Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in Amazon Connect
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori di terze parti testano e verificano regolarmente l'efficacia della sicurezza come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/). Per ulteriori informazioni sui programmi di conformità che si applicano ad Amazon Connect, consulta [Servizi AWS coperti dal programma di conformità](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione aiuta a comprendere come applicare il modello di responsabilità condivisa quando si utilizza Amazon Connect. Gli argomenti seguenti descrivono come configurare Amazon Connect per soddisfare gli obiettivi di sicurezza e conformità. Scopri anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse Amazon Connect.
**Topics**
+ [Protezione dei dati in Amazon Connect](data-protection.md)
+ [Identity and Access Management per Amazon Connect](security-iam.md)
+ [Registrazione di log e monitoraggio di Amazon Connect](logging-and-monitoring.md)
+ [Aggiunta dei tag in Amazon Connect](tagging.md)
+ [Convalida della conformità in Amazon Connect](compliance-validation.md)
+ [Resilienza in Amazon Connect](disaster-recovery-resiliency.md)
+ [Sicurezza dell'infrastruttura in Amazon Connect](infrastructure-security.md)
+ [Prevenzione sostitutiva confusa tra diversi servizi in AWS](cross-service-confused-deputy-prevention.md)
+ [Best practice di sicurezza per Amazon Connect](security-best-practices.md)
+ [Impostazione delle restrizioni degli indirizzi IP e dei timeout delle sessioni in Amazon Connect](authentication-profiles.md)
# Protezione dei dati in Amazon Connect
Il [modello di responsabilità AWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati in Amazon Connect. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Amazon Connect o altro Servizi AWS utilizzando la console, l'API o AWS SDKs. AWS CLI I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
**Topics**
+ [Dati gestiti da Amazon Connect](data-handled-by-connect.md)
+ [Crittografia a riposo in Amazon Connect](encryption-at-rest.md)
+ [Crittografia in transito in Amazon Connect](encryption-in-transit.md)
+ [Gestione delle chiavi in Amazon Connect](key-management.md)
+ [Endpoint VPC (AWS PrivateLink)](vpc-interface-endpoints.md)
+ [Miglioramento del servizio e come rinunciare all'utilizzo dei dati per il miglioramento del servizio](data-opt-out.md)
# Dati gestiti da Amazon Connect
I dati contenuti in Amazon Connect sono separati in base all'ID dell' AWS account e all'ID dell'istanza Amazon Connect. Ciò garantisce che a poter accedere ai dati siano solo gli utenti autorizzati di un'istanza Amazon Connect specifica.
Amazon Connect gestisce una serie di dati relativi al contact center, tra cui, a titolo esemplificativo, le seguenti categorie.
+ **Risorse e configurazioni**: includono code, flussi, utenti, profili di routing e modelli di attività.
+ **Metadati di contatto**: includono il tempo di connessione, il tempo di gestione, il numero di origine (ANI), il numero di destinazione (DNIS) e gli attributi di contatto definiti dall'utente.
+ **Dati sulle prestazioni relativi agli agenti**: includono l'ora di accesso, le modifiche allo stato e i contatti gestiti.
+ **Streaming audio delle chiamate telefoniche**: se abilitato, include anche le registrazioni delle chiamate.
+ **Trascrizioni chat**: sono incluse solo se abilitate.
+ **Registrazioni dello schermo**: sono incluse solo se abilitate nei flussi.
+ **Allegati**: sono inclusi solo se abilitati a livello di istanza.
+ **Configurazione dell'integrazione**: include il nome, la descrizione e i metadati definiti dall'utente durante la creazione dell'integrazione con applicazioni esterne.
+ **Documenti di conoscenza**: includono i documenti utilizzati dagli agenti per gestire i contatti.
+ **Impronte vocali**: quando Amazon Connect Voice ID è abilitato, viene creata un'impronta vocale dalla voce del cliente per consentirne l'autenticazione in futuro. Analogamente, viene creata un'impronta vocale durante la registrazione di un truffatore nel sistema Voice ID per il rilevamento di future frodi.
+ **Audio dell'oratore e del truffatore**: quando Amazon Connect Voice ID è abilitato, l'audio utilizzato per registrare i parlanti e i truffatori viene archiviato in modo che Voice ID possa registrarli nuovamente in futuro, quando necessario.
+ **Previsioni, pianificazioni della capacità e calendarizzazioni**: sono incluse solo se abilitate e create.
Amazon Connect archivia le seguenti informazioni di identificazione personale (PII) relative ai tuoi clienti:
+ Numero di telefono del cliente: ANI per le chiamate in entrata e DNIS per le chiamate in uscita o i trasferimenti.
+ Se utilizzi Profili cliente Amazon Connect, questi dati potrebbero essere potenzialmente informazioni di identificazione personale. Questi dati vengono crittografati sempre a riposo utilizzando una chiave gestita dal cliente o una Chiave di proprietà di AWS. I dati di Profili cliente Amazon Connect sono separati in base all'ID dell'account AWS e al dominio. Più istanze Amazon Connect possono condividere un unico dominio di Profili cliente.
+ Per le campagne in uscita, Amazon Pinpoint trasmette i numeri di telefono dei clienti e gli attributi pertinenti ad Amazon Connect. Sul lato Amazon Connect, questi dati sono sempre crittografati quando sono a riposo utilizzando una chiave gestita dal cliente o una Chiave di proprietà di AWS. I dati delle campagne in uscita sono segregati tramite l'ID dell'istanza Amazon Connect e crittografati con chiavi specifiche dell'istanza.
## Dati delle applicazioni esterne
Amazon ti AppIntegrations consente l'integrazione con applicazioni esterne. Memorizza riferimenti ad altre AWS risorse e metadati specifici del servizio client. Nessun dato viene archiviato se non in modo incidentale durante l'elaborazione. Quando si esegue la sincronizzazione periodica dei dati con un servizio Amazon Connect, tali dati vengono crittografati con una chiave gestita dal cliente e archiviati temporaneamente per un mese.
## Supporto multimediale per telefonate
Amazon Connect si trova nel percorso audio per le chiamate gestite dal servizio. È quindi responsabile dell'affidabilità del flusso multimediale della chiamata tra i partecipanti. Ciò può includere l'audio tra un cliente e un flusso/IVR, l'audio tra un cliente e un agente o l'audio tra più parti in una conferenza o durante un trasferimento. Esistono due tipi di telefonate:
+ Chiamate PSTN. Sono incluse le chiamate dei clienti in entrata, le chiamate in uscita effettuate dagli agenti ai clienti e le chiamate al telefono fisico di un agente, se questa opzione è stata abilitata nel Pannello di controllo contatti (CCP).
+ Chiamate tramite softphone inserite nel browser dell'agente.
Le chiamate PSTN sono collegate tra Amazon Connect e vari operatori di telecomunicazioni utilizzando circuiti privati mantenuti tra Amazon Connect e i nostri fornitori o la connettività Internet AWS esistente. Per le chiamate PSTN instradate su Internet pubblico, la segnalazione viene crittografata con TLS e il supporto multimediale audio viene crittografato con SRTP.
Le chiamate softphone vengono stabilite verso il browser dell'agente con una connessione crittografata WebSocket tramite TLS. Il traffico multimediale audio verso il browser viene crittografato in transito utilizzando DTLS-SRTP.
## Registrazioni delle chiamate e registrazioni dello schermo
A livello di istanza, per impostazione predefinita, le funzionalità di registrazione delle chiamate e di registrazione dello schermo sono disponibili quando per tali istanze viene creato un bucket Amazon S3. Puoi stabilire quali contatti devono essere registrati specificandoli nei flussi. Ciò consente un controllo più dettagliato sui contatti registrati.
Tieni presente il seguente comportamento per le registrazioni delle chiamate:
+ La funzionalità di registrazione delle chiamate consente di scegliere se registrare l’audio del cliente e del sistema durante le interazioni IVR o qualsiasi combinazione di cliente, agente o entrambi durante le interazioni con gli agenti.
+ Per ogni contatto sono disponibili due possibili registrazioni: una per le interazioni automatiche (ovvero, IVR) e una per le interazioni con gli agenti. L’abilitazione o la disabilitazione della registrazione per le interazioni automatiche ha effetto immediato. Invece, la modifica della registrazione per le interazioni con l’agente ha effetto solo dopo che l’agente si è unito alla chiamata.
+ L’audio dell’agente NON viene trasmesso ad Amazon Connect quando l’agente non è impegnato in una chiamata. Il 9 novembre 2023, Amazon Connect ha distribuito un’ottimizzazione per migliorare la produttività degli agenti che prevede la preconfigurazione del flusso multimediale del microfono del browser dell’agente prima che arrivi il contatto. Ciò riduce i tempi di configurazione per le chiamate in entrata e in uscita. Di conseguenza, l’icona del microfono nel browser dell’agente sembra attiva, anche quando l’operatore non è impegnato in una chiamata.
+ Quando un cliente è in attesa, l’agente viene comunque registrato.
+ La conversazione di trasferimento tra agenti viene registrata.
+ Quando una chiamata viene trasferita durante un flusso o un’interazione IVR (ad esempio, utilizzando il blocco Trasferisci al numero di telefono), la registrazione continua a registrare ciò che il cliente dice e sente anche dopo il trasferimento a un sistema vocale esterno.
+ Eventuali trasferimenti a numeri esterni durante l’interazione con l’agente non vengono registrati dopo che l’agente ha concluso la chiamata.
+ Se un partecipante disattiva il microfono, ad esempio per consultare un collega seduto accanto a lui, la conversazione nella barra laterale non viene registrata.
Lo schermo dell'agente viene registrato solo se il contatto è abilitato alla registrazione dello schermo. La registrazione dello schermo inizia quando l'agente accetta un contatto e termina quando l'agente completa le attività successive al contatto. La registrazione dello schermo supporta i canali voce, chat e attività.
**Importante**
Durante una videochiamata o una sessione di condivisione dello schermo, gli agenti possono vedere il video o lo schermo condiviso dal cliente anche quando il cliente è in attesa. È responsabilità del cliente gestire le PII di conseguenza. Se desideri modificare questo comportamento, puoi creare un CCP e un widget di comunicazione personalizzati. Per ulteriori informazioni, consulta [Integrare le chiamate in-app, web e video e la condivisione dello schermo in modo nativo in un’applicazione](config-com-widget2.md).
È possibile limitare l'accesso alle registrazioni delle chiamate e dello schermo in base alle autorizzazioni dell'utente. Le registrazioni possono essere ricercate e riprodotte all'interno del Amazon Connect sito Web di amministrazione.
### Archiviazione delle registrazioni delle chiamate e delle registrazioni dello schermo
Le registrazioni delle chiamate e dello schermo vengono archiviate in due fasi:
+ Registrazioni intermedie conservate in Amazon Connect durante e dopo la chiamata, ma prima del recapito.
+ Registrazioni recapitate al bucket Amazon S3.
Le registrazioni archiviate nel bucket Amazon S3 vengono protette utilizzando una chiave KMS configurata al momento della creazione dell'istanza.
Mantieni in ogni momento il pieno controllo sulla sicurezza delle registrazioni delle chiamate recapitate al bucket Amazon S3.
### Accesso alle registrazioni delle chiamate e dello schermo
È possibile cercare e ascoltare le registrazioni delle chiamate o vedere le registrazioni dello schermo utilizzando Amazon Connect. Per determinare quali utenti possono eseguire questa operazione, assegna loro le autorizzazioni appropriate all'interno dei profili di sicurezza. Se AWS CloudTrail abilitato, l'accesso a registrazioni specifiche da parte degli utenti di Amazon Connect viene acquisito in CloudTrail.
Le funzionalità di Amazon S3 e IAM ti offrono il pieno controllo di chi ha accesso ai dati di registrazione delle chiamate. AWS KMS
## Metadati dei contatti
Amazon Connect archivia i metadati relativi ai contatti che vengono trasmessi nel sistema e consente agli utenti autorizzati di accedere a queste informazioni. La funzionalità Ricerca contatti consente di cercare e visualizzare i dati di contatto, ad esempio i numeri telefonici di emissione o altri attributi impostati dal flusso di contatti associati a un contatto per scopi di diagnostica o reporting.
I dati di contatto archiviati in Amazon Connect classificati come informazioni di identificazione personale (PII) vengono crittografati quando sono a riposo utilizzando una chiave limitata nel tempo e specifica per l'istanza Amazon Connect. In particolare, il numero di telefono di emissione del cliente viene crittografato con una chiave specifica per l'istanza per consentirne l'utilizzo durante la ricerca dei contatti. Per la ricerca dei contatti, la chiave di crittografia non è sensibile al fattore tempo.
I seguenti dati archiviati da Amazon Connect sono trattati come sensibili:
+ Numero di telefono di emissione
+ Numero di telefono in uscita
+ Numeri esterni composti dagli agenti per i trasferimenti
+ Numeri esterni trasferiti da un flusso
+ Nome del contatto
+ Descrizione del contatto
+ Tutti gli attributi del contatto
+ Tutti i riferimenti del contatto
## Contact Lens elaborazione in tempo reale di
I contenuti elaborati in tempo reale da Contact Lens vengono crittografati a riposo e in transito. I dati sono crittografati con chiavi di proprietà di Contact Lens.
Contact Lens mantiene i dati (trascrizione, nomi delle categorie, ecc.) sul lato Amazon Connect per un breve periodo di tempo. Questo serve a garantire che l’API fornisca i dati in modo continuo, fino a 24 ore dopo la terminazione del contatto.
## Impronte vocali e registrazioni audio in Voice ID
Quando è abilitato, Amazon Connect Voice ID calcola le impronte vocali a partire dal cliente che parla, così da essere in grado di autenticarlo in futuro, e archivia i dati. In maniera simile, quando abiliti il rilevamento delle frodi, archivia l'impronta vocale di tutti i truffatori registrate in Voice ID.
Quando iscrivi un cliente in Voice ID per finalità di autenticazione e rilevamento delle frodi, devi specificare un `CustomerSpeakerId` per quella persona. Poiché Voice ID archivia le informazioni biometriche di ogni interlocutore, è fortemente consigliato utilizzare un identificatore che non contenga informazioni PII nel campo `CustomerSpeakerId`.
## Audio di un interlocutore o di un truffatore
Quando è abilitato, Amazon Connect Voice ID, archivia una versione compatta dell'audio (enunciazioni della chiamata) che ha aggregato durante la registrazione di un interlocutore o di un truffatore. Questo audio verrà utilizzato in futuro ogni volta che sarà necessario rigenerare le impronte vocali di parlanti e truffatori. I dati vengono mantenuti fino all'eliminazione dell'interlocutore/del truffatore. L'audio originale utilizzato per l'iscrizione o la valutazione viene eliminato dopo un periodo di conservazione di 24 ore.
I dati vengono conservati fino a quando non speaker/fraudster vengono eliminati o disattivati.
## Campagne in uscita
Per le campagne in uscita, Amazon Pinpoint trasmette i numeri di telefono dei clienti e gli attributi pertinenti ad Amazon Connect. In Amazon Connect, questi dati sono sempre crittografati quando sono a riposo utilizzando una chiave gestita dal cliente o una Chiave di proprietà di AWS. I dati delle campagne in uscita sono segregati tramite l'ID dell'istanza Amazon Connect e crittografati con chiavi specifiche dell'istanza.
## Modelli di attività
Qualsiasi elaborazione delle risorse del modello di attività in Amazon Connect è crittografata a riposo e in transito. I dati vengono crittografati con un. AWS KMS key
## Previsioni, pianificazioni della capacità e calendarizzazioni
Durante la generazione di previsioni, piani di capacità e calendarizzazioni, i dati sono sempre crittografati quando sono a riposo e in transito. I dati vengono crittografati con un AWS KMS key.
# Crittografia a riposo in Amazon Connect
I dati di contatto classificati come PII, o i dati che rappresentano i contenuti dei clienti archiviati da Amazon Connect, vengono crittografati quando sono inattivi (ovvero prima di essere inseriti, archiviati o salvati su disco) utilizzando chiavi di AWS KMS crittografia di proprietà di. AWS Per informazioni sulle AWS KMS chiavi, consulta [Cos'è AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) nella *Guida per gli AWS Key Management Service sviluppatori*. I dati di contatto nell'archiviazione non temporanea sono crittografati in modo tale che le chiavi di crittografia dei dati generate dalle chiavi KMS non vengano condivise tra le istanze Amazon Connect.
La crittografia lato server Amazon S3 viene utilizzata per crittografare le registrazioni di conversazioni (voce e chat). Le registrazioni delle chiamate, dello schermo e le trascrizioni vengono archiviate in due fasi:
+ Registrazioni intermedie conservate in Amazon Connect durante e dopo la chiamata, ma prima del recapito.
+ Registrazioni recapitate al bucket Amazon S3.
Le registrazioni e le trascrizioni delle chat archiviate nel bucket Amazon S3 vengono protette utilizzando una chiave KMS configurata al momento della creazione dell'istanza.
Per ulteriori informazioni sulla gestione delle chiavi in Amazon Connect, consulta [Gestione delle chiavi in Amazon Connect](key-management.md).
**Topics**
+ [Amazon AppIntegrations](#encryption-at-rest-appintegrations)
+ [Amazon Connect Cases](#encryption-at-rest-cases)
+ [Amazon Connect Customer Profiles](#encryption-at-rest-customer-profiles)
+ [Connect AI agent](#encryption-at-rest-wisdom)
+ [Crittografia a riposo di Amazon Connect Voice ID](#encryption-at-rest-voiceid)
+ [Crittografia delle campagne in uscita a riposo](#encryption-at-rest-outboundcommunications)
+ [Previsioni, pianificazioni della capacità e calendarizzazioni](#forecasts-encryption-at-rest-)
## Crittografia AppIntegrations dei dati Amazon a riposo
Quando crei una chiave DataIntegration crittografata con una chiave gestita dal cliente, Amazon AppIntegrations crea una sovvenzione per tuo conto inviando una `CreateGrant` richiesta a AWS KMS. Le sovvenzioni AWS KMS vengono utilizzate per consentire ad Amazon di AppIntegrations accedere a una chiave KMS nel tuo account.
Puoi revocare l'accesso alla concessione o rimuovere l'accesso di Amazon AppIntegrations alla chiave gestita dal cliente in qualsiasi momento. In tal caso, Amazon non AppIntegrations può accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influisce sulle operazioni che dipendono da tali dati.
I dati delle applicazioni esterne che Amazon AppIntegrations elabora sono crittografati a riposo in un bucket S3 utilizzando la chiave gestita dal cliente che hai fornito durante la configurazione. I dati di configurazione dell'integrazione vengono crittografati quando sono a riposo utilizzando una chiave limitata nel tempo e specifica per l'account dell'utente.
Amazon AppIntegrations richiede la concessione per utilizzare la chiave gestita dal cliente per le seguenti operazioni interne:
+ Invia `GenerateDataKeyRequest` AWS KMS a per generare chiavi dati crittografate dalla chiave gestita dal cliente.
+ Invia `Decrypt` richieste a per AWS KMS decrittografare le chiavi dati crittografate in modo che possano essere utilizzate per crittografare i tuoi dati.
## Casi Amazon Connect: crittografia dei dati a riposo
Tutti i dati forniti dal cliente nei campi dei casi, nei commenti ai casi, nelle descrizioni dei campi e nei modelli archiviati da Amazon Connect Cases sono crittografati quando sono inattivi utilizzando chiavi di crittografia memorizzate in AWS Key Management Service (AWS KMS).
Il servizio Amazon Connect Cases possiede, gestisce, monitora e ruota le chiavi di crittografia (ovvero Chiavi di proprietà di AWS) per soddisfare gli elevati standard di sicurezza. Il payload dei flussi di eventi del caso viene temporaneamente (in genere per alcuni secondi) archiviato in Amazon EventBridge prima di essere reso disponibile tramite il bus predefinito nell'account del cliente. EventBridge crittografa inoltre l'intero payload a riposo utilizzando. Chiavi di proprietà di AWS
## Crittografia a riposo di Profili cliente Amazon Connect
Tutti i dati utente archiviati in Profili cliente Amazon Connect sono crittografati a riposo. La crittografia dei profili dei clienti di Amazon Connect a riposo offre una maggiore sicurezza crittografando tutti i dati archiviati utilizzando chiavi di crittografia archiviate in AWS Key Management Service (AWS KMS). Questa funzionalità consente di ridurre gli oneri operativi e la complessità associati alla protezione dei dati sensibili. La crittografia dei dati inattivi consente di creare applicazioni ad alto livello di sicurezza che rispettano rigorosi requisiti normativi e di conformità per la crittografia.
Le policy aziendali, le normative di settore e del governo e i requisiti di conformità spesso esigono l'uso della crittografia dei dati inattivi per aumentare la sicurezza dei dati delle applicazioni. Customer Profiles è integrata con AWS KMS la strategia di crittografia a riposo per abilitarne la crittografia. Per ulteriori informazioni, consulta [Concetti di AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) nella Guida per gli sviluppatori di AWS Key Management Service .
Quando si crea un nuovo dominio, è necessario fornire una [chiave KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys) che il servizio utilizzerà per crittografare i dati in transito e a riposo. La chiave gestita dal cliente viene creata e gestita dall'utente ed è di sua proprietà. Hai il pieno controllo della chiave gestita dal cliente (a AWS KMS pagamento).
È possibile specificare una chiave di crittografia quando si crea un nuovo dominio o si passa da una chiave di crittografia all'altra su una risorsa esistente utilizzando l'Interfaccia a riga di comando AWS (AWS CLI) o l'API di crittografia di Profili cliente Amazon Connect. Quando scegli una chiave gestita dal cliente, Profili cliente Amazon Connect crea una concessione per la chiave gestita dal cliente affinché possa accedere a tale chiave.
AWS KMS si applicano costi per una chiave gestita dal cliente. Per ulteriori informazioni sui prezzi, consulta [Prezzi di AWS KMS](https://aws.amazon.com/kms/pricing/).
## Connect AI Agents (crittografia inattiva)
Tutti i dati utente archiviati negli agenti Connect AI sono crittografati quando sono inattivi utilizzando chiavi di crittografia archiviate in AWS Key Management Service. Se fornisci facoltativamente una chiave gestita dal cliente, gli agenti di Connect AI la utilizzano per crittografare i contenuti delle conoscenze archiviati inattivi al di fuori degli indici di ricerca degli agenti Connect AI. Gli agenti Connect AI utilizzano indici di ricerca dedicati per cliente e vengono crittografati quando sono inattivi utilizzando lo storage Chiavi di proprietà di AWS in AWS Key Management Service. Inoltre, puoi utilizzarlo CloudTrail per controllare qualsiasi accesso ai dati utilizzando gli agenti Connect AI APIs.
AWS KMS si applicano dei costi quando si utilizza una chiave fornita dall'utente. Per ulteriori informazioni sui prezzi, consulta [Prezzi di AWS KMS](https://aws.amazon.com/kms/pricing/).
## Crittografia a riposo di Amazon Connect Voice ID
Amazon Connect Voice ID archivia le impronte vocali dei clienti che non possono essere sottoposte a reverse engineering per ottenere la voce del cliente registrato o identificare un cliente. Tutti i dati utente archiviati in Amazon Connect Voice ID sono crittografati a riposo. Quando si crea un nuovo dominio Voice ID, è necessario fornire una chiave offerta dal cliente che il servizio utilizza per crittografare i dati a riposo. La chiave gestita dal cliente viene creata e gestita dall'utente ed è di sua proprietà. Hai il controllo completo della chiave.
Puoi aggiornare la chiave KMS nel dominio Voice ID utilizzando il `update-domain` AWS comando in Command Line Interface (AWS CLI) o [UpdateDomain](https://docs.aws.amazon.com/voiceid/latest/APIReference/API_UpdateDomain.html)l'API Voice ID.
Quando modifichi la chiave KMS, verrà avviato un processo asincrono per crittografare nuovamente i vecchi dati con la nuova chiave KMS. Al termine di questo processo, tutti i dati del dominio saranno crittografati con la nuova chiave KMS e potrai ritirare la vecchia chiave in tutta sicurezza. Per ulteriori informazioni, consulta [UpdateDomain](https://docs.aws.amazon.com/voiceid/latest/APIReference/API_UpdateDomain.html).
Voice ID crea una concessione che consente all'utente di accedere alla chiave gestita dal cliente. Per ulteriori informazioni, consulta [In che modo Amazon Connect Voice ID utilizza le sovvenzioni in AWS KMS](#voiceid-uses-grants).
Di seguito è riportato un elenco di dati crittografati a riposo utilizzando la chiave gestita dal cliente:
+ **Impronte vocali**: le impronte vocali generate durante la registrazione dei parlanti e dei truffatori nel sistema.
+ **Audio degli oratori e dei truffatori**: i dati audio utilizzati per registrare i parlanti e i truffatori.
+ **CustomerSpeakerId**: Fornita dal cliente SpeakerId durante la registrazione del cliente a Voice ID.
+ **Metadati forniti dal cliente**: includono stringhe in formato libero, come `Domain` `Description`, `Domain Name`, `Job Name` e altre.
AWS KMS si applicano costi per una chiave gestita dal cliente. Per ulteriori informazioni sui prezzi, consulta [Prezzi di AWS KMS](https://aws.amazon.com/kms/pricing/).
### In che modo Amazon Connect Voice ID utilizza le sovvenzioni in AWS KMS
Amazon Connect Voice ID richiede una concessione per utilizzare la chiave gestita dal cliente. Quando crei un dominio, Voice ID crea una concessione per tuo conto inviando una [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)richiesta di visualizzazione a AWS KMS. La concessione richiede l'utilizzo della chiave gestita dal cliente per le seguenti operazioni interne:
+ Invia [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)richieste AWS KMS a per verificare che l'ID della chiave simmetrica gestita dal cliente fornito sia valido.
+ Invia [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)le richieste alla chiave KMS per creare chiavi di dati con cui crittografare gli oggetti.
+ Invia richieste [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) a per AWS KMS decrittografare le chiavi di dati crittografate in modo che possano essere utilizzate per crittografare i dati.
+ Invia [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)le richieste a AWS KMS quando la chiave viene aggiornata per crittografare nuovamente un set limitato di dati utilizzando la nuova chiave.
+ Archivia i file in S3 utilizzando la AWS KMS chiave per crittografare i dati.
Puoi revocare l'accesso alla concessione o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. In tal caso, Voice ID non sarà in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente; ciò influisce su tutte le operazioni che dipendono da tali dati, generando errori `AccessDeniedException` e interruzioni nei flussi di lavoro asincroni.
### Policy della chiave gestita dal cliente per Voice ID
Le policy della chiave controllano l’accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, è possibile specificare una policy della chiave. Per ulteriori informazioni, consulta [Gestione dell'accesso alle chiavi KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) nella *Guida per gli sviluppatori di AWS Key Management Service *.
Di seguito è riportato un esempio di politica chiave che fornisce a un utente le autorizzazioni necessarie per chiamare tutti i Voice ID APIs utilizzando la chiave gestita dal cliente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow key access to Amazon Connect VoiceID.",
"Effect": "Allow",
"Principal": {
"AWS": "your_user_or_role_ARN"
},
"Action": [
"kms:CreateGrant",
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"voiceid.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
Per informazioni su come specificare le autorizzazioni in una policy, consulta [Specificare le chiavi KMS nelle istruzioni delle policy IAM nella Developer Guide](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html). AWS Key Management Service
Per informazioni sulla risoluzione dei problemi di accesso tramite chiave, consulta [Risoluzione dei problemi di accesso tramite chiave](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) nella Guida per gli sviluppatori. AWS Key Management Service
### Contesto di crittografia per Voice ID
Un [contesto di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) è un insieme opzionale di coppie chiave-valore che contengono informazioni contestuali aggiuntive sui dati. AWS KMS [utilizza il contesto di crittografia come [dati autenticati aggiuntivi per supportare la crittografia autenticata](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html).](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html#digital-sigs)
Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS lega il contesto di crittografia ai dati crittografati. Per decrittografare i dati, nella richiesta deve essere incluso lo stesso contesto di crittografia.
Voice ID utilizza lo stesso contesto di crittografia in tutte le operazioni AWS KMS crittografiche, in cui la chiave è `aws:voiceid:domain:arn` e il valore è la risorsa Amazon Resource Name (ARN) [Amazon Resource Name (ARN](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)).
```
"encryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
}
```
È inoltre possibile utilizzare il contesto di crittografia nei record e nei log di audit per identificare come viene utilizzata la chiave gestita dal cliente. Il contesto di crittografia appare anche nei log generati da CloudTrail o Amazon CloudWatch Logs.
#### Utilizzo del contesto di crittografia per controllare l’accesso alla chiave gestita dal cliente
È possibile utilizzare il contesto di crittografia nelle policy delle chiavi e nelle policy IAM come condizioni per controllare l’accesso alla chiave simmetrica gestita dal cliente. È possibile utilizzare i vincoli del contesto di crittografia in una concessione.
