Aplicar controle de acesso baseado em hierarquia no Amazon Connect - Amazon Connect
Visão geral do Aplicar controle de acesso baseado em hierarquia usando API/SDKAplique controle de acesso baseado em hierarquia usando o site do administrador Amazon ConnectLimitações de configuraçãoPráticas recomendadas para aplicar controles de acesso baseados em hierarquia

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Aplicar controle de acesso baseado em hierarquia no Amazon Connect

É possível restringir o acesso aos contatos com base na hierarquia do atendente atribuído a um usuário. Você faz isso usando as permissões do perfil de segurança, como Restrinja o acesso do contato. Além dessas permissões, também é possível usar hierarquias para impor controles de acesso refinados para recursos, como usuários, e usar tags.

Este tópico fornece informações sobre como configurar controles de acesso baseados em hierarquia.

Visão geral do

O controle de acesso baseado em hierarquia permite que você configure o acesso granular a recursos específicos com base na hierarquia do agente atribuída a um usuário. Você pode configurar controles de acesso baseados em hierarquia usando o site API/SDK ou o site do Amazon Connect administrador. 

O único recurso que comporta o controle de acesso baseado em hierarquia é usuários. Esse modelo de autorização funciona em conjunto com o controle de acesso baseado em tags, para que você possa restringir o acesso aos usuários, permitindo que eles vejam somente outros usuários pertencentes ao mesmo grupo hierárquico e que tenham tags específicas associadas a eles.

nota

Depois de aplicar o controle de acesso baseado na hierarquia aos usuários, eles podem acessar o grupo hierárquico e todos os seus descendentes (além do nível filho).

Aplicar controle de acesso baseado em hierarquia usando API/SDK

Para usar hierarquias para controlar o acesso aos recursos em suas AWS contas, você precisa fornecer as informações da hierarquia no elemento condicional de uma política do IAM. Por exemplo, para controlar o acesso a um usuário que pertence a uma hierarquia específica, use a chave de condição connect:HierarchyGroupL3Id/hierarchyGroupId junto com um operador específico, como StringEquals, para especificar a qual grupo hierárquico o usuário deve pertencer, a fim de permitir determinadas ações para ele.

Veja a seguir as chaves de condição compatíveis:

  1. connect:HierarchyGroupL1Id/hierarchyGroupId

  2. connect:HierarchyGroupL2Id/hierarchyGroupId

  3. connect:HierarchyGroupL3Id/hierarchyGroupId

  4. connect:HierarchyGroupL4Id/hierarchyGroupId

  5. connect:HierarchyGroupL5Id/hierarchyGroupId

Cada chave representa o ID de um grupo hierárquico específico em um nível determinado da estrutura hierárquica do usuário.

Aplique controle de acesso baseado em hierarquia usando o site do administrador Amazon Connect

Para usar hierarquias para controlar o acesso aos recursos do site do Amazon Connect administrador, você configura a seção de controle de acesso em um determinado perfil de segurança.

Por exemplo, para habilitar o acesso refinado ao controle de acesso para determinado usuário com base na hierarquia à qual ele pertence, você vai configurar o usuário como um recurso de acesso controlado. Para corrigir isso, você tem as seguintes duas opções:

  1. Aplicar o controle de acesso baseado na hierarquia com base na hierarquia do usuário

    Essa opção garante que o usuário que está recebendo acesso só possa gerenciar usuários que pertençam a essa hierarquia. Por exemplo, habilitar essa configuração para determinado usuário permite que ele gerencie outros usuários que pertençam ao seu grupo hierárquico ou a um grupo hierárquico secundário.

  2. Aplicar o controle de acesso baseado em hierarquia com base em uma hierarquia específica

    Isso garantirá que o usuário que está recebendo acesso só possa gerenciar usuários que pertençam à hierarquia definida no perfil de segurança. Por exemplo, habilitar essa configuração para um certo usuário permite que ele gerencie outros usuários que pertençam ao grupo hierárquico especificado no perfil de segurança ou a um grupo hierárquico secundário.

Limitações de configuração

O controle de acesso refinado é configurado em um perfil de segurança. Os usuários podem receber no máximo dois perfis de segurança que impõem um controle de acesso refinado. Nesse caso, as permissões serão menos restritivas e funcionarão como uma união dos dois conjuntos de permissões.

