View a markdown version of this page

Use funções vinculadas ao serviço e permissões de função para Connect Customer - Amazon Connect Customer
O que são funções vinculadas ao serviço (SLR) e por que elas são importantes?Service-linked permissões de funçãoCrie uma função vinculada ao serviço para o Connect CustomerPara instâncias criadas antes de outubro de 2018Para domínios do Customer Profiles criados antes de 31 de janeiro de 2025 e configurados com uma chave do KMS do cliente para criptografar dadosEditar uma função vinculada ao serviço para Connect CustomerVerificar se uma função vinculada ao serviço tem permissões para o Amazon LexExcluir uma função vinculada ao serviço para Connect CustomerRegiões suportadas para funções vinculadas ao atendimento ao cliente do Connect

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Use funções vinculadas ao serviço e permissões de função para Connect Customer

O que são funções vinculadas ao serviço (SLR) e por que elas são importantes?

O Connect Customer usa AWS Identity and Access Management funções vinculadas ao serviço (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a uma instância do Connect Customer.

Service-linked as funções são predefinidas pelo Connect Customer e incluem todas as permissões que o Connect Customer exige para ligar para outros AWS serviços em seu nome.

Você precisa habilitar funções vinculadas ao serviço para poder usar novos recursos no Connect Customer, como suporte à marcação, a nova interface de usuário em gerenciamento de usuários e perfis de roteamento e filas com suporte. CloudTrail

Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a AWS serviços, consulte serviços que funcionam com IAM e procure os serviços que têm Sim na coluna Service-Linked Função. Escolha um Sim com um link para visualizar a documentação do perfil vinculado para esse serviço.

Service-linked permissões de função para Connect Customer

O Connect Customer usa a função vinculada ao serviço com o prefixo AWSServiceRoleForAmazonConnect_ unique-id — Concede permissão ao Amazon Connect para acessar AWS recursos em seu nome.

A função vinculada ao serviço AWSServiceRoleForAmazonConnect prefixada confia nos seguintes serviços para assumir a função:

  • connect.amazonaws.com

A política de permissões de AmazonConnectServiceLinkedRolePolicyfunção permite que o Connect Customer conclua as seguintes ações nos recursos especificados:

  • Ação: todas as ações do Connect Customer,connect:*, em todos os recursos do Connect Customer.

  • Ação: iam:DeleteRole IAM para permitir a exclusão da função vinculada ao serviço.

  • Ação: s3:GetObject, s3:DeleteObject, s3:GetBucketLocation e GetBucketAcl do Amazon S3 para o bucket do S3 especificado para conversas gravadas.

    Ele também concede s3:PutObject, s3:PutObjectAcl e s3:GetObjectAcl para o bucket especificado para relatórios exportados.

  • Ação: Amazon CloudWatch Logslogs:CreateLogStream,logs:DescribeLogStreams, e logs:PutLogEvents para o grupo CloudWatch Logs especificado para registro de fluxo.

  • Ação: lex:ListBots e lex:ListBotAliases do Amazon Lex para todos os bots criados na conta em todas as regiões.

  • Ação: Conecte perfis de clientes de clientes profile:* em todos os recursos do Connect Customer Customer Profiles com o prefixo de amazon-connect- domínio e os recursos de modelo associados à sua instância do Connect Customer, exceto pelas seguintes ações que são explicitamente negadas:

    • profile:CreateDomain

    • profile:UpdateDomain

    • profile:DeleteDomain

    • profile:CreateEventStream

    • profile:DeleteEventStream

    • profile:DeleteWorkflow

    • profile:DeleteProfileKey

    • profile:UntagResource

    • profile:TagResource

    • profile:CreateIntegrationWorkflow

    Além disso, as seguintes ações são permitidas em todos os recursos: profile:ListRecommenderRecipesprofile:ListAccountIntegrations, profile:ListDomains e.

    nota

    Cada instância do Connect Customer só pode ser associada a um domínio por vez. No entanto, você pode vincular qualquer domínio a uma instância do Connect Customer. Cross-domain o acesso dentro da mesma conta e região da AWS é habilitado automaticamente para todos os domínios que começam com o prefixoamazon-connect-. Para restringir o acesso entre domínios, você pode usar instâncias separadas do Connect Customer para particionar logicamente seus dados ou usar nomes de domínio de perfis de clientes na mesma instância que não comecem com o amazon-connect- prefixo, impedindo assim o acesso entre domínios.

