本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Connect 資源層級政策範例
Amazon Connect 支援使用者的資源層級許可,因此您可以為執行個體使用者指定動作,如下列政策所示。
目錄
拒絕 Amazon Connect 執行個體上的所有動作
Amazon Connect 執行個體是 Amazon Connect 中最上層的資源。所有其他子資源都會在其範圍內建立。若要拒絕 Amazon Connect 執行個體內所有資源的所有動作,您可以使用下列其中一種方法:
-
使用
connect:instanceId內容索引鍵。 -
使用執行個體 ARN,後面接著萬用字元 (*)。
下列範例政策會拒絕instanceId 為 00fbeee1-123e-111e-93e3-1111bfbfcc1 的所有連線動作。
或者,您可以透過指定執行個體 ARN,後面接著萬用字元 (*) 來拒絕所有動作。下列範例政策會拒絕執行個體 ARN 的所有連線動作arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1。
拒絕「刪除」和「更新」動作
下列這個政策範例拒絕一個 Amazon Connect 執行個體的使用者執行「刪除」和「更新」動作。它在 Amazon Connect 使用者 ARN 的結尾處使用萬用字元,以便在完整使用者 ARN 上拒絕「刪除使用者」和「更新使用者」(也就是,指定執行個體中的所有 Amazon Connect 使用者,例如 arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/00dtcddd1-123e-111e-93e3-11111bfbfcc1)。
允許整合特定名稱的動作
允許「建立使用者」但在您已獲派特定安全性設定檔時則予以拒絕
下列政策範例允許「建立使用者」,但會在 CreateUser 請求的安全性設定檔使用參數為 arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17 時明確拒絕。
允許對聯絡錄製動作
以下範例政策允許在特定執行個體中對聯絡進行「開始聯絡記錄」。由於 contactID 是動態的,因此使用 *。
設定與 accountID 的信任關係。
以下為錄製 API 定義的動作:
-
「connect:StartContactRecording」
-
「connect:StopContactRecording」
-
「connect:SuspendContactRecording」
-
「connect:ResumeContactRecording」
允許相同角色的更多聯絡動作
如果使用相同的角色呼叫其他聯絡 API,您可以列出下列聯絡動作:
-
GetContactAttributes
-
ListContactFlows
-
StartChatContact
-
StartOutboundVoiceContact
-
StopContact
-
UpdateContactAttributes
或者使用萬用字元來允許所有聯絡動作,例如:「connect:*」
允許更多資源
您也可以使用萬用字元,以允許更多資源。例如,以下說明如何允許所有聯絡資源上的所有連線動作:
允許或拒絕複本區域中電話號碼佇列 API 動作
CreateQueue 和 UpdateQueueOutboundCallerConfig API 包含名為 OutboundCallerIdNumberId 的輸入欄位。此欄位代表可以取得流量分布群組的電話號碼資源。它支援由 ListPhoneNumbers 返回的 V1 ARN 格式和 ListPhoneNumbersV2 返回的 V2 ARN 格式。
以下是 OutboundCallerIdNumberId 支援的 V1 和 V2 ARN 格式:
-
V1 ARN 格式:
arn:aws:connect:your-region:your-account_id:instance/instance_id/phone-number/resource_id -
V2 ARN 格式:
arn:aws:connect:your-region:your-account_id:phone-number/resource_id
注意
我們建議使用 V2 ARN 格式。V1 ARN 格式將在未來棄用。
為副本區域中的電話號碼資源提供兩種 ARN 格式
如果對流量分布群組取得電話號碼,若要在複本區域中操作時正確允許/拒絕對電話號碼資源的佇列 API 動作存取,您必須同時提供 V1 和 V2 ARN 格式的電話號碼資源。如果您僅以一種 ARN 格式提供電話號碼資源,則在複本區域中操作時不會產生正確的允許/拒絕行為。
範例 1:拒絕存取 CreateQueue
例如,您在複本區域 us-west-2 中使用帳戶
123456789012 和執行個體 aaaaaaaa-bbbb-cccc-dddd-0123456789012 進行操作。當 OutboundCallerIdNumberId 值是向具有資源 ID aaaaaaaa-eeee-ffff-gggg-0123456789012 的流量分布群組取得的電話號碼時,您想要拒絕存取 CreateQueue API。但下列情況必須使用下列政策:
其中 us-west-2 是正在發出請求的區域。
範例 2:僅允許 UpdateQueueOutboundCallerConfig 存取
例如,您在複本區域 us-west-2 中使用帳戶 123456789012 和執行個體 aaaaaaaa-bbbb-cccc-dddd-0123456789012 進行操作。當 OutboundCallerIdNumberId 值是向具有資源 ID aaaaaaaa-eeee-ffff-gggg-0123456789012 的流量通訊群組宣告的電話號碼時,您只想要允許存取 UpdateQueueOutboundCallerConfig API。但下列情況必須使用下列政策:
檢視特定 Amazon AppIntegrations 資源
下列範例政策允許擷取特定事件整合。
授予 Amazon Connect Customer Profiles 存取權
Amazon Connect Customer Profiles 使用 profile 作為動作的前綴,而不是 connect。以下政策授予 Amazon Connect Customer Profiles 中特定網域的完整存取權。
設定 accountID 與網域 domainName 的信任關係。
授予僅供讀取 Customer Profiles 資料
以下是授予對 Amazon Connect Customer Profiles 中資料的讀取存取權限的範例。
僅為特定助理查詢 Amazon Q in Connect
下列範例策略僅允許查詢特定助理。
授予 Amazon Connect Voice ID 完整存取權
Amazon Connect Voice ID 使用 voiceid 作為動作的前綴,而不是連接。以下政策授予 Amazon Connect Voice ID 中特定網域的完整存取權:
設定 accountID 與網域 domainName 的信任關係。
授予對 Amazon Connect Outbound Campaigns 資源的存取權
外撥行銷活動使用 connect-campaign 作為動作的前綴,而不是 connect。以下政策授予特定外撥行銷活動的完整存取權。
{ "Sid": "AllowConnectCampaignsOperations", "Effect": "Allow", "Action": [ "connect-campaigns:DeleteCampaign", "connect-campaigns:DescribeCampaign", "connect-campaigns:UpdateCampaignName", "connect-campaigns:GetCampaignState" "connect-campaigns:UpdateOutboundCallConfig", "connect-campaigns:UpdateDialerConfig", "connect-campaigns:PauseCampaign", "connect-campaigns:ResumeCampaign", "connect-campaigns:StopCampaign" ], "Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId", }
限制對 分析的文字記錄進行搜尋的能力 Amazon Connect Contact Lens
下列政策允許搜尋和描述聯絡人,但拒絕使用 分析的文字記錄搜尋聯絡人Amazon Connect Contact Lens。
