本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
限制可與 Connect Customer 相關聯的 AWS 資源
建立執行個體時,每個 Connect Customer 執行個體都會與 IAM 服務連結角色相關聯。Connect Customer 可以與其他 AWS 服務整合,用於通話錄音儲存 (Amazon S3 儲存貯體)、自然語言機器人 (Amazon Lex 機器人) 和資料串流 (Amazon Kinesis Data Streams) 等使用案例。Connect Customer 會擔任服務連結角色,以與這些其他 服務互動。政策會先新增至服務連結角色,做為 Connect Customer 服務 (由管理員主控台呼叫) 上對應 APIs AWS 的一部分。例如,如果您想要將特定 Amazon S3 儲存貯體與 Connect Customer 執行個體搭配使用,則必須將儲存貯體傳遞至 AssociateInstanceStorageConfig API。
如需 Connect Customer 定義的一組 IAM 動作,請參閱 Connect Customer 定義的動作。
以下是一些範例,說明如何限制存取可能與 Connect Customer 執行個體相關聯的其他資源。它們應該套用到與 Connect Customer APIs 或 Connect Customer 主控台互動的使用者或角色。
注意
使用明確的 Deny 政策會覆寫這些範例中的 Allow 政策。
如需您可以使用哪些資源、條件金鑰和相依 APIs 來限制存取的詳細資訊,請參閱 Connect Customer 的動作、資源和條件金鑰。
範例 1:限制哪些 Amazon S3 儲存貯體可以與 Connect Customer 執行個體建立關聯
此範例允許 IAM 主體將 Amazon S3 儲存貯體與指定 Connect Customer 執行個體 ARN 的通話錄音,以及名為 的特定 Amazon S3 儲存貯體建立關聯my-connect-recording-bucket。AttachRolePolicy 和 PutRolePolicy 動作的範圍是 Connect Customer 服務連結角色 (此範例中使用萬用字元,但您可以視需要為執行個體提供角色 ARN)。
注意
若要使用 AWS KMS 金鑰來加密此儲存貯體中的記錄,需要額外的政策。
範例 2:限制哪些 AWS Lambda 函數可與 Connect Customer 執行個體相關聯
AWS Lambda 函數與 Connect Customer 執行個體相關聯,但 Connect Customer 服務連結角色不會用來叫用它們,因此不會修改。反之,政策會透過 lambda:AddPermission API 新增至函數,以允許指定的 Connect Customer 執行個體叫用函數。
若要限制哪些函數可與 Connect Customer 執行個體相關聯,您可以指定使用者可以用來叫用 的 Lambda 函數 ARNlambda:AddPermission:
範例 3:限制哪些 Amazon Kinesis Data Streams 可以與 Connect Customer 執行個體建立關聯
此範例遵循與 Amazon S3 範例類似的模型。它限制哪些特定的 Kinesis Data Streams 可能與指定的 Connect Customer 執行個體相關聯,以便交付聯絡記錄。