  • Ação: Conecte agentes de IA wisdom:* em todos os recursos de agentes do Connect Customer Connect AI com a tag de recurso 'AmazonConnectEnabled':'True' associada à sua instância do Connect Customer, exceto pelas seguintes ações que são explicitamente negadas:

    • wisdom:DeleteAssistant

    • wisdom:DeleteKnowledgeBase

  • Ação: Amazon CloudWatch Metrics cloudwatch:PutMetricData para publicar métricas de uso do Connect Customer para uma instância em sua conta.

  • Ação: Amazon Pinpoint SMS and Voice sms-voice:DescribePhoneNumbers e sms-voice:SendTextMessage permitir que o Connect Customer envie SMS.

  • Ação: Amazon Pinpoint mobiletargeting:SendMessages para permitir que o Connect Customer envie notificações push.

  • Ação: grupos de usuários do Amazon Cognito cognito-idp:DescribeUserPool e cognito-idp:ListUserPoolClients permitir que o Connect Customer acesse operações de leitura selecionadas em recursos de grupos de usuários do Amazon Cognito que tenham AmazonConnectEnabled uma tag de recurso.

  • Ação: Conector de voz do Amazon Chime SDK chime:GetVoiceConnector para permitir acesso de leitura para o Connect Customer em todos os recursos do Amazon Chime SDK Voice Connector que tenham uma tag de recurso. 'AmazonConnectEnabled':'True'

  • Ação: conector de voz do SDK do Amazon Chime chime:ListVoiceConnectors para todos os conectores de voz do SDK do Amazon Chime criados na conta entre regiões.

  • Ação: WhatsApp Integração do Connect Customer Messaging. Concede permissões do Connect Customer às seguintes APIs sociais de mensagens de usuário AWS final:

    • social-messaging:SendWhatsAppMessage

    • social-messaging:PostWhatsAppMessageMedia

    • social-messaging:GetWhatsAppMessageMedia

    • social-messaging:GetLinkedWhatsAppBusinessAccountPhoneNumber

    As APIs sociais estão restritas aos recursos do seu número de telefone que estão habilitados para o Connect Customer. Um número de telefone é marcado com AmazonConnectEnabled : True quando é importado para uma instância do Connect Customer.

  • Ação: Integração do modelo de WhatsApp mensagem Connect Customer Messaging. Concede permissão ao Connect Customer para chamar AWS End User Messaging Social APIs. As contas WhatsApp comerciais de uma AWS conta podem ser listadas. Além disso, os modelos de uma conta WhatsApp comercial podem ser listados e os detalhes de um modelo podem ser recuperados, desde que a conta WhatsApp comercial esteja marcadaAmazonConnectEnabled: True.

    • social-messaging:ListLinkedWhatsAppBusinessAccounts

    • social-messaging:GetWhatsAppMessageTemplate

    • social-messaging:ListWhatsAppMessageTemplates

  • Ação: Amazon SES

    • ses:DescribeReceiptRule

    • ses:UpdateReceiptRule

    Em todas as regras de recebimento do Amazon SES. Usado para enviar e receber e-mails.

    • ses:DeleteEmailIdentitypara a identidade de domínio {instance-alias} .email.connect.aws SES. Usado para gerenciamento de domínio de e-mail fornecido pelo Connect Customer.

    • ses:SendRawEmailpara enviar e-mails com um conjunto de configurações SES fornecido pelo Connect Customer (configuration-set-for-connect-). DO-NOT-DELETE

    • iam:PassRole para o perfil de serviço AmazonConnectEmailSESAccessRole que é usado pelo Amazon SES. Para o gerenciamento de regras de recebimento do Amazon SES, o Amazon SES exige que um perfil seja enviado, que ele então assume.

  • Ação: Amazon Polly

    • polly:ListLexicons

    • polly:DescribeVoices

    • polly:SynthesizeSpeech

À medida que você ativa recursos adicionais no Connect Customer, as seguintes permissões são adicionadas à função vinculada ao serviço para acessar os recursos associados a esses recursos usando políticas em linha:

  • Ação: firehose:DescribeDeliveryStream, firehose:PutRecord e firehose:PutRecordBatch do Amazon Data Firehose para o fluxo de entrega definido para fluxos de eventos de atendentes e registros de contato.

  • Ação: kinesis:PutRecord, kinesis:PutRecords e kinesis:DescribeStream do Amazon Kinesis Data Streams para o fluxo especificado para fluxos de eventos de atendentes e registros de contato.

  • Ação: lex:PostContent do Amazon Lex para bots adicionados à instância.

  • Ação: Conecte o cliente Voice-ID voiceid:* aos domínios do Voice ID associados à sua instância.

