本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Amazon Connect 中套用標籤型存取控制
<a name="tag-based-access-control"></a>

您可以使用標籤型存取控制，根據指派的資源標籤設定對特定資源的精細存取。您可以使用 API/SDK Amazon Connect 或受支援資源的管理網站來設定標籤型存取控制。

## 使用 API/SDK 套用標籤型存取控制
<a name="tag-based-access-control-api-sdk"></a>

若要使用標籤控制 AWS 帳戶內資源的存取，您需要在 IAM 政策的條件元素中提供標籤資訊。例如，若要根據您指派給 Voice ID 網域的標籤來控制對語音 ID 網域的存取，請使用`aws:ResourceTag/key-name`條件金鑰，以及特定的操作員，例如`StringEquals`指定哪個標籤金*鑰:value* 配對必須附加至網域，以允許其執行指定動作。

如需標籤型存取控制的詳細資訊，請參閱《IAM 使用者指南》**中的[使用標籤控制對 AWS 資源的存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。

## 使用 Amazon Connect 管理員網站套用標籤型存取控制
<a name="tag-based-access-control-connect-ui"></a>

*資源*標籤是一個自訂中繼資料標籤，您可將其新增到資源，以便輕鬆識別、組織和搜尋資源。您可以使用 Amazon Connect SDK /API 以程式設計方式套用標籤，對於某些資源，您可以從 Amazon Connect 主控台套用標籤。若要進一步了解資源標記，請參閱 [在 Amazon Connect 中將標籤新增至資源](tagging.md)。

存取控制標籤類似於資源標籤，因為它使用相同的 *key: Value* 結構。但是，存取控制標籤的區別在於，它引入了授權控制項，以限制使用者的存取權限，只包含具有相同 *key:* Value 配對之資源標籤的指定資源。存取控制標籤是在安全性設定檔中定義的，方法是先選擇要控制其存取的資源 (轉接設定檔、佇列、使用者等)，然後定義要比對的*金鑰:Val* ue 配對。一旦將具有存取控制標籤的安全性設定檔套用至使用者，就會根據所選資源和存取控制標籤 (*Key:Value*) 的定義組合來限制使用者的存取。如果沒有套用存取控制標籤，使用者將能夠看到所有資源，如果獲得這樣做的權限。

若要使用標籤來控制 Amazon Connect 執行個體管理網站內資源的存取，您需要在指定的安全設定檔中設定存取控制區段。例如，若要根據您指派給路由描述檔的標籤來控制對路由描述檔的存取，您可以將路由描述檔指定為存取控制的資源，然後指定要啟用存取權的標籤*金鑰:Value* 配對。

## 組態限制
<a name="tag-based-access-control-config-limitations"></a>

存取控制標籤是在安全性設定檔上設定的。您可以在單一安全性設定檔上設定最多 4 個存取控制標籤。新增額外的存取控制標籤會使該安全性設定檔更具限制性。例如，如果您要新增兩個存取控制標籤 (如`Department:X`和)`Country:Y`，使用者將只能看到包含這兩個標籤的資源。

最多可為使用者指派三個包含存取控制標籤的安全性設定檔。將包含存取控制標籤的多個安全性設定檔指派給單一使用者時，標籤式存取控制會變得較不嚴格。例如，如果使用者有一個具有存取控制標籤的安全性設定檔`Country:USA`，而另一個具有存取控制標籤的安全性設定檔`Country:Argentina`，則使用者將能夠看到標記為`Country:USA`或的資源`Country:Argentina`。只要這些額外的安全性設定檔不包含標籤，使用者就可以擁有其他安全性設定檔。如果存在多個具有重疊資源權限的安全性設定檔，則不含標籤式存取控制的安全性設定檔將優先於有標籤是存取控制的安全性設定檔。

需要服務連結角色才能設定[資源標籤](https://docs.aws.amazon.com/connect/latest/adminguide/tagging.html)或[存取控制標籤](https://docs.aws.amazon.com/connect/latest/adminguide/tag-based-access-control.html)。如果您的執行個體是在 2018 年 10 月之後建立的，您的 Amazon Connect 執行個體預設可使用此執行個體。不過，如果您使用較舊的執行個體，請參閱[使用 Amazon Connect 的服務連結角色](https://docs.aws.amazon.com/connect/latest/adminguide/connect-slr.html)以取得如何啟用服務連結角色的指示。

## 標籤式存取控制最佳實務
<a name="tag-based-access-control-best-practices"></a>

套用標籤型存取控制是 Amazon Connect 支援的進階組態功能，遵循 AWS 共同責任模型。請務必確保您正確設定執行個體以符合您想要的授權需求。如需詳細資訊，請參閱[AWS 共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)。

確保您至少已為其啟用標籤式存取控制的資源啟用*檢視*權限。這將確保您避免導致拒絕存取請求的權限不一致。

標籤式存取控制在資源層級啟用，代表可以單獨限制每項資源。在某些使用情況下，這可能是可以接受的，但它被認為是一起對所有資源啟用標籤式存取控制的最佳實務。例如，啟用使用者存取而非安全性設定檔的存取權，可讓使用者建立具有取代預定使用者存取控制設定之權限的安全性設定檔。

在套用標籤式存取控制的情況下登入 Amazon Connect 主控台時，使用者將無法存取其受限資源的歷史變更日誌。

最佳實務是，在 Amazon Connect 主控台內套用標籤式存取控制時，應停用對下列資源/模組的存取權。如果您未停用對這些資源的存取，則對特定資源具有標籤型存取控制且可檢視這些頁面的使用者可能會看到不受限制的清單，其中列出使用者、安全性設定檔、轉接設定檔、佇列、流程或流程模組。如需如何管理許可的詳細資訊，請參閱 [Amazon Connect 中安全性設定檔許可的清單](security-profile-list.md)。


| 模組 | 禁用存取權限 | 
| --- | --- | 
| 聯絡搜尋 | 聯絡人搜尋 | 
| 儀表板 | 存取指標 | 
| 流程 | 流程 - 檢視 | 
| 流程模組 | 流量模組-檢視 | 
| 預測 | 預測 | 
| 歷史變更/稽核門戶 | 存取指標 | 
| 操作時數 | 操作時數 - 檢視 | 
| 登入/登出報告 | 登入/登出報告–檢視 | 
| 出站活動 | 促銷活動-檢視 | 
| 提示 | 提示-檢視 | 
| Quick Connect | 快速連線 - 檢視 | 
| Rules | 規則-檢視 | 
| 已儲存的報告 | 已儲存的報告–檢視 | 
| 排程 | 排程管理員 | 
| 排程 | 發佈排程行事曆 |