Amazon Connect Voice ID utilizza un vincolo del contesto di crittografia nelle concessioni per controllare l'accesso alla chiave gestita dal cliente nel tuo account o nella tua regione. Il vincolo della concessione richiede che le operazioni consentite dalla concessione utilizzino il contesto di crittografia specificato.
Di seguito sono riportati alcuni esempi di istruzioni delle policy della chiave per concedere l’accesso a una chiave gestita dal cliente per un contesto di crittografia specifico. Questa istruzione della policy impone come condizione che le concessioni abbiano un vincolo che specifica il contesto di crittografia.
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId""
}
}
}
```
### Monitoraggio delle chiavi di crittografia per Voice ID
Quando utilizzi una chiave gestita AWS KMS dal cliente con Voice ID, puoi utilizzare [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) per tenere traccia delle richieste a cui Voice ID invia. AWS KMS
Gli esempi seguenti sono un esempio di AWS CloudTrail evento di un'`CreateGrant`operazione chiamata da Voice ID per accedere ai dati crittografati dalla chiave gestita dal cliente:
------
#### [ CreateGrant ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA5STZEFPSZEOW7NP3X:SampleUser1",
"arn": "arn:aws:sts::111122223333:assumed-role/SampleRole/SampleUser",
"accountId": "111122223333",
"accessKeyId": "AAAAAAA1111111EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA5STZEFPSZEOW7NP3X",
"arn": "arn:aws:iam::111122223333:role/SampleRole",
"accountId": "111122223333",
"userName": "SampleUser"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2021-09-14T23:02:23Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-09-14T23:02:50Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "SampleIpAddress",
"userAgent": "Example Desktop/1.0 (V1; OS)",
"requestParameters": {
"constraints": {
"encryptionContextSubset": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
}
},
"retiringPrincipal": "voiceid.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"operations": [
"CreateGrant",
"Decrypt",
"DescribeKey",
"GenerateDataKey",
"GenerateDataKeyPair",
"GenerateDataKeyPairWithoutPlaintext",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo"
],
"granteePrincipal": "voiceid.amazonaws.com "
},
"responseElements": {
"grantId": "00000000000000000000000000000cce47be074a8c379ed39f22b155c6e86af82"
},
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ DescribeKey ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-10-13T15:12:39Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "voiceid.amazonaws.com",
"userAgent": "voiceid.amazonaws.com",
"requestParameters": {
"keyId": "alias/sample-key-alias"
},
"responseElements": null,
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": true,
"resources": [{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-10-12T23:59:34Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "voiceid.amazonaws.com",
"userAgent": "voiceid.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"encryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": true,
"resources": [{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKeyWithoutPlaintext ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-10-13T00:26:41Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "voiceid.amazonaws.com",
"userAgent": "voiceid.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"encryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
},
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": true,
"resources": [{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
"eventCategory": "Management"
}
```
------
#### [ ReEncrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "voiceid.amazonaws.com"
},
"eventTime": "2021-10-13T00:59:05Z",
"eventSource": "kms.amazonaws.com",
"eventName": "ReEncrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "voiceid.amazonaws.com",
"userAgent": "voiceid.amazonaws.com",
"requestParameters": {
"destinationEncryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
},
"destinationKeyId": "arn:aws:kms:us-west-2:111122223333:key/44444444-3333-2222-1111-EXAMPLE11111",
"sourceEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"sourceAAD": "SampleSourceAAAD+JXBmH+ZJNM73BfHE/dwQALXp7Sf44VwvoJOrLj",
"destinationAAD": "SampleDestinationAAAD+JXBmH+ZJNM73BfHE/dwQALXp7Sf44VwvoJOrLj",
"sourceEncryptionContext": {
"aws:voiceid:domain:arn": "arn:aws:voiceid:us-west-2:111122223333:domain/sampleDomainId"
},
"destinationEncryptionAlgorithm": "SYMMETRIC_DEFAULT",
"sourceKeyId": "arn:aws:kms:us-west-2:111122223333:key/55555555-3333-2222-1111-EXAMPLE22222"
},
"responseElements": null,
"requestID": "ed0fe4ab-305b-4388-8adf-7e8e3a4e80fe",
"eventID": "31d0d7c6-ce5b-4caf-901f-025bf71241f6",
"readOnly": true,
"resources": [{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-9999999999999"
},
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/00000000-1111-2222-3333-7777777777777"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "35d58aa1-26b2-427a-908f-025bf71241f6",
"eventCategory": "Management"
}
```
------
## Crittografia delle campagne in uscita a riposo
Le campagne in uscita memorizzano i numeri di telefono dei clienti e gli attributi pertinenti. Queste informazioni vengono crittografate sempre a riposo utilizzando una chiave gestita dal cliente o una chiave di proprietà di AWS . I dati sono separati dall'ID dell' Amazon Connect istanza e crittografati da chiavi specifiche dell'istanza.
Puoi fornire la tua chiave gestita dal cliente al momento dell’onboarding nelle campagne in uscita.
Il servizio utilizza questa chiave gestita dal cliente per crittografare i dati sensibili a riposo. Questa chiave viene creata e gestita dall’utente ed è di sua proprietà, per il controllo completo sul suo utilizzo e sulla sua sicurezza.
Se non fornisci la tua chiave gestita dal cliente, Outbound Campaigns crittografa i dati sensibili inattivi utilizzando una chiave AWS proprietaria specifica per la tua Amazon Connect istanza. Non puoi visualizzare, gestire, utilizzare o controllare le chiavi AWS di proprietà. Tuttavia, non devi eseguire alcuna azione o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati. Per ulteriori informazioni, consulta le [chiavi di proprietàAWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service *.
AWS KMS si applicano costi per una chiave gestita dal cliente. Per ulteriori informazioni sui prezzi, consulta [Prezzi di AWS KMS](https://aws.amazon.com/kms/pricing/).
### In che modo le campagne outbound utilizzano le sovvenzioni in AWS KMS
Outbound Campaigns richiede una concessione per utilizzare la chiave gestita dal cliente. Quando ti iscrivi a campagne in uscita utilizzando la AWS console o l'`StartInstanceOnboardingJob`API, Outbound Campaigns crea una sovvenzione per tuo conto inviando una richiesta a. `CreateGrant` AWS KMS Le sovvenzioni AWS KMS vengono utilizzate per consentire al ruolo collegato al servizio di Amazon Connect Outbound Campaigns di accedere a una chiave KMS nel tuo account.
Outbound Campaigns richiede la concessione per utilizzare la chiave gestita dal cliente per le seguenti operazioni interne:
+ Invia [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)richieste AWS KMS a per verificare che l'ID della chiave gestita dal cliente simmetrico fornito sia valido.
+ Invio di una richiesta `GenerateDataKeyWithoutPlainText` a AWS KMS per generare chiavi dati crittografate dalla chiave gestita dal cliente.
+ Invia `Decrypt` richieste a per AWS KMS decrittografare le chiavi di dati crittografate in modo che possano essere utilizzate per crittografare i dati.
Puoi revocare l’accesso alla concessione o rimuovere l’accesso alla chiave gestita dal cliente da parte di Outbound Campaigns in qualsiasi momento. In tal caso, Outbound Campaigns non sarà in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, influenzando le operazioni che dipendono da quei dati.
### Policy delle chiavi gestite dal cliente per le campagne in uscita
Le policy della chiave controllano l’accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, è possibile specificare una policy della chiave. Per ulteriori informazioni, consulta [Gestione dell'accesso alle chiavi KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) nella *Guida per gli sviluppatori di AWS Key Management Service *.
Di seguito è riportato un esempio di policy chiave che fornisce a un utente le autorizzazioni necessarie per chiamare le campagne in uscita [PutDialRequestBatch](https://docs.aws.amazon.com/connect/latest/APIReference/API_connect-outbound-campaigns_PutDialRequestBatch.html)e un'[PutOutboundRequestBatch](https://docs.aws.amazon.com/connect/latest/APIReference/API_connect-outbound-campaigns_PutOutboundRequestBatch.html)API che utilizza la chiave [StartInstanceOnboardingJob](https://docs.aws.amazon.com/connect/latest/APIReference/API_connect-outbound-campaigns_StartInstanceOnboardingJob.html)gestita dal cliente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow key access to Amazon Connect outbound campaigns.",
"Effect": "Allow",
"Principal": {
"AWS": "your_user_or_role_ARN"
},
"Action": [
"kms:Decrypt",
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "connect-campaigns.us-east-1.amazonaws.com",
"kms:EncryptionContext:aws:accountId": "111122223333",
"kms:EncryptionContext:aws:connect:instanceId": "InstanceID"
}
}
},
{
"Sid": "Allow direct access to key metadata to the account",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:Describe*"
],
"Resource": "*"
}
]
}
```
------
Per informazioni sulla specificazione delle autorizzazioni in una policy, consulta [Specificing KMS keys in IAM policy statement nella Developer](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html) Guide. AWS Key Management Service
Per informazioni sulla risoluzione dei problemi di accesso tramite chiave, consulta [Risoluzione dei problemi di accesso tramite chiave](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) nella Guida per gli sviluppatori. AWS Key Management Service
### Contesto di crittografia delle campagne in uscita
Un [contesto di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) è un insieme opzionale di coppie chiave-valore che contengono informazioni contestuali aggiuntive sui dati. AWS KMS [utilizza il contesto di crittografia come [dati autenticati aggiuntivi per supportare la crittografia autenticata](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html).](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/concepts.html#digital-sigs)
Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS lega il contesto di crittografia ai dati crittografati. Per decrittografare i dati, nella richiesta deve essere incluso lo stesso contesto di crittografia.
Le campagne in uscita utilizzano lo stesso contesto di crittografia in tutte le operazioni di crittografia di AWS KMS , in cui le chiavi sono aws:accountId e aws:connect:instanceId e il valore è l’id dell’account aws e l’id dell’istanza di Connect.
```
"encryptionContext": {
"aws:accountId": "111122223333",
"aws:connect:instanceId": "sample instance id"
}
```
È inoltre possibile utilizzare il contesto di crittografia nei record e nei log di audit per identificare come viene utilizzata la chiave gestita dal cliente. Il contesto di crittografia appare anche nei log generati da CloudTrail o Amazon CloudWatch Logs.
#### Utilizzo del contesto di crittografia per controllare l’accesso alla chiave gestita dal cliente
È possibile utilizzare il contesto di crittografia nelle policy delle chiavi e nelle policy IAM come condizioni per controllare l’accesso alla chiave simmetrica gestita dal cliente. È possibile utilizzare i vincoli del contesto di crittografia in una concessione.
Outbound Campaigns utilizza un vincolo del contesto di crittografia nelle concessioni per controllare l’accesso alla chiave gestita dal cliente nell’account o nella Regione. Il vincolo della concessione richiede che le operazioni consentite dalla concessione utilizzino il contesto di crittografia specificato.
Di seguito sono riportati alcuni esempi di istruzioni delle policy della chiave per concedere l’accesso a una chiave gestita dal cliente per un contesto di crittografia specifico. Questa istruzione della policy impone come condizione che le concessioni abbiano un vincolo che specifica il contesto di crittografia.
```
{
"Sid": "Enable DescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Enable CreateGrant",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:accountId": "111122223333",
"kms:EncryptionContext:aws:connect:instanceId": "sample instance id"
}
}
}
```
### Monitoraggio delle chiavi di crittografia per le campagne in uscita
Quando utilizzi una chiave gestita AWS KMS dal cliente con le risorse delle tue campagne in uscita, puoi utilizzare [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) per tenere traccia delle richieste a cui Amazon Location invia. AWS KMS
Gli esempi seguenti sono AWS CloudTrail eventi per CreateGrant GenerateDataKeyWithoutPlainText DescribeKey, e Decrypt per monitorare le operazioni KMS chiamate da Amazon Location per accedere ai dati crittografati dalla chiave gestita dal cliente:
------
#### [ CreateGrant ]
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-08-27T18:40:57Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T18:46:29Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"constraints": {
"encryptionContextSubset": {
"aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
"aws:accountId": "111122223333"
}
},
"granteePrincipal": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"retiringPrincipal": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"operations": [
"Decrypt",
"Encrypt",
"DescribeKey",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo"
]
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
------
#### [ GenerateDataKeyWithoutPlainText ]
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:connect-campaigns-session",
"arn": "arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConnectCampaigns_EXAMPLE/connect-campaigns-session",
"accountId": "111122223333",
"accessKeyId": "AROAIGDTESTANDEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"accountId": "111122223333",
"userName": "AWSServiceRoleForConnectCampaigns_EXAMPLE"
},
"attributes": {
"creationDate": "2024-08-27T18:46:29Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T18:46:29Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKeyWithoutPlaintext",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
"aws:accountId": "111122223333"
},
"keyId": "arn:aws:kms:us-west-2:586277393662:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"keySpec": "AES_256"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ DescribeKey ]
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:connect-campaigns-session",
"arn": "arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConnectCampaigns_EXAMPLE/connect-campaigns-session",
"accountId": "111122223333",
"accessKeyId": "AROAIGDTESTANDEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/aws-service-role/connect-campaigns.amazonaws.com/AWSServiceRoleForConnectCampaigns_EXAMPLE",
"accountId": "111122223333",
"userName": "AWSServiceRoleForConnectCampaigns_EXAMPLE"
},
"attributes": {
"creationDate": "2024-08-27T18:46:29Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T18:46:29Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"grantTokens": [
"EL7BPAGG-KDm8661M1pl55WcQD_9ZgFwYXN-SAMPLE"
]
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAIOSFODNN7EXAMPLE3",
"arn": "arn:aws:iam::111122223333:role/Admin/Sampleuser01",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-08-27T18:40:57Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "connect-campaigns.amazonaws.com"
},
"eventTime": "2024-08-27T19:09:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "connect-campaigns.amazonaws.com",
"userAgent": "connect-campaigns.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:connect:instanceId": "1234abcd-12ab-34cd-56ef-123456SAMPLE",
"aws:accountId": "111122223333"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
------
## Previsioni, pianificazioni della capacità e calendarizzazioni
Quando crei previsioni, piani di capacità e pianificazioni, tutti i dati inattivi vengono crittografati utilizzando chiavi di Chiave di proprietà di AWS crittografia archiviate in. AWS Key Management Service
# Crittografia in transito in Amazon Connect
Tutti i dati scambiati con Amazon Connect sono protetti in transito tra il browser web dell'utente e Amazon Connect utilizzando la crittografia TLS standard di settore. [Quale versione di TLS?](infrastructure-security.md#supported-version-tls)
I dati esterni vengono inoltre crittografati quando vengono elaborati da AWS KMS.
Quando Amazon Connect si integra con AWS servizi come AWS Lambda Amazon Kinesis o Amazon Polly, i dati vengono sempre crittografati in transito tramite TLS.
Quando i dati degli eventi vengono inoltrati da applicazioni esterne ad Amazon Connect, vengono sempre crittografati in transito utilizzando TLS.
# Gestione delle chiavi in Amazon Connect
Puoi specificare AWS KMS le chiavi, tra cui Bring Your Own Keys (BYOK), da utilizzare per la crittografia delle buste con i bucket Amazon S3. input/output
Quando associ la AWS KMS chiave alla posizione di archiviazione S3 in Amazon Connect, le autorizzazioni del chiamante dell'API (o le autorizzazioni dell'utente della console) vengono utilizzate per creare una concessione sulla chiave con il ruolo del servizio di istanza Amazon Connect corrispondente come principale beneficiario. Per il ruolo collegato al servizio specifico di quell’istanza di Amazon Connect, la concessione consente al ruolo di utilizzare la chiave per la crittografia e la decrittografia. Esempio:
+ Se chiami l'[DisassociateInstanceStorageConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_DisassociateInstanceStorageConfig.html)API per dissociare la AWS KMS chiave dalla posizione di storage S3 in Amazon Connect, la concessione viene rimossa dalla chiave.
+ Se chiami l'[AssociateInstanceStorageConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_AssociateInstanceStorageConfig.html)API per associare la AWS KMS chiave alla posizione di storage S3 in Amazon Connect ma non disponi dell'`kms:CreateGrant`autorizzazione, l'associazione avrà esito negativo.
Utilizza il comando della CLI [https://awscli.amazonaws.com/v2/documentation/api/2.0.34/reference/kms/list-grants.html](https://awscli.amazonaws.com/v2/documentation/api/2.0.34/reference/kms/list-grants.html) per elencare tutte le concessioni per l’ chiave gestita dal cliente specificato.
Per informazioni sulle AWS KMS chiavi, consulta [What is AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) nella *Guida per gli sviluppatori del servizio di gestione delle AWS chiavi*.
## Connect AI agent
Gli agenti Connect AI archiviano i documenti informativi crittografati inattivi in S3 utilizzando un BYOK o una chiave di proprietà del servizio. I documenti informativi sono crittografati quando sono inattivi in Amazon OpenSearch Service utilizzando una chiave di proprietà del servizio. Connect AI Agents archivia le domande degli agenti e le trascrizioni delle chiamate utilizzando un BYOK o una chiave di proprietà del servizio.
I documenti informativi utilizzati dagli agenti Connect AI sono crittografati con una AWS KMS chiave.
## Amazon AppIntegrations
Amazon AppIntegrations non supporta BYOK per la crittografia dei dati di configurazione. Quando esegui la sincronizzazione dei dati di applicazioni esterne, devi eseguire periodicamente il BYOK. Amazon AppIntegrations richiede una concessione per utilizzare la tua chiave gestita dal cliente. Quando crei un'integrazione dei dati, Amazon AppIntegrations invia una `CreateGrant` richiesta AWS KMS a tuo nome. Puoi revocare l'accesso alla concessione o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. In tal caso, Amazon AppIntegrations non sarà in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influirà sui servizi Amazon Connect che dipendono da tali dati.
## Profili cliente
Per i profili dei clienti, puoi specificare AWS KMS le chiavi da utilizzare per crittografare i dati. Se non specifichi una chiave gestita dal cliente, Amazon Connect Customer Profiles fornisce la crittografia predefinita per i dati archiviati utilizzando una chiave AWS di crittografia di proprietà.
Prima di attivare Data Store per un dominio nuovo o esistente, devi configurare un AWS KMS key.
Puoi anche definire chiavi KMS individuali per i tuoi tipi di oggetto. Quando crittografiamo i dati dei clienti, utilizziamo la chiave KMS Object Type, se presente. Altrimenti, utilizziamo la chiave KMS del dominio.
Dopo aver abilitato Data Vault, non puoi aggiornare le chiavi KMS per il tuo dominio o i tipi di oggetto. Sebbene sia possibile creare nuovi tipi di oggetti con nuove chiavi, non è possibile modificare le impostazioni delle chiavi esistenti.
## Voice ID
Per utilizzare Amazon Connect Voice ID, è obbligatorio fornire una chiave KMS gestita dal cliente (BYOK) durante la creazione di un dominio Amazon Connect Voice ID, che viene utilizzata per crittografare tutti i dati dei clienti a riposo.
## Campagne in uscita
Le campagne in uscita crittografano tutti i dati sensibili utilizzando una chiave Chiave di proprietà di AWS o una chiave gestita dal cliente. Quando la chiave gestita dal cliente viene creata, posseduta e gestita da te, hai il pieno controllo sulla chiave gestita dal cliente (a AWS KMS pagamento).
# Amazon Connect ed endpoint VPC di interfaccia (AWS PrivateLink)
È possibile stabilire una connessione privata tra gli endpoint VPC e un sottoinsieme di endpoint in Amazon Connect creando un endpoint VPC di interfaccia. Di seguito sono riportati gli endpoint supportati:
+ Amazon AppIntegrations
+ Profili cliente
+ Campagne in uscita
+ Voice ID
+ Connect AI agent
+ Servizio Amazon Connect
Gli endpoint di interfaccia sono alimentati da [AWS PrivateLink](https://aws.amazon.com/privatelink), una tecnologia che consente di accedere in modo privato ad Amazon Connect APIs senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. Direct Connect Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per comunicare con Amazon APIs Connect con cui si integra. AWS PrivateLink
Per ulteriori informazioni, consulta la [Guida per AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/).
## Creazione di un endpoint VPC di interfaccia per Amazon Connect
È possibile creare un endpoint di interfaccia utilizzando la console Amazon VPC o AWS Command Line Interface (AWS CLI). Per ulteriori informazioni, consulta la sezione [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) nella *Guida per l'utente di AWS PrivateLink *.
Amazon Connect supporta i seguenti nomi di servizio:
+ com.amazonaws. *region*.app - integrazioni
+ com.amazonaws.it. *region*.casi
+ com.amazonaws.it. *region*.profilo
+ com.amazonaws. *region*campagne.connect
+ com.amazonaws.it. *region*.voiceid
+ com.amazonaws. *region*.wisdom (Questo è per gli agenti Connect AI.)
+ com.amazonaws. *region*.connettere
+ com.amazonaws.it. *region*.connect-fips (serve per creare un endpoint per Amazon Connect Service conforme al Federal Information Processing Standard (FIPS).)
Se abiliti il DNS privato per un endpoint di interfaccia, puoi effettuare richieste API ad Amazon Connect utilizzando il nome DNS predefinito per la regione. Ad esempio, voiceid.us-east-1.amazonaws.com. Per ulteriori informazioni, consulta [Hostname DNS](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#interface-endpoint-dns-hostnames) nella *Guida per l'utente di AWS PrivateLink *.
## Creazione di una policy degli endpoint VPC
È possibile collegare una policy degli endpoint all'endpoint VPC che controlla l'accesso. La policy specifica le informazioni riportate di seguito:
+ Il principale che può eseguire operazioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire azioni.
Per ulteriori informazioni, consulta la sezione [Controllo dell'accesso ai servizi con policy di endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) nella *Guida di AWS PrivateLink *.
### Esempio di policy degli endpoint VPC
La seguente policy degli endpoint VPC concede l'accesso alle azioni Amazon Connect Voice ID elencate per tutti i principali su tutte le risorse.
```
{
"Statement":[
{
"Effect":"Allow",
"Action":[
"voiceid:CreateDomain",
"voiceid:EvaluateSession",
"voiceid:ListSpeakers"
],
"Resource":"*",
"Principal":"*"
}
]
}
```
Nell'esempio riportato di seguito, la policy degli endpoint VPC concede l'accesso alle azioni delle campagne in uscita elencate per tutti i principali su tutte le risorse.
```
{
"Statement":[
{
"Effect":"Allow",
"Action":[
"connect-campaigns:CreateCampaign",
"connect-campaigns:DeleteCampaign",
"connect-campaigns:ListCampaigns"
],
"Resource":"*",
"Principal":"*"
}
]
}
```
# Amazon Connect Service Improvement e come rinunciare all'utilizzo dei dati per il miglioramento del servizio
Quando attivi Amazon Connect, possiamo utilizzare i tuoi contenuti elaborati da Amazon Connect per sviluppare e migliorare la tua esperienza.
Vantaggi derivanti dal consentire ad AWS di utilizzare Your Content per il miglioramento del servizio:
Rendendo disponibili i tuoi contenuti per migliorare Amazon Connect, ci aiuti a innovare più velocemente, personalizzare le funzionalità per soddisfare le tue esigenze e fornire un supporto migliore. Più specificamente, questo ci consente di migliorare il servizio per:
+ Offri funzionalità più intelligenti più velocemente: migliora Connect in base ai tuoi modelli di utilizzo reali e ai requisiti specifici
+ Previeni i problemi in modo proattivo: identifica e risolvi i problemi prima che influiscano sulla tua esperienza e sui risultati aziendali
+ Risolvi i problemi più rapidamente: diagnostica e risolvi i problemi che si presentano più rapidamente
Tutto ciò aiuta Amazon Connect a collaborare con te per migliorare continuamente le tue prestazioni aziendali.
Quando le seguenti funzionalità di Amazon Connect sono abilitate, possiamo utilizzare i tuoi contenuti per sviluppare e migliorare la tua esperienza. Questi opt-out a livello di funzionalità verranno interrotti il 31 marzo 2026:
+ **Amazon Connect Contact Lens**
+ **Amazon Connect Customer Profiles**
+ **Previsioni, pianificazione della capacità e pianificazione di Amazon Connect**
+ **Campagne in uscita**
+ **Connect AI agent**
Solo i dipendenti di Amazon avranno accesso ai dati. La tua fiducia, la tua privacy e la sicurezza dei tuoi contenuti sono la nostra massima priorità e garantiscono che il nostro utilizzo sia conforme agli impegni che ci siamo assunti nei tuoi confronti. Per ulteriori informazioni, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/).
Puoi sempre scegliere di non utilizzare i tuoi dati per sviluppare e migliorare Amazon Connect utilizzando una politica di AWS Organizations opt-out. Per informazioni in merito, consulta [Policy di rifiuto dei servizi di IA](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html) nella *Guida per l'utente di AWS Organizations *.
Per verificare il tuo stato di opt-out, consulta la politica di opt-out configurata dalla tua organizzazione. [Fai clic qui](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out_syntax.html#ai-opt-out-policy-syntax-reference) per saperne di più sulla sintassi e sugli esempi delle politiche di opt-out.
**Nota**
Per poter utilizzare la politica di opt-out, i tuoi AWS account devono essere gestiti centralmente da. AWS Organizations Se non hai ancora creato un'organizzazione per i tuoi AWS account, consulta [Creazione e gestione di un'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org) nella *Guida per l'AWS Organizations utente*.
Il rifiuto esplicito si traduce in:
+ Non utilizzare i tuoi dati AWS per migliorare il servizio.
# Identity and Access Management per Amazon Connect
AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (chi può effettuare l'accesso) e *autorizzato* (chi dispone delle autorizzazioni) a utilizzare risorse Amazon Connect. IAM è un software Servizio AWS che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Autorizzazioni richieste per l'utilizzo di policy IAM personalizzate](security-iam-amazon-connect-permissions.md)
+ [Limita AWS le risorse che possono essere associate ad Amazon Connect](restrict-access-examples.md)
+ [Funzionamento di Amazon Connect con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate su identità](security_iam_id-based-policy-examples.md)
+ [Esempi di policy a livello di risorsa](security_iam_resource-level-policy-examples.md)
+ [AWS politiche gestite](security_iam_awsmanpol.md)
+ [Risoluzione dei problemi](security_iam_troubleshoot.md)
+ [Utilizzo dei ruoli collegati ai servizi](connect-slr.md)
+ [Utilizzo dei ruoli orientati ai servizi per le campagne in uscita](connect-slr-outbound.md)
+ [Utilizzo di ruoli collegati ai servizi per Amazon AppIntegrations](appintegrations-slr.md)
+ [Utilizzo di ruoli orientati ai servizi per Profili cliente Amazon Connect](customerprofiles-slr.md)
+ [Utilizzo di ruoli orientati ai servizi per Amazon Connect Managed Synchronization](managed-synchronization-slr.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi all'identità e all'accesso di Amazon Connect](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Funzionamento di Amazon Connect con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate su identità per Amazon Connect](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali come utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente di IAM*.
### Utenti e gruppi
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) per l'*utente IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Autorizzazioni richieste per l'utilizzo di policy IAM personalizzate per gestire l'accesso alla console Amazon Connect
Se utilizzi policy [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) personalizzate per gestire l'accesso alla console Amazon Connect, i tuoi utenti avranno bisogno di alcune o di tutte le autorizzazioni indicate in questo articolo, a seconda delle attività che devono svolgere.
**Nota**
L’utilizzo `connect:*` in una policy IAM personalizzata concede ai tuoi utenti tutte le autorizzazioni Amazon Connect indicate in questo articolo.
**Nota**
Alcune pagine della console Amazon Connect, come [Attività](#tasks-page) e [Profili cliente](#customer-profiles-page), richiedono l'aggiunta di autorizzazioni alle policy inline.
**Topics**
+ [AmazonConnect\$1 FullAccess politica](#amazonconnectfullaccesspolicy)
+ [AmazonConnectReadOnlyAccess politica](#amazonconnectreadonlyaccesspolicy)
+ [Home page](#console-home-page-permissions)
+ [Pagine dei dettagli](#detail-pages)
+ [Pagina di panoramica](#overview-page)
+ [Pagina di telefonia](#telephony-page)
+ [Pagina dell'archiviazione di dati](#data-storage-page)
+ [Pagina dello streaming dei dati](#data-streaming-page)
+ [Pagina dei flussi](#contact-flows-page)
+ [Contact Lens pagina dei connettori](#contactlensconnectors-page)
+ [Pagina delle integrazioni per il trasferimento vocale](#voice-transfer-integrations-page)
+ [Pagina dell'integrazione di applicazioni](#application-integration-page)
+ [Pagina di Profili cliente](#customer-profiles-page)
+ [Pagina Tasks (Attività)](#tasks-page)
+ [Pagina e-mail](#email-page)
+ [Pagina di Casi](#cases-page)
+ [Pagina di autenticazione dei clienti](#customer-authentication-page)
+ [Pagina delle campagne in uscita](#outbound-campaigns-page)
+ [Pagina Connect AI agent](#wisdom-page)
+ [Pagina di Voice ID](#voiceid-page)
+ [Pagina della funzionalità di previsione, pianificazione della capacità e programmazione](#forecasting-page)
+ [Federazioni](#federations)
## AWS politica gestita: AmazonConnect \$1 FullAccess policy
Per consentire read/write l'accesso completo ad Amazon Connect, devi associare due policy ai tuoi utenti, gruppi o ruoli. Collega la policy `AmazonConnect_FullAccess` e una policy personalizzata con i seguenti contenuti:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AttachAnyPolicyToAmazonConnectRole",
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/connect.amazonaws.com/AWSServiceRoleForAmazonConnect*"
}
]
}
```
------
Per consentire a un utente di creare un'istanza, accertati che disponga delle autorizzazioni concesse dalla policy `AmazonConnect_FullAccess`.
