View a markdown version of this page

为 Connect 客户使用服务相关角色和角色权限 - Amazon Connect Customer
什么是服务相关角色 (SLR) 以及为什么它们非常重要?Service-linked 角色权限为 Connect 客户创建服务相关角色适用于 2018 年 10 月之前创建的实例对于在 2025 年 1 月 31 日之前创建并配置了用于加密数据的客户 KMS 密钥的客户配置文件域编辑 Connect 客户的服务相关角色检查服务相关角色对 Amazon Lex 是否具有权限删除 Connect 客户的服务相关角色Connect 客户服务相关角色支持的区域

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Connect 客户使用服务相关角色和角色权限

什么是服务相关角色 (SLR) 以及为什么它们非常重要?

Connect 客户使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特的 IAM 角色,直接链接到 Connect Customer 实例。

Service-linked 角色由 Connect 客户预定义,包括 Connect 客户代表您呼叫其他 AWS 服务所需的所有权限

您需要启用服务相关角色才能使用 Connect Customer 中的新功能,例如标记支持、用户管理和路由配置文件中的新用户界面以及支持队列。 CloudTrail

有关支持服务相关角色的其他服务的信息,请参阅与 IAM 配合使用的AWS 服务,并在 “Service-Linked 角色” 列中查找 “” 的服务。请选择与查看该服务的服务关联角色文档的链接。

Service-linked Connect 客户的角色权限

Connect 客户使用前缀为 AWSServiceRoleForAmazonConnect_ 的服务相关角色 unique-id — 授予 Amazon Connect 代表您访问 AWS 资源的权限。

带 AWSServiceRoleForAmazonConnect 前缀的服务相关角色信任以下服务来代入该角色:

  • connect.amazonaws.com

AmazonConnectServiceLinkedRolePolicy角色权限策略允许 Connect Customer 对指定资源完成以下操作:

  • 操作:所有 Connect 客户资源上的所有 Connect 客户操作。connect:*

  • 操作:IAM iam:DeleteRole 允许删除服务相关角色。

  • 操作:Amazon S3 s3:GetObjects3:DeleteObjects3:GetBucketLocationGetBucketAcl,适用于为记录的对话指定的 S3 存储桶。

    对于为导出报告指定的存储桶,它还授予 s3:PutObjects3:PutObjectAcls3:GetObjectAcl

  • 操作:Amazon CloudWatch Logs logs:CreateLogStreamlogs:DescribeLogStreams,然后发送logs:PutLogEvents到为流 CloudWatch 日志指定的日志组。

  • 操作:Amazon Lex lex:ListBotslex:ListBotAliases,适用于在跨所有区域的账户中创建的所有自动程序。

  • 操作:将所有 Connect Customer Customer Profiles 资源profile:*上的客户档案与与您的 Connect Customer 实例关联的amazon-connect-域前缀和模板资源关联起来,但以下被明确拒绝的操作除外:

    • profile:CreateDomain

    • profile:UpdateDomain

    • profile:DeleteDomain

    • profile:CreateEventStream

    • profile:DeleteEventStream

    • profile:DeleteWorkflow

    • profile:DeleteProfileKey

    • profile:UntagResource

    • profile:TagResource

    • profile:CreateIntegrationWorkflow

    此外,允许对所有资源执行以下操作:profile:ListRecommenderRecipesprofile:ListAccountIntegrations、和profile:ListDomains

    注意

    每个 Connect 客户实例一次只能与一个域关联。但是,您可以将任何域关联到 Connect 客户实例。 Cross-domain 对于所有以该前缀开头的域名,将自动启用在同一 AWS 账户和区域内的访问权限amazon-connect-。要限制跨域访问,您可以使用单独的 Connect Customer 实例对数据进行逻辑分区,也可以在同一实例中使用不以amazon-connect-前缀开头的 Customer Profiles 域名,从而防止跨域访问。

  • 操作:wisdom:*在所有 Connect Customer Connect AI 代理资源上使用与您的 Connect Customer Customer Connect 实例'AmazonConnectEnabled':'True'关联的资源标签连接人工智能代理,但以下被明确拒绝的操作除外:

