本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Connect 资源级策略示例
Amazon Connect 支持用户的资源级权限,因此您可以针对实例指定他们的操作,如以下策略所示。
内容
拒绝对 Amazon Connect 实例执行的所有操作
Amazon Connect 实例是 Amazon Connect 中的顶级资源。所有其他子资源均在其范围内创建。要拒绝对 Amazon Connect 实例中的所有资源执行所有操作,您可以使用以下方法之一:
-
使用
connect:instanceId上下文密钥。 -
使用实例 ARN,后面加上通配符 (*)。
以下示例策略拒绝实例 ID 为 00fbeee1-123e-111e-93e3-11111bfbfcc1 的实例的所有连接操作。
或者,您可以通过指定实例 ARN 和通配符 (*) 来拒绝所有操作。以下示例策略拒绝对带有实例 AR arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1 N 的实例执行所有连接操作。
拒绝“删除”和“更新”操作
以下策略示例拒绝一个 Amazon Connect 实例中的用户执行“删除”和“更新”操作。该策略在 Amazon Connect 用户 ARN 末尾使用通配符,以便在整个用户 ARN 上拒绝“删除用户”和“更新用户”(即,提供的实例中的所有 Amazon Connect 用户,例如 arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/00dtcddd1-123e-111e-93e3-11111bfbfcc1)。
允许对具有特定名称的集成执行操作
允许“创建用户”,但如果您被分配到特定的安全配置文件则拒绝该操作
以下示例策略允许 “创建用户”,但明确拒绝使用 arn: aws: connect: us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/security-profile/11dtcgg1-123e-111e-111e-111bfbfcc17 作为请求中安全配置文件的参数。CreateUser
允许录制对联系人的操作
以下策略示例允许在特定实例中对联系人“开始联系录音”。由于 contactID 是动态的,因此使用 *。
设置与 accountID 的信任关系。
为录制定义了以下操作 APIs:
-
“连接:StartContactRecording”
-
“连接:StopContactRecording”
-
“连接:SuspendContactRecording”
-
“连接:ResumeContactRecording”
允许在同一个角色中执行更多联系人操作
如果使用相同的角色呼叫其他联系人 APIs,则可以列出以下联系人操作:
-
GetContactAttributes
-
ListContactFlows
-
StartChatContact
-
StartOutboundVoiceContact
-
StopContact
-
UpdateContactAttributes
或者使用通配符允许所有联系人操作,例如:“connect:*”
允许更多资源
您还可以使用通配符来允许更多资源。例如,以下是允许对所有联系人资源执行所有连接操作的方法:
允许或拒绝对副本区域中的电话号码执行队列 API 操作
CreateQueue和UpdateQueueOutboundCallerConfig APIs 包含名为的输入字段OutboundCallerIdNumberId。此字段表示可以向流量分配组申请的电话号码资源。它既支持返回的电话号码 V1 ARN 格式,也支持 V2 返回ListPhoneNumbers的 V2 ARN 格式。ListPhoneNumbers
以下是 OutboundCallerIdNumberId 支持的 V1 和 V2 ARN 格式:
-
V1 ARN 格式:
arn:aws:connect:your-region:your-account_id:instance/instance_id/phone-number/resource_id -
V2 ARN 格式:
arn:aws:connect:your-region:your-account_id:phone-number/resource_id
注意
建议使用 V2 ARN 格式。V1 ARN 格式将来会被弃用。
为副本区域中的电话号码资源提供两种 ARN 格式
如果向流量分配组申领了电话号码,则要在副本区域操作时正确 allow/deny 访问电话号码资源的队列 API 操作,您必须提供 V1 和 V2 ARN 格式的电话号码资源。如果您仅以一种 ARN 格式提供电话号码资源,则在副本区域中操作时不会产生正确的 allow/deny 行为。
示例 1:拒绝访问 CreateQueue
例如,您使用账户
123456789012 和实例 aaaaaaaa-bbbb-cccc-dddd-0123456789012 在副本区域 us-west-2 中运行。当OutboundCallerIdNumberId值为向具有资源 ID 的流量分配组声明的电话号码时,您想拒绝访问 CreateQueueAPI aaaaaaaa-eeee-ffff-gggg-0123456789012。在此情况下,您必须使用以下策略:
其中 us-west-2 是提出请求的区域。
示例 2:仅允许访问 UpdateQueueOutboundCallerConfig
例如,您使用账户 123456789012 和实例 aaaaaaaa-bbbb-cccc-dddd-0123456789012 在副本区域 us-west-2 中运行。只有当OutboundCallerIdNumberId值是向具有资源 ID 的流量分配组声明的电话号码时,您才希望允许访问 UpdateQueueOutboundCallerConfigAPI aaaaaaaa-eeee-ffff-gggg-0123456789012。在此情况下,您必须使用以下策略:
查看特定的 Amazon AppIntegrations 资源
以下策略示例允许获取特定的事件集成。
授予对 Amazon Connect Customer Profiles 的访问权限
Amazon Connect Customer Profiles 使用 profile(而不是 connect)作为操作的前缀。以下策略授予对 Amazon Connect Customer Profiles 中特定域的完全访问权限。
设置 accountID 与域 domainName 的信任关系。
授予对 Customer Profiles 数据的只读访问权限
以下是授予对 Amazon Connect Customer Profiles 中数据的读取访问权限的示例。
仅查询 Amazon Q 的 Connect 的特定助理
以下策略示例仅允许查询特定助手。
授予对 Amazon Connect Voice ID 的完全访问权限
Amazon Connect Voice ID 使用 voiceid(而不是 connect)作为操作的前缀。以下策略授予对 Amazon Connect Voice ID 中特定域的完全访问权限:
设置 accountID 与域 domainName 的信任关系。
授予对 Amazon Connect 对外营销宣传资源的访问权限
出站活动使用 connect-campaign(而不是 connect)作为操作的前缀。以下策略授予对特定出站活动的完全访问权限。
{ "Sid": "AllowConnectCampaignsOperations", "Effect": "Allow", "Action": [ "connect-campaigns:DeleteCampaign", "connect-campaigns:DescribeCampaign", "connect-campaigns:UpdateCampaignName", "connect-campaigns:GetCampaignState" "connect-campaigns:UpdateOutboundCallConfig", "connect-campaigns:UpdateDialerConfig", "connect-campaigns:PauseCampaign", "connect-campaigns:ResumeCampaign", "connect-campaigns:StopCampaign" ], "Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId", }
限制搜索由以下人员分析的成绩单的功能 Amazon Connect Contact Lens
以下政策允许搜索和描述联系人,但拒绝使用由Amazon Connect Contact Lens分析的记录搜索联系人。