Quando utilizzi la policy `AmazonConnect_FullAccess`, presta attenzione alle seguenti informazioni:
+ Sono necessari privilegi aggiuntivi per creare un bucket Amazon S3 con un nome a scelta o per utilizzare un bucket esistente durante la creazione o l'aggiornamento di un'istanza dal sito Web di amministrazione. Amazon Connect Se scegli posizioni di archiviazione predefinite per le registrazioni delle chiamate, le trascrizioni delle chat, i messaggi e-mail, gli allegati, le trascrizioni delle chiamate e altri dati, il sistema antepone `"amazon-connect-"` a tali oggetti.
+ È possibile utilizzare la chiave KMS `aws/connect` come opzione di crittografia predefinita. Per utilizzare una chiave di crittografia personalizzata, assegna agli utenti privilegi KMS aggiuntivi.
+ Assegna agli utenti privilegi aggiuntivi per collegare altre AWS risorse come Amazon Polly, Live Media Streaming, Data Streaming e bot Lex alle loro istanze Amazon Connect.
## AWS politica gestita: politica AmazonConnectReadOnlyAccess
Per consentire l'accesso in sola lettura, è necessario collegare solo la policy `AmazonConnectReadOnlyAccess`.
## Home page della console Amazon Connect
L'immagine seguente mostra un esempio di home page della console Amazon Connect; la freccia indica l'alias dell'istanza. Scegli l'alias dell'istanza per accedere alle pagine dettagliate delle istanze.
![\[La pagina delle istanze del contact center virtuale di Amazon Connect, l'alias dell'istanza.\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/images/instance.png)
Utilizza le autorizzazioni indicate nella tabella seguente per gestire l'accesso a questa pagina.
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Elenco delle istanze | `connect:ListInstances` `ds:DescribeDirectories` |
| Descrizione dell'istanza: mostra i dettagli dell'istanza/delle impostazioni correnti | `connect:DescribeInstance` `connect:ListLambdaFunctions` `connect:ListLexBots` `connect:ListInstanceStorageConfigs` `connect:ListApprovedOrigins` `connect:ListSecurityKeys` `connect:DescribeInstanceAttributes` `connect:DescribeInstanceStorageConfig` `ds:DescribeDirectories` |
| Creazione di un'istanza | `connect:AssociateCustomerProfilesDomain` `connect:CreateInstance` `connect:DescribeInstance` `connect:ListInstances` `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceAttribute` `ds:CheckAlias` `ds:CreateAlias` `ds:AuthorizeApplication` `ds:UnauthorizeApplication` `ds:CreateIdentityPoolDirectory` `ds:DescribeDirectories` `iam:CreateServiceLinkedRole` `iam:PutRolePolicy` `kms:CreateGrant` `kms:DescribeKey` `kms:ListAliases` `kms:RetireGrant` `logs:CreateLogGroup` `s3:CreateBucket` `s3:GetBucketLocation` `s3:ListAllMyBuckets` `servicequotas:GetServiceQuota` `profile:CreateDomain` `profile:GetDomain` `profile:GetProfileObjectType` `profile:ListAccountIntegrations` `profile:ListDomains` `profile:ListProfileObjectTypeTemplates` `profile:PutIntegration` |
| Eliminazione di un'istanza | `connect:DescribeInstance` `connect:DeleteInstance` `connect:ListInstances` `ds:DescribeDirectories` `ds:DeleteDirectory` `ds:UnauthorizeApplication` |
## Pagine dettagliate delle istanze
L'immagine seguente mostra il menu di navigazione utilizzato per accedere a ciascuna pagina dettagliata delle istanze.
![\[Menu di navigazione nella pagina delle istanze di Amazon Connect.\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/images/iam-custom-permissions-admin-console-telephony-page.png)
Per accedere alle pagine dettagliate delle istanze, sono necessarie le autorizzazioni per la home page della console Amazon Connect (descrizione/elenco). Oppure, utilizza la policy `AmazonConnectReadOnlyAccess`.
Nelle tabelle seguenti sono indicate le autorizzazioni granulari per ciascuna pagina dettagliata dell'istanza.
**Nota**
Per eseguire azioni di `Edit`, gli utenti devono inoltre disporre delle autorizzazioni `List` e `Describe`.
## Pagina di panoramica
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Creazione di un ruolo orientato ai servizi | `connect:DescribeInstance` `connect:ListInstances` `connect:DescribeInstanceAttribute` `connect:UpdateInstanceAttribute` `connect:ListIntegrationAssociations` `profile:ListAccountIntegrations` `ds:DescribeDirectories` `iam:CreateServiceLinkedRole` `iam:PutRolePolicy` |
## Pagina di telefonia
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizzazione delle opzioni di telefonia | `connect:DescribeInstance` |
| Abilitazione/disabilitazione delle opzioni di telefonia | `connect:UpdateInstanceAttribute` |
| Visualizzazione delle campagne in uscita | `connect-campaigns:GetConnectInstanceConfig` `connect-campaigns:GetInstanceOnboardingJobStatus` `connect:DescribeInstance` `connect:DescribeInstanceAttribute` `kms:DescribeKey` |
| Abilitazione/disabilitazione delle campagne in uscita | `connect-campaigns:GetConnectInstanceConfig` `connect-campaigns:GetInstanceOnboardingJobStatus` `connect-campaigns:StartInstanceOnboardingJob` `connect-campaigns:DeleteInstanceOnboardingJob` `connect-campaigns:DeleteConnectInstanceConfig` `connect:DescribeInstance` `connect:DescribeInstanceAttribute` `connect:UpdateInstanceAttribute` `iam:CreateServiceLinkedRole` `iam:DeleteServiceLinkedRole` `iam:AttachRolePolicy` `iam:PutRolePolicy` `iam:DeleteRolePolicy` `events:PutRule` `events:PutTargets` `events:DeleteRule` `events:RemoveTargets` `events:DescribeRule` `events:ListTargetsByRule` `ds:DescribeDirectories` `kms:DescribeKey` `kms:ListKeys` `kms:CreateGrant` `kms:RetireGrant` |
## Pagina dell'archiviazione di dati
### Sezione della registrazione delle chiamate
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizzazione della registrazione delle chiamate | `connect:DescribeInstance` `connect:ListInstanceStorageConfigs` `connect:DescribeInstanceStorageConfig` |
| Modifica della registrazione delle chiamate | `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceStorageConfig` `connect:DisassociateInstanceStorageConfig` `s3:ListAllMyBuckets` `s3:GetBucketLocation` `s3:GetBucketAcl` `s3:CreateBucket` `kms:CreateGrant` `kms:DescribeKey` `kms:ListAliases` `kms:RetireGrant` `iam:PutRolePolicy` |
### Sezione della registrazione dello schermo
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizzazione della registrazione dello schermo | `connect:DescribeInstance` `connect:ListInstanceStorageConfigs` `connect:DescribeInstanceStorageConfig` |
| Modifica della registrazione dello schermo | `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceStorageConfig` `connect:DisassociateInstanceStorageConfig` `s3:ListAllMyBuckets` `s3:GetBucketLocation` `s3:GetBucketAcl` `s3:CreateBucket` `iam:PutRolePolicy` `kms:CreateGrant` `kms:DescribeKey` `kms:ListAliases` `kms:RetireGrant` |
### Sezione delle trascrizioni delle chat
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizzazione delle trascrizioni delle chat | `connect:DescribeInstance` `connect:DescribeInstanceStorageConfig` `connect:ListInstanceStorageConfigs` |
| Modifica delle trascrizioni delle chat | `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceStorageConfig` `connect:DisassociateInstanceStorageConfig` `s3:ListAllMyBuckets` `s3:GetBucketLocation` `s3:GetBucketAcl` `s3:CreateBucket` `kms:CreateGrant` `kms:DescribeKey` `kms:ListAliases` `kms:RetireGrant` `iam:PutRolePolicy` |
### Sezione degli allegati
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizzazione degli allegati | `connect:DescribeInstance` `connect:DescribeInstanceStorageConfig` `connect:ListInstanceStorageConfigs` |
| Modifica degli allegati | `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceStorageConfig` `connect:DisassociateInstanceStorageConfig` `s3:ListAllMyBuckets` `s3:GetBucketLocation` `s3:CreateBucket` `s3:GetBucketAcl` `kms:CreateGrant` `kms:DescribeKey` `kms:ListAliases` `kms:RetireGrant` `iam:PutRolePolicy` |
### Sezione dello streaming di file multimediali live
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizzazione dello streaming di file multimediali live | `connect:DescribeInstance` `connect:ListInstanceStorageConfigs` `connect:DescribeInstanceStorageConfig` |
| Modifica dello streaming di file multimediali live | `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceStorageConfig` `connect:DisassociateInstanceStorageConfig` `kms:CreateGrant` `kms:DescribeKey` `kms:RetireGrant` `iam:PutRolePolicy` |
### Sezione dei report esportati
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizzazione dei report esportati | `connect:DescribeInstance` `connect:ListInstanceStorageConfigs` `connect:DescribeInstanceStorageConfig` |
| Modifica dei report esportati | `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceStorageConfig` `connect: DisassociateInstanceStorageConfig` `s3:ListAllMyBuckets` `s3:GetBucketLocation` `s3:CreateBucket` `kms:DescribeKey` `kms:ListAliases` `kms:RetireGrant` `kms:CreateGrant` `iam:PutRolePolicy` |
## Pagina dello streaming dei dati
### Sezione dei record dei contatti
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizzazione dello streaming dei dati – record dei contatti | `connect:DescribeInstance` `connect:ListInstanceStorageConfigs` `connect:DescribeInstanceStorageConfig` |
| Modifica dei record dei contatti | `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceStorageConfig` `connect:DisassociateInstanceStorageConfig` `firehose:ListDeliveryStreams` `firehose:DescribeDeliveryStream` `kinesis:ListStreams` `kinesis:DescribeStream` `iam:PutRolePolicy` |
### Sezione degli eventi di agenti
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizzazione dello streaming dei dati – eventi di agenti | `connect:DescribeInstance` `connect:ListInstanceStorageConfigs` `connect:DescribeInstanceStorageConfig` |
| Modifica degli eventi di agenti | `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceStorageConfig` `connect:DisassociateInstanceStorageConfig` `kinesis:ListStreams` `kinesis: DescribeStream` `iam:PutRolePolicy` |
## Pagina dei flussi
### Sezione delle chiavi di sicurezza dei flussi
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizzazione delle chiavi di sicurezza dei flussi | `connect:DescribeInstance` `connect:ListSecurityKeys` |
| Aggiunta/rimozione delle chiavi di sicurezza dei flussi | `connect:AssociateSecurityKey` `connect:DisassociateSecurityKey` |
### Sezione dei bot Lex
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizzazione dei bot Lex | `connect:ListLexBots` `connect:ListBots` |
| Aggiunta/rimozione di bot Lex | `lex:GetBots` `lex:GetBot` `lex:CreateResourcePolicy` `lex:DeleteResourcePolicy` `lex:UpdateResourcePolicy` `lex:DescribeBotAlias` `lex:ListBotAliases` `lex:ListBots` `connect:AssociateBot` `connect:DisassociateBot` `connect:ListBots` `connect:AssociateLexBot` `connect:DisassociateLexBot` `connect:ListLexBots` `iam:PutRolePolicy` |
### Sezione delle funzioni Lambda
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizzazione delle funzioni Lambda | `connect:ListLambdaFunctions` |
| Aggiunta/rimozione di funzioni Lambda | `connect:ListLambdaFunctions` `connect:AssociateLambdaFunction` `connect:DisassociateLambdaFunction` `iam:PutRolePolicy` `lambda:ListFunctions` `lambda:AddPermission` `lambda:RemovePermission` |
### Sezione dei log di flusso
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizzazione della configurazione dei log di flusso | `connect:DescribeInstance` `connect:DescribeInstanceAttribute` |
| Abilitazione/disabilitazione del log di flusso | `logs:CreateLogGroup` |
### Sezione di Amazon Polly
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizzazione dell'opzione Amazon Polly | `connect:DescribeInstance` `connect:DescribeInstanceAttribute` |
| Opzione di aggiornamento di Amazon Polly | `connect:UpdateInstanceAttribute` |
## Contact Lens pagina dei connettori
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizza i connettori di Contact Lens | `connect:ListIntegrationAssociations` `chime:GetVoiceConnector` `chime:GetVoiceConnectorLoggingConfiguration` `chime:GetVoiceConnectorTermination` `chime:GetVoiceConnectorTerminationHealth` `chime:ListVoiceConnectors` `chime:ListVoiceConnectorTerminationCredentials` `chime:GetVoiceConnectorExternalSystemsConfiguration` |
| Add/Update/RemoveContact Lensconnettori | `chime:CreateVoiceConnector` `chime:DeleteVoiceConnector` `chime:DeleteVoiceConnectorTermination` `chime:DeleteVoiceConnectorTerminationCredentials` `chime:GetVoiceConnector` `chime:GetVoiceConnectorLoggingConfiguration` `chime:GetVoiceConnectorTermination` `chime:GetVoiceConnectorTerminationHealth` `chime:ListVoiceConnectors` `chime:ListVoiceConnectorTerminationCredentials` `chime:PutVoiceConnectorLoggingConfiguration` `chime:PutVoiceConnectorTermination` `chime:PutVoiceConnectorTerminationCredentials` `chime:UpdateVoiceConnector` `chime:CreateConnectAnalyticsConnector` `chime:PutVoiceConnectorExternalSystemsConfiguration` `chime:GetVoiceConnectorExternalSystemsConfiguration` `chime:DeleteVoiceConnectorExternalSystemsConfiguration` `chime:AssociateVoiceConnectorConnect` `chime:DisassociateVoiceConnectorConnect` `chime:TagResources` `chime:UntagResources` `chime:ListTagsForResource` |
## Pagina delle integrazioni per il trasferimento vocale
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizzazione di connettori esterni per il trasferimento vocale | `connect:ListIntegrationAssociations` `chime:GetVoiceConnector` `chime:GetVoiceConnectorLoggingConfiguration` `chime:GetVoiceConnectorTermination` `chime:GetVoiceConnectorTerminationHealth` `chime:ListVoiceConnectors` `chime:ListVoiceConnectorTerminationCredentials` `chime:GetVoiceConnectorExternalSystemsConfiguration` `servicequotas:GetServiceQuota` |
| Add/Update/Removeconnettori esterni per il trasferimento vocale | `connect:CreateIntegrationAssociation` `connect:DeleteIntegrationAssociation` `connect:ListIntegrationAssociations` `chime:CreateConnectCallTransferConnector` `chime:CreateVoiceConnector` `chime:DeleteVoiceConnector` `chime:DeleteVoiceConnectorTermination` `chime:DeleteVoiceConnectorTerminationCredentials` `chime:GetVoiceConnector` `chime:GetVoiceConnectorLoggingConfiguration` `chime:GetVoiceConnectorOrigination` `chime:GetVoiceConnectorTermination` `chime:GetVoiceConnectorTerminationHealth` `chime:ListVoiceConnectors` `chime:ListVoiceConnectorTerminationCredentials` `chime:PutVoiceConnectorLoggingConfiguration` `chime:PutVoiceConnectorOrigination` `chime:PutVoiceConnectorTermination` `chime:PutVoiceConnectorTerminationCredentials` `chime:UpdateVoiceConnector` `chime:CreateConnectAnalyticsConnector` `chime:PutVoiceConnectorExternalSystemsConfiguration` `chime:GetVoiceConnectorExternalSystemsConfiguration` `chime:DeleteVoiceConnectorExternalSystemsConfiguration` `chime:AssociateVoiceConnectorConnect` `chime:DisassociateVoiceConnectorConnect` `chime:TagResources` `chime:UntagResources` `chime:ListTagsForResource` `servicequotas:GetServiceQuota` |
## Pagina dell'integrazione di applicazioni
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizzazione delle origini approvate | `connect:DescribeInstance` `connect:ListApprovedOrigins` |
| Modifica delle origini approvate | `connect: AssociateApprovedOrigin` `connect:ListApprovedOrigins` `connect:DisassociateApprovedOrigin` |
## Pagina di Profili cliente
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizzazione di Profili cliente | `app-integrations:ListEventIntegrations` `appflow:DescribeConnectorEntity` `appflow:DescribeConnectorProfiles` `appflow:DescribeFlow` `appflow:ListFlows` `appflow:ListConnectorEntities` `appflow:ListConnectorProfiles` `cloudwatch:GetMetricData` `connect:DescribeInstance` `connect:ListInstances` `ds:DescribeDirectories` `iam:ListRoles` `kinesis:DescribeStreamSummary` `kms:Decrypt` `kms:DescribeKey` `kms:GenerateDataKey` `kms:ListKeys` `profile:GetCalculatedAttributeDefinition` `profile:GetDomain` `profile:GetEventStream` `profile:GetIdentityResolutionJob` `profile:GetIntegration` `profile:GetProfileObjectType` `profile:GetProfileObjectTypeTemplate` `profile:GetWorkflow` `profile:ListAccountIntegrations` `profile:ListCalculatedAttributeDefinitions` `profile:ListDomains` `profile:ListDomainLayouts` `profile:ListEventStreams` `profile:ListIdentityResolutionJobs` `profile:ListIntegrations` `profile:ListProfileObjectTypes` `profile:ListProfileObjectTypeTemplates` `profile:ListRecommenders` `profile:ListSegmentDefinitions` `sqs:ListQueues` |
| Modifica dei profili dei clienti | `app-integrations:CreateEventIntegration` `app-integrations:ListEventIntegrations` `appflow:CreateFlow` `appflow:CreateConnectorProfile` `appflow:DescribeFlow` `appflow:DeleteFlow` `appflow:DescribeConnectorEntity` `appflow:DescribeConnectorProfiles` `appflow:ListFlows` `appflow:ListConnectorEntities` `appflow:ListConnectorProfiles` `appflow:StartFlow` `cloudwatch:GetMetricData` `connect:DescribeInstance` `connect:ListInstances` `ds:DescribeDirectories` `events:CreateEventBus` `events:DescribeEventBus` `events:DescribeEventSource` `events:ListEventSources` `iam:CreateRole` `iam:CreatePolicy` `iam:AttachRolePolicy` `iam:ListRoles` `iam:PutRolePolicy` `kinesis:DescribeStreamSummary` `kinesis:ListStreams` `kms:CreateGrant` `kms:Decrypt` `kms:DescribeKey` `kms:GenerateDataKey` `kms:ListAliases` `kms:ListKeys` `kms:ListGrants` `profile:CreateCalculatedAttributeDefinition` `profile:CreateDomain` `profile:CreateDomainLayout` `profile:CreateEventStream` `profile:CreateIntegrationWorkflow` `profile:CreateSegmentDefinition` `profile:DeleteEventStream` `profile:DeleteIntegration` `profile:DeleteDomain` `profile:DeleteProfileObjectType` `profile:DetectProfileObjectType` `profile:GetCalculatedAttributeDefinition` `profile:GetDomain` `profile:GetEventStream` `profile:GetIdentityResolutionJob` `profile:GetIntegration` `profile:GetProfileObjectType` `profile:GetProfileObjectTypeTemplate` `profile:GetWorkflow` `profile:ListAccountIntegrations` `profile:ListCalculatedAttributeDefinitions` `profile:ListDomains` `profile:ListDomainLayouts` `profile:ListEventStreams` `profile:ListIdentityResolutionJobs` `profile:ListIntegrations` `profile:ListProfileObjectTypes` `profile:ListProfileObjectTypeTemplates` `profile:ListSegmentDefinitions` `profile:PutIntegration` `profile:PutProfileObjectType` `profile:TagResource` `profile:UntagResource` `profile:UpdateDomain` `s3:GetBucketLocation` `s3:GetBucketPolicy` `s3:GetObject` `s3:HeadBucket` `s3:ListAllMyBuckets` `s3:ListBucket` `s3:ListObjectsV2` `s3:PutBucketPolicy` `s3:SelectObjectContent` `sqs:ListQueues` |
## Pagina Tasks (Attività)
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizzazione delle integrazioni delle attività | `app-integrations:GetEventIntegration` `connect:ListIntegrationAssociations` |
| Modifica delle integrazioni delle attività | `app-integrations:CreateEventIntegration` `app-integrations:GetEventIntegration` `app-integrations:ListEventIntegrations` `app-integrations:DeleteEventIntegrationAssociation` `app-integrations:CreateEventIntegrationAssociation` `appflow:CreateFlow` `appflow:CreateConnectorProfile` `appflow:DescribeFlow` `appflow:DeleteFlow` `appflow:DeleteConnectorProfile` `appflow:DescribeConnectorEntity` `appflow:ListFlows` `appflow:ListConnectorEntities` `appflow:StartFlow` `connect:ListIntegrationAssociations` `connect:DeleteIntegrationAssociation` `connect:ListUseCases` `connect:DeleteUseCase` `events:ActivateEventSource` `events:CreateEventBus` `events:DescribeEventBus` `events:DescribeEventSource` `events:ListEventSources` `events:ListTargetsByRule` `events:PutRule` `events:PutTargets` `events:DeleteRule` `events:RemoveTargets` `kms:CreateGrant` `kms:DescribeKey` `kms:ListAliases` `kms:ListKeys` `kms:ListGrants` |
## Pagina e-mail
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizza i domini e gli indirizzi e-mail | `ses:GetIdentityVerificationAttributes` `ses:DescribeReceiptRule` `ses:DescribeActiveReceiptRuleSet` `ses:GetEmailIdentity` `ses:DescribeReceiptRuleSet` `ses:GetConfigurationSetEventDestinations` `ses:GetConfigurationSet` |
| Modifica domini e indirizzi e-mail | `ses:CreateReceiptRule` `ses:UpdateReceiptRule` `ses:SetActiveReceiptRuleSet` `ses:CreateReceiptRuleSet` `ses:CreateEmailIdentity` `ses:TagResource` `ses:UntagResource` `ses:DeleteReceiptRule` `ses:DeleteReceiptRuleSet` `ses:CloneReceiptRuleSet` `ses:CreateConfigurationSet` `ses:CreateConfigurationSetEventDestination` `ses:PutEmailIdentityConfigurationSetAttributes` `ses:CreateEmailIdentityPolicy` `ses:UpdateEmailIdentityPolicy` `ses:DeleteEmailIdentityPolicy` `iam:CreateServiceLinkedRole` `iam:PassRole` `iam:CreateRole` `iam:CreatePolicy` |
## Pagina di Casi
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizzazione dei dettagli del dominio di Casi | `connect:ListInstances` `ds:DescribeDirectories` `connect:ListIntegrationAssociations` `cases:GetDomain` |
| Onboarding in Casi | `connect:ListInstances` `connect:ListIntegrationAssociations` `cases:GetDomain` `cases:CreateDomain` `connect:CreateIntegrationAssociation` `connect:DescribeInstance` `iam:PutRolePolicy` |
## Pagina di autenticazione dei clienti
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizza l’autenticazione dei clienti | `connect:ListIntegrationAssociations` `cognito-idp:ListUserPools` `cognito-idp:DescribeUserPool` |
| Onboarding dell’autenticazione dei clienti | `connect:CreateIntegrationAssociation` `connect:DeleteIntegrationAssociation` `connect:ListIntegrationAssociations` `cognito-idp:ListUserPools` `cognito-idp:DescribeUserPool` `cognito-idp:ListUserPoolClients` `cognito-idp:TagResource` `cognito-idp:CreateUserPool` |
## Pagina delle campagne in uscita
| Azione/caso d’uso | Autorizzazioni necessarie |
| --- | --- |
| Visualizzazione delle campagne in uscita | `connect:ListIntegrationAssociations` `connect:ListPhoneNumbersV2` `connect:SearchEmailAddresses` `connect:DescribeInstance` `connect:DescribeInstanceAttribute` `kms:DescribeKey` `kms:ListKeys` `profile:ListAccountIntegrations` `profile:ListIntegrations` `profile:ListDomains` `profile:GetDomain` `wisdom:ListKnowledgeBases` `wisdom:GetKnowledgeBase` `connect-campaigns:GetInstanceOnboardingJobStatus` `connect-campaigns:GetConnectInstanceConfig` `connect-campaigns:ListConnectInstanceIntegrations` |
| Creare campagne in uscita | `connect-campaigns:StartInstanceOnboardingJob` `connect-campaigns:DeleteInstanceOnboardingJob` `connect-campaigns:GetConnectInstanceConfig` `connect-campaigns:GetInstanceOnboardingJobStatus` `connect-campaigns:DeleteConnectInstanceConfig` `connect:DescribeInstance` `connect:DescribeInstanceAttribute` `connect:UpdateInstanceAttribute` `iam:CreateServiceLinkedRole` `iam:DeleteServiceLinkedRole` `iam:AttachRolePolicy` `iam:PutRolePolicy` `iam:DeleteRolePolicy` `events:PutRule` `events:PutTargets` `events:DeleteRule` `events:RemoveTargets` `events:DescribeRule` `events:ListTargetsByRule` `ds:DescribeDirectories` `kms:DescribeKey` `kms:ListKeys` `kms:CreateGrant` `kms:RetireGrant` `profile:CreateDomain` `profile:ListAccountIntegrations` `profile:ListIntegrations` `profile:PutIntegration` `profile:PutProfileObjectType` `connect:CreateIntegrationAssociation` `connect:ListIntegrationAssociations` `connect:UpdateInstanceAttribute` `connect:AssociateCustomerProfilesDomain` `connect-campaigns:ListConnectInstanceIntegrations` `connect-campaigns:PutConnectInstanceIntegration` `wisdom:CreateKnowledgeBase` `wisdom:ListKnowledgeBases` |
## Pagina Connect AI agent
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizzazione di domini e integrazioni | `wisdom:ListAssistantAssociations` `appflow:DescribeConnectorProfiles` `app-integrations:GetDataIntegration` `connect:DescribeInstance` `connect:DescribeInstanceAttribute` `connect:ListIntegrationAssociations` `kms:DescribeKey` `kms:ListGrants` `wisdom:GetAssistant` `wisdom:GetKnowledgeBase` `wisdom:ListAssistantAssociations` |
| Aggiunta o rimozione di domini | `connect:CreateIntegrationAssociation` `connect:DeleteIntegrationAssociation` `connect:ListIntegrationAssociations` `iam:DeleteRolePolicy` `iam:PutRolePolicy` `kms:CreateGrant` `kms:DescribeKey` `kms:ListAliases` `wisdom:CreateAssistant` `wisdom:DeleteAssistant` `wisdom:GetAssistant` `wisdom:ListAssistantAssociations` `wisdom:ListAssistants` `wisdom:TagResource` |
| Aggiunta o rimozione di integrazioni | `wisdom:ListAssistantAssociations` `app-integrations:CreateDataIntegration` `app-integrations:CreateDataIntegrationAssociation` `app-integrations:DeleteDataIntegrationAssociation` `app-integrations:GetDataIntegration` `app-integrations:ListDataIntegrations` `appflow:CreateConnectorProfile` `appflow:CreateFlow` `appflow:DeleteFlow` `appflow:DescribeConnector` `appflow:DescribeConnectorEntity` `appflow:DescribeConnectorProfiles` `appflow:DescribeConnectors` `appflow:DescribeFlow` `appflow:ListConnectorEntities` `appflow:StartFlow` `appflow:StopFlow` `appflow:TagResource` `appflow:UseConnectorProfile` `connect:CreateIntegrationAssociation` `connect:DeleteIntegrationAssociation` `connect:ListIntegrationAssociations` `iam:DeleteRolePolicy` `iam:PutRolePolicy` `kms:CreateGrant` `kms:Decrypt` `kms:DescribeKey` `kms:GenerateDataKey` `kms:ListAliases` `kms:ListGrants` `secretsmanager:CreateSecret` `secretsmanager:PutResourcePolicy` `wisdom:CreateAssistantAssociation` `wisdom:CreateKnowledgeBase` `wisdom:DeleteAssistantAssociation` `wisdom:DeleteKnowledgeBase` `wisdom:GetAssistant` `wisdom:GetKnowledgeBase` `wisdom:ListAssistantAssociations` `wisdom:ListKnowledgeBases` `wisdom:TagResource` |
## Pagina di Voice ID
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizzazione delle integrazioni di Voice ID | `voiceid:DescribeDomain` `voiceid:ListDomains` `voiceid:RegisterComplianceConsent` `voiceid:DescribeComplianceConsent` `connect:ListIntegrationAssociations` |
| Modifica delle integrazioni di Voice ID | `voiceid:DescribeDomain` `voiceid:ListDomains` `voiceid:RegisterComplianceConsent` `voiceid:DescribeComplianceConsent` `voiceid:UpdateDomain` `voiceid:CreateDomain` `connect:ListIntegrationAssociations` `connect:CreateIntegrationAssociation` `connect:DeleteIntegrationAssociation` `events:PutRule` `events:DeleteRule` `events:PutTargets` `events:RemoveTargets` `iam:PutRolePolicy` |
## Pagina della funzionalità di previsione, pianificazione della capacità e programmazione
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Visualizzazione della funzionalità di previsione, pianificazione della capacità e programmazione | `connect:DescribeForecastingPlanningSchedulingIntegration` |
| Abilitazione di Previsione, pianificazione della capacità e calendarizzazione | `connect:UpdateInstanceAttribute` `connect:StartForecastingPlanningSchedulingIntegration` |
| Disabilitazione della funzionalità di previsione, pianificazione della capacità e programmazione | `connect:UpdateInstanceAttribute` `connect:StopForecastingPlanningSchedulingIntegration` |
## Federazioni
### Federazione SAML
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Federazione SAML | `connect:GetFederationToken` |
### Amministrazione/federazione di emergenza
| Azione/caso di utilizzo | Autorizzazioni necessarie |
| --- | --- |
| Amministrazione/federazione di emergenza | `connect:AdminGetEmergencyAccessToken` |
# Limita AWS le risorse che possono essere associate ad Amazon Connect
Ogni istanza Amazon Connect è associata a un [ruolo orientato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) IAM al momento della creazione dell'istanza. Amazon Connect può integrarsi con altri servizi AWS per casi di utilizzo come lo storage delle registrazioni delle chiamate (bucket Amazon S3), i bot in linguaggio naturale (bot Amazon Lex) e lo streaming di dati (flusso di dati Amazon Kinesis). Amazon Connect assume il ruolo orientato ai servizi per interagire con questi altri servizi. La policy viene prima aggiunta al ruolo collegato al servizio come parte del corrispondente APIs servizio Amazon Connect (che a sua volta viene richiamato dalla console di AWS amministrazione). Ad esempio, se desideri utilizzare un determinato bucket Amazon S3 con la tua istanza Amazon Connect, il bucket deve essere passato all'API. [ AssociateInstanceStorageConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_AssociateInstanceStorageConfig.html)
Per il set di azioni IAM definito da Amazon Connect, consulta [Operazioni definite da Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html#amazonconnect-actions-as-permissions).