    • wisdom:DeleteAssistant

    • wisdom:DeleteKnowledgeBase

  • 操作:用于cloudwatch:PutMetricData向您的账户发布实例的 Connect 客户使用指标的 Amazon CloudWatch 指标。

  • 操作:亚马逊 Pinpoint 短信和语音,sms-voice:DescribePhoneNumbers并允许 sms-voice:SendTextMessage Connect 客户发送短信。

  • 操作:亚马逊 Pinpoint 允mobiletargeting:SendMessages许 Connect 客户发送推送通知。

  • 操作:Amazon Cognito 用户池,cognito-idp:DescribeUserPoolcognito-idp:ListUserPoolClients允许 Connect 客户访问带有资源标签的 Amazon Cognito 用户池资源的精选读取操作。AmazonConnectEnabled

  • 操作:Amazon Chime SDK 语音连接器chime:GetVoiceConnector允许连接客户对所有带有资源标签的 Amazon Chime SDK 语音连接器资源进行读取。'AmazonConnectEnabled':'True'

  • 操作:所有区域账户中创建的所有 Amazon Chime SDK Voice Connector 的 Amazon Chime SDK Voice Connector chime:ListVoiceConnectors

  • 操作:Connect 客户消息 WhatsApp 集成。向 Connect 客户授予对以下 AWS 最终用户消息社交 API 的权限:

    • social-messaging:SendWhatsAppMessage

    • social-messaging:PostWhatsAppMessageMedia

    • social-messaging:GetWhatsAppMessageMedia

    • social-messaging:GetLinkedWhatsAppBusinessAccountPhoneNumber

    社交 API 仅限于您为 Connect 客户启用的电话号码资源。将电话号码导入 Connect Customer 实例AmazonConnectEnabled : True时,会使用该号码进行标记。

  • 操作:Connect 客户 WhatsApp 消息消息模板集成。授予 Connect 客户调用 AWS 终端用户消息收发社交服务 API 的权限。可能会列出 AWS 账户的 WhatsApp 企业账户。此外,只要对 WhatsApp 企业账户进行了标记,就可以列出 WhatsApp 企业账户的模板并检索模板的详细信息AmazonConnectEnabled: True

    • social-messaging:ListLinkedWhatsAppBusinessAccounts

    • social-messaging:GetWhatsAppMessageTemplate

    • social-messaging:ListWhatsAppMessageTemplates

  • 操作:Amazon SES

    • ses:DescribeReceiptRule

    • ses:UpdateReceiptRule

    对所有 Amazon SES 接收规则执行。用于发送和接收电子邮件。

    • ses:DeleteEmailIdentity用于 {instance-alias} .email.connect.aws SES 域身份。用于 Connect 客户提供的电子邮件域管理。

    • ses:SendRawEmail用于发送包含 Connect Customer 提供的 SES 配置集(连接配置集-)的电子邮件。DO-NOT-DELETE

    • iam:PassRole 表示由 Amazon SES 使用的 AmazonConnectEmailSESAccessRole 服务角色。对于 Amazon SES 接收规则管理,Amazon SES 要求传递一个由它代入的角色。

  • 操作:Amazon Polly

    • polly:ListLexicons

    • polly:DescribeVoices

    • polly:SynthesizeSpeech

在 Connect Customer 中启用其他功能时,将为服务相关角色添加以下权限,使其能够使用内联策略访问与这些功能关联的资源:

  • 操作:Amazon Data Firehose firehose:DescribeDeliveryStreamfirehose:PutRecord 以及 firehose:PutRecordBatch,适用于为座席事件流和联系记录定义的传输流。

  • 操作:Amazon Kinesis Data Streams kinesis:PutRecordkinesis:PutRecordskinesis:DescribeStream,适用于为座席事件流和联系记录定义的流。

