As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Restrinja AWS os recursos que podem ser associados ao Amazon Connect

Cada instância do Amazon Connect é associada a um perfil vinculado ao serviço do IAM quando a instância é criada. O Amazon Connect pode se integrar a outros serviços da AWS para casos de uso, como armazenamento de gravação de chamadas (bucket do Amazon S3), bots de linguagem natural (bots do Amazon Lex) e streaming de dados (Amazon Kinesis Data Streams). O Amazon Connect assume a função vinculada ao serviço para interagir com esses outros serviços. A política é adicionada primeiro à função vinculada ao serviço como parte da correspondência APIs no serviço Amazon Connect (que, por sua vez, é chamada pelo console AWS administrativo). Por exemplo, se você quiser usar um determinado bucket do Amazon S3 com sua instância do Amazon Connect, o bucket deve ser passado para a AssociateInstanceStorageConfigAPI.

Com relação ao conjunto de ações do IAM definido pelo Amazon Connect, consulte Ações definidas pelo Amazon Connect.

Veja a seguir alguns exemplos de como restringir o acesso a outros recursos que podem estar associados a uma instância do Amazon Connect. Eles devem ser aplicados ao usuário ou função que está interagindo com o Amazon Connect APIs ou com o console do Amazon Connect.

Para obter mais informações sobre quais recursos, chaves de condição e dependentes APIs você pode usar para restringir o acesso, consulte Ações, recursos e chaves de condição do Amazon Connect.

Exemplo 1: Restringir quais buckets do Amazon S3 podem ser associados a uma instância do Amazon Connect

JSON

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "connect:UpdateInstanceStorageConfig",
        "connect:AssociateInstanceStorageConfig"
      ],
      "Resource": "arn:aws:connect:region:account-id:instance/instance-id",
      "Condition": {
        "StringEquals": {
          "connect:StorageResourceType": "CALL_RECORDINGS"
        }
      }
    },
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
        "iam:PutRolePolicy",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:iam::account-id:role/aws-service-role/connect.amazonaws.com/*",
        "arn:aws:s3:::amzn-s3-demo-bucket"
      ]
    },
    {
      "Sid": "VisualEditor2",
      "Effect": "Allow",
      "Action": "s3:ListAllMyBuckets",
      "Resource": "*"
    }
  ]
}

Este exemplo permite que uma entidade principal do IAM associe um bucket do Amazon S3 destinado a gravações de chamada ao ARN da instância em questão do Amazon Connect e a um bucket específico do Amazon S3 chamado my-connect-recording-bucket. As ações AttachRolePolicy e PutRolePolicy têm como escopo a função vinculada ao serviço do Amazon Connect (um curinga é usado neste exemplo, mas você pode fornecer o ARN da função para a instância, se necessário).

Exemplo 2: Restringir quais funções do AWS Lambda podem ser associados a uma instância do Amazon Connect

AWS Lambda as funções estão associadas a uma instância do Amazon Connect, mas a função vinculada ao serviço Amazon Connect não é usada para invocá-las e, portanto, não é modificada. Em vez disso, uma política é adicionada à função por meio da API lambda:AddPermission, que permite que determinada instância do Amazon Connect invoque a função.

Para restringir quais funções podem ser associadas a uma instância do Amazon Connect, você especifica o ARN da função do Lambda que um usuário pode usar para invocar lambda:AddPermission:

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:AssociateLambdaFunction",
                "lambda:AddPermission"
            ],
            "Resource": [
                "arn:aws:connect:region:account-id:instance/instance-id",
                "arn:aws:lambda:*:*:function:my-function"      
            ]
        }
    ]
} 

Exemplo 1: Restringir quais fluxos do Amazon Kinesis Data Streams podem ser associados a uma instância do Amazon Connect

Este exemplo segue um modelo semelhante ao exemplo do Amazon S3. Ele restringe quais fluxos específicos do Kinesis Data Streams podem ser associados a determinada instância do Amazon Connect para fornecimento de registros de contato.

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:UpdateInstanceStorageConfig",
                "connect:AssociateInstanceStorageConfig"
            ],
            "Resource": "arn:aws:connect:region:account-id:instance/instance-id",
            "Condition": {
                "StringEquals": {
                    "connect:StorageResourceType": "CONTACT_TRACE_RECORDS"
                }
            }
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "kinesis:DescribeStream",
                "iam:PutRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::account-id:role/aws-service-role/connect.amazonaws.com/*",
                "arn:aws:kinesis:*:account-id:stream/stream-name"
            ]
        }, 
        {
            "Sid": "VisualEditor2",
            "Effect": "Allow",
            "Action":  "kinesis:ListStreams",
            "Resource": "*"            
        }
    ]
}