Di seguito sono riportati alcuni esempi di come limitare l'accesso ad altre risorse che possono essere associate a un'istanza Amazon Connect. Devono essere applicati all'utente o al ruolo che interagisce con Amazon Connect APIs o la console Amazon Connect.
**Nota**
Una policy con il comando esplicito `Deny` sostituirebbe la policy `Allow` in questi esempi.
Per ulteriori informazioni su quali risorse, chiavi di condizione e dipendenti APIs puoi utilizzare per limitare l'accesso, consulta [Azioni, risorse e chiavi di condizione per Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html).
## Esempio 1: limitazione dei bucket Amazon S3 che possono essere associati a un'istanza Amazon Connect
Questo esempio consente a un principale IAM di associare un bucket Amazon S3 per le registrazioni delle chiamate per l'ARN dell'istanza Amazon Connect specificata, oltre a un bucket Amazon S3 specifico denominato `my-connect-recording-bucket`. Le azioni `AttachRolePolicy` e `PutRolePolicy ` rientrano nell'ambito del ruolo Amazon Connect orientato ai servizi (in questo esempio viene utilizzato un carattere jolly, ma puoi fornire il ruolo ARN per l'istanza, se necessario).
**Nota**
Per utilizzare una AWS KMS chiave per crittografare le registrazioni in questo bucket, è necessaria una politica aggiuntiva.
## Esempio 2: limita AWS Lambda le funzioni che possono essere associate a un'istanza Amazon Connect
AWS Lambda le funzioni sono associate a un'istanza Amazon Connect, ma il ruolo collegato al servizio Amazon Connect non viene utilizzato per richiamarle e quindi non viene modificato. Viene invece aggiunta una policy alla funzione tramite l'API `lambda:AddPermission` che consente all'istanza Amazon Connect specificata di richiamare la funzione.
Per limitare le funzioni che possono essere associate a un'istanza Amazon Connect, specifichi l'ARN della funzione Lambda che un utente può utilizzare per richiamare `lambda:AddPermission`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"connect:AssociateLambdaFunction",
"lambda:AddPermission"
],
"Resource": [
"arn:aws:connect:us-east-1:111122223333:instance/instance-id",
"arn:aws:lambda:*:*:function:my-function"
]
}
]
}
```
------
## Esempio 3: limitazione dei tipi di flussi di dati Amazon Kinesis che possono essere associati a un'istanza Amazon Connect
Il modello di questo esempio è simile all'esempio relativo ad Amazon S3. Limita i flussi di dati specifici di Kinesis che possono essere associati a una determinata istanza Amazon Connect per la distribuzione dei record dei contatti.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"connect:UpdateInstanceStorageConfig",
"connect:AssociateInstanceStorageConfig"
],
"Resource": "arn:aws:connect:us-east-1:111122223333:instance/instance-id",
"Condition": {
"StringEquals": {
"connect:StorageResourceType": "CONTACT_TRACE_RECORDS"
}
}
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"kinesis:DescribeStream",
"iam:PutRolePolicy"
],
"Resource": [
"arn:aws:iam::111122223333:role/aws-service-role/connect.amazonaws.com/*",
"arn:aws:kinesis:*:111122223333:stream/stream-name"
]
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": "kinesis:ListStreams",
"Resource": "*"
}
]
}
```
------
# Funzionamento di Amazon Connect con IAM
Prima di utilizzare IAM per gestire l'accesso ad Amazon Connect, è necessario comprendere quali funzionalità IAM è possibile utilizzare con Amazon Connect. Per avere una visione di alto livello di come Amazon Connect e altri AWS servizi funzionano con IAM, consulta [AWS Services That Work with IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
**Topics**
+ [Policy basate su identità per Amazon Connect](#security_iam_service-with-iam-id-based-policies)
+ [Autorizzazione basata su tag Amazon Connect](#security_iam_service-with-iam-tags)
+ [Ruoli IAM di Amazon Connect](#security_iam_service-with-iam-roles)
## Policy basate su identità per Amazon Connect
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Amazon Connect supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Documentazione di riferimento degli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente IAM*.
### Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l’accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni di eseguire l’operazione associata.
Le azioni delle policy in Amazon Connect utilizzano il seguente prefisso prima dell'operazione: `connect:`. Le istruzioni della policy devono includere un elemento `Action` o `NotAction`. Amazon Connect definisce un proprio set di azioni che descrivono le attività che puoi eseguire con quel servizio.
Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
```
"Action": [
"connect:action1",
"connect:action2"
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Describe`, includi la seguente azione:
```
"Action": "connect:Describe*"
```
Per un elenco delle azioni Amazon Connect, consulta [Operazioni, risorse e chiavi di condizione per Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html).
### Resources
Amazon Connect supporta le autorizzazioni a livello di risorsa (specificando un ARN risorsa in una policy IAM). Di seguito è riportato un elenco di risorse Amazon Connect:
+ Istanza
+ Contatti
+ Utente
+ Profilo di instradamento
+ Profilo di sicurezza
+ Gruppo di gerarchia
+ Queue
+ File
+ Flusso
+ Ore di operatività
+ Numero di telefono
+ Modelli di attività
+ Dominio di Profili cliente
+ Tipo di oggetto di Profili cliente
+ Campagne in uscita
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
La risorsa istanza di Amazon Connect dispone del seguente ARN:
```
arn:${Partition}:connect:${Region}:${Account}:instance/${InstanceId}
```
Per ulteriori informazioni sul formato di ARNs, consulta [Amazon Resource Names (ARNs) e AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Ad esempio, per specificare l'istanza `i-1234567890abcdef0` nell'istruzione, utilizza il seguente ARN:
```
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/i-1234567890abcdef0"
```
Per specificare tutti le istanze che appartengono ad un account specifico, utilizza il carattere jolly (\$1):
```
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/*"
```
Alcune azioni Amazon Connect , ad esempio quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (\$1).
```
"Resource": "*"
```
Molte azioni API di Amazon Connect coinvolgono più risorse. Ad esempio,
Per specificare più risorse in una singola istruzione, separale con virgole. ARNs
```
"Resource": [
"resource1",
"resource2"
```
Per visualizzare un elenco dei tipi di risorse Amazon Connect e relativi ARNs, consulta [Azioni, risorse e chiavi di condizione per Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html). Lo stesso articolo spiega con quali azioni è possibile specificare l'ARN di ogni risorsa.
### Chiavi di condizione
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Amazon Connect definisce il proprio set di chiavi di condizione e, inoltre, supporta l'uso di alcune chiavi di condizione globali. Per vedere tutte le chiavi di condizione AWS globali, consulta [AWS Global Condition Context Keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *Guida per l'utente IAM*.
Tutte le operazioni Amazon EC2 supportano le chiavi di condizione `aws:RequestedRegion` e `ec2:Region`. Per ulteriori informazioni, consultare [Esempio: limitazione dell'accesso a una regione specifica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region).
Per un elenco delle chiavi di condizione Amazon Connect , consulta [Operazioni, risorse e chiavi di condizione per Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html).
### Esempi
Per visualizzare esempi di policy basate su identità Amazon Connect, consulta [Esempi di policy basate su identità per Amazon Connect](security_iam_id-based-policy-examples.md).
## Autorizzazione basata su tag Amazon Connect
Puoi collegare tag alle risorse Amazon Connect o inoltrarli in una richiesta ad Amazon Connect. Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `connect:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Per visualizzare una policy basata sulle identità di esempio per limitare l'accesso a una risorsa basata su tag su tale risorsa, consulta [Descrivere e aggiornare gli utenti Amazon Connect in base ai tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-widget-tags).
## Ruoli IAM di Amazon Connect
Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'entità all'interno del tuo AWS account che dispone di autorizzazioni specifiche.
### Utilizzo di credenziali temporanee con Amazon Connect
È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. Ottieni credenziali di sicurezza temporanee chiamando operazioni AWS STS API come [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)
Amazon Connect supporta l'utilizzo di credenziali temporanee.
### Ruoli collegati ai servizi
[I ruoli collegati ai](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non può modificarle.
Amazon Connect supporta i ruoli orientati ai servizi. Per maggiori dettagli su come creare e gestire i ruoli orientati ai servizi di Amazon Connect, consulta [Utilizzo dei ruoli collegati ai servizi e alle autorizzazioni dei ruoli di Amazon Connect](connect-slr.md).
### Scelta di un ruolo IAM in Amazon Connect
Quando crei una risorsa in Amazon Connect, devi scegliere un ruolo per consentire ad Amazon Connect di accedere ad Amazon EC2 per tuo conto. Se hai creato in precedenza un ruolo di servizio o un ruolo orientato ai servizi, Amazon Connect fornisce un elenco di ruoli tra cui scegliere. È importante scegliere un ruolo che consenta l'accesso per avviare e arrestare le istanze Amazon EC2.
# Esempi di policy basate su identità per Amazon Connect
Per impostazione predefinita, le entità IAM non dispongono dell'autorizzazione per creare o modificare risorse Amazon Connect. Inoltre, non possono eseguire attività utilizzando l'API Console di gestione AWS AWS CLI, o AWS . Un amministratore IAM deve creare policy IAM che concedono alle entità IAM l'autorizzazione per eseguire operazioni API specifiche sulle risorse indicate di cui hanno bisogno. L'amministratore IAM deve quindi collegare queste policy alle entità IAM che richiedono tali autorizzazioni.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) nella *Guida per l'utente di IAM*.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Consentire agli utenti IAM di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Concedere autorizzazioni per visualizzare un utente](#security_iam_id-based-policy-example-view-user-permissions)
+ [Consentire agli utenti di integrarsi con applicazioni esterne](#security_iam_id-based-policy-examples-integrate)
+ [Descrivere e aggiornare gli utenti Amazon Connect in base ai tag](#security_iam_id-based-policy-examples-view-widget-tags)
+ [Creazione di utenti Amazon Connect in base ai tag](#connect-access-control-resources-example1)
+ [Crea e visualizza AppIntegrations risorse Amazon](#appintegration-resources-example1)
+ [Crea e visualizza gli assistenti degli agenti Connect AI](#wisdom-resources-example1)
+ [Gestire le risorse delle campagne in uscita](#outboundcommunications-policy-example1)
## Best practice per le policy
Le policy basate su identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon Connect nell'account. Queste operazioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** a utenti e carichi di lavoro, utilizza le *politiche AWS gestite* che concedono le autorizzazioni per molti casi d'uso comuni. Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Consentire agli utenti IAM di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa policy include le autorizzazioni per completare questa azione sulla console o utilizzando programmaticamente l'API o. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Concedere autorizzazioni per visualizzare un utente
Quando crei un utente o un [gruppo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_iam-groups) nel tuo AWS account, puoi associare una policy IAM a quel gruppo o utente, che specifica le autorizzazioni che desideri concedere.
Ad esempio, immagina di disporre di un gruppo di sviluppatori non esperti. È possibile creare un gruppo IAM denominato `Junior application developers` e includere tutti gli sviluppatori entry-level. Dopodiché è possibile associare una policy a quel gruppo che conceda loro le autorizzazioni per visualizzare gli utenti Amazon Connect. In questo scenario, è possibile disporre di una policy quale:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"connect:DescribeUser",
"connect:ListUsers"
],
"Resource": "*"
}
]
}
```
------
Questa policy di esempio concede autorizzazioni a tutte le azioni API elencate nell'elemento `Action`.
**Nota**
Se non specifichi un ARN utente o un ID stack nella dichiarazione, devi anche concedere l'autorizzazione a utilizzare tutte le risorse per l'azione utilizzando il carattere jolly per l'elemento `Resource`.
## Consentire agli utenti di integrarsi con applicazioni esterne
In questo esempio viene illustrato come creare una policy che consenta agli utenti di interagire con le integrazioni di applicazioni esterne.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllAppIntegrationsActions",
"Effect": "Allow",
"Action": [
"app-integrations:ListEventIntegrations",
"app-integrations:CreateEventIntegration",
"app-integrations:GetEventIntegration",
"app-integrations:UpdateEventIntegration",
"app-integrations:DeleteEventIntegration",
"app-integrations:ListDataIntegrations",
"app-integrations:CreateDataIntegration",
"app-integrations:GetDataIntegration",
"app-integrations:UpdateDataIntegration",
"app-integrations:DeleteDataIntegration"
],
"Resource": "*"
}
]
}
```
------
## Descrivere e aggiornare gli utenti Amazon Connect in base ai tag
In una policy IAM, puoi specificare facoltativamente le condizioni che controllano la validità della policy. Ad esempio, è possibile definire una policy che consente agli utenti di aggiornare solo un utente Amazon Connect che lavora nell'ambiente di test.
Puoi definire alcune condizioni specifiche per Amazon Connect e definire altre condizioni che si applicano a tutti AWS. Per ulteriori informazioni e un elenco di condizioni generali, consulta Condition in [IAM JSON Policy Elements Reference](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) nella *IAM User AWS Guide*.
La seguente policy di esempio consente le operazioni "descrivere" e "aggiornare" per gli utenti con tag specifici
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"connect:DescribeUser",
"connect:UpdateUser*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Test"
}
}
}
]
}
```
------
Questa policy consente le operazioni “descrivi utente” e “aggiorna utente”, ma solo per quegli utenti Amazon Connect con tag “Department: Test” in cui “Department” è la chiave del tag e “Test” è il valore del tag.
## Creazione di utenti Amazon Connect in base ai tag
La seguente policy di esempio consente le operazioni di creazione per gli utenti con tag di richiesta specifici.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"connect:CreateUser",
"connect:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Owner": "TeamA"
}
}
}
]
}
```
------
Questa policy consente le operazioni “crea utente” e “risorsa di tag”, ma il tag “Owner: TeamA” deve essere presente nelle richieste.
## Crea e visualizza AppIntegrations risorse Amazon
La seguente policy di esempio consente di creare, elencare e recuperare integrazioni di eventi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"app-integrations:CreateEventIntegration",
"app-integrations:GetEventIntegration",
"app-integrations:ListEventIntegrations"
],
"Resource": "*"
}
]
}
```
------
## Crea e visualizza gli assistenti degli agenti Connect AI
La seguente policy di esempio consente di creare, elencare, recuperare ed eliminare gli assistenti degli agenti Connect AI.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wisdom:CreateContent",
"wisdom:DeleteContent",
"wisdom:CreateKnowledgeBase",
"wisdom:GetAssistant",
"wisdom:GetKnowledgeBase",
"wisdom:GetContent",
"wisdom:GetRecommendations",
"wisdom:GetSession",
"wisdom:NotifyRecommendationsReceived",
"wisdom:QueryAssistant",
"wisdom:StartContentUpload",
"wisdom:UpdateContent",
"wisdom:UntagResource",
"wisdom:TagResource",
"wisdom:CreateSession"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonConnectEnabled": "True"
}
}
},
{
"Action": [
"wisdom:ListAssistants",
"wisdom:ListKnowledgeBases"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Gestire le risorse delle campagne in uscita
Autorizzazioni di onboarding: la seguente policy di esempio consente l'onboarding delle istanze Amazon Connect nelle campagne in uscita.
```
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": [
"arn:aws:kms:region:account-id:key/key-id"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"connect:DescribeInstance"
],
"Resource": [
"arn:aws:connect:region:account-id:instance/instance-id"
]
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": [
"events:PutTargets",
"events:PutRule",
"iam:CreateServiceLinkedRole",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"ds:DescribeDirectories",
"connect-campaigns:StartInstanceOnboardingJob",
"connect-campaigns:GetConnectInstanceConfig",
"connect-campaigns:GetInstanceOnboardingJobStatus",
"connect-campaigns:DeleteInstanceOnboardingJob",
"connect:DescribeInstanceAttribute",
"connect:UpdateInstanceAttribute",
"connect:ListInstances",
"kms:ListAliases"
],
"Resource": "*"
}
```
Ad esempio, per disabilitare le campagne in uscita aggiungi le seguenti autorizzazioni:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:RetireGrant"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/KeyId"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"events:DeleteRule",
"events:RemoveTargets",
"events:DescribeRule",
"iam:DeleteRolePolicy",
"events:ListTargetsByRule",
"iam:DeleteServiceLinkedRole",
"connect-campaigns:DeleteConnectInstanceConfig"
],
"Resource": "*"
}
]
}
```
------
Autorizzazioni di gestione: la seguente policy di esempio consente tutte le operazioni di lettura e scrittura sulle campagne in uscita.
```
{
"Sid": "AllowConnectCampaignsOperations",
"Effect": "Allow",
"Action": [
"connect-campaigns:CreateCampaign",
"connect-campaigns:DeleteCampaign",
"connect-campaigns:DescribeCampaign",
"connect-campaigns:UpdateCampaignName",
"connect-campaigns:GetCampaignState"
"connect-campaigns:UpdateOutboundCallConfig",
"connect-campaigns:UpdateDialerConfig",
"connect-campaigns:PauseCampaign",
"connect-campaigns:ResumeCampaign",
"connect-campaigns:StopCampaign",
"connect-campaigns:GetCampaignStateBatch",
"connect-campaigns:ListCampaigns"
],
"Resource": "*"
}
```
ReadOnly autorizzazioni: La seguente policy di esempio consente l'accesso in sola lettura alle campagne.
```
{
"Sid": "AllowConnectCampaignsReadOnlyOperations",
"Effect": "Allow",
"Action": [
"connect-campaigns:DescribeCampaign",
"connect-campaigns:GetCampaignState",
"connect-campaigns:GetCampaignStateBatch",
"connect-campaigns:ListCampaigns"
],
"Resource": "*",
}
```
Autorizzazioni basate su tag: la seguente policy di esempio limita l'accesso alle campagne integrate in una particolare istanza di Amazon Connect tramite tag. È possibile aggiungere altre autorizzazioni in base al caso di utilizzo.
```
{
"Sid": "AllowConnectCampaignsOperations",
"Effect": "Allow",
"Action": [
"connect-campaigns:DescribeCampaign",
"connect-campaigns:GetCampaignState"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/owner": "arn:aws:connect:region:customer_account_id:instance/connect_instance_id"
}
}
}
```
**Nota**
Non è possibile limitare le operazioni `connect-campaigns:ListCampaigns` e `connect-campaigns:GetCampaignStateBatch` da tag.
# Esempi di policy a livello di risorsa Amazon Connect
Amazon Connect supporta le autorizzazioni a livello di risorsa per gli utenti, pertanto è possibile specificare le loro azioni per un'istanza, come illustrato nelle policy seguenti.
**Topics**
+ [Negare tutte le azioni su un’istanza Amazon Connect](#connect-access-control-resources-example-all)
+ [Negare le operazioni "elimina" e "aggiorna"](#connect-access-control-resources-example2)
+ [Consentire azioni per le integrazioni con nomi specifici](#connect-access-control-resources-integration-example)
+ [Consentire "crea utenti" ma negare se assegnati a un profilo di sicurezza specifico](#connect-access-control-resources-example3)
+ [Consentire la registrazione di azioni su un contatto](#connect-access-control-resources-example4)
+ [Consentire o negare le azioni API della coda per i numeri di telefono in una regione di replica](#allow-deny-queue-actions-replica-region)
+ [Visualizza AppIntegrations risorse Amazon specifiche](#view-specific-appintegrations-resources)
+ [Concedere l'accesso a Profili cliente Amazon Connect](#grant-access-to-customer-profiles)
+ [Concedere l'accesso in sola lettura ai dati di Profili cliente](#grant-read-only-access-to-customer-profiles)
+ [Agenti AI di Query Connect solo per un Assistente specifico](#query-wisdom-assistant)
+ [Concedere l'accesso completo ad Amazon Connect Voice ID](#grant-read-only-access-to-voiceid)
+ [Concedere l'accesso alle risorse delle Campagne Amazon Connect in uscita](#grant-read-only-access-to-outboundcommunications)
+ [Limitazione della capacità di eseguire ricerche su trascrizioni analizzate da Amazon Connect Contact Lens](#restrict-ability-to-search-transcripts-contact-lens)
## Negare tutte le azioni su un’istanza Amazon Connect
Un’istanza Amazon Connect è la risorsa di primo livello all’interno di Amazon Connect. Tutte le altre risorse secondarie vengono create all’interno del suo ambito. Per negare tutte le operazioni su tutte le risorse all’interno di un’istanza Amazon Connect, è possibile utilizzare uno dei seguenti metodi:
+ Utilizzare le chiavi di contesto `connect:instanceId`.
+ Utilizza l’ARN dell’istanza seguito da un carattere jolly (\$1).
La seguente policy di esempio nega tutte le azioni di connessione per l’istanza con instanceId 00fbeee1-123e-111e-93e3-11111bfbfcc1.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "connect:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"connect:instanceId": "00fbeee1-123e-111e-93e3-11111bfbfcc1"
}
}
}
]
}
```
------
In alternativa, puoi negare tutte le azioni specificando l’ARN dell’istanza seguito da un carattere jolly (\$1). La seguente policy di esempio nega tutte le azioni di connessione per l’istanza con l’ARN dell’istanza `arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"connect:*"
],
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1*"
}
]
}
```
------
## Negare le operazioni "elimina" e "aggiorna"
La seguente policy di esempio nega le azioni "elimina" e "aggiorna" per gli utenti in un'istanza Amazon Connect. Viene utilizzato un carattere jolly alla fine dell'ARN dell'utente Amazon Connect in modo che "elimina utente" e "aggiorna utente" vengano negati per l'ARN dell'utente completo (ovvero tutti gli utenti Amazon Connect nell'istanza fornita, ad esempio arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/00dtcddd1-123e-111e-93e3-11111bfbfcc1).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"connect:DeleteUser",
"connect:UpdateUser*"
],
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/*"
}
]
}
```
------
## Consentire azioni per le integrazioni con nomi specifici
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllAppIntegrationsActions",
"Effect": "Allow",
"Action": [
"app-integrations:ListEventIntegrations",
"app-integrations:CreateEventIntegration",
"app-integrations:GetEventIntegration",
"app-integrations:UpdateEventIntegration",
"app-integrations:DeleteEventIntegration"
],
"Resource":"arn:aws:app-integrations:*:*:event-integration/MyNamePrefix-*"
}
]
}
```
------
## Consentire "crea utenti" ma negare se assegnati a un profilo di sicurezza specifico
La seguente politica di esempio consente di «creare utenti» ma nega esplicitamente l'utilizzo di arn:aws:connect:us-west- 2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17 come parametro per il profilo di sicurezza in richiesta. [CreateUser](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateUser.html#API_CreateUser_RequestBody)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"connect:CreateUser"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"connect:CreateUser"
],
"Resource": "arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc17/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17"
}
]
}
```
------
## Consentire la registrazione di azioni su un contatto
La seguente policy di esempio consente l'operazione “avvia la registrazione del contatto” su un contatto in un'istanza specifica. Poiché ContactID è un valore dinamico, viene utilizzato \$1.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"connect:StartContactRecording"
],
"Resource": "arn:aws:connect:us-west-2:111122223333:instance/instanceId/contact/*",
"Effect": "Allow"
}
]
}
```
------
Imposta una relazione attendibile con *AccountID*.
Le seguenti azioni sono definite per la registrazione APIs:
+ «connettereStartContactRecording»:
+ «connettere:StopContactRecording»
+ «connettere:SuspendContactRecording»
+ «connettere:ResumeContactRecording»
### Consentire più azioni di contatto nello stesso ruolo
Se lo stesso ruolo viene utilizzato per chiamare un altro contatto APIs, puoi elencare le seguenti azioni di contatto:
+ GetContactAttributes
+ ListContactFlows
+ StartChatContact
+ StartOutboundVoiceContact
+ StopContact
+ UpdateContactAttributes
Oppure utilizza un carattere jolly per consentire tutte le azioni di contatto, ad esempio: "connect:\$1"
### Consentire più risorse
Puoi utilizzare un carattere jolly anche per consentire l'utilizzo di più risorse. Ad esempio, puoi consentire tutte le azioni di connessione su tutte le risorse di contatto in questo modo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"connect:*"
],
"Resource": "arn:aws:connect:us-west-2:111122223333:instance/*/contact/*",
"Effect": "Allow"
}
]
}
```
------
## Consentire o negare le azioni API della coda per i numeri di telefono in una regione di replica
Gli [CreateQueue](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateQueue.html)e [UpdateQueueOutboundCallerConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateQueueOutboundCallerConfig.html) APIs contengono un campo di input denominato`OutboundCallerIdNumberId`. Questo campo rappresenta una risorsa di numeri di telefono che può essere richiesta a un gruppo di distribuzione del traffico. [Supporta sia il formato ARN del numero di telefono V1 restituito [ListPhoneNumbers](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListPhoneNumbers.html)da sia il formato ARN V2 restituito da V2. ListPhoneNumbers](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListPhoneNumbersV2.html)
Di seguito sono riportati i formati ARN V1 e V2 supportati da `OutboundCallerIdNumberId`:
+ **Formato ARN V1**: `arn:aws:connect:your-region:your-account_id:instance/instance_id/phone-number/resource_id`
+ **Formato ARN V2**: `arn:aws:connect:your-region:your-account_id:phone-number/resource_id`
**Nota**
È consigliabile utilizzare il formato ARN V2. Il formato ARN V1 diventerà obsoleto nelle prossime settimane.
### Fornire entrambi i formati ARN per le risorse dei numeri di telefono nella regione di replica
Se il numero di telefono viene dichiarato a un gruppo di distribuzione del traffico, per allow/deny accedere correttamente alle azioni API di coda per le risorse dei numeri di telefono mentre si opera nella regione di replica, **è necessario fornire la risorsa numero di telefono nei formati ARN V1 e V2**. Se si fornisce la risorsa del numero di telefono in un solo formato ARN, non si otterrà il allow/deny comportamento corretto durante il funzionamento nella regione di replica.
### Esempio 1: negare l'accesso a CreateQueue
Ad esempio, stai operando nella regione di replica us-west-2 con l'account ` 123456789012` e l'istanza `aaaaaaaa-bbbb-cccc-dddd-0123456789012`. Si desidera negare l'accesso all'[CreateQueue](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateQueue.html)API quando il `OutboundCallerIdNumberId` valore è un numero di telefono dichiarato a un gruppo di distribuzione del traffico con ID di risorsa. `aaaaaaaa-eeee-ffff-gggg-0123456789012` In questo scenario, è necessario utilizzare la seguente policy.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyCreateQueueForSpecificNumber",
"Effect": "Deny",
"Action": "connect:CreateQueue",
"Resource": [
"arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
"arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
]
}
]
}
```
------
us-west-2 è la regione in cui viene effettuata la richiesta.