  • 操作:Amazon Lex lex:PostContent,适用于添加到实例中的自动程序。

  • 操作:Connect Customer Voice-ID voiceid:* 获取与您的实例关联的语音 ID 域。

  • 操作: EventBridge events:PutRule以及events:PutTargets用于发布关联语音 ID 域的点击率记录的 Connect Customer 托管 EventBridge 规则。

  • 操作:出站活动

    • connect-campaigns:CreateCampaign

    • connect-campaigns:DeleteCampaign

    • connect-campaigns:DescribeCampaign

    • connect-campaigns:UpdateCampaignName

    • connect-campaigns:GetCampaignState

    • connect-campaigns:GetCampaignStateBatch

    • connect-campaigns:ListCampaigns

    • connect-campaigns:UpdateOutboundCallConfig

    • connect-campaigns:UpdateDialerConfig

    • connect-campaigns:PauseCampaign

    • connect-campaigns:ResumeCampaign

    • connect-campaigns:StopCampaign

    用于与出站活动相关的所有操作。

您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅 IAM 用户指南中的Service-linked 角色权限

为 Connect 客户创建服务相关角色

您无需手动创建服务关联角色。当您在的 Amazon Connect 中创建新实例时 AWS 管理控制台,Connect 客户会为您创建服务相关角色。

如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您在 Amazon Connect 中创建新实例时,Connect 客户会再次为您创建服务相关角色。

您也可以使用 IAM 控制台为 Amazon Connect – 完全访问权限应用场景创建服务相关角色。在 IAM CLI 或 IAM API 中,用 connect.amazonaws.com 服务名称创建一个服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的创建服务相关角色。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。

适用于 2018 年 10 月之前创建的实例

提示

登录管理 AWS 账户时遇到问题? 不知道谁在管理您的 AWS 账户? 如需帮助,请参阅解决 AWS 账户登录问题

如果您的 Connect 客户实例是在 2018 年 10 月之前创建的,则您没有设置服务相关角色。要创建服务相关角色,请在账户概览页面上,选择创建服务相关角色,如下图所示。

“账户概览”页面上的“创建服务相关角色”按钮。

有关创建服务相关角色所需的 IAM 权限的列表,请参阅使用自定义 IAM 策略管理 Connect 客户控制台访问权限所需的权限主题中的“概述”页面

对于在 2025 年 1 月 31 日之前创建并配置了用于加密数据的客户 KMS 密钥的客户配置文件域,您需要向 Amazon Connect 实例授予额外的 KMS 权限。

如果您关联的客户资料域是在 2025 年 1 月 31 日之前创建的,并且该域使用 KM Customer-Managed S 密钥 (CMK) 进行加密,则要启用 Connect 实例强制执行 CMK,请执行以下操作:

  1. 导航到 AWS 管理控制台中的客户资料页面,然后选择更新 KM Connect Customer S 权限,从而提供 Connect Customer 实例的 Service-Linked 角色 (SLR) 权限,以使用您的客户档案域的密 AWS KMS 钥。

    选择更新 KMS 权限按钮,为您的 Connect 客户实例的服务相关角色授予 KMS 权限。

  2. 向 Connect 客户档案团队创建支持请求,请求为您的账户强制执行 CMK 权限。

有关更新您的 Connect Customer 实例的 IAM 权限列表,请参阅自定义 IAM 策略所需的权限“客户资料”页面

编辑 Connect 客户的服务相关角色

Connect Customer 不允许您编辑带 AWSServiceRoleForAmazonConnect 前缀的服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务关联角色

检查服务相关角色对 Amazon Lex 是否具有权限

  1. 在 IAM 控制台的导航窗格中,选择角色

  2. 以下代码示例显示如何将 IAM 策略附加到用户。

删除 Connect 客户的服务相关角色

您无需手动删除带 AWSServiceRoleForAmazonConnect 前缀的角色。当您在中删除 Amazon Connect 实例时 AWS 管理控制台,Connect 客户会清理资源并为您删除服务相关角色。

Connect 客户服务相关角色支持的区域

Connect Customer 支持在提供服务的所有地区使用服务相关角色。有关更多信息,请参阅AWS 区域和端点