Amazon Connect에서 IP 주소 제한 및 세션 제한 시간 설정 - Amazon Connect
인증 프로필 시작하기IP 기반 액세스 제어 구성IP 주소 구성 예시사용자 세션 제한 시간 구성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Connect에서 IP 주소 제한 및 세션 제한 시간 설정

참고

이 기능은 현재 미리 보기 버전이 출시 중이며 변경될 수도 있습니다. 이 기능에 액세스하려면 Amazon Connect 솔루션 아키텍트, 기술 계정 관리자, 또는 지원에게 문의하세요.

예를 들어 업계의 요구 사항 및 규정을 준수하기 위해 콜센터를 추가로 잠그려면 IP 주소 제한 및 세션 제한 시간을 설정할 수 있습니다.

  • IP 주소 제한에 따라 에이전트는 VPN에서만 로그인하거나 특정 국가 또는 서브넷에서 액세스를 차단해야 합니다.

  • 세션 제한 시간에 따라 에이전트는 Amazon Connect에 다시 로그인해야 합니다.

Amazon Connect에서 로그인한 에이전트의 IP 주소 제한 및 세션 기간을 설정하도록 인증 프로필을 구성합니다. 인증 프로필은 콜센터에 사용자의 인증 설정을 저장하는 리소스입니다.

인증 프로필 시작하기

Amazon Connect 인스턴스에는 기본 인증 프로필이 포함되어 있습니다. 이 인증 프로필은 기본적으로 고객 센터의 모든 사용자에게 적용되며 할당할 필요가 없습니다.

인증 프로필은 현재 AWS SDK로만 구성할 수 있습니다. 기본 인증 프로필을 구성하려면 다음 명령을 사용합니다.

작은 정보

이러한 명령을 실행하려면 Amazon Connect 인스턴스 ID가 필요합니다. 인스턴스 ID를 찾는 방법에 대한 지침은 Amazon Connect 인스턴스 ID 또는 ARN 찾기 섹션을 참조하세요.

  1. 인스턴스의 인증 프로필을 나열하여 업데이트하려는 인증 프로필의 프로필 ID를 가져옵니다. ListAuthenticationProfile API를 직접적으로 호출하거나 list-authentication-profiles CLI 명령을 실행할 수 있습니다.

    다음은 예시 list-authentication-profiles 명령입니다.

    aws connect list-authentication-profiles --instance-id your-instance-id

    다음은 list-authentication-profiles 명령에서 반환되는 기본 인증 프로필의 예입니다.

    {
    "AuthenticationProfileSummaryList": [
        {
        "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
        "Id": "profile-id",
        "IsDefault": true,
        "LastModifiedRegion": "us-west-2",
        "LastModifiedTime": 1.719249173664E9,
        "Name": "Default Authentication Profile"
        }
    ],
    "NextToken": null
}

  2. 업데이트하려는 인증 프로필의 구성을 확인합니다. DescribeAuthenticationProfile을 호출하거나 describe-authentication-profile CLI 명령을 실행할 수 있습니다.

    다음은 예시 describe-authentication-profile 명령입니다.

    aws connect describe-authentication-profile --instance-id your-instance-id --profile-id profile-id

    다음은 describe-authentication-profile 명령에서 반환한 정보의 예시입니다.

    {
    "AuthenticationProfile": {
    "AllowedIps": [],
    "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
    "BlockedIps": [],
    "CreatedTime": 1.718999177811E9,
    "Description": "A basic default Authentication Profile",
    "Id": "profile-id",
    "IsDefault": true,
    "LastModifiedRegion": "us-west-2",
    "LastModifiedTime": 1.719249173664E9,
    "MaxSessionDuration": 720,
    "Name": "Default Authentication Profile",
    "PeriodicSessionDuration": 60,
    "SessionInactivityDuration": 60,
    "SessionInactivityHandlingEnabled": false
    }
}

    각 필드에 대한 설명은 Amazon Connect API 참조AuthenticationProfile을 참조하세요.

  3. UpdateAuthenticationProfile API 또는 update-authentication-profile CLI 명령을 사용하여 인증 프로필을 구성합니다. InstanceIdProfileId를 제외한 모든 필드와 값은 선택 사항입니다. API 직접 호출에서 정의한 설정만 변경됩니다.