### Esempio 2: consenti solo l'accesso a UpdateQueueOutboundCallerConfig
Ad esempio, stai operando nella regione di replica us-west-2 con l'account `123456789012` e l'istanza `aaaaaaaa-bbbb-cccc-dddd-0123456789012`. Si desidera consentire l'accesso all'[UpdateQueueOutboundCallerConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateQueueOutboundCallerConfig.html)API solo quando il `OutboundCallerIdNumberId` valore è un numero di telefono dichiarato a un gruppo di distribuzione del traffico con ID di risorsa`aaaaaaaa-eeee-ffff-gggg-0123456789012`. In questo scenario, è necessario utilizzare la seguente policy.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OnlyAllowUpdateQueueOutboundCallerConfigForSpecificNumber",
"Effect": "Allow",
"Action": "connect:UpdateQueueOutboundCallerConfig",
"Resource": [
"arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
"arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
]
}
]
}
```
------
## Visualizza AppIntegrations risorse Amazon specifiche
La seguente policy di esempio consente di recuperare le integrazioni di eventi specifici.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"app-integrations:GetEventIntegration"
],
"Resource": "arn:aws:app-integrations:us-west-2:111122223333:event-integration/Name"
}
]
}
```
------
## Concedere l'accesso a Profili cliente Amazon Connect
Profili cliente Amazon Connect utilizza `profile` come prefisso per le azioni anziché `connect`. La seguente policy concede l'accesso completo a un dominio specifico in Profili cliente Amazon Connect.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"profile:*"
],
"Resource": "arn:aws:profile:us-west-2:111122223333:domains/domainName",
"Effect": "Allow"
}
]
}
```
------
Impostare una relazione attendibile con accountID nel dominio domainName.
## Concedere l'accesso in sola lettura ai dati di Profili cliente
Di seguito è riportato un esempio per concedere l'accesso in lettura ai dati in Profili cliente Amazon Connect.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"profile:SearchProfiles"
],
"Resource": "arn:aws:profile:us-east-1:111122223333:domains/domainName",
"Effect": "Allow"
}
]
}
```
------
## Agenti AI di Query Connect solo per un Assistente specifico
La seguente policy di esempio consente di eseguire una query solo per un assistente specifico.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wisdom:QueryAssistant"
],
"Resource": "arn:aws:wisdom:us-east-1:111122223333:assistant/assistantID"
}
]
}
```
------
## Concedere l'accesso completo ad Amazon Connect Voice ID
Amazon Connect Voice ID utilizza `voiceid` come prefisso per le azioni anziché connect. La seguente policy concede l'accesso completo a un dominio specifico in Amazon Connect Voice ID.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"voiceid:*"
],
"Resource": "arn:aws:voiceid:us-west-2:111122223333:domain/domainName",
"Effect": "Allow"
}
]
}
```
------
Impostare una relazione attendibile con accountID nel dominio domainName.
## Concedere l'accesso alle risorse delle Campagne Amazon Connect in uscita
Campagne in uscita utilizza `connect-campaign` come prefisso per le azioni anziché `connect`. La seguente policy concede l'accesso completo a una specifica campagna in uscita.
```
{
"Sid": "AllowConnectCampaignsOperations",
"Effect": "Allow",
"Action": [
"connect-campaigns:DeleteCampaign",
"connect-campaigns:DescribeCampaign",
"connect-campaigns:UpdateCampaignName",
"connect-campaigns:GetCampaignState"
"connect-campaigns:UpdateOutboundCallConfig",
"connect-campaigns:UpdateDialerConfig",
"connect-campaigns:PauseCampaign",
"connect-campaigns:ResumeCampaign",
"connect-campaigns:StopCampaign"
],
"Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId",
}
```
## Limitazione della capacità di eseguire ricerche su trascrizioni analizzate da Amazon Connect Contact Lens
La seguente policy consente di ricercare e descrivere contatti, ma nega la ricerca di un contatto utilizzando trascrizioni analizzate da Amazon Connect Contact Lens.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"connect:DescribeContact"
],
"Resource": "arn:aws:connect:us-east-1:111122223333:instance/instance-id/contact/*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"connect:SearchContacts"
],
"Resource": "arn:aws:connect:us-east-1:111122223333:instance/instance-id"
},
{
"Sid": "VisualEditor2",
"Effect": "Deny",
"Action": [
"connect:SearchContacts"
],
"Resource": "arn:aws:connect:us-east-1:111122223333:instance/instance-id",
"Condition": {
"ForAnyValue:StringEquals": {
"connect:SearchContactsByContactAnalysis": [
"Transcript"
]
}
}
}
]
}
```
------
# AWS politiche gestite per Amazon Connect
Per aggiungere le autorizzazioni a utenti, gruppi e ruoli, è più efficiente utilizzare policy gestite da AWS piuttosto che scriverle autonomamente. La [creazione di policy gestite dai clienti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) che forniscono al tuo team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, puoi utilizzare le politiche AWS gestite. Queste politiche coprono casi d'uso comuni e sono disponibili nel tuo AWS account. Per ulteriori informazioni sulle policy gestite da AWS , consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html) nella *Guida per l’utente di IAM*.
AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi aggiungono occasionalmente autorizzazioni aggiuntive a una policy AWS gestita per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una politica AWS gestita quando viene lanciata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.
Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy ReadOnlyAccess AWS gestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per l’elenco e la descrizione delle policy di funzione dei processi, consultare la sezione [Policy gestite da AWS per funzioni di processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
## AWS politica gestita: \$1 AmazonConnect FullAccess
Per consentire read/write l'accesso completo ad Amazon Connect, devi associare due policy ai tuoi utenti, gruppi o ruoli IAM. Allega la policy `AmazonConnect_FullAccess` e una policy personalizzata per avere l’accesso completo a Amazon Connect.
Per visualizzare le autorizzazioni per la `AmazonConnect_FullAccess` policy, consulta [AmazonConnect\$1 FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonConnect_FullAccess.html) nell'*AWS Managed Policy Reference*.
**Policy personalizzata**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AttachAnyPolicyToAmazonConnectRole",
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/connect.amazonaws.com/AWSServiceRoleForAmazonConnect*"
}
]
}
```
------
Per consentire a un utente di creare un'istanza, accertati che disponga delle autorizzazioni concesse dalla policy `AmazonConnect_FullAccess`.
Quando utilizzi la policy `AmazonConnect_FullAccess`, presta attenzione alle seguenti informazioni:
+ La policy personalizzata che contiene l’azione `iam:PutRolePolicy` consente all’utente con questa policy assegnata di configurare qualsiasi risorsa dell’account per lavorare con un’istanza Amazon Connect. Poiché questa azione aggiuntiva concede autorizzazioni molto ampie, assegnala solo quando necessario. Come alternativa, puoi creare il ruolo orientato ai servizi con accesso alle risorse necessarie e consenti all’utente l’accesso per passare il ruolo orientato ai servizi ad Amazon Connect (azione concessa dalla policy `AmazonConnect_FullAccess`).
+ Sono necessari privilegi aggiuntivi per creare un bucket Amazon S3 con un nome a scelta o utilizzare un bucket esistente durante la creazione o l'aggiornamento di un'istanza dal sito Web di amministrazione. Amazon Connect Se scegli posizioni di archiviazione predefinite per le registrazioni delle chiamate, le trascrizioni delle chat, le trascrizioni delle chiamate e altri dati, il sistema antepone "amazon-connect-" a tali oggetti.
+ La chiave aws/connect KMS può essere utilizzata come opzione di crittografia predefinita. Per utilizzare una chiave di crittografia personalizzata, assegna agli utenti privilegi KMS aggiuntivi.
+ Assegna agli utenti privilegi aggiuntivi per collegare altre AWS risorse come Amazon Polly, Live Media Streaming, Data Streaming e bot Lex alle loro istanze Amazon Connect.
Per ulteriori informazioni e per le autorizzazioni dettagliate, consulta [Autorizzazioni richieste per l'utilizzo di policy IAM personalizzate per gestire l'accesso alla console Amazon Connect](security-iam-amazon-connect-permissions.md).
## AWS politica gestita: AmazonConnectReadOnlyAccess
Per consentire l’accesso in sola lettura, è necessario collegare la policy `AmazonConnectReadOnlyAccess`.
Per visualizzare le autorizzazioni per questa policy, consulta [AmazonConnectReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonConnectReadOnlyAccess.html)*AWS Managed Policy Reference.*
## AWS politica gestita: AmazonConnectServiceLinkedRolePolicy
Questa politica è associata al ruolo collegato al servizio denominato `AWSServiceRoleForAmazonConnect` per consentire di Amazon Connect eseguire varie azioni su risorse specifiche. Quando si abilitano funzionalità aggiuntive in Amazon Connect, vengono aggiunte autorizzazioni aggiuntive per il ruolo [AWSServiceRoleForAmazonConnect](https://docs.aws.amazon.com/connect/latest/adminguide/connect-slr.html#slr-permissions)collegato al servizio per accedere alle risorse associate a tali funzionalità.
Per visualizzare le autorizzazioni per questa policy, consulta [AmazonConnectServiceLinkedRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonConnectServiceLinkedRolePolicy.html)*AWS Managed Policy Reference.*
## AWS politica gestita: AmazonConnectCampaignsServiceLinkedRolePolicy
La politica di autorizzazione dei `AmazonConnectCampaignsServiceLinkedRolePolicy` ruoli consente Amazon Connect alle campagne in uscita di eseguire varie azioni su risorse specifiche. Quando si abilitano funzionalità aggiuntive in Amazon Connect, vengono aggiunte autorizzazioni aggiuntive per il ruolo [AWSServiceRoleForConnectCampaigns](https://docs.aws.amazon.com/connect/latest/adminguide/connect-slr-outbound.html#slr-permissions-outbound)collegato al servizio per accedere alle risorse associate a tali funzionalità.
Per visualizzare le autorizzazioni per questa policy, consulta [AmazonConnectCampaignsServiceLinkedRolePolicy ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonConnectCampaignsServiceLinkedRolePolicy.html)*AWS Managed Policy Reference.*
## AWS politica gestita: Accesso AmazonConnectVoice IDFull
Per consentire l'accesso completo ad Amazon Connect Voice ID, devi collegare due policy a utenti, gruppi o ruoli. Allega la `AmazonConnectVoiceIDFullAccess` policy e una policy personalizzata per accedere a Voice ID tramite il sito web di Amazon Connect amministrazione.
Per visualizzare le autorizzazioni per la `AmazonConnectVoiceIDFullAccess` policy, consulta [AmazonConnectVoiceIDFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonConnectVoiceIDFullAccess.html) nell'*AWS Managed Policy Reference*.
**Policy personalizzata**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AttachAnyPolicyToAmazonConnectRole",
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/connect.amazonaws.com/AWSServiceRoleForAmazonConnect*"
},
{
"Effect": "Allow",
"Action": [
"connect:CreateIntegrationAssociation",
"connect:DeleteIntegrationAssociation",
"connect:ListIntegrationAssociations"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"events:DeleteRule",
"events:PutRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"events:ManagedBy": "connect.amazonaws.com"
}
}
}
]
}
```
------
La policy personalizzata configura quanto segue:
+ La `iam:PutRolePolicy` consente all'utente che la riceve di configurare qualsiasi risorsa dell'account per lavorare con l'istanza Amazon Connect. Data la sua ampia portata, concedi questa autorizzazione solo quando assolutamente necessario.
+ Il collegamento di un dominio Voice ID a un' Amazon Connect istanza richiede EventBridge autorizzazioni aggiuntive Amazon Connect e Amazon. Sono necessarie le autorizzazioni Amazon Connect APIs per richiedere la creazione, l'eliminazione e l'elenco delle associazioni di integrazione. Inoltre, sono necessarie EventBridge le autorizzazioni per creare ed eliminare le regole che forniscono i record di contatto relativi a Voice ID.
Amazon Connect Voice ID non dispone di un’opzione di crittografia predefinita, per cui è necessario consentire le seguenti operazioni API nella policy della chiave per utilizzare la chiave gestita dal cliente. Inoltre, è necessario concedere queste autorizzazioni sulla chiave pertinente, in quanto non sono incluse nella policy gestita.
+ `kms:Decrypt` - per accedere o archiviare dati crittografati.
+ `kms:CreateGrant`: durante la creazione o l'aggiornamento di un dominio, consente di creare una concessione alla chiave gestita dal cliente per il dominio Voice ID. La concessione controlla l'accesso alla chiave KMS specificata, che consente l'accesso alle [operazioni di concessione](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) richieste da Amazon Connect Voice ID. Per ulteriori informazioni, consulta [Utilizzo delle concessioni](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) nella *Guida per gli sviluppatori di AWS Key Management Service*.
+ `kms:DescribeKey`: durante la creazione o l'aggiornamento di un dominio, consente di determinare l'ARN per la chiave KMS che hai fornito.
Per ulteriori informazioni sulla creazione di domini e chiavi KMS, consulta [Nozioni di base su come abilitare Voice ID in Amazon Connect](enable-voiceid.md) e [Crittografia a riposo in Amazon Connect](encryption-at-rest.md).
## AWS politica gestita: CustomerProfilesServiceLinkedRolePolicy
La politica di autorizzazione dei `CustomerProfilesServiceLinkedRolePolicy` ruoli consente di Amazon Connect eseguire varie azioni su risorse specifiche. Quando abiliti funzionalità aggiuntive in Amazon Connect, vengono aggiunte autorizzazioni aggiuntive per il ruolo [AWSServiceRoleForProfile](customerprofiles-slr.md#slr-permissions-customerprofiles)collegato al servizio per accedere alle risorse associate a tali funzionalità.
Per visualizzare le autorizzazioni per questa policy, consulta [CustomerProfilesServiceLinkedRolePolicy ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CustomerProfilesServiceLinkedRolePolicy.html)*AWS Managed Policy Reference.*
## AWS politica gestita: AmazonConnectSynchronizationServiceRolePolicy
La politica `AmazonConnectSynchronizationServiceRolePolicy` delle autorizzazioni consente Amazon Connect a Managed Synchronization di eseguire varie azioni su risorse specifiche. Poiché la sincronizzazione delle risorse è abilitata per più risorse, vengono aggiunte autorizzazioni aggiuntive al ruolo [AWSServiceRoleForAmazonConnectSynchronization](managed-synchronization-slr.md#slr-permissions-managed-synchronization)collegato al servizio per accedere a tali risorse.
Per visualizzare le autorizzazioni per questa policy, consulta [AmazonConnectSynchronizationServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonConnectSynchronizationServiceRolePolicy.html)*AWS Managed Policy Reference.*
## Amazon Connect aggiorna le politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon Connect da quando questo servizio ha iniziato a tracciare queste modifiche. Per gli avvisi automatici sulle modifiche apportate alla pagina, iscriviti al feed RSS alla pagina [Cronologia dei documenti di Amazon Connect](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Azioni aggiunte per gli agenti Connect AI | Sono state aggiunte le seguenti azioni Connect AI agent alla policy relativa ai ruoli collegati ai servizi: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 18 novembre 2025 |
| [AmazonConnectSynchronizationServiceRolePolicy](#amazonconnectsynchronizationservicerolepolicy)— Azioni aggiunte per la sincronizzazione gestita | Sono state modificate le azioni consentite aggiungendo in batch e importando caratteri jolly. Sono state aggiunte le seguenti azioni: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 21 novembre 2025 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Azioni aggiunte per AWS End User Messaging Social | Aggiunte azioni AWS End User Messaging Social per consentire l'elenco di account WhatsApp aziendali e il recupero dei modelli di WhatsApp messaggi di un account aziendale. Sono state aggiunte le seguenti azioni: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) Il modello APIs AWS End User Messaging Social è limitato agli account WhatsApp aziendali con tag`AmazonConnectEnabled : True`. | 20 ottobre 2025 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Azioni aggiunte per i profili dei clienti Amazon Connect | Sono state aggiunte le seguenti azioni relative ai profili dei clienti di Amazon Connect alla policy relativa ai ruoli collegati al servizio sotto il **AllowCustomerProfilesForConnectDomain**Sid. Inoltre, è stato aggiunto il supporto per il profilo UploadJobs su tutte le risorse amazon-connect-\$1 e non solo sulle risorse «upload-jobs»: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 25 luglio 2025 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Azioni aggiunte per Amazon Polly | Sono state aggiunte le seguenti azioni di Amazon Polly alla policy del ruolo collegato ai servizi: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 9 luglio 2025 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Azioni aggiunte per i profili dei clienti Amazon Connect | Sono state aggiunte le seguenti azioni alla policy del ruolo collegato ai servizi di Amazon Connect Customer Profiles: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 30 giugno 2025 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Azioni aggiunte per i profili dei clienti Amazon Connect | Sono state aggiunte le seguenti azioni alla policy del ruolo collegato ai servizi di Profili dei clienti: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 9 giugno 2025 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Aggiunte azioni per gli agenti Connect AI, per supportare la messaggistica | Sono state aggiunte le seguenti azioni Connect AI agent alla policy relativa ai ruoli collegati al servizio per supportare la messaggistica. Queste azioni consentono ad Amazon Connect di inviare, elencare e ricevere il messaggio successivo utilizzando l'API Connect AI Agents: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 14 marzo 2025 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Azioni aggiunte per gli agenti Connect AI | Sono state aggiunte le seguenti azioni Connect AI agent alla policy relativa ai ruoli collegati ai servizi: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 31 dicembre 2024 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Aggiunta azione per Amazon Pinpoint, per supportare le notifiche push | È stata aggiunta la seguente azione Amazon Pinpoint alla policy del ruolo collegato ai servizi per supportare le notifiche push. Questa azione consente ad Amazon Connect di inviare notifiche push utilizzando l’API di Amazon Pinpoint. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 10 dicembre 2024 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Aggiunte azioni per l'integrazione con AWS End User Messaging Social | Sono state aggiunte le seguenti azioni social di messaggistica per l'utente AWS finale alla politica relativa ai ruoli collegati al servizio. Le azioni consentono ad Amazon Connect di richiamarle APIs sui numeri di telefono social di messaggistica degli utenti finali che hanno il tag `'AmazonConnectEnabled':'True'` resource. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 2 dicembre 2024 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Aggiunte azioni per Amazon SES, per supportare il canale e-mail | Sono state aggiunte le seguenti azioni Amazon SES alla policy del ruolo collegato ai servizi per supportare il canale e-mail. Queste azioni consentono ad Amazon Connect di inviare, ricevere e gestire e-mail utilizzando Amazon SES APIs: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 22 novembre 2024 |
| [AmazonConnectServiceLinkedRolePolicy](#amazonconnectservicelinkedrolepolicy)— Azioni aggiunte per i profili dei clienti Amazon Connect | Sono state aggiunte le seguenti azioni per gestire le risorse di Amazon Connect Customer Profiles: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 18 novembre 2024 |
| [CustomerProfilesServiceLinkedRolePolicy](#customerprofilesservicelinkedrolepolicy)— Aggiunte autorizzazioni per la gestione delle campagne in uscita | Sono state aggiunte le seguenti azioni per recuperare le informazioni del profilo e attivare una campagna. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 1 dicembre 2024 |
| [AmazonConnectServiceLinkedRolePolicy](#amazonconnectservicelinkedrolepolicy)— Azioni aggiunte per i profili dei clienti di Amazon Connect e gli agenti Connect AI | Sono state aggiunte le seguenti azioni per gestire le risorse di Amazon Connect Customer Profiles: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) Sono state aggiunte le seguenti azioni per gestire le risorse degli agenti Connect AI: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 18 novembre 2024 |
| [AmazonConnectCampaignsServiceLinkedRolePolicy](#amazonconnectcampaignsservicelinkedrolepolicy)— Azioni aggiunte per i profili dei clienti di Amazon Connect e gli agenti Connect AI | Sono state aggiunte le seguenti azioni per gestire le risorse di Amazon Connect : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) Sono state aggiunte le seguenti azioni per gestire EventBridge le risorse: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) Sono state aggiunte le seguenti azioni per gestire le risorse degli agenti Connect AI: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 18 novembre 2024 |
| [AmazonConnectSynchronizationServiceRolePolicy](#amazonconnectsynchronizationservicerolepolicy)— Ha consolidato le azioni consentite e aggiunto un elenco di azioni negate per la sincronizzazione gestita | Sono state modificate le azioni consentite utilizzando caratteri jolly e aggiunto un elenco esplicito di azioni negate. | 12 novembre 2024 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Azioni aggiunte per Amazon Chime SDK Voice Connector | Sono state aggiunte le seguenti azioni per il connettore vocale SDK di Amazon Chime alla policy del ruolo collegato ai servizi. Queste azioni consentono ad Amazon Connect di ottenere informazioni su Amazon Chime Voice Connector utilizzando get and list Amazon Chime SDK Voice Connector: APIs [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 25 ottobre 2024 |
| [AmazonConnectSynchronizationServiceRolePolicy](#amazonconnectsynchronizationservicerolepolicy)— Aggiunto per la sincronizzazione gestita | Sono state aggiunte le seguenti azioni alla policy gestita dei ruoli collegati ai servizi per supportare il lancio dell’attributo `HoursOfOperationOverride`. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 25 settembre 2024 |
| [AmazonConnectSynchronizationServiceRolePolicy](#amazonconnectsynchronizationservicerolepolicy)— Aggiunto per la sincronizzazione gestita | Sono state aggiunte le seguenti azioni alla policy gestita dei ruoli collegati ai servizi per la sincronizzazione gestita: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 5 luglio 2024 |
| [AmazonConnectReadOnlyAccess](#amazonconnectreadonlyaccess-policy)— Azione rinominata `connect:GetFederationTokens` e modificata in `connect:AdminGetEmergencyAccessToken` | La policy AmazonConnectReadOnlyAccess gestita è stata aggiornata a causa della ridenominazione dell'azione Amazon Connect `connect:GetFederationTokens` in`connect:AdminGetEmergencyAccessToken`. Questa modifica è retrocompatibile e l’azione `connect:AdminGetEmergencyAccessToken` funzionerà allo stesso modo dell’azione `connect:GetFederationTokens`. Se lasci l’azione `connect:GetFederationTokens` precedentemente indicata nelle tue policy, queste continueranno a funzionare come previsto. | 15 giugno 2024 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Azioni aggiunte per i pool di utenti di Amazon Cognito e i profili clienti Amazon Connect | Sono state aggiunte le seguenti azioni relative ai pool di utenti di Amazon Cognito alla policy dei ruoli collegati al servizio per consentire operazioni di lettura selezionate sulle risorse del pool di utenti di Cognito che dispongono di un tag di risorsa `AmazonConnectEnabled`. Questo tag viene inserito nella risorsa quando viene chiamata l’API `CreateIntegrationAssociations`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) È stata aggiunta la seguente azione Amazon Connect Customer Profiles alla policy relativa ai ruoli collegati al servizio per consentire le autorizzazioni per inserire dati nel servizio adiacente a Connect, Customer Profiles: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 23 maggio 2024 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Azioni aggiunte per gli agenti Connect AI | È possibile eseguire la seguente azione sulle risorse Connect AI Agents che hanno il tag `'AmazonConnectEnabled':'True'` resource nella Knowledge Base Connect AI Agents: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 20 maggio 2024 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Azioni aggiunte per Amazon Pinpoint | Sono state aggiunte le seguenti azioni alla policy relativa ai ruoli collegati al servizio per utilizzare i numeri di telefono di Amazon Pinpoint per Amazon Connect consentire l'invio di SMS: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 17 novembre 2023 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Azioni aggiunte per gli agenti Connect AI | È possibile eseguire la seguente azione sulle risorse Connect AI Agents che hanno il tag `'AmazonConnectEnabled':'True'` resource nella Knowledge Base Connect AI Agents: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 15 novembre 2023 |
| [AmazonConnectCampaignsServiceLinkedRolePolicy](connect-slr-outbound.md#slr-permissions-outbound)— Azioni aggiunte per Amazon Connect | Amazon Connect ha aggiunto nuove azioni per recuperare le campagne in uscita: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 8 novembre 2023 |
| [AmazonConnectSynchronizationServiceRolePolicy](#amazonconnectsynchronizationservicerolepolicy)— Aggiunta una nuova politica AWS gestita | È stata aggiunta una nuova policy gestita con ruoli orientati ai servizi per la sincronizzazione gestita. La politica fornisce l'accesso a Amazon Connect risorse di lettura, creazione, aggiornamento ed eliminazione e viene utilizzata per sincronizzare automaticamente AWS le risorse tra le AWS regioni. | 3 novembre 2023 |
| [AmazonConnectServiceLinkedRolePolicy](#amazonconnectservicelinkedrolepolicy)— Azioni aggiunte per i profili dei clienti | È stata aggiunta la seguente azione per gestire i ruoli collegati al servizio Amazon Connect Customer Profiles: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 30 ottobre 2023 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Azioni aggiunte per gli agenti Connect AI | È possibile eseguire le seguenti azioni sulle risorse Connect AI Agents che hanno il tag `'AmazonConnectEnabled':'True'` resource nella Knowledge Base Connect AI Agents: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 25 ottobre 2023 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Azioni aggiunte per i profili dei clienti | È stata aggiunta la seguente azione per gestire i ruoli collegati al servizio Amazon Connect Customer Profiles: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 6 ottobre 2023 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Azioni aggiunte per gli agenti Connect AI | È possibile eseguire le seguenti azioni sulle risorse degli agenti Connect AI che dispongono del tag `'AmazonConnectEnabled':'True'` di risorsa nelle knowledge base e negli assistenti di Connect AI Agents: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) È possibile eseguire le seguenti `List` azioni su tutte le risorse degli agenti Connect AI: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 29 settembre 2023 |
| [CustomerProfilesServiceLinkedRolePolicy](#customerprofilesservicelinkedrolepolicy)— Aggiunto CustomerProfilesServiceLinkedRolePolicy | Nuova policy gestita. | 7 marzo 2023 |
| [AmazonConnect\$1 FullAccess](#AmazonConnect_FullAccess-policy) — Aggiunta l'autorizzazione per la gestione dei ruoli collegati al servizio Amazon Connect Customer Profiles Service | È stata aggiunta la seguente azione per gestire i ruoli orientati ai servizi di Profili cliente Amazon Connect: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 26 gennaio 2023 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Azioni aggiunte per Amazon CloudWatch | È stata aggiunta la seguente azione per pubblicare le metriche di utilizzo di Amazon Connect per un'istanza sul tuo account. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 22 febbraio 2022 |
| [AmazonConnect\$1 FullAccess](#AmazonConnect_FullAccess-policy) — Aggiunte autorizzazioni per la gestione dei domini dei profili dei clienti Amazon Connect | Sono state aggiunte tutte le autorizzazioni per la gestione dei domini di Profili cliente Amazon Connect creati per nuove istanze Amazon Connect. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) Le seguenti autorizzazioni possono essere eseguite su domini il cui nome include il prefisso `amazon-connect-`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 12 novembre 2021 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Azioni aggiunte per i profili dei clienti Amazon Connect | Sono state aggiunte le seguenti azioni in modo che i flussi di Amazon Connect e l'esperienza dell'agente possano interagire con i profili nel dominio di Profili cliente predefinito: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) È stata aggiunta la seguente azione in modo che i flussi di Amazon Connect e l'esperienza dell'agente possano interagire con gli oggetti del profilo nel dominio di Profili cliente predefinito: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) È stata aggiunta la seguente azione in modo che i flussi di Amazon Connect e l'esperienza dell'agente possano determinare se Profili cliente è abilitato per l'istanza Amazon Connect: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 12 novembre 2021 |
| [AmazonConnectVoiceIDFullAccesso](#amazonconnectvoiceidfullaccesspolicy): aggiunta una nuova politica AWS gestita | È stata aggiunta una nuova policy AWS gestita che consente di configurare gli utenti per l'utilizzo di Amazon Connect Voice ID. Questa policy fornisce l'accesso completo ad Amazon Connect Voice ID tramite console AWS , SDK o altri mezzi. | 27 settembre 2021 |
| [AmazonConnectCampaignsServiceLinkedRolePolicy](connect-slr-outbound.md#slr-permissions-outbound)— Aggiunta una nuova politica relativa ai ruoli collegati ai servizi | È stata aggiunta una nuova policy relativa ai ruoli orientati ai servizi per le campagne in uscita. La policy fornisce l'accesso per recuperare tutte le campagne in uscita. | 27 settembre 2021 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— Azioni aggiunte per Amazon Lex | Sono state aggiunte le seguenti azioni per tutti i bot creati nell'account in tutte le regioni. Queste azioni sono state aggiunte per supportare l'integrazione con Amazon Lex. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 15 giugno 2021 |
| [AmazonConnect\$1 FullAccess](security-iam-amazon-connect-permissions.md) — Azioni aggiunte per Amazon Lex | Sono state aggiunte le seguenti azioni per tutti i bot creati nell'account in tutte le regioni. Queste azioni sono state aggiunte per supportare l'integrazione con Amazon Lex. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/security_iam_awsmanpol.html) | 15 giugno 2021 |
| Amazon Connect ha iniziato a monitorare le modifiche | Amazon Connect ha iniziato a tracciare le modifiche per le sue politiche AWS gestite. | 15 giugno 2021 |
# Risoluzione dei problemi relativi all'identità e all'accesso di Amazon Connect
Utilizza le informazioni seguenti per diagnosticare e risolvere i problemi comuni che possono verificarsi durante l'utilizzo di Amazon Connect e IAM.
