As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Exemplos de políticas em nível de recursos do Connect Customer
O Connect Customer oferece suporte a permissões em nível de recurso para usuários, para que você possa especificar ações para eles em uma instância, conforme mostrado nas políticas a seguir.
**Topics**
+ [Negar todas as ações em uma instância do Connect Customer](#connect-access-control-resources-example-all)
+ [Negar as ações “Excluir” e “Atualizar”](#connect-access-control-resources-example2)
+ [Permitir ações para integrações com nomes específicos](#connect-access-control-resources-integration-example)
+ [Permitir “Criar usuários”, mas negar se você for atribuído a um perfil de segurança específico](#connect-access-control-resources-example3)
+ [Permitir ações de gravação em um contato](#connect-access-control-resources-example4)
+ [Permitir ou negar ações de fila da API para números de telefone em uma região de réplica](#allow-deny-queue-actions-replica-region)
+ [Veja AppIntegrations recursos específicos da Amazon](#view-specific-appintegrations-resources)
+ [Conceda acesso aos perfis de clientes do Connect Customer](#grant-access-to-customer-profiles)
+ [Conceder acesso somente leitura aos dados do Customer Profiles](#grant-read-only-access-to-customer-profiles)
+ [Consulte os agentes do Connect AI somente para um Assistente específico](#query-wisdom-assistant)
+ [Conceda acesso total ao Connect Customer Voice ID](#grant-read-only-access-to-voiceid)
+ [Conceda acesso aos recursos de campanhas externas do Connect Customer](#grant-read-only-access-to-outboundcommunications)
+ [Restrinja a capacidade de pesquisar transcrições analisadas por Lente de contato Connect Customer](#restrict-ability-to-search-transcripts-contact-lens)
## Negar todas as ações em uma instância do Connect Customer
Uma instância do Connect Customer é o recurso de nível superior do Connect Customer. Todos os outros sub-recursos são criados dentro do escopo dela. Para negar todas as ações em todos os recursos em uma instância do Connect Customer, você pode usar um dos seguintes métodos:
+ Use chaves de contexto `connect:instanceId`.
+ Use o ARN da instância seguido por um caractere curinga (\*).
O exemplo de política a seguir nega todas as ações de conexão para a instância com instanceId 00fbeee1-123e-111e-93e3-11111bfbfcc1.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "connect:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"connect:instanceId": "00fbeee1-123e-111e-93e3-11111bfbfcc1"
}
}
}
]
}
```
------
Você também pode negar todas as ações especificando o ARN da instância seguido por um caractere curinga (\*). O exemplo de política a seguir nega todas as ações de conexão para a instância com o ARN de instância `arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"connect:*"
],
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1*"
}
]
}
```
------
## Negar as ações “Excluir” e “Atualizar”
O exemplo de política a seguir nega as ações de “exclusão” e “atualização” para usuários em uma instância do Connect Customer. Ele usa um curinga no final do ARN do usuário do Connect Customer para que “excluir usuário” e “atualizar usuário” sejam negados no ARN completo do usuário (ou seja, todos os usuários do Connect Customer na instância fornecida, como arn:aws:connect:us-east- 1:123456789012: -123e-111e-93e3- /00dtcddd121-1-00dtcddd121-3e-111e-93e3-11111bfbfcc1). instance/00fbeee1 11111bfbfcc1/agent
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"connect:DeleteUser",
"connect:UpdateUser*"
],
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/*"
}
]
}
```
------
## Permitir ações para integrações com nomes específicos
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllAppIntegrationsActions",
"Effect": "Allow",
"Action": [
"app-integrations:ListEventIntegrations",
"app-integrations:CreateEventIntegration",
"app-integrations:GetEventIntegration",
"app-integrations:UpdateEventIntegration",
"app-integrations:DeleteEventIntegration"
],
"Resource":"arn:aws:app-integrations:*:*:event-integration/MyNamePrefix-*"
}
]
}
```
------
## Permitir “Criar usuários”, mas negar se você for atribuído a um perfil de segurança específico
O exemplo de política a seguir permite “criar usuários”, mas nega explicitamente o uso de arn:aws:connect:us-west- 2:123456789012: -123e-111e-93e3- - -123e-111e-93e3-11111bfbfcc17 como parâmetro para o perfil de segurança na solicitação. instance/00fbeee1 11111bfbfcc1/security profile/11dtcggg1 [CreateUser](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateUser.html#API_CreateUser_RequestBody)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"connect:CreateUser"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"connect:CreateUser"