    다음은 예시 update-authentication-profile 명령입니다. 모든 사용자에게 자동으로 할당되는 기본 인증 프로필을 구성합니다. 일부 IP 주소를 허용하고, 다른 IP 주소를 차단하고, 사용자 비활성 시 자동 로그아웃을 활성화하고, 세션 비활성 기간을 60분으로 설정합니다.

    aws connect update-authentication-profile 
    --instance-id your-instance-id 
    --profile-id profile-id
    --name "Default Authentication Profile"
    --description "A basic default Authentication Profile"
    --allowed-ips "ip-range-1" "ip-range-2" ...
    --blocked-ips "ip-range-3" "ip-range-4" ...
    --session-inactivity-handling-enabled
    --session-inactivity-duration 60

IP 기반 액세스 제어 구성

IP 주소를 기반으로 콜센터에 대한 액세스를 구성하려면 인증 프로필의 IP 기반 액세스 제어 기능을 사용할 수 있습니다.

인증 프로필에서 구성할 수 있는 IP 구성에는 허용되는 IP 주소 범위와 차단된 IP 주소 범위의 두 가지 유형이 있습니다. 다음 포인트에서는 IP 기반 액세스 제어의 작동 방식을 설명합니다.

  • IP 주소는 IPV4 IPV6 형식 모두일 수 있습니다.

  • CIDR 표기법에서 개별 IP 주소 IP 주소 범위를 모두 정의할 수 있습니다.

  • 차단된 IP 구성이 항상 우선합니다.

  • 허용된 IP 목록에 IP 주소가 정의된 경우 해당 IP 주소 허용됩니다.

    • 이러한 IP 주소는 차단된 IP 목록을 통해 범위를 축소할 수 있습니다.

  • 차단된 IP 주소만 정의된 경우, 차단 목록에 정의된 IP 주소를 제외한 모든 IP 주소가 인스턴스에 액세스할 수 있습니다.

  • IP 주소가 허용 및 차단된 IP 주소 목록에 모두 정의된 경우 허용 범위에 정의된 IP 주소에서 차단된 범위의 IP 주소를 허용됩니다.

참고

IP 주소 기반 액세스 제어는 긴급 관리자 로그인에는 적용되지 않습니다. 이 사용자에 대한 제한을 적용하려면 API connect:AdminGetEmergencyAccessToken에 대한 IAM 정책에 SourceIp 제한을 적용할 수 있습니다.

사용자의 IP 주소가 인스턴스에 의해 차단된 것으로 확인되면 사용자 세션이 무효화됩니다. 로그아웃 이벤트는 로그인/로그아웃 보고서에 게시됩니다.

IP 주소 확인에 실패할 때 사용자가 경험하는 사항

에이전트

에이전트가 연락 제어판(CCP)에서 활성 상태인 경우 IP 주소가 주기적으로 확인됩니다.

IP 주소가 확인에 실패하면 다음과 같이 됩니다.

  • 에이전트가 활성 통화 중이 아니면 IP 주소가 허용되지 않는 주소로 변경되면 에이전트가 로그아웃됩니다.

  • 에이전트가 활성 통화 중인 경우 에이전트의 세션이 무효화됩니다. 그러나 현재 활성 통화는 종료되지 않습니다. 다음은 무슨 일이 일어나는지에 대한 것입니다.

    1. 에이전트는 에이전트 상태 변경, 통화 전송, 통화 보류, 통화 종료 또는 사례 생성과 같은 작업을 수행할 수 있는 기능을 상실합니다.

    2. CCP에서 작업을 수행할 수 있는 기능이 제한되었음을 에이전트에 알립니다.

    3. 세션이 무효화된 후 성공적으로 로그인하면 활성 통화에 다시 배치되고 다시 조치를 취할 수 있습니다.

관리자 웹 사이트를 사용하는 Amazon Connect 관리자 및 사용자

관리자 및 기타 사용자가 Amazon Connect 관리자 웹 사이트에서 리소스에 대한 업데이트 저장 또는 활성 통화에 참여와 같은 작업을 수행하는 데 IP 주소 확인이 실패하면 자동으로 로그아웃됩니다.

IP 주소 구성 예시

예시 1: 허용된 IP 목록에만 정의된 IP 주소

  • AllowedIps: [ 111.222.0.0/16 ]

  • BlockedIps: [ ]

결과:

  • 111.222.0.0111.222.255.255 사이의 IP 주소만 인스턴스에 액세스할 수 있습니다.

예시 2: 차단된 IP 목록에만 정의된 IP 주소

  • AllowedIps: [ ]

  • BlockedIps: [155.155.155.0/24 ]

결과:

  • 155.155.155.0 - 155.155.155.255 포함 IP 주소 범위를 제외한 모든 IP 주소가 허용됩니다.

