Amazon Connect 资源级策略示例
Amazon Connect 支持用户的资源级权限,因此您可以针对实例指定他们的操作,如以下策略所示。
目录
拒绝在 Amazon Connect 实例上执行所有操作
Amazon Connect 实例是 Amazon Connect 中的顶级资源。所有其它子资源均在其范围内创建。要拒绝对 Amazon Connect 实例中的所有资源执行所有操作,您可以使用以下方法之一:
-
使用
connect:instanceId上下文键。 -
使用实例 ARN,后跟通配符(*)。
以下示例策略拒绝对 instanceId 为 00fbeee1-123e-111e-93e3-11111bfbfcc1 的实例执行所有连接操作。
或者,您可以通过指定实例 ARN 后跟通配符(*)来拒绝所有操作。以下示例策略拒绝对实例 ARN 为 arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1 的实例执行所有连接操作。
拒绝“删除”和“更新”操作
以下策略示例拒绝一个 Amazon Connect 实例中的用户执行“删除”和“更新”操作。该策略在 Amazon Connect 用户 ARN 末尾使用通配符,以便在整个用户 ARN 上拒绝“删除用户”和“更新用户”(即,提供的实例中的所有 Amazon Connect 用户,例如 arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/00dtcddd1-123e-111e-93e3-11111bfbfcc1)。
允许对具有特定名称的集成执行操作
允许“创建用户”,但如果您被分配到特定的安全配置文件则拒绝该操作
以下策略示例允许“创建用户”,但明确拒绝在 CreateUser 请求中使用 arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17 作为安全配置文件的参数。
允许录制对联系人的操作
以下策略示例允许在特定实例中对联系人“开始联系录音”。由于 contactID 是动态的,因此使用 *。
设置与 accountID 的信任关系。
为录音 API 定义以下操作:
-
“connect:StartContactRecording”
-
“connect:StopContactRecording”
-
“connect:SuspendContactRecording”
-
“connect:ResumeContactRecording”
允许在同一个角色中执行更多联系人操作
如果使用相同的角色调用其他联系人 API,则可以列出以下联系人操作:
-
GetContactAttributes
-
ListContactFlows
-
StartChatContact
-
StartOutboundVoiceContact
-
StopContact
-
UpdateContactAttributes
或者使用通配符允许所有联系人操作,例如:“connect:*”
允许更多资源
您还可以使用通配符来允许更多资源。例如,以下是允许对所有联系人资源执行所有连接操作的方法:
允许或拒绝对副本区域中的电话号码执行队列 API 操作
CreateQueue 和 UpdateQueueOutboundCallerConfig API 包含一个名为 OutboundCallerIdNumberId 的输入字段。此字段表示可以向流量分配组申请的电话号码资源。它同时支持由 ListPhoneNumbers 返回的电话号码 V1 ARN 格式和由 ListPhoneNumbersV2 返回的 V2 ARN 格式。
以下是 OutboundCallerIdNumberId 支持的 V1 和 V2 ARN 格式:
-
V1 ARN 格式:
arn:aws:connect:your-region:your-account_id:instance/instance_id/phone-number/resource_id -
V2 ARN 格式:
arn:aws:connect:your-region:your-account_id:phone-number/resource_id
注意
建议使用 V2 ARN 格式。V1 ARN 格式将来会被弃用。
为副本区域中的电话号码资源提供两种 ARN 格式
如果向流量分配组申请了电话号码,则在副本区域中操作时,要正确允许/拒绝访问电话号码资源的队列 API 操作,您必须同时提供 V1 和 V2 ARN 格式的电话号码资源。如果您仅以一种 ARN 格式提供电话号码资源,则在副本区域中操作时,它不会导致正确的允许/拒绝行为。
示例 1:拒绝访问 CreateQueue
例如,您使用账户
123456789012 和实例 aaaaaaaa-bbbb-cccc-dddd-0123456789012 在副本区域 us-west-2 中运行。当 OutboundCallerIdNumberId 值是向资源 ID 为 aaaaaaaa-eeee-ffff-gggg-0123456789012 的流量分配组申请的电话号码时,您希望拒绝访问 CreateQueue API。在此情况下,您必须使用以下策略:
其中 us-west-2 是提出请求的区域。
示例 2:只允许访问 UpdateQueueOutboundCallerConfig
例如,您使用账户 123456789012 和实例 aaaaaaaa-bbbb-cccc-dddd-0123456789012 在副本区域 us-west-2 中运行。当 OutboundCallerIdNumberId 值是向资源 ID 为 aaaaaaaa-eeee-ffff-gggg-0123456789012 的流量分配组申请的电话号码时,您希望仅允许访问 UpdateQueueOutboundCallerConfig API。在此情况下,您必须使用以下策略:
查看特定的 Amazon AppIntegrations 资源
以下策略示例允许获取特定的事件集成。
授予对 Amazon Connect Customer Profiles 的访问权限
Amazon Connect Customer Profiles 使用 profile(而不是 connect)作为操作的前缀。以下策略授予对 Amazon Connect Customer Profiles 中特定域的完全访问权限。
设置 accountID 与域 domainName 的信任关系。
授予对 Customer Profiles 数据的只读访问权限
以下是授予对 Amazon Connect Customer Profiles 中数据的读取访问权限的示例。
仅查询 Amazon Q 的 Connect 的特定助理
以下策略示例仅允许查询特定助手。
授予对 Amazon Connect Voice ID 的完全访问权限
Amazon Connect Voice ID 使用 voiceid(而不是 connect)作为操作的前缀。以下策略授予对 Amazon Connect Voice ID 中特定域的完全访问权限:
设置 accountID 与域 domainName 的信任关系。
授予对 Amazon Connect 对外营销宣传资源的访问权限
出站活动使用 connect-campaign(而不是 connect)作为操作的前缀。以下策略授予对特定出站活动的完全访问权限。
{ "Sid": "AllowConnectCampaignsOperations", "Effect": "Allow", "Action": [ "connect-campaigns:DeleteCampaign", "connect-campaigns:DescribeCampaign", "connect-campaigns:UpdateCampaignName", "connect-campaigns:GetCampaignState" "connect-campaigns:UpdateOutboundCallConfig", "connect-campaigns:UpdateDialerConfig", "connect-campaigns:PauseCampaign", "connect-campaigns:ResumeCampaign", "connect-campaigns:StopCampaign" ], "Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId", }
限制搜索由 Amazon Connect Contact Lens 分析的转录的能力
以下策略支持搜索和描述联系人,但拒绝使用由 Amazon Connect Contact Lens 分析的转录来搜索联系人。