],
"Resource": "arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc17/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17"
}
]
}
```
------
## Permitir ações de gravação em um contato
O exemplo de política a seguir permite “iniciar a gravação de contato” em um contato em uma instância específica. Como o ContactID é dinâmico, usa-se \*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"connect:StartContactRecording"
],
"Resource": "arn:aws:connect:us-west-2:111122223333:instance/instanceId/contact/*",
"Effect": "Allow"
}
]
}
```
------
Configurar um relacionamento confiável com *accountID.*
As seguintes ações de política são definidas para as APIs de gravação:
+ “conectar:StartContactRecording”
+ “conectar:StopContactRecording”
+ “conectar:SuspendContactRecording”
+ “conectar:ResumeContactRecording”
### Permitir mais ações de contato na mesma função
Se a mesma função for usada para chamar outras APIs de contato, você poderá listar as seguintes ações de contato:
+ GetContactAttributes
+ ListContactFlows
+ StartChatContact
+ StartOutboundVoiceContact
+ StopContact
+ UpdateContactAttributes
Ou use um curinga para permitir todas as ações de contato; por exemplo, "connect:\*".
### Permita mais recursos
Você também pode usar um caractere curinga para permitir mais recursos. Por exemplo, veja como permitir todas as ações de conexão em todos os recursos de contato:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"connect:*"
],
"Resource": "arn:aws:connect:us-west-2:111122223333:instance/*/contact/*",
"Effect": "Allow"
}
]
}
```
------
## Permitir ou negar ações de fila da API para números de telefone em uma região de réplica
As [UpdateQueueOutboundCallerConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateQueueOutboundCallerConfig.html)APIs [CreateQueue](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateQueue.html)e contêm um campo de entrada chamado`OutboundCallerIdNumberId`. Esse campo representa um recurso de número de telefone que pode ser solicitado para um grupo de distribuição de tráfego. Ele suporta o formato ARN V1 do número de telefone que é retornado [ListPhoneNumbers](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListPhoneNumbers.html)por e o formato ARN V2 que é retornado por. [ListPhoneNumbersV2](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListPhoneNumbersV2.html)
Veja o seguintes formatos de ARN V1 e V2 compatíveis com `OutboundCallerIdNumberId`:
+ **Formato de ARN V1**: `arn:aws:connect:{{your-region}}:{{your-account_id}}:instance/{{instance_id}}/phone-number/{{resource_id}}`
+ **Formato de ARN V2**: `arn:aws:connect:{{your-region}}:{{your-account_id}}:phone-number/{{resource_id}}`
**nota**
Recomendamos usar o formato de ARN V2. O formato de ARN V1 =será descontinuado no futuro.
### Fornecer os dois formatos de ARN para recursos de número de telefone na região da réplica
Se o número de telefone for reivindicado para um grupo de distribuição de tráfego, para allow/deny acessar corretamente as ações da API de fila para recursos de número de telefone enquanto opera na região de réplica, **você deve fornecer o recurso de número de telefone nos formatos ARN V1 e V2**. Se você fornecer o recurso de número de telefone em apenas um formato ARN, isso não resultará no allow/deny comportamento correto ao operar na região da réplica.
### Exemplo 1: negar acesso a CreateQueue
Por exemplo, você está operando da região de réplica us-west-2 com a conta ` 123456789012` e a instância `aaaaaaaa-bbbb-cccc-dddd-0123456789012`. Você quer negar acesso à [CreateQueue](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateQueue.html)API quando o `OutboundCallerIdNumberId` valor é um número de telefone reivindicado para um grupo de distribuição de tráfego com ID de recurso`aaaaaaaa-eeee-ffff-gggg-0123456789012`. Nesse cenário, você deve usar a seguinte política de bucket:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyCreateQueueForSpecificNumber",
"Effect": "Deny",
"Action": "connect:CreateQueue",
"Resource": [
"arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
"arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
]
}
]
}
```
------
us-west-2 é a região em que a solicitação está sendo feita.
