本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # Amazon Connect 和联系人控制面板 (CCP) 安全配置文件的最佳实践 + 限制谁拥有**用户 - 编辑或创建**权限 具有这些权限的人员会对您的联络中心造成风险,因为他们可以执行以下操作: + 重置密码,包括管理员的密码。 + 授予其他用户关于管理员安全配置文件的访问权限。分配到管理员安全配置文件的人员对您的联系中心拥有完全访问权限。 执行这些操作将使某个人能够锁定需要访问 Amazon Connect 的用户,并允许可能窃取客户数据并损害您业务的其他人进入。 为了降低风险,作为最佳实践,建议限制拥有**用户 - 编辑或创建**权限的人数。 + [AWS CloudTrail用于](logging-using-cloudtrail.md)记录的请求和响应[UpdateUserIdentityInfo](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateUserIdentityInfo.html)。这使您能够跟踪对用户信息所做的更改。能够调用 `UpdateUserIdentityInfo` API 的某个人可以将用户的电子邮件地址更改为攻击者拥有的电子邮件地址,然后通过电子邮件重置密码。 + [了解继承的权限](inherited-permissions.md) 一些安全配置文件包括继承的权限:当您向一个对象分配专有权限时,默认情况下会向子对象授予这些权限。例如,当您授予编辑用户的专有权限时,还将授予他们列出 Amazon Connect 实例的所有安全配置文件的权限。这是因为,要编辑用户,操作者必须能够访问安全配置文件的下拉列表。 在分配安全配置文件之前,请查看继承权限的列表。 + **在将[访问控制标签](https://docs.aws.amazon.com/connect/latest/adminguide/tag-based-access-control.html)应用于安全配置文件之前,请先了解其含义。**应用访问控制标签是一项高级配置功能,由 Amazon Connect 支持,遵循 AWS 责任共担模式。请确保您已阅读文档并已了解应用精细权限配置的含义。有关更多信息,请查看 [AWS 责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)。 + 跟踪谁可以访问录音。 在**分析与优化**权限组中,您可以为记录的对话启用下载图标。当该组的成员转到**分析与优化**、**联系搜索**,然后搜索联系人时,他们将看到一个用来下载录音的图标。 **重要** 此设置不是一个安全功能。**没有权限的用户仍可以使用其他更不易发现的方式下载录音。** 建议您跟踪组织中有哪些人访问过录音。