예시 3: 허용된 IP 목록과 차단된 IP 목록 모두에 정의된 IP 주소

  • AllowedIps: [ 200.255.0.0/16 ]

  • BlockedIps: [200.255.10.0/24, 200.255.40.50, 192.123.211.211 ]

결과:

  • 200.255.0.0 - 200.255.255.255 사이의 IP 주소는 (200.255.10.0 - 200.255.10.255 AND 200.255.40.50)을 빼고 허용됩니다.

  • 사실상 200.255.0.0 - 200.255.9.255, 200.255.11.0 - 200.255.40.49, 200.255.40.51 - 200.255.255.255는 허용됩니다.

  • 192.123.211.211은 허용 범위 내에 있지 않으므로 효과적으로 무시됩니다.

예시 4: 허용된 IP 목록 또는 차단된 IP 목록에 정의된 IP 주소가 없음

  • AllowedIps: [ ]

  • BlockedIps: [ ]

이 경우 제한이 없습니다.

중요

allowedIps 목록은 비어 있지 않은 경우에만 콜센터에 허용되는 가능한 IP 범위를 정의합니다. 비어 있는 경우 blockedIps 목록에 의해 명시적으로 차단되지 않는 한 모든 IP 주소는 콜센터에 액세스할 수 있습니다.

사용자 세션 제한 시간 구성

Amazon Connect 세션은 고객 센터 웹 사이트에 대한 지속적인 인증 액세스로 정의됩니다. 콜센터의 사용자 세션에는 두 가지 세션 제한 시간이 적용됩니다.

  • 최대 세션 기간:이 값은 다시 로그인하도록 강제되기 전에 콜센터 사용자가 로그인할 수 있는 최대 기간을 나타냅니다. 이 값은 기본적으로 12시간이며 구성할 수 없습니다.

  • 세션 비활성 기간: :이 값은 에이전트가 비활성 상태가 될 때 자동으로 콜센터에서 로그아웃되기까지의 기간을 나타냅니다.

기본적으로 Amazon Connect 인스턴스의 사용자는 최대 세션 기간인 12시간이 경과할 때까지 로그인 상태를 유지하며 비활성에 대한 자동 로그아웃은 없습니다. 그러나 보안 및 규정 준수 요구 사항이 더 엄격한 조직은 인증 프로필을 활용하여 사용자가 비활성 상태가 될 때 자동 로그아웃을 활성화할 수 있습니다. 활성화되면이 기능은 사용자 활동 패턴을 모니터링하고 구성된 세션 비활성 기간이 경과한 후 세션을 자동으로 종료합니다.

콜센터 사용자는 다음 작업 중 하나를 수행할 때 활성 상태로 간주됩니다.

  • CCP(Contact Control Panel), 에이전트 Workspace 또는 관리자 웹 사이트의 마우스 및 키보드 활동

  • 활성 음성 고객 응대의 존재

사용자가 비활성으로 확인되면 비활성으로 인해 세션이 만료될 예정임을 알리는 팝업이 화면에 표시됩니다. 사용자는 로그인 또는 로그아웃 상태를 유지하도록 선택할 수 있습니다.

사용자 비활성 시 자동 로그아웃을 옵트인하려면 Amazon Connect SDK를 사용하여 인스턴스의 인증 프로필에서 다음 API 호출을 수행합니다.

aws connect update-authentication-profile 
    --instance-id <your-instance-id> 
    --profile-id <profile-id>
    --session-inactivity-handling-enabled
    --session-inactivity-duration <minutes between 15 and 720>
참고

고객 센터를 타사 공급업체(예: Salesforce Service Cloud Voice(SCV))와 통합하는 고객은 공급업체 설명서를 참조하여 비활성 상태에서 자동 로그아웃을 활성화하기 전에이 기능이 지원되는지 확인해야 합니다.

참고

AmazonConnectStreams 또는 AmazonConnectSDK를 활용하여 기존 웹 애플리케이션을 Amazon Connect와 통합하는 고객은 사용자 비활성 시 자동 로그아웃을 활성화하기 전에 통합의 일부로 활동 처리를 구현해야 합니다. 자세한 내용은 AmazonConnectStreams 또는 AmazonConnectSDK 설명서를 참조하세요.

참고

분할 CCP 모델과 함께 가상 데스크톱 인프라(VDI)에서 Amazon Connect를 사용하는 경우 사용자 비활성 시 자동 로그아웃이 지원되지 않습니다.