本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Amazon Connect 中应用基于标签的访问控制
<a name="tag-based-access-control"></a>

您可以使用基于标签的访问控制，来根据已分配的资源标签，配置对特定资源的精细化访问权限。您可以使用 API/SDK 或 Amazon Connect 管理员网站为支持的资源配置基于标签的访问控制。

## 使用 API/SDK 应用基于标签的访问控制
<a name="tag-based-access-control-api-sdk"></a>

要使用标签来控制对 AWS 账户中资源的访问，您需要在 IAM 策略的条件元素中提供标签信息。例如，要根据您分配给 Voice ID 域的标签来控制对 Voice ID 域的访问权限，请使用 `aws:ResourceTag/key-name` 条件键，以及 `StringEquals` 等特定操作指定必须将哪个标签*键值*对附加到该域，以便允许对其执行给定操作。

有关基于标签的访问控制的更多详细信息，请参阅《IAM 用户指南》**中的[使用标签控制对 AWS 资源的访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。

## 使用 Amazon Connect 管理网站应用基于标签的访问控制
<a name="tag-based-access-control-connect-ui"></a>

*资源*标签是一种自定义元数据标签，您可以将其添加到资源中，以便更轻松地在搜索中识别、整理和查找。您可以使用 Amazon Connect SDK/ 以编程方式应用标签APIs，对于某些资源，您可以从 Amazon Connect 控制台中应用标签。要了解有关资源标签的更多信息，请参阅[为 Amazon Connect 中的资源添加标签](tagging.md)。

访问控制标签与资源标签类似，因为它使用相同的*键：值*结构。但是，访问控制标签的区别在于，它引入了授权控制，仅允许用户访问包含具有相同*键：值*对的资源标签的指定资源。访问控制标签是在安全配置文件中定义的，方法是首先选择要控制访问的资源（路由配置文件、队列、用户等），然后定义要匹配的*键：值*对。将带有访问控制标签的安全配置文件应用于用户后，它将根据所选资源和访问控制标签（*键：值*）的定义组合限制用户的访问权限。如果不应用访问控制标签，只要获得权限，用户就能够查看所有资源。

要使用标签控制对 Amazon Connect 实例管理网站内资源的访问，您需要在给定的安全配置文件中配置访问控制部分。例如，要根据分配给路由配置文件的标签来控制对路由配置文件的访问权限，您可以将该路由配置文件指定为访问控制资源，然后指定要允许访问的标签*键：值*对。

## 配置限制
<a name="tag-based-access-control-config-limitations"></a>

访问控制标签是在安全配置文件上配置的。您最多可以在一个安全配置文件上配置四个访问控制标签。增加额外的访问控制标签将使安全配置文件更具限制性。例如，如果您要添加两个访问控制标签（例如 `Department:X` 和 `Country:Y`），则用户只能看到包含这两个标签的资源。

最多可以为用户分配三个包含访问控制标签的安全配置文件。将包含访问控制标签的多个安全配置文件分配给单个用户时，基于标签的访问控制将变得不那么严格。例如，如果用户的一个安全配置文件带有控制访问标签 `Country:USA`，另一个安全配置文件带有控制访问标签 `Country:Argentina`，那么用户就可以查看标签为 `Country:USA` 或 `Country:Argentina` 的资源。用户可以拥有其他的安全配置文件，前提是这些额外的安全配置文件不包含标签。在存在多个安全配置文件且资源权限重叠的情况下，没有基于标签的访问控制的安全配置文件将优先于具有基于标签的访问控制的安全配置文件。

需要服务相关角色才能配置[资源标签](https://docs.aws.amazon.com/connect/latest/adminguide/tagging.html)或[访问控制标签](https://docs.aws.amazon.com/connect/latest/adminguide/tag-based-access-control.html)。如果您的实例是在 2018 年 10 月之后创建的，则默认情况下，Amazon Connect 实例将提供此功能。但是，如果您使用的是较旧的实例，请参阅[使用 Amazon Connect 的服务相关角色](https://docs.aws.amazon.com/connect/latest/adminguide/connect-slr.html)，了解有关如何启用服务相关角色的说明。

## 应用基于标签的访问控制的最佳实践
<a name="tag-based-access-control-best-practices"></a>

应用基于标签的访问控制是一项高级配置功能，由 Amazon Connect 支持，遵循责任 AWS 共担模式。请务必确保正确配置您的实例以符合所需的授权需求。有关更多信息，请查看 [AWS 责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)。

对于启用了基于标签的访问控制的资源，请确保至少启用了*查看*权限。这将确保您避免因权限不一致而导致的访问请求被拒绝。

基于标签的访问控制在资源级别启用，这意味着可以独立限制每个资源。在某些用例中，这种做法是可以接受的，但最佳实践是同时对所有资源启用基于标签的访问控制。例如，如果只启用对用户的访问权限，而不启用对安全配置文件的访问权限，系统将允许用户创建一个安全配置文件，其权限将取代预期的用户访问控制设置。

当用户在应用了基于标签的访问控制的情况下登录 Amazon Connect 控制台时，将无法访问受限资源的历史变更日志。

作为最佳实践，在 Amazon Connect 控制台中应用基于标签的访问控制时，应禁用对以下资源/模块的访问权限。如果不禁用对这些资源的访问权限，在特定资源上拥有基于标签的访问控制的用户在查看这些页面时，可能会看到不受限制的用户、安全配置文件、路由配置文件、队列、流或流模块列表。有关如何管理权限的更多信息，请参阅[Amazon Connect 中的安全配置文件权限列表](security-profile-list.md)。


| 模块 | 禁用访问的权限 | 
| --- | --- | 
| 联系人搜索 | 联系人搜索 | 
| 控制面板 | 访问指标 | 
| 流 | 流：查看 | 
| 流模块 | 流模块 - 查看 | 
| 预测 | 预测 | 
| 历史 changes/Audit 门户 | 访问指标 | 
| 营业时间 | 营业时间 - 查看 | 
| 登录/注销报告 | 登录/注销报告 - 查看 | 
| 出站活动 | 活动 - 查看 | 
| 提示 | 提示 - 查看 | 
| 快速连接 | 快速连接 - 查看 | 
| Rules | 规则 - 查看 | 
| 已保存的报告 | 已保存的报告 - 查看 | 
|  计划 | 计划管理器 | 
|  计划 | 已发布的计划日历 |