**Topics**
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Desidero consentire a persone esterne al mio AWS account di accedere alle mie risorse Amazon Connect](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire iam: PassRole
Se si riceve un errore che indica che non si dispone dell'autorizzazione a eseguire l'operazione `iam:PassRole`, per passare un ruolo a Amazon Connect è necessario aggiornare le policy.
Alcuni Servizi AWS consentono di passare un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
L'errore di esempio seguente si verifica quando un utente IAM denominato `marymajor` prova a utilizzare la console per eseguire un'operazione in Amazon Connect. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Desidero consentire a persone esterne al mio AWS account di accedere alle mie risorse Amazon Connect
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per consentire alle persone di accedere alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Amazon Connect supporta queste funzionalità, consulta [Funzionamento di Amazon Connect con IAM](security_iam_service-with-iam.md).
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM* User Guide.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.
# Utilizzo dei ruoli collegati ai servizi e alle autorizzazioni dei ruoli di Amazon Connect
## Cosa sono i ruoli orientati ai servizi (SLR) e perché sono importanti?
Amazon Connect utilizza ruoli [collegati ai servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo orientato ai servizi è un tipo di ruolo IAM univoco collegato direttamente a un'istanza Amazon Connect.
I ruoli collegati ai servizi sono predefiniti da Amazon Connect e includono [tutte le autorizzazioni richieste da Amazon](#slr-permissions) Connect per chiamare altri AWS servizi per tuo conto.
È necessario abilitare i ruoli collegati ai servizi in modo da poter utilizzare le nuove funzionalità di Amazon Connect, come il supporto per i tag, la nuova interfaccia **utente nei profili di gestione degli utenti** **e di routing** e le code con supporto. CloudTrail
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni dei ruoli orientati ai servizi per Amazon Connect
Amazon Connect utilizza il ruolo collegato al servizio con il prefisso **AWSServiceRoleForAmazonConnect**\$1 *unique-id* — concede ad Amazon Connect l'autorizzazione ad AWS accedere alle risorse per tuo conto.
Il ruolo collegato al servizio AWSService RoleForAmazonConnect con prefisso prevede che i seguenti servizi assumano il ruolo:
+ `connect.amazonaws.com`
La politica di autorizzazione dei [AmazonConnectServiceLinkedRolePolicy](https://docs.aws.amazon.com/connect/latest/adminguide/security_iam_awsmanpol.html#amazonconnectservicelinkedrolepolicy)ruoli consente ad Amazon Connect di completare le seguenti azioni sulle risorse specificate:
+ Azione: tutte le azioni Amazon Connect, `connect:*`, su tutte le risorse Amazon Connect.
+ Azione: `iam:DeleteRole` IAM per consentire l'eliminazione del ruolo collegato ai servizi.
+ Azione: `s3:GetObject`, `s3:DeleteObject`, `s3:GetBucketLocation`, e `GetBucketAcl` Amazon S3 per il bucket S3 specificato per le conversazioni registrate.
Inoltre, concede `s3:PutObject`, `s3:PutObjectAcl` e `s3:GetObjectAcl` al bucket specificato per i report esportati.
+ Azione: Amazon CloudWatch Logs `logs:CreateLogStream` e `logs:PutLogEvents` al gruppo CloudWatch Logs specificato per la registrazione del flusso. `logs:DescribeLogStreams`
+ Azione: `lex:ListBots`, `lex:ListBotAliases` Amazon Lex per tutti i bot creati nell'account tra tutte le regioni.
+ Azione: Profili cliente Amazon Connect
+ `profile:SearchProfiles`
+ `profile:CreateProfile`
+ `profile:UpdateProfile`
+ `profile:AddProfileKey`
+ `profile:ListProfileObjects`
+ `profile:ListAccountIntegrations`
+ `profile:ListProfileObjectTypeTemplates`
+ `profile:GetProfileObjectTypeTemplate`
+ `profile:ListProfileObjectTypes`
+ `profile:GetProfileObjectType`
+ `profile:ListCalculatedAttributeDefinitions`
+ `profile:GetCalculatedAttributeForProfile`
+ `profile:ListCalculatedAttributesForProfile`
+ `profile:GetDomain`
+ `profile:ListIntegrations`
+ `profile:GetIntegration`
+ `profile:PutIntegration`
+ `profile:DeleteIntegration`
+ `profile:CreateEventTrigger`
+ `profile:GetEventTrigger`
+ `profile:ListEventTriggers`
+ `profile:UpdateEventTrigger`
+ `profile:DeleteEventTrigger`
+ `profile:CreateCalculatedAttributeDefinition`
+ `profile:DeleteCalculatedAttributeDefinition`
+ `profile:GetCalculatedAttributeDefinition`
+ `profile:UpdateCalculatedAttributeDefinition`
+ `profile:PutProfileObject`
+ `profile:ListObjectTypeAttributes`
+ `profile:ListProfileAttributeValues`
+ `profile:BatchGetProfile`
+ `profile:BatchGetCalculatedAttributeForProfile`
+ `profile:ListSegmentDefinitions`
+ `profile:CreateSegmentDefinition`
+ `profile:GetSegmentDefinition`
+ `profile:DeleteSegmentDefinition`
+ `profile:CreateSegmentEstimate`
+ `profile:GetSegmentEstimate`
+ `profile:CreateSegmentSnapshot`
+ `profile:GetSegmentSnapshot`
+ `profile:GetSegmentMembership`
+ `profile:CreateDomainLayout`
+ `profile:UpdateDomainLayout`
+ `profile:DeleteDomainLayout`
+ `profile:GetDomainLayout`
+ `profile:ListDomainLayouts`
+ `profile:GetSimilarProfiles`
+ `profile:GetUploadJob`
+ `profile:GetUploadJobPath`
+ `profile:StartUploadJob`
+ `profile:StopUploadJob`
+ `profile:CreateUploadJob`
+ `profile:ListUploadJobs`
+ `profile:DetectProfileObjectType`
per utilizzare il tuo dominio Profilo cliente predefinito (inclusi i profili e tutti i tipi di oggetto nel dominio) con i flussi di Amazon Connect e le applicazioni di esperienza dell'agente.
**Nota**
Ogni istanza Amazon Connect può essere associata a un solo dominio alla volta. Tuttavia, puoi collegare qualsiasi dominio a un’istanza Amazon Connect. L’accesso tra domini all’interno dello stesso account AWS e della stessa Regione viene abilitato automaticamente per tutti i domini che iniziano con il prefisso `amazon-connect-`. Per limitare l’accesso tra domini, puoi utilizzare istanze Amazon Connect separate per partizionare logicamente i dati o utilizzare nomi di dominio Profili dei clienti all’interno della stessa istanza che non iniziano con il prefisso `amazon-connect-`, impedendo così l’accesso tra domini.
+ Azione: Connect AI agent
+ `wisdom:CreateContent`
+ `wisdom:DeleteContent`
+ `wisdom:CreateKnowledgeBase`
+ `wisdom:GetAssistant`
+ `wisdom:GetKnowledgeBase`
+ `wisdom:GetContent`
+ `wisdom:GetRecommendations`
+ `wisdom:GetSession`
+ `wisdom:NotifyRecommendationsReceived`
+ `wisdom:QueryAssistant`
+ `wisdom:StartContentUpload`
+ `wisdom:UntagResource`
+ `wisdom:TagResource`
+ `wisdom:CreateSession`
+ `wisdom:CreateQuickResponse`
+ `wisdom:GetQuickResponse`
+ `wisdom:SearchQuickResponses`
+ `wisdom:StartImportJob`
+ `wisdom:GetImportJob`
+ `wisdom:ListImportJobs`
+ `wisdom:ListQuickResponses`
+ `wisdom:UpdateQuickResponse`
+ `wisdom:DeleteQuickResponse`
+ `wisdom:PutFeedback`
+ `wisdom:ListContentAssociations`
+ `wisdom:CreateMessageTemplate`
+ `wisdom:UpdateMessageTemplate`
+ `wisdom:UpdateMessageTemplateMetadata`
+ `wisdom:GetMessageTemplate`
+ `wisdom:DeleteMessageTemplate`
+ `wisdom:ListMessageTemplates`
+ `wisdom:SearchMessageTemplates`
+ `wisdom:ActivateMessageTemplate`
+ `wisdom:DeactivateMessageTemplate`
+ `wisdom:CreateMessageTemplateVersion`
+ `wisdom:ListMessageTemplateVersions`
+ `wisdom:CreateMessageTemplateAttachment`
+ `wisdom:DeleteMessageTemplateAttachment`
+ `wisdom:RenderMessageTemplate`
+ `wisdom:CreateAIAgent`
+ `wisdom:CreateAIAgentVersion`
+ `wisdom:DeleteAIAgent`
+ `wisdom:DeleteAIAgentVersion`
+ `wisdom:UpdateAIAgent`
+ `wisdom:UpdateAssistantAIAgent`
+ `wisdom:RemoveAssistantAIAgent`
+ `wisdom:GetAIAgent`
+ `wisdom:ListAIAgents`
+ `wisdom:ListAIAgentVersions`
+ `wisdom:CreateAIPrompt`
+ `wisdom:CreateAIPromptVersion`
+ `wisdom:DeleteAIPrompt`
+ `wisdom:DeleteAIPromptVersion`
+ `wisdom:UpdateAIPrompt`
+ `wisdom:GetAIPrompt`
+ `wisdom:ListAIPrompts`
+ `wisdom:ListAIPromptVersions`
+ `wisdom:CreateAIGuardrail`
+ `wisdom:CreateAIGuardrailVersion`
+ `wisdom:DeleteAIGuardrail`
+ `wisdom:DeleteAIGuardrailVersion`
+ `wisdom:UpdateAIGuardrail`
+ `wisdom:GetAIGuardrail`
+ `wisdom:ListAIGuardrails`
+ `wisdom:ListAIGuardrailVersions`
+ `wisdom:CreateAssistant`
+ `wisdom:ListTagsForResource`
+ `wisdom:SendMessage`
+ `wisdom:GetNextMessage`
+ `wisdom:ListMessages`
+ `wisdom:Retrieve`
+ `wisdom:ListAssistantAssociations`
con tag di risorsa `'AmazonConnectEnabled':'True'` su tutte le risorse degli agenti AI di Amazon Connect Connect associate alla tua istanza Amazon Connect.
+ `wisdom:ListAssistants`
+ `wisdom:KnowledgeBases`
su tutte le risorse degli agenti Connect AI.
+ Azione: Amazon CloudWatch Metrics `cloudwatch:PutMetricData` per pubblicare i parametri di utilizzo di Amazon Connect per un'istanza sul tuo account.
+ Azione: `sms-voice:DescribePhoneNumbers` e `sms-voice:SendTextMessage` del Servizio di SMS e messaggi vocali Amazon Pinpoint per consentire ad Amazon Connect di inviare SMS.
+ Azione: `mobiletargeting:SendMessages` di Amazon Pinpoint per consentire ad Amazon Connect di inviare notifiche push.
+ Azione: `cognito-idp:DescribeUserPool` e `cognito-idp:ListUserPoolClients` del pool di utenti Amazon Cognito per consentire ad Amazon Connect l’accesso a determinate operazioni di lettura sui pool di utenti Amazon Cognito, risorse che dispongono di un tag di risorsa `AmazonConnectEnabled`.
+ Azione: `chime:GetVoiceConnector` del connettore vocale dell’SDK di Amazon Chime per consentire l’accesso in lettura per Amazon Connect su tutte le risorse del connettore vocale dell’SDK di Amazon Chine che dispongono di un tag di risorsa `'AmazonConnectEnabled':'True'`.
+ Azione: `chime:ListVoiceConnectors` del connettore vocale dell’SDK di Amazon Chime per tutti i connettori vocali dell’SDK di Amazon Chime creati nell’account in tutte le Regioni.
+ Azione: WhatsApp integrazione con Amazon Connect Messaging. Concede le autorizzazioni Amazon Connect ai seguenti social di messaggistica per utenti AWS finali: APIs
+ `social-messaging:SendWhatsAppMessage`
+ `social-messaging:PostWhatsAppMessageMedia`
+ `social-messaging:GetWhatsAppMessageMedia`
+ `social-messaging:GetLinkedWhatsAppBusinessAccountPhoneNumber`
I Social APIs sono limitati alle risorse del tuo numero di telefono abilitate per Amazon Connect. Un numero di telefono viene taggato con `AmazonConnectEnabled : True` quando viene importato in un’istanza Amazon Connect.
+ Azione: integrazione del modello di WhatsApp messaggio di Amazon Connect Messaging. Concede ad Amazon Connect l'autorizzazione a effettuare chiamate AWS End User Messaging Social APIs. È possibile che vengano elencati gli account WhatsApp aziendali di un account. AWS Inoltre, possono essere elencati i modelli di un account WhatsApp aziendale e i dettagli di un modello possono essere recuperati purché l'account WhatsApp aziendale sia taggato`AmazonConnectEnabled: True`.
+ `social-messaging:ListLinkedWhatsAppBusinessAccounts`
+ `social-messaging:GetWhatsAppMessageTemplate`
+ `social-messaging:ListWhatsAppMessageTemplates`
+ Azione: Amazon SES
+ `ses:DescribeReceiptRule`
+ `ses:UpdateReceiptRule`
su tutte le regole di ricezione di Amazon SES. Utilizzato per inviare e ricevere e-mail.
+ `ses:DeleteEmailIdentity`per l'identità del dominio SES \$1*instance-alias*\$1 .email.connect.aws. Utilizzato per la gestione dei domini e-mail fornita da Amazon Connect.
+ `ses:SendRawEmail`per inviare e-mail con un set di configurazione SES fornito da Amazon Connect (configuration-set-for-connect-DO-NOT-DELETE).
+ `iam:PassRole` per il ruolo di servizio di `AmazonConnectEmailSESAccessRole` utilizzato da Amazon SES. Per la gestione delle regole di ricezione Amazon SES, Amazon SES richiede l’assegnazione di un ruolo, che viene presupposto.
+ Azione: Amazon Polly
+ `polly:ListLexicons`
+ `polly:DescribeVoices`
+ `polly:SynthesizeSpeech`
Quando si abilitano funzionalità aggiuntive in Amazon Connect, vengono aggiunte le seguenti autorizzazioni al ruolo collegato ai servizi per accedere alle risorse associate a tali funzionalità utilizzando policy in linea:
+ Azione: `firehose:DescribeDeliveryStream` e `firehose:PutRecord` di Amazon Data Firehose e `firehose:PutRecordBatch` per il flusso di distribuzione definito per i flussi di eventi degli agenti e i record dei contatti.
+ Azione: `kinesis:PutRecord`, `kinesis:PutRecords` e `kinesis:DescribeStream` del flusso di dati Amazon Kinesis per il flusso specificato per i flussi di eventi degli agenti e i record dei contatti.
+ Azione: `lex:PostContent` Amazon Lex per i bot aggiunti all'istanza.
+ Azione: `voiceid:*` Amazon Connect Voice-ID per i domini Voice ID associati alla tua istanza.
+ Azione: EventBridge `events:PutRule` e `events:PutTargets` per la EventBridge regola gestita di Amazon Connect per la pubblicazione dei record CTR per i domini Voice ID associati.
+ Azione: campagne in uscita
+ `connect-campaigns:CreateCampaign`
+ `connect-campaigns:DeleteCampaign`
+ `connect-campaigns:DescribeCampaign`
+ `connect-campaigns:UpdateCampaignName`
+ `connect-campaigns:GetCampaignState`
+ `connect-campaigns:GetCampaignStateBatch`
+ `connect-campaigns:ListCampaigns`
+ `connect-campaigns:UpdateOutboundCallConfig`
+ `connect-campaigns:UpdateDialerConfig`
+ `connect-campaigns:PauseCampaign`
+ `connect-campaigns:ResumeCampaign`
+ `connect-campaigns:StopCampaign`
per tutte le operazioni relative alle campagne in uscita.
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo orientato ai servizi per Amazon Connect
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei una nuova istanza in Amazon Connect nel Console di gestione AWS, Amazon Connect crea automaticamente il ruolo collegato al servizio.
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando si crea una nuova istanza in Amazon Connect, Amazon Connect crea ancora una volta il ruolo orientato ai servizi per tuo conto.
È possibile utilizzare la console IAM anche per creare un ruolo orientato ai servizi con il caso di utilizzo **Amazon Connect – Accesso completo**. Nella CLI IAM o nell’API IAM, crea un ruolo collegato al servizio con il nome servizio `connect.amazonaws.com`. Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l’utente IAM*. Se elimini il ruolo collegato ai servizi, è possibile utilizzare lo stesso processo per crearlo nuovamente.
## Per le istanze create prima di ottobre 2018
**Suggerimento**
Hai problemi di accesso per gestire il tuo AWS account? Non sai chi gestisce il tuo account AWS ? Per ricevere aiuto, consulta [Risoluzione dei problemi relativi all’accesso all’account AWS](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html).
Se la tua istanza Amazon Connect è stata creata prima di ottobre 2018, i ruoli orientati ai servizi non saranno stati creati. Per creare un ruolo orientato ai servizi, nella pagina **Panoramica dell'account**, scegli **Crea ruolo orientato ai servizi**, come mostrato nell'immagine seguente.
![\[Pagina Panoramica dell'account, pulsante Crea ruolo orientato ai servizi.\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/images/slr-create-slr.png)
Per un elenco delle autorizzazioni IAM richieste per creare il ruolo orientato ai servizi, consulta [Pagina di panoramica](security-iam-amazon-connect-permissions.md#overview-page) nell'argomento [Autorizzazioni richieste per l'utilizzo di policy IAM personalizzate per gestire l'accesso alla console Amazon Connect](security-iam-amazon-connect-permissions.md).
## Per i domini dei Profili dei clienti creati prima del 31 gennaio 2025 e configurati con una chiave KMS del cliente per crittografare i dati, devi concedere le autorizzazioni KMS aggiuntive alla tua istanza Amazon Connect.
Se il dominio dei Profili dei clienti associato è stato creato prima del 31 gennaio 2025 e il dominio utilizza una chiave KMS gestita dal cliente (CMK) per la crittografia, per abilitare l’applicazione CMK da parte dell’istanza Connect, intraprendi le seguenti azioni:
1. **Fornisci l'autorizzazione Service-Linked Role (SLR) a un' Amazon Connect istanza per utilizzare le AWS KMS chiavi del dominio Customer Profiles accedendo alla pagina dei profili dei clienti nella Console di gestione Amazon Connect AWS e scegliendo l'autorizzazione Update KMS.**
![\[Scegli il pulsante Aggiorna autorizzazione KMS per concedere le autorizzazioni KMS per il ruolo collegato al servizio dell’istanza Amazon Connect.\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/images/kms-permissions-slr-1.png)
1. Crea un [ticket di assistenza](https://support.console.aws.amazon.com/support) con il team di Amazon Connect Customer Profiles per richiedere l’applicazione delle autorizzazioni CMK per il tuo account.
Per un elenco delle autorizzazioni IAM ad aggiornare l' Amazon Connect istanza, consulta l'autorizzazione richiesta per le politiche IAM personalizzate per. [Pagina di Profili cliente](security-iam-amazon-connect-permissions.md#customer-profiles-page)
## Modifica di un ruolo orientato ai servizi per Amazon Connect
Amazon Connect non consente di modificare il ruolo collegato al servizio con AWSService RoleForAmazonConnect prefisso. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Verifica delle autorizzazioni per un ruolo orientato ai servizi per Amazon Lex
1. Nel pannello di navigazione della console IAM, seleziona **Ruoli**.
1. Scegliere il nome del ruolo da modificare.
## Eliminazione di un ruolo orientato ai servizi per Amazon Connect
Non è necessario eliminare manualmente il ruolo con prefisso. AWSService RoleForAmazonConnect Quando elimini la tua istanza Amazon Connect in Console di gestione AWS, Amazon Connect pulisce le risorse ed elimina il ruolo collegato al servizio per te.
## Regioni supportate per i ruoli orientati ai servizi di Amazon Connect
Amazon Connect supporta l'utilizzo di ruoli orientati ai servizi in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [AWS Regioni ed endpoint](https://docs.aws.amazon.com/general/latest/gr/rande.html#connect_region).
# Utilizza i ruoli collegati ai servizi per le campagne in uscita in Amazon Connect.
Le campagne outbound di Amazon Connect utilizzano ruoli collegati AWS Identity and Access Management ai servizi. Quando un'istanza Amazon Connect è abilitata all'uso di campagne in uscita, crea un ruolo univoco orientato ai servizi che le consente di eseguire azioni sull'istanza Amazon Connect.
Un ruolo orientato ai servizi semplifica la configurazione delle campagne in uscita perché permette di evitare l'aggiunta manuale delle autorizzazioni necessarie. Le campagne in uscita definiscono le autorizzazioni dei relativi ruoli orientati ai servizi e, salvo se diversamente definito, solo esse possono assumere i propri ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.
Per informazioni sugli altri servizi che supportano i ruoli orientati ai servizi, consulta la pagina [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l'utente IAM*. Cerca i servizi che hanno **Sì** nella colonna **Ruolo collegato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni dei ruoli orientati ai servizi per le campagne in uscita
Le campagne in uscita utilizzano il prefisso del ruolo collegato al servizio`AWSServiceRoleForConnectCampaigns`: concede alle campagne in uscita l'autorizzazione ad accedere alle risorse per tuo conto. AWS
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio `AWSServiceRoleForConnectCampaigns` considera attendibili i seguenti servizi:
+ `connect-campaigns.amazonaws.com`
La politica di autorizzazione dei [AmazonConnectCampaignsServiceLinkedRolePolicy](security_iam_awsmanpol.md#amazonconnectcampaignsservicelinkedrolepolicy)ruoli consente alle campagne in uscita di completare le seguenti azioni sulle risorse specificate. Vengono aggiunte ulteriori autorizzazioni per il ruolo orientato ai servizi per accedere alle risorse:
+ Azione: campagne in uscita `connect-campaigns:ListCampaigns` per l'account AWS .
+ Azione: Amazon Connect
+ `connect:BatchPutContact`
+ `connect:StopContact`
per tutte le istanze di Amazon Connect.
+ Azione: Amazon Connect
+ `connect:StartOutboundVoiceContact`
+ `connect:GetMetricData`
+ `connect:GetCurrentMetricData`
+ `connect:BatchPutContact`
+ `connect:StopContact`
+ `connect:GetMetricDataV2`
+ `connect:DescribeContactFlow`
+ `connect:SendOutboundEmail`
Per la tua istanza Amazon Connect specificata.
+ Azione: EventBridge
+ `events:ListRules`
Per tutti gli eventi.
+ Azione: EventBridge:
+ `events:DeleteRule`
+ `events:PutRule`
+ `events:PutTargets`
+ `events:RemoveTargets`
+ `events:ListTargetsByRule`
per le regole denominate `ConnectCampaignsRule*` gestite da **connect-campaigns.amazonaws.com**.
+ Azione: modelli di messaggio Connect AI agent:
+ `wisdom:GetMessageTemplate`
+ `wisdom:RenderMessageTemplate`
su tutte le risorse taggate con `aws:ResourceTag/AmazonConnectCampaignsEnabled`.
Le autorizzazioni per Amazon Connect Customer Profiles verranno aggiunte al modello ezCRC: `ConnectCampaignsCustomerProfilesIntegrationAccess`.
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo orientato ai servizi per le campagne in uscita
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando associ un'istanza Amazon Connect a campagne in uscita richiamando l'API `StartInstanceOnboardingJob`, le campagne in uscita creano il ruolo orientato ai servizi per tuo conto.
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando associ una nuova istanza Amazon Connect a campagne in uscita, Amazon Connect crea di nuovo il ruolo orientato ai servizi per tuo conto.
## Modifica di un ruolo orientato ai servizi per le campagne in uscita
Le campagne in uscita non consentono di modificare il ruolo orientato ai servizi `AWSServiceRoleForConnectCampaigns`. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo orientato ai servizi per le campagne in uscita
Se non devi più utilizzare le campagne in uscita, è consigliabile eliminare il ruolo orientato ai servizi associato. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
**Per eliminare le risorse delle campagne in uscita utilizzate dalle `AWSServiceRoleForConnectCampaigns`**
+ Elimina tutte le impostazioni delle campagne per l' AWS account.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
+ Utilizza la console IAM, la AWS CLI o l' AWS API per eliminare il ruolo collegato al `AWSServiceRoleForConnectCampaigns` servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli orientati ai servizi delle campagne in uscita
Le campagne in uscita supportano l'utilizzo di ruoli orientati ai servizi in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [AWS Regioni ed endpoint](https://docs.aws.amazon.com/general/latest/gr/rande.html#connect_region).
# Utilizzo di ruoli collegati ai servizi per Amazon AppIntegrations
Amazon AppIntegrations utilizza ruoli [collegati ai servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente ad Amazon. AppIntegrations I ruoli collegati ai servizi sono predefiniti da Amazon AppIntegrations e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto.
Un ruolo collegato al servizio semplifica la configurazione di Amazon AppIntegrations perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Amazon AppIntegrations definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo Amazon AppIntegrations può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi le tue AppIntegrations risorse Amazon perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano ruoli collegati ai servizi, consulta [AWS Servizi compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per Amazon AppIntegrations
Amazon AppIntegrations utilizza il ruolo collegato ai servizi denominato **AWSServiceRoleForAppIntegrations**che consente di accedere AppIntegrations ai servizi e alle risorse AWS per tuo conto.
Il ruolo AWSService RoleForAppIntegrations collegato ai servizi si affida al seguente servizio per l'assunzione del ruolo:
+ `app-integrations.amazonaws.com`
La politica di autorizzazione dei ruoli denominata AppIntegrationsServiceLinkedRolePolicy consente AppIntegrations ad Amazon di completare le seguenti azioni sulle risorse specificate:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/AppIntegrations"
}
}
},
{
"Effect": "Allow",
"Action": [
"appflow:DescribeConnectorEntity",
"appflow:ListConnectorEntities"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"appflow:DescribeConnectorProfiles",
"appflow:UseConnectorProfile"
],
"Resource": "arn:aws:appflow:*:*:connector-profile/*"
},
{
"Effect": "Allow",
"Action": [
"appflow:DeleteFlow",
"appflow:DescribeFlow",
"appflow:DescribeFlowExecutionRecords",
"appflow:StartFlow",
"appflow:StopFlow",
"appflow:UpdateFlow"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AppIntegrationsManaged": "true"
}
},
"Resource": "arn:aws:appflow:*:*:flow/FlowCreatedByAppIntegrations-*"
},
{
"Effect": "Allow",
"Action": [
"appflow:TagResource"
],
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"AppIntegrationsManaged"
]
}
},
"Resource": "arn:aws:appflow:*:*:flow/FlowCreatedByAppIntegrations-*"
}
]
}
```
------
+ Azione: `cloudwatch:PutMetricData` su `"*"` utilizzando la condizione `StringEquals` `"cloudwatch:namespace": "AWS/AppIntegrations"`.
+ Azione: `appflow:DescribeConnectorEntity` e `appflow:ListConnectorEntities` su `"*"`.
+ Azione: `appflow:DescribeConnectorProfiles` e `appflow:UseConnectorProfile` su ` arn:aws:appflow:*:*:connector-profile/*`
+ Azione: `appflow:DeleteFlow`, `appflow:DescribeFlow`, `appflow:DescribeFlowExecutionRecords`, `appflow:StartFlow`, `appflow:StopFlow` e `appflow:UpdateFlow` su ` arn:aws:appflow:*:*:flow/FlowCreatedByAppIntegrations-*` utilizzando la condizione `StringEquals` `"aws:ResourceTag/AppIntegrationsManaged": "true"`.
+ Azione: `appflow:TagResource` su `arn:aws:appflow:*:*:flow/FlowCreatedByAppIntegrations-*` utilizzando la condizione `ForAllValues:StringEquals aws:TagKeys` `AppIntegrationsManaged`.
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato ai servizi per Amazon AppIntegrations
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un'integrazione di dati o eventi utilizzando il widget Connect AI Agents, Customer Profiles o Tasks in Amazon Connect nell' Console di gestione AWS API AWS CLI, nella o nell' AWS API, Amazon AppIntegrations crea il ruolo collegato al servizio per te.
**Importante**
Questo ruolo collegato al servizio può apparire nell'account, se è stata completata un'operazione in un altro servizio che utilizza le caratteristiche supportate da questo ruolo. Inoltre, se hai creato nuove AppIntegrations risorse Amazon dopo il 30 settembre 2022, quando ha iniziato a supportare ruoli collegati ai servizi, Amazon AppIntegrations ha creato il AWSService RoleForAppIntegrations ruolo nel tuo account. Per ulteriori informazioni, consulta [Un nuovo ruolo è apparso nel mio account IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando crei un'integrazione di dati o eventi utilizzando il widget Connect AI Agents, Customer Profiles o Tasks in Amazon Connect, Amazon AppIntegrations crea nuovamente il ruolo collegato al servizio per te.