### Exemplo 2: permitir somente o acesso a UpdateQueueOutboundCallerConfig
Por exemplo, você está operando da região de réplica us-west-2 com a conta `123456789012` e a instância `aaaaaaaa-bbbb-cccc-dddd-0123456789012`. Você só quer permitir o acesso à [UpdateQueueOutboundCallerConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateQueueOutboundCallerConfig.html)API quando o `OutboundCallerIdNumberId` valor for um número de telefone reivindicado para um grupo de distribuição de tráfego com ID de recurso`aaaaaaaa-eeee-ffff-gggg-0123456789012`. Nesse cenário, você deve usar a seguinte política de bucket:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OnlyAllowUpdateQueueOutboundCallerConfigForSpecificNumber",
"Effect": "Allow",
"Action": "connect:UpdateQueueOutboundCallerConfig",
"Resource": [
"arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
"arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
]
}
]
}
```
------
## Veja AppIntegrations recursos específicos da Amazon
O exemplo de política a seguir permite buscar integrações de eventos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"app-integrations:GetEventIntegration"
],
"Resource": "arn:aws:app-integrations:us-west-2:{{111122223333}}:event-integration/Name"
}
]
}
```
------
## Conceda acesso aos perfis de clientes do Connect Customer
Os perfis de clientes do Connect Customer são usados `profile` como prefixo para ações em vez de`connect`. A política a seguir concede acesso total a um domínio específico no Connect Customer Customer Profiles.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"profile:*"
],
"Resource": "arn:aws:profile:us-west-2:{{111122223333}}:domains/domainName",
"Effect": "Allow"
}
]
}
```
------
Configure um relacionamento confiável entre accountID e o domínio domainName.
## Conceder acesso somente leitura aos dados do Customer Profiles
Veja a seguir um exemplo de como conceder acesso de leitura aos dados no Connect Customer Customer Profiles.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"profile:SearchProfiles"
],
"Resource": "arn:aws:profile:{{us-east-1}}:{{111122223333}}:domains/domainName",
"Effect": "Allow"
}
]
}
```
------
## Consulte os agentes do Connect AI somente para um Assistente específico
O exemplo de política a seguir permite consultar somente um assistente específico.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wisdom:QueryAssistant"
],
"Resource": "arn:aws:wisdom:{{us-east-1}}:{{111122223333}}:assistant/{{assistantID}}"
}
]
}
```
------
## Conceda acesso total ao Connect Customer Voice ID
O Connect Customer Voice ID usa `voiceid` como prefixo para ações em vez de conectar. A política a seguir concede acesso total a um domínio específico no Connect Customer Voice ID:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"voiceid:*"
],
"Resource": "arn:aws:voiceid:us-west-2:{{111122223333}}:domain/domainName",
"Effect": "Allow"
}
]
}
```
------
Configure um relacionamento confiável entre accountID e o domínio domainName.
## Conceda acesso aos recursos de campanhas externas do Connect Customer
As campanhas externas usam `connect-campaign` como prefixo para ações em vez de `connect`. A política a seguir concede acesso completo a uma campanha externa específica.
```
{
"Sid": "AllowConnectCampaignsOperations",
"Effect": "Allow",
"Action": [
"connect-campaigns:DeleteCampaign",
"connect-campaigns:DescribeCampaign",
"connect-campaigns:UpdateCampaignName",
"connect-campaigns:GetCampaignState"
"connect-campaigns:UpdateOutboundCallConfig",
"connect-campaigns:UpdateDialerConfig",
"connect-campaigns:PauseCampaign",
"connect-campaigns:ResumeCampaign",
"connect-campaigns:StopCampaign"
],
"Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId",
}
```
## Restrinja a capacidade de pesquisar transcrições analisadas por Lente de contato Connect Customer
A política a seguir permite a pesquisa e a descrição de contatos, mas nega a pesquisa de um contato usando transcrições analisadas pelo Connect Customer Contact Lens.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"connect:DescribeContact"
],
"Resource": "arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{instance-id}}/contact/*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"connect:SearchContacts"
],
"Resource": "arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{instance-id}}"
},
{
"Sid": "VisualEditor2",
"Effect": "Deny",
"Action": [
"connect:SearchContacts"
],
"Resource": "arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{instance-id}}",
"Condition": {
"ForAnyValue:StringEquals": {
"connect:SearchContactsByContactAnalysis": [
"Transcript"
]
}
}
}
]
}
```
------