  • Ação: EventBridge events:PutRule e events:PutTargets para a EventBridge regra gerenciada do Connect Customer para publicar registros de CTR para seus domínios de ID de voz associados.

  • Ação: campanhas externas

    • connect-campaigns:CreateCampaign

    • connect-campaigns:DeleteCampaign

    • connect-campaigns:DescribeCampaign

    • connect-campaigns:UpdateCampaignName

    • connect-campaigns:GetCampaignState

    • connect-campaigns:GetCampaignStateBatch

    • connect-campaigns:ListCampaigns

    • connect-campaigns:UpdateOutboundCallConfig

    • connect-campaigns:UpdateDialerConfig

    • connect-campaigns:PauseCampaign

    • connect-campaigns:ResumeCampaign

    • connect-campaigns:StopCampaign

    para todas as operações relacionadas a campanhas externas.

É necessário configurar as permissões para permitir que uma entidade do IAM (como um usuário, grupo ou perfil) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte as permissões de Service-linked função no Guia do usuário do IAM.

Crie uma função vinculada ao serviço para o Connect Customer

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria uma nova instância no Amazon Connect no Console de gerenciamento da AWS, o Connect Customer cria a função vinculada ao serviço para você.

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria uma nova instância no Amazon Connect, o Connect Customer cria a função vinculada ao serviço para você novamente.

Você também pode usar o console do IAM para criar um perfil vinculado ao serviço com o caso de uso Amazon Connect: acesso total. Na CLI ou na API do IAM, crie uma função vinculada ao serviço com o nome de serviço connect.amazonaws.com. Para saber mais, consulte Criar um perfil vinculado a serviço no Guia do usuário do IAM. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

Para instâncias criadas antes de outubro de 2018

dica

Está tendo problemas para fazer login para gerenciar sua AWS conta? Não sabe quem gerencia sua conta da AWS ? Para obter ajuda, consulte Solução de problemas de login da Conta da AWS.

Se sua instância do Connect Customer foi criada antes de outubro de 2018, você não tem funções vinculadas ao serviço configuradas. Para criar uma função vinculada ao serviço, na página Visão geral da conta, escolha Criar função vinculada ao serviço, conforme mostrado na imagem a seguir.

A página Visão geral da conta e o botão Criar função vinculada ao serviço.

Para ver uma lista das permissões do IAM necessárias para criar um perfil vinculado ao serviço, consulte Página Visão geral no tópico Permissões necessárias para usar políticas personalizadas do IAM para gerenciar o acesso ao console do Connect Customer.

Para domínios do Customer Profiles criados antes de 31 de janeiro de 2025 e configurados com uma chave do KMS do cliente para criptografar dados, é necessário conceder permissões adicionais do KMS à sua instância do Amazon Connect.

Se seu domínio de perfil de cliente associado foi criado antes de 31 de janeiro de 2025 e o domínio usa uma chave Customer-Managed KMS (CMK) para criptografia, para permitir a aplicação da CMK pela Instância Connect, execute as seguintes ações:

  1. Forneça a permissão Service-Linked Role (SLR) de uma Connect Customer instância para usar AWS KMS as chaves do domínio do seu Customer Profiles navegando até a página do Customer Profiles no Connect Customer AWS Management Console e escolha Atualizar a permissão KMS.

    Escolha o botão Atualizar permissão KMS para conceder permissões KMS para sua função vinculada ao serviço da instância Connect Customer.

  2. Crie um ticket de suporte com a equipe do Connect Customer Customer Profiles para solicitar a aplicação da permissão CMK para sua conta.

Para ver uma lista de permissões do IAM para atualizar sua Connect Customer instância, consulte a permissão necessária para políticas personalizadas do IAM para Página Perfis de clientes o.

Editar uma função vinculada ao serviço para Connect Customer

O Connect Customer não permite que você edite a função AWSServiceRoleForAmazonConnect prefixada vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Verificar se uma função vinculada ao serviço tem permissões para o Amazon Lex

  1. No painel de navegação do console do IAM, escolha Perfis.

  2. Escolha o nome da função a ser modificada.

Excluir uma função vinculada ao serviço para Connect Customer

Você não precisa excluir manualmente a função AWSServiceRoleForAmazonConnect prefixada. Quando você exclui sua instância do Amazon Connect no Console de gerenciamento da AWS, o Connect Customer limpa os recursos e exclui a função vinculada ao serviço para você.

Regiões suportadas para funções vinculadas ao atendimento ao cliente do Connect

O Connect Customer oferece suporte ao uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para mais informações, consulte Regiões e endpoints da AWS.