Puoi anche utilizzare la console IAM per creare un ruolo collegato al servizio con lo use case. **AppIntegrations** Nella AWS CLI o nell' AWS API, crea un ruolo collegato al servizio con il nome del servizio. `app-integrations.amazonaws.com` Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l’utente IAM*. Se elimini il ruolo collegato ai servizi, è possibile utilizzare lo stesso processo per crearlo nuovamente.
## Modifica di un ruolo collegato ai servizi per Amazon AppIntegrations
Amazon AppIntegrations non ti consente di modificare il ruolo AWSService RoleForAppIntegrations collegato al servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per Amazon AppIntegrations
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente. Devi prima eliminare le associazioni di integrazione di dati ed eventi nella AWS Console, quindi eliminare le integrazioni di dati ed eventi utilizzando il. AWS CLI
**Nota**
Se il AppIntegrations servizio Amazon utilizza il ruolo quando tenti di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare le associazioni di integrazione dei dati utilizzate da AWSService RoleForAppIntegrations nella AWS console**
1. Vai alla sezione Connect AI agent della console Amazon Connect e scegli il nome dell'associazione di integrazione dei dati che desideri eliminare.
1. Seleziona **Elimina** sul lato destro della sezione **Dettagli integrazione**.
1. Nella finestra pop-up, inserisci il nome dell'integrazione, quindi scegli **Elimina**.
**Per eliminare le integrazioni di dati utilizzate da AWSService RoleForAppIntegrations AWS CLI**
1. Elenca le tue integrazioni di dati per visualizzare i nomi delle integrazioni esistenti.
`aws appintegrations list-data-integrations`
1. Elimina ogni integrazione utilizzando il nome dell'integrazione dei dati.
`aws appintegrations delete-data-integration --data-integration-identifier DATA_INTEGRATION_NAME`
**Per eliminare le associazioni di integrazione degli eventi utilizzate da AWSService RoleForAppIntegrations nella console AWS**
1. Vai alla sezione Profili cliente o Attività della console Amazon Connect e scegli il nome dell'associazione di integrazione degli eventi che desideri eliminare.
1. Dopo aver scelto l'integrazione di un evento nella sezione Attività, verrà mostrata una finestra pop-up. Scegli il pulsante **Rimuovi connessione** e inserisci la parola *rimuovi* per eliminare l'associazione di integrazione degli eventi.
**Per eliminare le integrazioni di eventi utilizzate dall' AWSServiceRoleForAppIntegrations utilizzo di AWS CLI**
1. Elenca le tue integrazioni di eventi per visualizzare i nomi delle integrazioni esistenti.
`aws appintegrations list-event-integrations`
1. Elimina ogni integrazione utilizzando il nome dell'integrazione dei dati.
`aws appintegrations delete-event-integration --name EVENT_INTEGRATION_NAME`
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al AWSService RoleForAppIntegrations servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli collegati AppIntegrations ai servizi Amazon
Amazon AppIntegrations supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [Regioni ed endpoint di AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
Puoi utilizzare il AWSService RoleForAppIntegrations ruolo nelle seguenti regioni.
****
| Nome della Regione | Identità della Regione | Support in Amazon AppIntegrations |
| --- | --- | --- |
| Stati Uniti orientali (Virginia settentrionale) | us-east-1 | Sì |
| Stati Uniti occidentali (Oregon) | us-west-2 | Sì |
| Asia Pacifico (Mumbai) | ap-south-1 | Sì |
| Asia Pacifico (Seoul) | ap-northeast-2 | Sì |
| Asia Pacifico (Singapore) | ap-southeast-1 | Sì |
| Asia Pacifico (Sydney) | ap-southeast-2 | Sì |
| Asia Pacifico (Tokyo) | ap-northeast-1 | Sì |
| Canada (Centrale) | ca-central-1 | Sì |
| Europa (Francoforte) | eu-central-1 | Sì |
| Europa (Londra) | eu-west-2 | Sì |
| Africa (Città del Capo) | af-south-1 | Sì |
# Utilizzo di ruoli orientati ai servizi per Profili cliente Amazon Connect
Amazon Connect Customer Profiles utilizza AWS Identity and Access Management ruoli [collegati ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo orientato ai servizi è un tipo di ruolo IAM univoco collegato direttamente a Profili cliente. I ruoli collegati ai servizi sono predefiniti dai profili dei clienti e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo orientato ai servizi semplifica la configurazione di Profili cliente Amazon Connect perché ti permette di evitare l'aggiunta manuale delle autorizzazioni necessarie. Profili cliente Amazon Connect definisce le autorizzazioni dei ruoli orientati ai servizi e, salvo se diversamente definito, solo Profili cliente Amazon Connect può assumere i propri ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta i [AWS servizi che funzionano con IAM e cerca i servizi con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
## Autorizzazioni dei ruoli orientati ai servizi per Profili cliente Amazon Connect
Amazon Connect Customer Profiles utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForProfile\$1** *unique-id* che consente ai profili dei clienti Amazon Connect di accedere ai servizi e alle risorse AWS per tuo conto.
Il ruolo collegato al servizio con **AWSServiceRoleForProfile**prefisso prevede che i seguenti servizi assumano il ruolo:
+ `profile.amazonaws.com`
La politica di autorizzazione dei ruoli denominata [CustomerProfilesServiceLinkedRolePolicy](security_iam_awsmanpol.md#customerprofilesservicelinkedrolepolicy)consente ai profili dei clienti di Amazon Connect di completare le seguenti azioni sulle risorse specificate:
+ Azione: Amazon CloudWatch Metrics `cloudwatch:PutMetricData` per pubblicare i parametri di utilizzo di Amazon Connect per un'istanza sul tuo account.
+ Azione: IAM eliminerà automaticamente il ruolo collegato `iam:DeleteRole` al servizio con **AWSServiceRoleForProfile**prefisso quando il dominio Amazon Connect Customer Profiles associato viene eliminato.
+ Azione: `connect-campaigns:PutProfileOutboundRequestBatch` di Amazon Connect Outbound Campaigns per attivare una campagna in base alla definizione di trigger di evento di Profili dei clienti.
+ Azione: Amazon Connect Customer Profiles `profile:BatchGetProfile` per recuperare le informazioni sul profilo necessarie per attivare una campagna.
+ Azione: profili cliente Amazon Connect `profile:GetRecommender` per recuperare i consigli necessari per attivare una campagna.
+ Azione: Amazon Connect Customer Profiles `profile:GetCalculatedAttributeForProfile` per recuperare gli attributi calcolati necessari per attivare una campagna.
+ Azione: Amazon Connect Customer Profiles `profile:GetProfileRecommendations` per recuperare i consigli sui profili necessari per attivare una campagna.
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo orientato ai servizi per Profili cliente Amazon Connect
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei il tuo primo dominio Amazon Connect Customer Profiles nella Console di gestione AWS AWS CLI, o nell' AWS API, Customer Profiles crea per te il ruolo collegato al servizio. Tieni presente che ogni dominio di Profili cliente Amazon Connect richiede un SLR dedicato affinché Profili cliente Amazon Connect possa intraprendere azioni per te.
**Importante**
Questo ruolo collegato al servizio può apparire nell'account, se è stata completata un'operazione in un altro servizio che utilizza le caratteristiche supportate da questo ruolo. Inoltre, se utilizzavi il servizio Amazon Connect Customer Profiles prima dell'8 giugno 2023, quando ha iniziato a supportare i ruoli collegati al servizio, Amazon Connect Customer Profiles ha creato il ruolo con **AWSServiceRoleForProfile**prefisso nel tuo account. Per ulteriori informazioni, consulta [Un nuovo ruolo è apparso nel mio account IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando crei il primo dominio di Profili cliente Amazon Connect, Profili cliente crea nuovamente il ruolo orientato ai servizi per tuo conto.
## Modifica di un ruolo orientato ai servizi per Profili cliente Amazon Connect
I profili dei clienti Amazon Connect non consentono di modificare il ruolo collegato al servizio con **AWSServiceRoleForProfile**prefisso. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo orientato ai servizi per Profili cliente Amazon Connect
Non è necessario eliminare manualmente il ruolo con prefisso. **AWSServiceRoleForProfile** Quando elimini il dominio Amazon Connect Customer Profiles nella Console di gestione AWS AWS CLI, o nell' AWS API, Customer Profiles pulisce le risorse ed elimina il ruolo collegato al servizio per te.
Puoi anche utilizzare l'API AWS CLI o l' AWS API per eliminare manualmente il ruolo collegato al servizio. Per farlo, sarà necessario prima eseguire manualmente la pulizia delle risorse associate al ruolo collegato ai servizi e poi eliminarlo manualmente.
**Nota**
Se il servizio Profili cliente Amazon Connect utilizza tale ruolo quando provi a eliminare le risorse, è possibile che l'eliminazione abbia esito negativo. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare le risorse Amazon Connect Customer Profiles utilizzate dal ruolo collegato al servizio con AWSService RoleForProfile prefisso**
+ Elimina il dominio Amazon Connect Customer Profiles nella Console di gestione AWS AWS CLI, la o l' AWS API.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Usa l'API AWS CLI o l' AWS API per eliminare il ruolo collegato al servizio con **AWSServiceRoleForProfile**prefisso. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli orientati ai servizi di Profili cliente Amazon Connect
Profili cliente Amazon Connect supporta l'utilizzo di ruoli orientati ai servizi in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [Regioni ed endpoint di AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
****
| Nome della Regione | Identità della Regione | Supporto in Amazon Connect |
| --- | --- | --- |
| Stati Uniti orientali (Virginia settentrionale) | us-east-1 | Sì |
| Stati Uniti occidentali (Oregon) | us-west-2 | Sì |
| Asia Pacifico (Seoul) | ap-northeast-2 | Sì |
| Asia Pacifico (Singapore) | ap-southeast-1 | Sì |
| Asia Pacifico (Sydney) | ap-southeast-2 | Sì |
| Asia Pacifico (Tokyo) | ap-northeast-1 | Sì |
| Canada (Centrale) | ca-central-1 | Sì |
| Europa (Francoforte) | eu-central-1 | Sì |
| Europa (Londra) | eu-west-2 | Sì |
| Africa (Città del Capo) | af-south-1 | Sì |
# Utilizzo di ruoli orientati ai servizi per Amazon Connect Managed Synchronization
La sincronizzazione gestita di Amazon Connect utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo orientati ai servizi è un tipo di ruolo IAM univoco collegato direttamente a Managed Synchronization. I ruoli collegati ai servizi sono predefiniti da Managed Synchronization e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo orientati ai servizi semplifica la configurazione di Managed Synchronization perché permette di evitare l'aggiunta manuale delle autorizzazioni necessarie. Managed Synchronization definisce le autorizzazioni dei relativi ruoli orientati ai servizi e, salvo se diversamente definito, solo Managed Synchronization potrà assumere i propri ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. Ciò protegge le risorse di Managed Synchronization perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.
****Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta i [AWS servizi che funzionano con IAM e cerca i servizi con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) Sì nella colonna Ruoli collegati ai servizi.**** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
## Autorizzazioni dei ruoli orientati ai servizi per Managed Synchronization
Managed Synchronization utilizza il ruolo collegato al servizio con il prefisso che **AWSServiceRoleForAmazonConnectSynchronization**concede ad Amazon Connect Managed Synchronization l'autorizzazione di lettura, scrittura, aggiornamento ed eliminazione per accedere alle risorse AWS per tuo conto. Il nome completo del ruolo nel tuo account includerà il prefisso e un ID univoco simile al seguente:
`AWSServiceRoleForAmazonConnectSynchronization_unique-id`
Il ruolo collegato al servizio con **AWSServiceRoleForAmazonConnectSynchronization**prefisso prevede che i seguenti servizi assumano il ruolo:
+ `synchronization.connect.amazonaws.com`
La politica di autorizzazione dei ruoli denominata [AmazonConnectSynchronizationServiceRolePolicy](security_iam_awsmanpol.md#amazonconnectsynchronizationservicerolepolicy)consente a Managed Synchronization di completare le seguenti azioni sulle risorse specificate:
+ Azione: utilizza Amazon Connect per tutte le risorse Amazon Connect
+ `connect:Create*`
+ `connect:Update*`
+ `connect:Delete*`
+ `connect:Describe*`
+ `connect:BatchCreate*`
+ `connect:BatchUpdate*`
+ `connect:BatchDelete*`
+ `connect:BatchDescribe*`
+ `connect:List*`
+ `connect:Search*`
+ `connect:Associate*`
+ `connect:Disassociate*`
+ `connect:Get*`
+ `connect:BatchGet*`
+ `connect:Import*`
+ `connect:TagResource`
+ `connect:UntagResource`
+ Azione: CloudWatch parametri Amazon `cloudwatch:PutMetricData` per pubblicare i parametri di utilizzo di Amazon Connect per un'istanza sul tuo account.
La politica di autorizzazione dei ruoli denominata impedisce a Managed [AmazonConnectSynchronizationServiceRolePolicy](security_iam_awsmanpol.md#amazonconnectsynchronizationservicerolepolicy)Synchronization di completare le seguenti azioni sulle risorse specificate:
+ Azione: utilizza Amazon Connect per tutte le risorse Amazon Connect
+ `connect:Start*`
+ `connect:Stop*`
+ `connect:Resume*`
+ `connect:Suspend*`
+ `connect:*Contact`
+ `connect:*Contacts`
+ `connect:*ContactAttributes*`
+ `connect:*RealtimeContact*`
+ `connect:*AnalyticsData*`
+ `connect:*MetricData*`
+ `connect:*UserData*`
+ `connect:*ContactEvaluation`
+ `connect:*AttachedFile*`
+ `connect:UpdateContactSchedule`
+ `connect:UpdateContactRoutingData`
+ `connect:ListContactReferences`
+ `connect:CreateParticipant`
+ `connect:CreatePersistentContactAssociation`
+ `connect:CreateInstance`
+ `connect:DeleteInstance`
+ `connect:ListInstances`
+ `connect:ReplicateInstance`
+ `connect:GetFederationToken`
+ `connect:ClaimPhoneNumber`
+ `connect:ImportPhoneNumber`
+ `connect:ReleasePhoneNumber`
+ `connect:SearchAvailablePhoneNumbers`
+ `connect:CreateTrafficDistributionGroup`
+ `connect:DeleteTrafficDistributionGroup`
+ `connect:GetTrafficDistribution`
+ `connect:UpdateTrafficDistribution`
Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo orientato ai servizi per Managed Synchronization
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando esegui la replica di un'istanza Amazon Connect richiamando l'API `ReplicateInstance`, Managed Synchronization crea il ruolo orientato ai servizi per tuo conto.
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando esegui nuovamente la replica dell'istanza Amazon Connect, Managed Synchronization crea anche questa volta il ruolo orientato ai servizi per tuo conto.
## Modifica di un ruolo orientato ai servizi per Managed Synchronization
La sincronizzazione gestita non consente di modificare il ruolo collegato al servizio con prefisso. AWSService RoleForAmazonConnectSynchronization Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo orientato ai servizi per Managed Synchronization
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
**Nota**
Se il servizio Managed Synchronization utilizza tale ruolo quando tenti di eliminare le risorse, l'eliminazione potrebbe avere esito negativo. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare le risorse di sincronizzazione gestita utilizzate dal ruolo con prefisso AWSService RoleForAmazonConnectSynchronization**
+ Elimina tutte le istanze Amazon Connect di replica per l'istanza di origine.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al servizio con AWSService RoleForAmazonConnectSynchronization prefisso. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli orientati ai servizi per Managed Synchronization
Managed Synchronization supporta l'utilizzo di ruoli orientati ai servizi in tutte le regioni in cui è disponibile Amazon Connect Global Resiliency. Per ulteriori informazioni, consulta [Configurazione di Amazon Connect Global Resiliency](setup-connect-global-resiliency.md).
****
| Nome della Regione | Identità della Regione | Supporto in Managed Synchronization |
| --- | --- | --- |
| Stati Uniti orientali (Virginia settentrionale) | us-east-1 | Sì |
| Stati Uniti occidentali (Oregon) | us-west-2 | Sì |
# Registrazione di log e monitoraggio di Amazon Connect
Il monitoraggio è importante per assicurare l'affidabilità, la disponibilità e le prestazioni del contact center.
È necessario raccogliere i dati di monitoraggio da tutte le parti della AWS soluzione in modo da poter eseguire più facilmente il debug di un errore multipunto, se si verifica uno. Tuttavia, prima di iniziare il monitoraggio di Amazon Connect è opportuno creare un piano di monitoraggio che includa le risposte alle seguenti domande:
+ Quali sono gli obiettivi del monitoraggio?
+ Quali dati dell'istanza Amazon Connect verranno monitorati?
+ Con quale frequenza monitorerai la tua istanza?
+ Quali strumenti di monitoraggio verranno utilizzati?
+ Chi eseguirà i processi di monitoraggio?
+ Chi deve ricevere una notifica quando si verifica un problema?
Consulta i seguenti argomenti per imparare a usare Amazon CloudWatch Logs e AWS CloudTrail monitorare Amazon Connect e descrive i parametri di Amazon Connect inviati a: CloudWatch
+ [Monitoraggio dell'istanza Amazon Connect tramite CloudWatch](monitoring-cloudwatch.md)
+ [Registra le chiamate API Amazon Connect con AWS CloudTrail](logging-using-cloudtrail.md)
# Aggiunta dei tag in Amazon Connect
Un *tag* è un'etichetta di metadati personalizzata che puoi aggiungere a una risorsa per semplificarne l'identificazione, l'organizzazione e l'individuazione in una ricerca. I tag sono costituiti da due parti: una chiave di tag e un valore di tag, Queste compongono una coppia *chiave:valore*.
Una *chiave di tag* rappresenta in genere una categoria più ampia, mentre un valore di tag rappresenta un sottoinsieme di quella categoria. Ad esempio, *tag key=Color* e *tag value=Blue* produrrebbero la coppia chiave-valore `Color:Blue`. Tieni presente che è possibile impostare il valore di un tag su una stringa vuota, ma non su null. Non specificare il valore del tag equivale a utilizzare una stringa vuota.
Le chiavi di tag possono avere una lunghezza massima di 128 caratteri e i valori di tag di 256 caratteri; entrambi distinguono tra minuscole e maiuscole. Per ulteriori informazioni, consulta:
+ [Amazon Connect TagResource](https://docs.aws.amazon.com/connect/latest/APIReference/API_TagResource.html)
+ [Amazon Connect Customer Profiles TagResource](https://docs.aws.amazon.com/customerprofiles/latest/APIReference/API_TagResource.html)
+ [Amazon Connect Voice ID TagResource](https://docs.aws.amazon.com/voiceid/latest/APIReference/API_TagResource.html): puoi aggiungere tag al dominio Voice ID.
+ [Amazon AppIntegrations TagResource](https://docs.aws.amazon.com/appintegrations/latest/APIReference/API_TagResource.html)
I servizi Amazon Connect supportano fino a 50 tag per risorsa. Per una determinata risorsa, ciascuna chiave di tag deve essere univoca e avere un solo valore.
**Nota**
I tag non possono iniziare con `aws:` perché AWS riserva questo prefisso ai tag generati dal sistema. Non puoi aggiungere, modificare o eliminare i `aws:*` tag e non rientrano nel tuo limite. tags-per-resource
La tabella seguente descrive le risorse Amazon Connect che possono essere etichettate utilizzando AWS CLI o un AWS SDK.
**Supporto dell'assegnazione di tag per le risorse Amazon Connect**
| Risorsa | Supporta l'etichettatura tramite il sito Web di amministrazione Amazon Connect | Supporta l'assegnazione di tag tramite CLI/SDK | Supporta l'applicazione di tag in fase di creazione |
| --- | --- | --- | --- |
| Agente | Sì | Sì | Sì |
| Gruppo di agenti | No | Sì | Sì |
| Livello del gruppo di agenti | No | No | Sì |
| Stato dell'agente | No | Sì | Sì |
| Caso | Sì | Sì | Sì |
| Contatti | No | No | No |
| Valutazioni dei contatti | No | Sì | Sì |
| Indirizzi e-mail | Sì | Sì | Sì |
| Moduli di valutazione | Sì | Sì | Sì |
| Flusso | Sì | Sì | Sì |
| Modulo del flusso | Sì | Sì | Sì |
| Ore di operatività | Sì | Sì | Sì |
| Istanza | Sì | Sì | Sì |
| Associazione di integrazione | No | Sì | Sì |
| Campagna in uscita | No | Sì | Sì |
| Numero di telefono | No | Sì | Sì |
| Prompt | Sì | Sì | Sì |
| Agente della coda | No | No | Sì |
| Queues | Sì | Sì | Sì |
| Connessioni rapide | No | Sì | Sì |
| Profilo di routing | Sì | Sì | Sì |
| Profilo di sicurezza | Sì | Sì | Sì |
| Modello di attività | No | No | Sì |
| Gruppo di distribuzione del traffico | No | Sì | Sì |
| Destinazione del trasferimento | No | Sì | Sì |
| Caso d’uso | No | Sì | Sì |
| Vocabolario | No | Sì | Sì |
*Per ulteriori informazioni sull'etichettatura, incluse le migliori pratiche, consulta [AWS Risorse per l'etichettatura](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) nella AWS Guida generale.*
## I metadati dei tag vengono rimossi solo quando l’istanza Amazon Connect viene eliminata
Amazon Connect mantiene i metadati dei tag per le risorse anche dopo l’eliminazione della risorsa. I metadati vengono mantenuti finché l’istanza Amazon Connect è attiva.
Questo design supporta casi d’uso storici di reportistica e controllo degli accessi (TBAC). In particolare, Amazon Connect utilizza il controllo degli accessi basato su tag per parametri storici. Se i tag venivano rimossi contestualmente all’eliminazione di una risorsa, gli utenti che in precedenza non avevano accesso a tali risorse potrebbero inavvertitamente accedere alle metriche storiche che li coinvolgono. Il mantenimento dei tag garantisce che i limiti di accesso rimangano coerenti nel tempo.
I tag vengono rimossi solo dopo l’eliminazione dell’intera istanza di Amazon Connect, a quel punto l’accesso ai dati storici non è più applicabile.
## Controllo degli accessi basato su tag
Per utilizzare i tag per controllare l'accesso alle risorse all'interno AWS dei tuoi account, devi fornire le informazioni sui tag nell'elemento condition di una policy IAM. Ad esempio, per controllare l'accesso al dominio Voice ID in base ai tag assegnati, utilizza la chiave di condizione `aws:ResourceTag/key-name` per indicare quale coppia chiave:valore dei tag deve essere collegata al dominio per consentire le azioni specificate.
Per informazioni più dettagliate sul controllo degli accessi basato su tag nella console Amazon Connect, consulta [Applicare il controllo degli accessi basato su tag in Amazon Connect](tag-based-access-control.md).
Per informazioni più dettagliate sul controllo degli accessi basato su tag in IAM, consulta [Controlling access to AWS resources using tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) nella *IAM User Guide*
# Convalida della conformità in Amazon Connect
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta la [Documentazione AWS sulla sicurezza](https://docs.aws.amazon.com/security/).
# Best practice per la conformità PII in Amazon Connect
Questo elenco di best practice ti aiuta a garantire la conformità relativa alle informazioni di identificazione personale (PII) del tuo contact center Amazon Connect.
+ Conduci verifiche di idoneità alla conformità per tutti i servizi utilizzati nel contact center, nonché per eventuali punti di integrazione di terze parti.
+ AWS Key Management Service (KMS) crittografa i contenuti di Amazon S3 a livello di oggetto, che per impostazione predefinita copre le registrazioni, i log e i report salvati per Amazon S3. Assicurati che le regole di crittografia in transito e su dati inattivi siano applicate downstream o alle app di terze parti.
+ Utilizza la crittografia nel blocco **Store customer input (Archiviazione input dei clienti)** per informazioni DTMF sensibili.
+ Utilizza la chiave KMS per importare dati nei domini di Profili cliente Amazon Connect.
+ Non caricare contenuti contenenti informazioni personali del cliente sugli agenti Connect AI.
+ Quando utilizzi Amazon Connect Voice ID, non includere informazioni di identificazione personale nell'`CustomerSpeakerId`.
+ Come per qualsiasi AWS servizio, ti consigliamo vivamente di non utilizzare informazioni sensibili per nominare le risorse.
+ Quando si utilizzano attributi predefiniti in un'istanza Amazon Connect, non utilizzare informazioni sensibili nel nome e nei valori.
# Best practice per la conformità PCI in Amazon Connect
Questo elenco di best practice ti aiuta a garantire la conformità PCI del tuo contact center Amazon Connect.
+ Conduci verifiche di idoneità alla conformità per tutti i servizi utilizzati nel contact center, nonché per eventuali punti di integrazione di terze parti.
+ Le informazioni delle carte di pagamento (PCI) devono essere raccolte tramite DTMF crittografato. Puoi utilizzare Amazon Lex anche per raccogliere informazioni PCI con l’input vocale. Amazon Lex è [conforme allo standard PCI](https://docs.aws.amazon.com/lexv2/latest/dg/compliance.html).
+ Se tali informazioni vengono acquisite nelle registrazioni delle chiamate, i dati devono essere cancellati dalla registrazione e offuscati in eventuali log o trascrizioni. Ti consigliamo di contattare Amazon Solution Architect se hai bisogno di aiuto.
+ Utilizza la crittografia in transito e su dati inattivi per qualsiasi punto di integrazione downstream.
+ Abilita l'autenticazione a più fattori (MFA) per qualsiasi accesso alle informazioni PCI in quanto Amazon Connect è un endpoint pubblico.
+ AWS Key Management Service (KMS) crittografa i contenuti di Amazon S3 a livello di oggetto, che per impostazione predefinita copre le registrazioni, i log e i report salvati per Amazon S3. Assicurati che le regole di crittografia in transito e su dati inattivi siano applicate downstream o alle app di terze parti.
+ Utilizza la crittografia nel blocco **Store customer input (Archiviazione input dei clienti)** per informazioni DTMF sensibili.
+ Utilizza la chiave KMS per importare dati nei domini di Profili cliente Amazon Connect.
+ Per ulteriori informazioni, consulta [ https://www.pcisecuritystandards.org]( https://www.pcisecuritystandards.org).
# Best practice per la conformità HIPAA in Amazon Connect
Questo elenco di best practice ti aiuta a garantire la conformità HIPAA del tuo contact center Amazon Connect.
+ Conduci verifiche di idoneità alla conformità per tutti i servizi utilizzati nel contact center, nonché per eventuali punti di integrazione di terze parti.
+ AWS Key Management Service (KMS) crittografa i contenuti di Amazon S3 a livello di oggetto, che per impostazione predefinita copre le registrazioni, i log e i report salvati per Amazon S3. Assicurati che le regole di crittografia in transito e su dati inattivi siano applicate downstream o alle app di terze parti.
+ Utilizza la crittografia nel blocco **Store customer input (Archiviazione input dei clienti)** per informazioni DTMF sensibili.
+ [Per ulteriori informazioni sulla conformità HIPAA, consulta pliance.org/. https://www.hipaacom](https://www.hipaacompliance.org/)
# Resilienza in Amazon Connect
L'infrastruttura globale AWS è costruita attorno Regioni AWS a zone di disponibilità (AZs). Regioni AWS forniscono più reti fisicamente separate e isolate AZs, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Questi AZs sono fisicamente separati da molte miglia, ma sono comunque abbastanza vicini tra loro (60 miglia o meno) da essere utilizzati come un unico data center logico.
Ogni AZ dispone di uno o più data center separati, ciascuno ospitato nella propria struttura con alimentazione, rete e connettività ridondanti. Queste misure fungono da salvaguardia e riducono al minimo la probabilità che un problema come un'interruzione dell'alimentazione o un terremoto colpisca più o più data center. AZs
AZs sono più altamente disponibili, tolleranti ai guasti e scalabili rispetto alle tradizionali infrastrutture di data center singoli o multipli.
[Per ulteriori informazioni sulle Regioni AWS zone di disponibilità, vedere AWS Global Infrastructure.](https://aws.amazon.com/about-aws/global-infrastructure/)
Amazon Connect funziona su un'infrastruttura collaudata di AWS che opera AZs in più aree geografiche in tutto il mondo. Ciò rende Amazon Connect più disponibile, tollerante ai guasti e scalabile rispetto a un contact center eseguito su un data center singolo.
All'interno di ciascuna Regione AWS puoi creare un'istanza Amazon Connect, con un minimo di 3 AZs. Quando crei un'istanza Amazon Connect, tale istanza viene propagata tra le istanze presenti AZs in una active-active-active configurazione. Se si verifica un errore in una AZ, quel nodo viene rimosso dalla rotazione senza influire sulla produzione. Questa architettura consente di eseguire la manutenzione, rilasciare nuove funzionalità ed espandere l'infrastruttura senza comportare tempi di inattività.