Por exemplo, se um perfil de segurança impõe o controle de acesso baseado em hierarquia e outro impõe o controle de acesso baseado em tags, o usuário poderá gerenciar qualquer usuário que pertença à mesma hierarquia ou esteja marcado com a tag especificada. Se o controle de acesso baseado em tag e baseado em hierarquia forem configurados como parte do mesmo perfil de segurança, ambas as condições precisarão ser atendidas. Nesse caso, o usuário só poderá gerenciar usuários que pertençam à mesma hierarquia e estejam marcados com uma tag específica. 

Um usuário pode ter mais de dois perfis de segurança, contanto que os perfis de segurança adicionais não imponham controle de acesso granular. Se vários perfis de segurança estiverem presentes com permissões de recursos sobrepostas, o perfil de segurança sem controle de acesso baseado em hierarquia será imposto sobre o que tem controle de acesso baseado em hierarquia.

As funções vinculadas ao serviço são necessárias para configurar o controle de acesso baseado em hierarquia. Se sua instância foi criada após outubro de 2018, ela estará disponível por padrão com a instância do Amazon Connect. No entanto, se você tiver uma instância mais antiga, consulte Use service-linked roles for Amazon Connect para obter instruções sobre como habilitar funções vinculadas ao serviço.

Práticas recomendadas para aplicar controles de acesso baseados em hierarquia

  • Analise o modelo de responsabilidade compartilhada da AWS.

    A aplicação do controle de acesso baseado em hierarquia é um recurso de configuração avançado que é suportado pelo Amazon Connect e que segue o modelo de responsabilidade AWS compartilhada. É importante garantir que você esteja configurando corretamente sua instância para atender às necessidades de autorização desejadas.

  • Verifique se você habilitou pelo menos permissões visualização para os recursos para os quais você habilita o controle de acesso baseado em hierarquia.

    Isso garantirá que você evite inconsistências de permissão que resultam em solicitações de acesso negadas. Os controles de acesso baseados em hierarquia são habilitados no nível do recurso, o que significa que cada recurso pode ser restrito de forma independente.

  • Analise cuidadosamente as permissões concedidas quando o controle de acesso baseado em hierarquia é aplicado.

    Por exemplo, habilitar o acesso restrito hierárquico aos usuários e view/edit permissions security profiles would allow a user to create/update um perfil de segurança com privilégios que substituem as configurações de controle de acesso do usuário pretendidas.

    • Quando estiverem conectados ao console do Amazon Connect com controles de acesso baseados em hierarquia aplicados, os usuários não poderão acessar logs históricos de alterações dos recursos aos quais estão restritos.

    • Ao tentar atribuir um recurso secundário a um recurso principal com controle de acesso baseado em hierarquia no recurso secundário, a operação será negada se o recurso secundário não pertencer à sua hierarquia.

      Por exemplo, se você tentar atribuir um usuário a uma conexão rápida, mas não tiver acesso à hierarquia dele, a operação falhará. No entanto, isso não é o que acontece em dissociações. É possível desassociar um usuário livremente, mesmo com o controle de acesso baseado em hierarquia aplicado, supondo que você tenha acesso a conexões rápidas. Isso ocorre porque as dissociações servem para descartar uma relação existente (diferente de novas associações) entre dois recursos e são modeladas como parte do recurso principal (neste caso, a conexão rápida), ao qual o usuário já tem acesso.

  • Tenha cuidado com as permissões concedidas aos recursos principais, pois os usuários podem ser desassociados sem o conhecimento do supervisor.

  • Desative o acesso à funcionalidade a seguir ao aplicar controles de acesso baseados em hierarquia no site do Amazon Connect administrador.

    Funcionalidade Permissão do perfil de segurança que desabilita o acesso
    Pesquisa de contato Pesquisa de contato - Visualizar
    Relatório de login/logout Relatório de entradas/saídas - Visualizar
    Regras Regras - Exibir
    Relatórios salvos Relatórios salvos - Exibir
    Hierarquia de atendentes Hierarquia de atendentes - Visualizar
    Módulo de fluxo/fluxo Módulos de fluxo - Visualizar
    Agendamento Gerenciador de programação - Exibir

    Se você não desativar o acesso a esses recursos, os usuários com controles de acesso baseados em hierarquia em um determinado recurso que visualizam essas páginas no site de Amazon Connect administração poderão ver uma lista irrestrita de usuários. Para acessar mais informações sobre como gerenciar permissões, consulte List of security profile permissions.