本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 Amazon Connect 的服務連結角色和角色權限 ## 什麼是服務連結角色 (SLR)?它們為什麼很重要? Amazon Connect 使用 AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 Amazon Connect 執行個體的一種特殊 IAM 角色類型。 服務連結角色是由 Amazon Connect 預先定義,並包含 Amazon Connect 代表您呼叫其他 AWS 服務所需的[所有許可](#slr-permissions)。 您需要啟用服務連結角色,才能在 Amazon Connect 中使用新功能,例如標記支援、**使用者管理** 和 **轉接設定檔** 中的新使用者介面,以及使用 CloudTrail 支援的佇列。 如需關於支援服務連結角色的其他服務資訊,請參閱[《可搭配 IAM 運作的AWS 服務》](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),尋找 **Service-Linked Role** (服務連結角色) 欄中顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。 ## Amazon Connect 的服務連結角色許可 Amazon Connect 使用具有字首 **AWSServiceRoleForAmazonConnect**\_{{unique-id}} 的服務連結角色 – 授予 Amazon Connect 代表您存取 AWS 資源的許可。 AWSServiceRoleForAmazonConnect 前綴的服務連結角色信任下列服務擔任該角色: + `connect.amazonaws.com` [AmazonConnectServiceLinkedRolePolicy](https://docs.aws.amazon.com/connect/latest/adminguide/security_iam_awsmanpol.html#amazonconnectservicelinkedrolepolicy) 的角色政策允許 Amazon Connect 對指定資源完成下列動作。 + 動作:所有 Amazon Connect 資源上的所有 Amazon Connect 操作,`connect:*`。 + 動作:IAM `iam:DeleteRole` 以允許刪除服務連結角色。 + 動作:Amazon S3 `s3:GetObject`、`s3:DeleteObject`、`s3:GetBucketLocation` 和 `GetBucketAcl` 適用於針對錄音對話指定的 S3 儲存貯體。 這也會授予 `s3:PutObject`、`s3:PutObjectAcl` 和 `s3:GetObjectAcl` 給針對已匯出報告指定的儲存貯體。 + 動作:Amazon CloudWatch Logs `logs:CreateLogStream`、`logs:DescribeLogStreams` 和 `logs:PutLogEvents` 以及針對流程記錄指定的 CloudWatch Logs 群組。 + 動作:Amazon Lex `lex:ListBots`,`lex:ListBotAliases` 適用於在所有區域的帳戶中建立的所有機器人。 + 動作:Amazon Connect Customer Profiles + `profile:SearchProfiles` + `profile:CreateProfile` + `profile:UpdateProfile` + `profile:AddProfileKey` + `profile:ListProfileObjects` + `profile:ListAccountIntegrations` + `profile:ListProfileObjectTypeTemplates` + `profile:GetProfileObjectTypeTemplate` + `profile:ListProfileObjectTypes` + `profile:GetProfileObjectType` + `profile:ListCalculatedAttributeDefinitions` + `profile:GetCalculatedAttributeForProfile` + `profile:ListCalculatedAttributesForProfile` + `profile:GetDomain` + `profile:ListIntegrations` + `profile:GetIntegration` + `profile:PutIntegration` + `profile:DeleteIntegration` + `profile:CreateEventTrigger` + `profile:GetEventTrigger` + `profile:ListEventTriggers` + `profile:UpdateEventTrigger` + `profile:DeleteEventTrigger` + `profile:CreateCalculatedAttributeDefinition` + `profile:DeleteCalculatedAttributeDefinition` + `profile:GetCalculatedAttributeDefinition` + `profile:UpdateCalculatedAttributeDefinition` + `profile:PutProfileObject` + `profile:ListObjectTypeAttributes` + `profile:ListProfileAttributeValues` + `profile:BatchGetProfile` + `profile:BatchGetCalculatedAttributeForProfile` + `profile:ListSegmentDefinitions` + `profile:CreateSegmentDefinition` + `profile:GetSegmentDefinition` + `profile:DeleteSegmentDefinition` + `profile:CreateSegmentEstimate` + `profile:GetSegmentEstimate` + `profile:CreateSegmentSnapshot` + `profile:GetSegmentSnapshot` + `profile:GetSegmentMembership` + `profile:CreateDomainLayout` + `profile:UpdateDomainLayout` + `profile:DeleteDomainLayout` + `profile:GetDomainLayout` + `profile:ListDomainLayouts` + `profile:GetSimilarProfiles` + `profile:GetUploadJob` + `profile:GetUploadJobPath` + `profile:StartUploadJob` + `profile:StopUploadJob` + `profile:CreateUploadJob` + `profile:ListUploadJobs` + `profile:DetectProfileObjectType` 將您的預設 Customer Profiles 網域 (包括設定檔和網域中的所有物件類型) 與 Amazon Connect 流程和客服人員體驗應用程式搭配使用。 **注意** 每個 Amazon Connect 執行個體一次只能與一個網域建立關聯。不過,您可以將任何網域連結至 Amazon Connect 執行個體。相同 AWS 帳戶和區域內的跨網域存取,會自動為開頭為字首 `amazon-connect-` 的所有網域啟用。若要限制跨網域存取,您可以使用個別 Amazon Connect 執行個體,以邏輯方式分割資料,或在開頭不是 `amazon-connect-` 字首的相同執行個體中使用 Customer Profiles 網域名稱,進而防止跨網域存取。 + 動作:連接 AI 代理器 + `wisdom:CreateContent` + `wisdom:DeleteContent` + `wisdom:CreateKnowledgeBase` + `wisdom:GetAssistant` + `wisdom:GetKnowledgeBase` + `wisdom:GetContent` + `wisdom:GetRecommendations` + `wisdom:GetSession` + `wisdom:NotifyRecommendationsReceived` + `wisdom:QueryAssistant` + `wisdom:StartContentUpload` + `wisdom:UntagResource` + `wisdom:TagResource` + `wisdom:CreateSession` + `wisdom:CreateQuickResponse` + `wisdom:GetQuickResponse` + `wisdom:SearchQuickResponses` + `wisdom:StartImportJob` + `wisdom:GetImportJob` + `wisdom:ListImportJobs` + `wisdom:ListQuickResponses` + `wisdom:UpdateQuickResponse` + `wisdom:DeleteQuickResponse` + `wisdom:PutFeedback` + `wisdom:ListContentAssociations` + `wisdom:CreateMessageTemplate` + `wisdom:UpdateMessageTemplate` + `wisdom:UpdateMessageTemplateMetadata` + `wisdom:GetMessageTemplate` + `wisdom:DeleteMessageTemplate` + `wisdom:ListMessageTemplates` + `wisdom:SearchMessageTemplates` + `wisdom:ActivateMessageTemplate` + `wisdom:DeactivateMessageTemplate` + `wisdom:CreateMessageTemplateVersion` + `wisdom:ListMessageTemplateVersions` + `wisdom:CreateMessageTemplateAttachment` + `wisdom:DeleteMessageTemplateAttachment` + `wisdom:RenderMessageTemplate` + `wisdom:CreateAIAgent` + `wisdom:CreateAIAgentVersion` + `wisdom:DeleteAIAgent` + `wisdom:DeleteAIAgentVersion` + `wisdom:UpdateAIAgent` + `wisdom:UpdateAssistantAIAgent` + `wisdom:RemoveAssistantAIAgent` + `wisdom:GetAIAgent` + `wisdom:ListAIAgents` + `wisdom:ListAIAgentVersions` + `wisdom:CreateAIPrompt` + `wisdom:CreateAIPromptVersion` + `wisdom:DeleteAIPrompt` + `wisdom:DeleteAIPromptVersion` + `wisdom:UpdateAIPrompt` + `wisdom:GetAIPrompt` + `wisdom:ListAIPrompts` + `wisdom:ListAIPromptVersions` + `wisdom:CreateAIGuardrail` + `wisdom:CreateAIGuardrailVersion` + `wisdom:DeleteAIGuardrail` + `wisdom:DeleteAIGuardrailVersion` + `wisdom:UpdateAIGuardrail` + `wisdom:GetAIGuardrail` + `wisdom:ListAIGuardrails` + `wisdom:ListAIGuardrailVersions` + `wisdom:CreateAssistant` + `wisdom:ListTagsForResource` + `wisdom:SendMessage` + `wisdom:GetNextMessage` + `wisdom:ListMessages` + `wisdom:Retrieve` + `wisdom:ListAssistantAssociations` 在與您的 Amazon Connect 執行個體相關聯的所有 Amazon Connect AI 代理器資源`'AmazonConnectEnabled':'True'`上使用資源標籤。 + `wisdom:ListAssistants` + `wisdom:KnowledgeBases` 在所有 Connect AI 代理器資源上。 + 動作:Amazon CloudWatch 指標 `cloudwatch:PutMetricData` 用於將執行個體的 Amazon Connect 用量指標發布至您的帳戶。 + 行動:Amazon Pinpoint 簡訊和語音 `sms-voice:DescribePhoneNumbers` 和 `sms-voice:SendTextMessage`,以允許 Amazon Connect 傳送 SMS 訊息。 + 動作:Amazon Pinpoint `mobiletargeting:SendMessages`,以允許 Amazon Connect 傳送推播通知。 + 動作:Amazon Cognito 使用者集區 `cognito-idp:DescribeUserPool` 和 `cognito-idp:ListUserPoolClients`,以允許 Amazon Connect 在具 `AmazonConnectEnabled` 資源標籤的 Amazon Cognito 使用者集區資源上進行選取讀取操作。 + 動作:Amazon Chime SDK Voice Connector `chime:GetVoiceConnector`,以允許在所有具 `'AmazonConnectEnabled':'True'` 資源標籤的 Amazon Chime SDK Voice Connector 資源上讀取 Amazon Connect。 + 動作:Amazon Chime SDK Voice Connector `chime:ListVoiceConnectors`,適用於所有區域中,在帳戶中建立的所有 Amazon Chime SDK Voice Connector。 + 動作:Amazon Connect Messaging WhatsApp 整合。將 Amazon Connect 許可授予下列 AWS 最終使用者傳訊社交 APIs: + `social-messaging:SendWhatsAppMessage` + `social-messaging:PostWhatsAppMessageMedia` + `social-messaging:GetWhatsAppMessageMedia` + `social-messaging:GetLinkedWhatsAppBusinessAccountPhoneNumber` 社交 API 僅適用於為 Amazon Connect 啟用的電話號碼資源。電話號碼匯入 Amazon Connect 執行個體時,會加上 `AmazonConnectEnabled : True` 標籤。 + 動作:Amazon Connect Messaging WhatsApp 訊息範本整合。准許 Amazon Connect 呼叫 AWS 終端用戶訊息社交服務 APIs。可能會列出 AWS 帳戶的 WhatsApp 商業帳戶。此外,只要 WhatsApp 商業帳戶已標記 `AmazonConnectEnabled: True`,即可能列出 WhatsApp 商業帳戶的範本,並擷取範本的詳細資訊。 + `social-messaging:ListLinkedWhatsAppBusinessAccounts` + `social-messaging:GetWhatsAppMessageTemplate` + `social-messaging:ListWhatsAppMessageTemplates` + 動作:Amazon SES + `ses:DescribeReceiptRule` + `ses:UpdateReceiptRule` 所有 Amazon SES 接收規則。用於傳送和接收電子郵件。 + `ses:DeleteEmailIdentity` for {{{instance-alias}}}.email.connect.aws SES 網域身分。用於 Amazon Connect 提供的電子郵件網域管理。 + `ses:SendRawEmail` 用於使用 Amazon Connect 提供的 SES 組態設定,來傳送電子郵件 (configuration-set-for-connect-DO-NOT-DELETE)。 + `iam:PassRole` 用於 Amazon SES 使用的 `AmazonConnectEmailSESAccessRole` 服務角色。針對 Amazon SES 接收規則管理,Amazon SES 需要傳遞其擔任的角色。 + 動作:Amazon Polly + `polly:ListLexicons` + `polly:DescribeVoices` + `polly:SynthesizeSpeech` 當您啟用 Amazon Connect 中的其他功能時,會新增以下的權限,來讓服務連結角色透過使用行內政策,存取與下列功能相關的資源: + 動作:Amazon Data Firehose `firehose:DescribeDeliveryStream`、`firehose:PutRecord` 和 `firehose:PutRecordBatch`,適用於客服人員事件串流和聯絡人記錄定義的交付串流。 + 動作:Amazon Kinesis Data Streams `kinesis:PutRecord`、`kinesis:PutRecords` 以及 `kinesis:DescribeStream` 針對客服人員事件串流和聯絡記錄指定的串流。 + 動作:Amazon Lex `lex:PostContent` 適用於加入您執行個體的機器人。 + 動作:與您的執行個體關聯的 Voice ID 網域的 Amazon Connect Voice ID `voiceid:*`。 + 動作:EventBridge `events:PutRule` 和 `events:PutTargets` 為 Amazon Connect 受管的 EventBridge 規則發佈 CTR 記錄關聯的 Voice ID 網域。 + 動作:對外行銷活動 + `connect-campaigns:CreateCampaign` + `connect-campaigns:DeleteCampaign` + `connect-campaigns:DescribeCampaign` + `connect-campaigns:UpdateCampaignName` + `connect-campaigns:GetCampaignState` + `connect-campaigns:GetCampaignStateBatch` + `connect-campaigns:ListCampaigns` + `connect-campaigns:UpdateOutboundCallConfig` + `connect-campaigns:UpdateDialerConfig` + `connect-campaigns:PauseCampaign` + `connect-campaigns:ResumeCampaign` + `connect-campaigns:StopCampaign` 對於與對外行銷活動相關的所有操作。 您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。 ## 建立 Amazon Connect 的服務連結角色 您不需要手動建立服務連結角色,當您在 Amazon Connect 中建立新的執行個體時 AWS 管理主控台,Amazon Connect 會為您建立服務連結角色。 若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您在 Amazon Connect 中建立資料庫執行個體叢集時,Amazon Connect 會再次為您建立服務連結角色。 您也可以使用 IAM 主控台,透過 **Amazon Connect – 完整存取** 使用案例建立服務連結角色。在 IAM CLI 或 IAM API 中,建立一個使用 `connect.amazonaws.com` 服務名稱的服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的「[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」。如果您刪除此服務連結角色,您可以使用此相同的程序以再次建立該角色。 ## 對於 2018 年 10 月之前建立的執行個體 **提示** 無法登入以管理 AWS 您的帳戶? 您不知道誰負責管理您的 AWS 帳戶嗎? 如需協助,請參閱[針對 AWS 帳戶登入問題進行疑難排解](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html)。 如果您的 Amazon Connect 執行個體是在 2018 年 10 月之前建立的,則您沒有設定服務連結角色。若要建立服務連結角色,請在 **帳戶概觀** 頁面上,選擇 **建立服務連結角色**,如下圖所示。 ![帳戶概觀頁面,建立服務連結角色按鈕。](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/images/slr-create-slr.png) 如需建立服務連結角色所需的 IAM 許可清單,請參閱 [使用自訂 IAM 政策管理 Amazon Connect 主控台存取權的必要許可](security-iam-amazon-connect-permissions.md) 主題中的 [概觀頁面](security-iam-amazon-connect-permissions.md#overview-page)。 ## 對於在 2025 年 1 月 31 日之前建立,並使用客戶 KMS 金鑰設定來加密資料的 Customer Profile 網域,您需要將額外 KMS 權限授予您的 Amazon Connect 執行個體。 如果您的關聯 Customer Profile 網域是在 2025 年 1 月 31 日之前建立,且該網域使用客戶受管 KMS 金鑰 (CMK) 進行加密,若要啟用 Connect 執行個體的 CMK 強制執行,請採取下列動作: 1. 提供 Connect Customer 執行個體的服務連結角色 (SLR) 許可,以使用客戶設定檔網域的 AWS KMS 金鑰,方法是導覽至 Connect Customer AWS 管理主控台中的客戶設定檔頁面,然後選擇**更新 KMS 許可**。 ![選擇更新 KMS 權限按鈕,為您 Amazon Connect 執行個體的服務連結角色授予 KMS 權限。](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/images/kms-permissions-slr-1.png) 1. 與 Amazon Connect Customer Profiles 團隊建立[支援票證](https://support.console.aws.amazon.com/support),為您的帳戶請求 CMK 權限強制執行。 如需更新 Connect Customer 執行個體的 IAM 許可清單,請參閱 自訂 IAM 政策所需的許可[客戶設定檔頁面](security-iam-amazon-connect-permissions.md#customer-profiles-page)。 ## 編輯 Amazon Connect 的服務連結角色 Amazon Connect 不允許您編輯 AWSServiceRoleForAmazonConnect 前綴的服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。 ## 檢查服務連結角色是否具有 Amazon Lex 的許可 1. 在 IAM 主控台的導覽面板上,選擇 **角色**。 1. 選擇要修改之角色的名稱。 ## 刪除 Amazon Connect 的服務連結角色 您不需要手動刪除 AWSServiceRoleForAmazonConnect 前綴的角色。當您在 中刪除 Amazon Connect 執行個體時 AWS 管理主控台,Amazon Connect 會為您清除資源並刪除服務連結角色。 ## Amazon Connect 服務連結角色的支援區域 Amazon Connect 在所有提供服務的區域中支援使用服務連結的角色。如需詳細資訊,請參閱 [AWS 區域與端點](https://docs.aws.amazon.com/general/latest/gr/rande.html#connect_region)。