## Telefonia in una singola regione e architettura softphone
Amazon Connect è integrato con più provider di telefonia con percorsi di rete dedicati ridondanti verso tre o più provider di telefonia AZs in tutti i paesi in Regione AWS cui il servizio è attualmente offerto. Se si verifica un guasto relativo a un componente, un data center o un'intera AZ, l'endpoint interessato viene automaticamente rimosso dalla rotazione. Ciò consente di continuare a fornire un'esperienza di qualità costante ai clienti.
Le chiamate in entrata (gratuite per gli Stati Uniti) e in uscita in Amazon Connect vengono elaborate tramite più carrier di telecomunicazioni. Ogni operatore è collegato a più operatori AZs in una configurazione attiva-attiva. Ciò garantisce che la compromissione di un percorso di rete o di un'intera AZ non influisca sull'esperienza del cliente finale. In caso di problemi a livello di operatore, questo design aiuta a ridurre al minimo l’impatto sull’esperienza del cliente effettuando chiamate in uscita e accettando chiamate gratuite in entrata dagli Stati Uniti tra più operatori.
La figura seguente illustra tale processo:
![\[Telefonia in una singola regione e architettura softphone.\]](http://docs.aws.amazon.com/it_it/connect/latest/adminguide/images/disaster-recovery-resiliency.png)
1. I chiamanti raggiungono il tuo contact center utilizzando operatori che operano sempre su più AZs canali.
1. [RespOrg](https://en.wikipedia.org/wiki/RespOrg)indirizza il traffico gratuito degli Stati Uniti verso più corrieri in modo attivo e attivo.
1. Le chiamate in uscita hanno un carico bilanciato tra più provider di telefonia.
1. Il browser di un agente sceglie tra almeno due server su più AZs server, in base alla raggiungibilità.
## Altre risorse
Per ulteriori informazioni sulla resilienza per Amazon Connect, si consigliano vivamente le seguenti risorse di AWS Workshop Studio:
+ [Best practice per Amazon Connect Global Resiliency](https://catalog.workshops.aws/amazon-connect-global-resiliency/en-US/connectbestpractices)
+ [Best practice multiregionali per la resilienza e AWS i servizi globali di Amazon Connect](https://catalog.workshops.aws/amazon-connect-global-resiliency/en-US/awsservicesbestpractices)
# Sicurezza dell'infrastruttura in Amazon Connect
In quanto servizio gestito, Amazon Connect è protetto dalle procedure di sicurezza di rete AWS globali descritte nella pagina [Best Practices for Security, Identity and Compliance](https://aws.amazon.com/architecture/security-identity-compliance/).
Utilizzi chiamate API AWS pubblicate per accedere ad Amazon Connect attraverso la rete.
## Versioni supportate di TLS
I client devono supportare Transport Layer Security (TLS) 1.2 o versioni successive.
Amazon Connect offre un nuovo modello di accesso al sito web con un nuovo dominio (nome istanza.my.connect.aws) che supporta solo TLS 1.2 o versioni successive. È disponibile per impostazione predefinita per le istanze create dopo marzo 2021. I clienti esistenti possono scegliere di utilizzare il nuovo dominio tramite i seguenti metodi:
+ Per le istanze Amazon Connect non SAML, modifica l'URL di accesso da **.awsapps.com/connect** a **.my.connect.aws** ed esegui nuovamente l'accesso.
+ Per le istanze abilitate per SAML, specifica un parametro di query aggiuntivo new\$1domain=true nell'URL dello stato di inoltro ed esegui nuovamente l'accesso. Per ulteriori informazioni, consulta [Utilizzare una destinazione nell'URL dello stato del relay](configure-saml.md#destination-relay).
## Altri requisiti
I client devono supportare le suite di cifratura con PFS (Perfect Forward Secrecy), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale IAM. In alternativa è possibile utilizzare [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.
Puoi chiamare queste operazioni API da qualsiasi posizione di rete, ma Amazon Connect non supporta le policy di accesso basate sulle risorse che possono includere limitazioni sull'indirizzo IP di origine.
# Prevenzione sostitutiva confusa tra diversi servizi in AWS
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel frattempo AWS, l'impersonificazione tra servizi può portare alla confusione del problema del vicesceriffo. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare che ciò accada, AWS mette a disposizione strumenti che consentono di proteggere i dati relativi a tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse del vostro account.
È consigliabile utilizzare le chiavi di contesto delle condizioni globali [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) nelle policy delle risorse per limitare le autorizzazioni con cui Amazon Connect fornisce un altro servizio alla risorsa. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, il valore `aws:SourceAccount` e l'account nel valore `aws:SourceArn` devono utilizzare lo stesso ID account nella stessa istruzione di policy.
Il modo più efficace per proteggersi dal problema "confused deputy" è utilizzare il nome della risorsa Amazon (ARN) esatto della risorsa che vuoi autorizzare. Se non si conosce l’ARN completo della risorsa o si scelgono più risorse, è necessario utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con caratteri jolly (`*`) per le parti sconosciute dell’ARN. Ad esempio, `arn:aws:servicename::region-name::your AWS account ID:*`.
## Prevenzione del problema "confused deputy" tra servizi per Profili cliente Amazon Connect
Gli esempi seguenti mostrano le policy che si applicano ai casi in cui qualcun altro è configurato come amministratore per Profili cliente Amazon Connect. Utilizza queste policy per evitare il problema "confused deputy".
**Esempio di policy per Profili cliente Amazon Connect per creare domini di Profili cliente**
**Esempio di policy per Profili cliente Amazon Connect per creare tipi di oggetti di Profili cliente**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "profile.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/KeyId"
],
"Condition": {
"ArnEquals": {
"aws:SourceArn": "arn:aws:profile:us-east-1:111122223333:domains/CustomerProfilesDomainName/objects/YourObjectType"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
}
}
```
------
**Esempio di policy per Profili cliente Amazon Connect per creare e aggiornare code DLQ**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow Customer Profiles to publish messages to your queue",
"Effect": "Allow",
"Principal": {
"Service": "profile.amazonaws.com"
},
"Action": "sqs:SendMessage",
"Resource": "arn:aws:sqs:us-east-1:111122223333:YourDeadLetterQueueName",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "arn:aws:profile:us-east-1:111122223333:domains/CustomerProfileDomainName"
}
}
}
]
}
```
------
**Esempio di policy per Profili cliente Amazon Connect per proteggere il bucket Amazon S3 utilizzato nell'ambito del processo di risoluzione delle identità**
```
{
"Sid": "Allow Amazon Connect Customer Profiles to put S3 objects to your bucket",
"Effect": "Allow",
"Principal": {
"Service": "profile.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your AWS account ID"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:profile:your region name:your AWS account ID:domains/*"
}
}
}
```
## Prevenzione del problema "confused deputy" tra servizi per Amazon Connect Voice ID
Il seguente esempio di Voice ID mostra una policy delle risorse da applicare per evitare il problema "confused deputy".
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "voiceid.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnEquals": {
"aws:SourceArn": "arn:aws:voiceid:us-east-1:111122223333:domain/YourVoiceIDDomain"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
}
}
```
------
## Prevenzione del problema "confused deputy" tra servizi per lo streaming di messaggi di chat Amazon Connect
Il seguente esempio di Amazon Connect mostra una policy delle risorse da applicare per evitare il problema "confused deputy".
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"connect.amazonaws.com"
},
"Action":"sns:Publish",
"Resource":"arn:aws:sns:us-east-1:111122223333:TopicName",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"111122223333"
},
"ArnEquals":{
"aws:SourceArn":"arn:aws:connect:us-east-1:111122223333:instance/InstanceId"
}
}
}
]
}
```
------
# Best practice di sicurezza per Amazon Connect
Amazon Connect fornisce una serie di funzionalità di sicurezza che occorre valutare durante lo sviluppo e l'implementazione delle policy di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Dato che queste best practice potrebbero non essere appropriate o sufficienti nel proprio ambiente, si considerino come riflessioni utili più che istruzioni.
**Topics**
+ [Best practice relative alla sicurezza preventiva per Amazon Connect](#bp-security-profiles)
+ [Best practice di sicurezza per Amazon Connect Detective](#bp-security-detective)
+ [Best practice di sicurezza per Amazon Connect Chat](#bp-security-chat)
+ [Best practice di sicurezza WebRTC per Amazon Connect](#bp-webrtc-security)
## Best practice relative alla sicurezza preventiva per Amazon Connect
+ Assicurati che tutte le autorizzazioni dei profili siano il più restrittive possibile. Consenti l'accesso solo alle risorse assolutamente necessarie per il ruolo dell'utente. Ad esempio, non concedere agli agenti autorizzazioni per creare, leggere o aggiornare gli utenti in Amazon Connect.
+ Assicurati che l'autenticazione Multi-Factor Authentication (MFA) sia impostata tramite il provider di identità SAML 2.0 o il server Radius, se è più adatta al tuo caso d'uso. Dopo aver impostato l'autenticazione a più fattori (MFA), nella pagina di accesso di Amazon Connect diventa visibile una terza casella di testo per fornire il secondo fattore.
+ Se utilizzi una directory esistente tramite Directory Service l'autenticazione basata su SAML per la gestione delle identità, assicurati di rispettare tutti i requisiti di sicurezza appropriati per il tuo caso d'uso.
+ Utilizza l'URL di **accesso per l'accesso di emergenza nella** pagina dell'istanza della AWS console solo in situazioni di emergenza, non per l'uso quotidiano. Per ulteriori informazioni, consulta [Accesso di emergenza al sito web di amministrazione di Amazon Connect](emergency-admin-login.md).
### Utilizza le politiche di controllo del servizio (SCPs)
Le politiche di controllo del servizio (SCPs) sono un tipo di politica organizzativa che è possibile utilizzare per gestire le autorizzazioni all'interno dell'organizzazione. Una SCP definisce un guardrail (barriera protettiva), o imposta dei limiti, sulle azioni che l'amministratore dell'account può delegare ai ruoli e agli utenti negli account interessati. Puoi utilizzarlo SCPs per proteggere le risorse critiche associate al tuo carico di lavoro Amazon Connect.
#### Impostazione di una policy di controllo dei servizi per impedire l'eliminazione di risorse critiche
Se utilizzi l'autenticazione basata su SAML 2.0 ed elimini il ruolo AWS IAM utilizzato per autenticare gli utenti di Amazon Connect, gli utenti non saranno in grado di accedere all'istanza Amazon Connect. Dovrai eliminare e ricreare gli utenti da associare a un nuovo ruolo. Ciò comporta l'eliminazione di tutti i dati associati a tali utenti.
Per evitare l'eliminazione accidentale di risorse critiche e proteggere la disponibilità della tua istanza Amazon Connect, puoi impostare una [policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) come misura di controllo aggiuntiva.
Di seguito è riportato un esempio di SCP che può essere applicato all' AWS account, all'unità organizzativa o alla radice organizzativa per impedire l'eliminazione dell'istanza Amazon Connect e del ruolo associato:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonConnectRoleDenyDeletion",
"Effect": "Deny",
"Action": [
"iam:DeleteRole"
],
"Resource": [
"arn:aws:iam::*:role/ConnectUserRole"
]
},
{
"Sid": "AmazonConnectInstanceDenyDeletion",
"Effect": "Deny",
"Action": [
"connect:DeleteInstance"
],
"Resource": [
"arn:aws:connect:us-east-1:111122223333:instance/InstanceId"
]
}
]
}
```
------
## Best practice di sicurezza per Amazon Connect Detective
La registrazione di log e il monitoraggio sono importanti per garantire l'affidabilità, la disponibilità e le prestazioni del contact center. È necessario [registrare le informazioni pertinenti dai flussi di Amazon Connect CloudWatch e creare](contact-flow-logs.md) [avvisi e notifiche](contact-flow-log-alerts.md) basati su di essi.
Definisci in anticipo i requisiti di conservazione dei log e le policy relative al ciclo di vita e pianifica lo spostamento dei file di log in posizioni di archiviazione più economiche non appena possibile. APIsAccedi pubblicamente ad Amazon Connect CloudTrail; per ulteriori informazioni, consulta[Registra le chiamate API Amazon Connect con AWS CloudTrail](logging-using-cloudtrail.md). Rivedi e automatizza le azioni in base ai CloudTrail log.
Amazon S3 è la scelta consigliata per la conservazione e l'archiviazione a lungo termine dei dati di log, in particolare per le organizzazioni con programmi di conformità che richiedono che i dati di log siano verificabili nel loro formato nativo. Dopo aver collocato i dati di log in un bucket Amazon S3, definisci le regole del ciclo di vita per imporre automaticamente le policy di conservazione e sposta questi oggetti in altre classi di archiviazione più economiche, come Accesso Infrequente Amazon S3 Standard (Standard - IA) o Amazon Glacier.
Il AWS cloud fornisce un'infrastruttura e strumenti flessibili per supportare sia offerte di partner sofisticate che soluzioni di registrazione centralizzate autogestite. Ciò include soluzioni come Amazon OpenSearch Service e Amazon CloudWatch Logs.
Puoi implementare il rilevamento e la prevenzione delle frodi per i contatti in entrata personalizzando i flussi Amazon Connect in base alle tue esigenze. Ad esempio, puoi confrontare i contatti in entrata con le precedenti attività dei contatti in Dynamo DB e intraprendere azioni come disconnettere un contatto che si trova in una lista di contatti non consentiti.
## Best practice di sicurezza per Amazon Connect Chat
Quando effettui l'integrazione diretta con Amazon Connect Participant Service (o utilizzi la libreria Java Script di Amazon Connect Chat) e utilizzi WebSocket gli endpoint di streaming per ricevere messaggi per le tue applicazioni frontend o siti Web, devi proteggere la tua applicazione dagli attacchi XSS (cross-site scripting) basati su DOM.
Le seguenti raccomandazioni di sicurezza possono aiutarti a proteggerti dagli attacchi XSS:
+ Implementa una corretta codifica dell’output per impedire l’esecuzione di script dannosi.
+ Non modificare direttamente il DOM. Ad esempio, non utilizzare `innerHTML` per visualizzare i contenuti delle risposte alla chat. Potrebbe contenere codice Javascript dannoso che può portare a un attacco XSS. Usa librerie di frontend come React per eliminare e ripulire qualsiasi codice eseguibile incluso nella risposta alla chat.
+ Implementa una policy di sicurezza dei contenuti (CSP) per limitare le fonti da cui l’applicazione può caricare script, stili e altre risorse. In questo modo viene aggiunto un ulteriore livello di protezione.
## Best practice di sicurezza WebRTC per Amazon Connect
Sia per i contatti WebRTC che per quelli di chat, ai partecipanti viene rilasciato un token dei partecipanti, un token di connessione che li identifica in modo univoco all’interno di una sessione di contatto. Poiché il possesso di questo token garantisce l’accesso, la sua esposizione può portare ad attacchi di impersonificazione. Pertanto, proteggere questo token è fondamentale.
Le seguenti raccomandazioni di sicurezza possono aiutarti a proteggerti dagli attacchi di impersonificazione:
+ **Autenticare gli utenti prima dell’emissione del token**. Assicurati che vengano eseguiti solidi controlli di autenticazione e autorizzazione prima di vendere un token partecipante a qualsiasi cliente o servizio esterno.
+ **Ridurre al minimo l’esposizione dei token**. Non registrate né incorporate i token dei partecipanti. URLs Utilizza il trasporto sicuro (HTTPS/TLS) per tutti gli scambi di token.
+ **Rispondi rapidamente alle fughe di token**. Se viene rilevata una fuga di token, termina o chiudi immediatamente il contatto associato per impedire l’accesso non autorizzato.
+ **Utilizza i principi del privilegio minimo**. Limita la durata dei token laddove possibile, assicurandoti che siano validi solo per la durata necessaria.
+ **Monitora** e verifica. Tieni traccia dell’utilizzo dei token e dei modelli di accesso per rilevare anomalie o potenziali abusi.
# Impostazione delle restrizioni degli indirizzi IP e dei timeout delle sessioni in Amazon Connect
**Nota**
Questa funzionalità è in versione di anteprima ed è soggetta a modifica. Per accedere a questa funzionalità, contatta il Solutions Architect o il Technical account manager di Amazon Connect oppure Supporto.
Per bloccare ulteriormente il contact center, ad esempio per conformarsi ai requisiti e alle normative del settore, è possibile impostare restrizioni relative agli indirizzi IP e timeout delle sessioni.
+ Le restrizioni relative agli indirizzi IP richiedono agli agenti di accedere solo dalla VPN o di bloccare l’accesso da Paesi o sottoreti specifici.
+ I timeout di sessione richiedono agli agenti di accedere nuovamente ad Amazon Connect.
In Amazon Connect configuri un *profilo di autenticazione* per impostare le restrizioni degli indirizzi IP e la durata delle sessioni degli agenti che hanno effettuato l’accesso. Un profilo di autenticazione è una risorsa che memorizza le impostazioni di autenticazione per gli utenti del contact center.
## Guida introduttiva ai profili di autenticazione
La tua istanza Amazon Connect include un profilo di autenticazione predefinito. Per impostazione predefinita, questo profilo di autenticazione si applica a **tutti gli utenti** del contact center e non deve essere assegnato.
I profili di autenticazione sono attualmente configurabili solo con l' AWS SDK. Per configurare il profilo di autenticazione predefinito, utilizza i seguenti comandi.
**Suggerimento**
È necessario l’ID dell’istanza Amazon Connect per eseguire questi comandi. Per istruzioni su come trovare l’ID dell’istanza, consulta [Trovare l’ID o l’ARN dell’istanza Amazon Connect](find-instance-arn.md).
1. Elenca i profili di autenticazione dell’istanza per ottenere l’ID del profilo di autenticazione che desideri aggiornare. Puoi chiamare l'[ListAuthenticationProfile](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListAuthenticationProfile.html)API o eseguire il comando `list-authentication-profiles` CLI.
Di seguito è riportato un comando `list-authentication-profiles` di esempio.
```
aws connect list-authentication-profiles --instance-id your-instance-id
```
Di seguito è riportato un esempio del profilo di autenticazione predefinito restituito dal comando `list-authentication-profiles`.
```
{
"AuthenticationProfileSummaryList": [
{
"Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
"Id": "profile-id",
"IsDefault": true,
"LastModifiedRegion": "us-west-2",
"LastModifiedTime": 1.719249173664E9,
"Name": "Default Authentication Profile"
}
],
"NextToken": null
}
```
1. Visualizza la configurazione del profilo di autenticazione che desideri aggiornare. È possibile chiamare [DescribeAuthenticationProfile](https://docs.aws.amazon.com/connect/latest/APIReference/API_DescribeAuthenticationProfile.html)o eseguire il comando `describe-authentication-profile` CLI.
Di seguito è riportato un comando `describe-authentication-profile` di esempio.
```
aws connect describe-authentication-profile --instance-id your-instance-id --profile-id profile-id
```
Di seguito è riportato un esempio delle informazioni restituite dal comando `describe-authentication-profile`.
```
{
"AuthenticationProfile": {
"AllowedIps": [],
"Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
"BlockedIps": [],
"CreatedTime": 1.718999177811E9,
"Description": "A basic default Authentication Profile",
"Id": "profile-id",
"IsDefault": true,
"LastModifiedRegion": "us-west-2",
"LastModifiedTime": 1.719249173664E9,
"MaxSessionDuration": 720,
"Name": "Default Authentication Profile",
"PeriodicSessionDuration": 60,
"SessionInactivityDuration": 60,
"SessionInactivityHandlingEnabled": false
}
}
```
Per una descrizione di ogni campo, consulta [AuthenticationProfile](https://docs.aws.amazon.com/connect/latest/APIReference/API_AuthenticationProfile.html)*Amazon Connect API Reference*.
1. Configura il profilo di autenticazione utilizzando l'[UpdateAuthenticationProfile](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateAuthenticationProfile.html)API o il comando `update-authentication-profile` CLI. Tutti i campi ad eccezione di `InstanceId` e `ProfileId` sono facoltativi. Vengono modificate solo le impostazioni definite nella chiamata API.
Di seguito è riportato un comando `update-authentication-profile` di esempio. Configura il profilo di autenticazione predefinito che viene assegnato automaticamente a tutti gli utenti. Consente alcuni indirizzi IP, ne blocca altri, abilita le disconnessioni automatiche in caso di inattività dell'utente e imposta la [durata dell'inattività della sessione su 60](#configure-session-timeouts) minuti.
```
aws connect update-authentication-profile
--instance-id your-instance-id
--profile-id profile-id
--name "Default Authentication Profile"
--description "A basic default Authentication Profile"
--allowed-ips "ip-range-1" "ip-range-2" ...
--blocked-ips "ip-range-3" "ip-range-4" ...
--session-inactivity-handling-enabled
--session-inactivity-duration 60
```
## Configurazione del controllo degli accessi basato su IP
Se desideri configurare l’accesso al tuo contact center in base agli indirizzi IP, puoi utilizzare la funzionalità di controllo degli accessi basata su IP del tuo profilo di autenticazione.
Esistono due tipi di configurazioni IP che è possibile configurare in un profilo di autenticazione: intervalli di indirizzi IP consentiti e intervalli di indirizzi IP bloccati. I seguenti punti descrivono come funziona il controllo degli accessi basato su IP.
+ *Gli indirizzi IP possono essere in entrambi i formati. IPV4 * IPV6
+ È possibile definire sia singoli indirizzi IP *che* intervalli di indirizzi IP nella notazione CIDR.
+ Le configurazioni IP bloccate hanno sempre la precedenza.
+ Se gli indirizzi IP sono definiti nell’elenco degli IP consentiti, sono consentiti *solo* tali indirizzi IP.
+ Questi indirizzi IP possono essere delimitati dall’elenco degli IP bloccati.
+ Se vengono definiti solo indirizzi IP bloccati, qualsiasi indirizzo IP può accedere all’istanza, *ad eccezione* di quelli definiti nell’elenco di blocco.
+ Se gli indirizzi IP sono definiti sia negli elenchi di indirizzi IP consentiti che in quelli bloccati, sono consentiti *solo* gli indirizzi IP definiti nell’intervallo consentito, *meno* gli indirizzi IP nell’intervallo bloccato.
**Nota**
Il controllo degli accessi basato sull’indirizzo IP non si applica all’[accesso amministratore di emergenza](emergency-admin-login.md). Per applicare restrizioni a questo utente, puoi [applicare le restrizioni `SourceIp` nelle tue policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html) per l’API `connect:AdminGetEmergencyAccessToken`.
Quando si determina che l’indirizzo IP di un utente è bloccato dall’istanza, la sessione dell’utente verrà invalidata. Un evento di logout viene pubblicato nel [report Login/Logout](login-logout-reports.md).
### Cosa riscontrano gli utenti quando il controllo del loro indirizzo IP non riesce
**Agents (Agenti)**
Quando un agente è attivo nel Contact Control Panel (CCP), il suo indirizzo IP viene controllato periodicamente.
Di seguito è riportato cosa accade se l’indirizzo IP non supera il controllo:
+ Se l’agente non è impegnato in una chiamata attiva, viene disconnesso se il suo indirizzo IP diventa un indirizzo non consentito.
+ Se l'agente è impegnato in una chiamata attiva, la sessione dell'agente viene invalidata. Tuttavia, ciò non termina la chiamata attualmente attiva. Ecco che cosa succede:
1. L’agente perde la capacità di intraprendere qualsiasi azione, ad esempio modificare lo stato dell’agente, trasferire chiamate, mettere la chiamata in attesa, terminare la chiamata o creare un caso.
1. L’agente viene informato che la sua capacità di agire nel CCP è limitata.
1. Se effettua l’accesso correttamente dopo l’annullamento della sessione, viene reinserito nella chiamata attiva e può intervenire nuovamente.
**Amministratori e utenti che utilizzano il Amazon Connect sito Web di amministrazione**
Quando il controllo dell’indirizzo IP non riesce e gli amministratori e gli altri utenti eseguono azioni sul sito web di amministrazione di Amazon Connect , ad esempio salvando gli aggiornamenti delle risorse o effettuando chiamate attive, vengono automaticamente disconnessi.
## Esempi di configurazioni di indirizzi IP
### Esempio 1: indirizzi IP definiti solo nell’elenco degli IP consentiti
+ AllowedIps: [ `111.222.0.0/16` ]
+ BlockedIps: [ ]
Esito:
+ Solo gli indirizzi IP compresi tra `111.222.0.0` e `111.222.255.255` possono accedere all’istanza.
### Esempio 2: indirizzi IP definiti solo nell’elenco degli IP bloccati
+ AllowedIps: [ ]
+ BlockedIps: [`155.155.155.0/24` ]
Esito:
+ Tutti gli indirizzi IP sono consentiti, *tranne* l’intervallo di indirizzi IP `155.155.155.0 - 155.155.155.255` incluso.
### Esempio 3: indirizzi IP definiti sia nell’elenco degli IP consentiti che nell’elenco degli IP bloccati
+ AllowedIps: [` 200.255.0.0/16` ]
+ BlockedIps: [`200.255.10.0/24, 200.255.40.50, 192.123.211.211` ]
Esito:
+ Sono consentiti indirizzi IP compresi tra `200.255.0.0 - 200.255.255.255`, meno `(200.255.10.0 - 200.255.10.255 AND 200.255.40.50)`.
+ In effetti, `200.255.0.0 - 200.255.9.255, 200.255.11.0 - 200.255.40.49, 200.255.40.51 - 200.255.255.255` sono consentiti.
+ `192.123.211.211` viene effettivamente ignorato poiché non rientra nell’intervallo consentito.
### Esempio 4: nessun indirizzo IP definito nell’elenco degli IP consentiti o nell’elenco degli IP bloccati
+ AllowedIps: [ ]
+ BlockedIps: [ ]
In questo caso, non ci sono restrizioni.
**Importante**
L'`allowedIps`elenco definisce l'intervallo di possibili IPs autorizzazioni consentite nel contact center solo *se* non è vuoto. Se è vuoto, *qualsiasi* indirizzo IP può accedere al contact center a meno che non sia esplicitamente bloccato dall’elenco `blockedIps`.
## Configura i timeout delle sessioni utente
Una sessione Amazon Connect è definita come un periodo continuo di accesso autenticato al sito Web del tuo contact center. Esistono due timeout di sessione che si applicano alle sessioni utente nel contact center:
+ **Durata massima della sessione**: questo valore rappresenta il periodo di tempo massimo in cui un utente del contact center può accedere prima di essere costretto ad accedere nuovamente. Il valore predefinito è 12 ore e non è configurabile.
+ **Durata di inattività della sessione:** questo valore rappresenta il periodo prima che un agente si disconnetta automaticamente dal contact center quando diventa inattivo.
Per impostazione predefinita, gli utenti della tua istanza Amazon Connect rimangono connessi fino al termine della durata massima della sessione di 12 ore, senza disconnessione automatica per inattività. Tuttavia, le organizzazioni con requisiti di sicurezza e conformità più rigorosi possono sfruttare i profili di autenticazione per abilitare la disconnessione automatica quando gli utenti diventano inattivi. Una volta abilitata, questa funzionalità monitora i modelli di attività degli utenti e termina automaticamente le sessioni una volta trascorsa la durata di inattività della sessione configurata.
Un utente del contact center è considerato attivo quando esegue una delle seguenti azioni:
+ Attività con mouse e tastiera sul Contact Control Panel (CCP), Agent Workspace o sul sito Web di amministrazione
+ Presenza di un contatto vocale attivo
Se l'utente è considerato inattivo, sullo schermo verrà visualizzato un pop-up che avvisa l'utente che la sua sessione sta per scadere a causa dell'inattività. Un utente può scegliere di rimanere connesso o disconnettersi.
Per attivare il logout automatico in caso di inattività dell'utente, esegui le seguenti chiamate API su un profilo di autenticazione nella tua istanza utilizzando l'SDK Amazon Connect.
```
aws connect update-authentication-profile
--instance-id
--profile-id
--session-inactivity-handling-enabled
--session-inactivity-duration
```
**Nota**
I clienti che integrano il proprio contact center con un fornitore di terze parti (come Salesforce Service Cloud Voice (SCV)) devono fare riferimento alla documentazione del fornitore per determinare se questa funzionalità è supportata prima di abilitare i logout automatici in caso di inattività.
**Nota**
I clienti che utilizzano AmazonConnectStreams o l' AmazonConnectSDK per integrare le loro applicazioni Web esistenti con Amazon Connect devono implementare la gestione delle attività come parte della loro integrazione prima di abilitare il logout automatico in caso di inattività dell'utente. Per ulteriori informazioni, consulta la AmazonConnectStreams documentazione del AmazonConnect nostro SDK.
**Nota**
La disconnessione automatica in caso di inattività dell'utente non è supportata quando si utilizza Amazon Connect in un'[infrastruttura desktop virtuale (VDI) con un modello CCP diviso](using-ccp-vdi.md#use-split-ccp).