本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Restrict AWS 可以与 Connect 客户关联的资源
每个 Connect Customer 实例在创建实例时都与一个 IAM 服务相关角色相关联。Connect 客户可以与其他 AWS 服务集成,用于使用案例,例如通话录音存储(Amazon S3 存储桶)、自然语言机器人(Amazon Lex 机器人)和数据流(Amazon Kinesis Data Streams)。Connect 客户扮演服务相关角色与这些其他服务进行交互。该策略首先作为 Connect 客户服务上相应 API(由 AWS 管理员控制台调用)的一部分添加到服务相关角色中。例如,如果您想将某个 Amazon S3 存储桶用于您的 Connect Customer 实例,则必须将该存储桶传递给 AssociateInstanceStorageConfigAPI。
有关 Connect 客户定义的一组 IAM 操作,请参阅 C onnect 客户定义的操作。
以下是一些示例,说明如何限制对可能与 Connect Customer 实例关联的其他资源的访问。它们应应用于与 Connect 客户 API 或 Connect 客户控制台交互的用户或角色。
注意
在这些示例中,具有显式 Deny 的策略将覆盖 Allow 策略。
有关可用于限制访问的资源、条件键和相关 API 的更多信息,请参阅 C onnect Customer 的操作、资源和条件密钥。
示例 1:限制哪些 Amazon S3 存储桶可以与 Connect 客户实例相关联
此示例允许 IAM 委托人关联用于给定 Connect 客户实例 ARN 的通话录音的 Amazon S3 存储桶,以及名为的特定 Amazon S3 存储桶。my-connect-recording-bucketAttachRolePolicy和PutRolePolicy 操作的作用域为 Connect Customer 服务相关角色(本示例中使用通配符,但如果需要,您可以为实例提供角色 ARN)。
注意
要使用密 AWS KMS 钥加密此存储桶中的录音,需要额外的策略。
示例 2:限制哪个 AWS Lambda 函数可以与 Connect Customer 实例相关联
AWS Lambda 函数与 Connect Customer 实例关联,但不使用 Connect 客户服务相关角色来调用它们,因此不会被修改。而是通过 lambda:AddPermission API 向函数添加策略,允许给定的 Connect Customer 实例调用该函数。
要限制哪些函数可以与 Connect Customer 实例关联,您可以指定用户可以用来调用的 Lambda 函数 ARN:lambda:AddPermission
示例 3:限制哪些 Amazon Kinesis Data Streams 可以与 Connect 客户实例相关联
此示例遵循与 Amazon S3 示例类似的模型。它限制了哪些特定的 Kinesis Data Streams 可以与给定的 Connect 客户实例关联以提供联系记录。
