3 specifico denominato my-connect-recording-bucket. Le azioni AttachRolePolicy e PutRolePolicy rientrano nell'ambito del ruolo Amazon Connect orientato ai servizi (in questo esempio viene utilizzato un carattere jolly, ma puoi fornire il ruolo ARN per l'istanza, se necessario).

Esempio 2: limitazione delle funzioni AWS Lambda che possono essere associate a un'istanza Amazon Connect

AWS Lambda le funzioni sono associate a un'istanza Amazon Connect, ma il ruolo collegato al servizio Amazon Connect non viene utilizzato per richiamarle e quindi non viene modificato. Viene invece aggiunta una policy alla funzione tramite l'API lambda:AddPermission che consente all'istanza Amazon Connect specificata di richiamare la funzione.

Per limitare le funzioni che possono essere associate a un'istanza Amazon Connect, specifichi l'ARN della funzione Lambda che un utente può utilizzare per richiamare lambda:AddPermission:

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:AssociateLambdaFunction",
                "lambda:AddPermission"
            ],
            "Resource": [
                "arn:aws:connect:region:account-id:instance/instance-id",
                "arn:aws:lambda:*:*:function:my-function"      
            ]
        }
    ]
} 

Esempio 3: limitazione dei tipi di flussi di dati Amazon Kinesis che possono essere associati a un'istanza Amazon Connect

Il modello di questo esempio è simile all'esempio relativo ad Amazon S3. Limita i flussi di dati specifici di Kinesis che possono essere associati a una determinata istanza Amazon Connect per la distribuzione dei record dei contatti.

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:UpdateInstanceStorageConfig",
                "connect:AssociateInstanceStorageConfig"
            ],
            "Resource": "arn:aws:connect:region:account-id:instance/instance-id",
            "Condition": {
                "StringEquals": {
                    "connect:StorageResourceType": "CONTACT_TRACE_RECORDS"
                }
            }
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "kinesis:DescribeStream",
                "iam:PutRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::account-id:role/aws-service-role/connect.amazonaws.com/*",
                "arn:aws:kinesis:*:account-id:stream/stream-name"
            ]
        }, 
        {
            "Sid": "VisualEditor2",
            "Effect": "Allow",
            "Action":  "kinesis:ListStreams",
            "Resource": "*"            
        }
    ]
}