View a markdown version of this page

Restrict AWS recursos que podem ser associados ao Connect Customer - Amazon Connect Customer
Exemplo 1: restringir quais buckets do Amazon S3 podem ser associados a uma instância do Connect CustomerExemplo 2: Restringir quais AWS Lambda funções podem ser associadas a uma instância do Connect CustomerExemplo 3: Restringir quais Amazon Kinesis Data Streams podem ser associados a uma instância do Connect Customer

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Restrict AWS recursos que podem ser associados ao Connect Customer

Cada instância do Connect Customer é associada a uma função vinculada ao serviço do IAM quando a instância é criada. O Connect Customer pode se integrar a outros AWS serviços para casos de uso, como armazenamento de gravação de chamadas (bucket do Amazon S3), bots de linguagem natural (bots do Amazon Lex) e streaming de dados (Amazon Kinesis Data Streams). O Connect Customer assume a função vinculada ao serviço para interagir com esses outros serviços. A política é adicionada primeiro à função vinculada ao serviço como parte das APIs correspondentes no serviço Connect Customer (que, por sua vez, são chamadas pelo console AWS administrativo). Por exemplo, se você quiser usar um determinado bucket do Amazon S3 com sua instância Connect Customer, o bucket deve ser passado para a AssociateInstanceStorageConfigAPI.

Para o conjunto de ações do IAM definido pelo Connect Customer, consulte Ações definidas pelo Connect Customer.

Veja a seguir alguns exemplos de como restringir o acesso a outros recursos que podem estar associados a uma instância do Connect Customer. Eles devem ser aplicados ao usuário ou à função que está interagindo com as APIs do Connect Customer ou com o console do Connect Customer.

nota

Uma política com um Deny explícito substituiria a política Allow nesses exemplos.

Para obter mais informações sobre quais recursos, chaves de condição e APIs dependentes você pode usar para restringir o acesso, consulte Ações, recursos e chaves de condição do Connect Customer.

Exemplo 1: restringir quais buckets do Amazon S3 podem ser associados a uma instância do Connect Customer

Este exemplo permite que um diretor do IAM associe um bucket do Amazon S3 para gravações de chamadas para o ARN de determinada instância do Connect Customer e um bucket específico do Amazon S3 chamado. my-connect-recording-bucket As PutRolePolicy ações AttachRolePolicy e têm como escopo a função vinculada ao serviço Connect Customer (um curinga é usado neste exemplo, mas você pode fornecer o ARN da função para a instância, se necessário).

nota

Para usar uma AWS KMS chave para criptografar gravações nesse bucket, é necessária uma política adicional.

Exemplo 2: Restringir quais AWS Lambda funções podem ser associadas a uma instância do Connect Customer

AWS Lambda as funções são associadas a uma instância do Connect Customer, mas a função vinculada ao serviço Connect Customer não é usada para invocá-las e, portanto, não é modificada. Em vez disso, uma política é adicionada à função por meio da lambda:AddPermission API que permite que determinada instância do Connect Customer invoque a função.

Para restringir quais funções podem ser associadas a uma instância do Connect Customer, você especifica o ARN da função Lambda que um usuário pode usar para invocar: lambda:AddPermission

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:AssociateLambdaFunction",
                "lambda:AddPermission"
            ],
            "Resource": [
                "arn:aws:connect:us-east-1:111122223333:instance/instance-id",
                "arn:aws:lambda:*:*:function:my-function"
            ]
        }
    ]
}

Exemplo 3: Restringir quais Amazon Kinesis Data Streams podem ser associados a uma instância do Connect Customer

Este exemplo segue um modelo semelhante ao exemplo do Amazon S3. Ela restringe quais Kinesis Data Streams específicos podem ser associados a uma determinada instância do Connect Customer para fornecer registros de contato.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:UpdateInstanceStorageConfig",
                "connect:AssociateInstanceStorageConfig"
            ],
            "Resource": "arn:aws:connect:us-east-1:111122223333:instance/instance-id",
            "Condition": {
                "StringEquals": {
                    "connect:StorageResourceType": "CONTACT_TRACE_RECORDS"
                }
            }
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "kinesis:DescribeStream",
                "iam:PutRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::111122223333:role/aws-service-role/connect.amazonaws.com/*",
                "arn:aws:kinesis:*:111122223333:stream/stream-name"
            ]
        },
        {
            "Sid": "VisualEditor2",
            "Effect": "Allow",
            "Action": "kinesis:ListStreams",
            "Resource": "*"
        }
    ]
}