Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wenden Sie die hierarchiebasierte Zugriffskontrolle in Amazon Connect an (Vorversion)
Anmerkung
Hierbei handelt es sich um die vorab veröffentlichte Dokumentation für einen Service, dessen Vorversion verfügbar ist. Änderungen sind vorbehalten.
Sie können den Zugriff auf Kontakte auf der Grundlage der einem Benutzer zugewiesenen Agentenhierarchie einschränken. Dazu verwenden Sie Sicherheitsprofilberechtigungen wie „Kontaktzugriff einschränken“. Zusätzlich zu diesen Berechtigungen können Sie auch Hierarchien verwenden, detaillierte Zugriffskontrollen für Ressourcen wie Benutzer erzwingen und Stichwörter verwenden.
In diesem Thema finden Sie Informationen zur Konfiguration hierarchiebasierter Zugriffskontrollen (derzeit in der Vorschauversion).
Inhalt
Übersicht
Mithilfe der hierarchiebasierten Zugriffssteuerung können Sie den detaillierten Zugriff auf bestimmte Ressourcen auf der Grundlage der Agentenhierarchie konfigurieren, die einem Benutzer zugewiesen ist. Sie können hierarchiebasierte Zugriffskontrollen mithilfe der API/SDK oder der Admin-Website konfigurieren. Amazon Connect
Die einzige Ressource, die hierarchiebasierte Zugriffskontrolle unterstützt, sind Benutzer. Dieses Autorisierungsmodell arbeitet mit tagbasierter Zugriffskontrolle, sodass Sie den Zugriff auf Benutzer einschränken können, sodass diese nur andere Benutzer sehen können, die zu derselben Hierarchiegruppe gehören und denen bestimmte Tags zugeordnet sind.
Anmerkung
Nachdem Sie die hierarchiebasierte Zugriffskontrolle auf Benutzer angewendet haben, können diese auf ihre Hierarchiegruppe und all ihre untergeordneten Gruppen (über die untergeordnete Ebene hinaus) zugreifen.
Wenden Sie die hierarchiebasierte Zugriffskontrolle mithilfe der API/SDK an
Um den Zugriff auf Ressourcen in Ihren AWS Konten mithilfe von Hierarchien zu steuern, müssen Sie die Informationen zur Hierarchie im Bedingungselement einer IAM-Richtlinie angeben. Um beispielsweise den Zugriff auf einen Benutzer zu kontrollieren, der zu einer bestimmten Hierarchie gehört, verwenden Sie den connect:HierarchyGroupL3Id/hierarchyGroupId Bedingungsschlüssel zusammen mit einem bestimmten Operator, StringEquals um anzugeben, zu welcher Hierarchiegruppe der Benutzer gehören muss, um bestimmte Aktionen für ihn zuzulassen.
Im Folgenden sind die unterstützten Bedingungsschlüssel aufgeführt:
-
connect:HierarchyGroupL1Id/hierarchyGroupId -
connect:HierarchyGroupL2Id/hierarchyGroupId -
connect:HierarchyGroupL3Id/hierarchyGroupId -
connect:HierarchyGroupL4Id/hierarchyGroupId -
connect:HierarchyGroupL5Id/hierarchyGroupId
Jeder Schlüssel steht für die ID einer bestimmten Hierarchiegruppe auf einer bestimmten Ebene der Hierarchiestruktur des Benutzers.
Ausführlichere Informationen zur hierarchiebasierten Zugriffskontrolle finden Sie unter Steuern des Zugriffs auf AWS Ressourcen mithilfe von Tags im IAM-Benutzerhandbuch.
Wenden Sie mithilfe der Admin-Website eine hierarchiebasierte Zugriffskontrolle an Amazon Connect
Um den Zugriff auf Ressourcen auf der Amazon Connect Admin-Website mithilfe von Hierarchien zu steuern, konfigurieren Sie den Bereich für die Zugriffskontrolle innerhalb eines bestimmten Sicherheitsprofils.
Um beispielsweise eine detaillierte Zugriffskontrolle für einen bestimmten Benutzer auf der Grundlage der Hierarchie zu aktivieren, zu der er gehört, konfigurieren Sie den Benutzer als zugriffskontrollierte Ressource. Dazu haben Sie die folgenden zwei Optionen:
-
Erzwingen Sie eine hierarchiebasierte Zugriffskontrolle auf der Grundlage der Benutzerhierarchie
Diese Option stellt sicher, dass der Benutzer, dem Zugriff gewährt wird, nur Benutzer verwalten kann, die zu seiner Hierarchie gehören. Wenn Sie diese Konfiguration beispielsweise für einen bestimmten Benutzer aktivieren, kann er andere Benutzer verwalten, die entweder zu seiner Hierarchiegruppe oder einer untergeordneten Hierarchiegruppe gehören. Dadurch wird sichergestellt, dass der Benutzer, dem Zugriff gewährt wird, nur Benutzer verwalten kann, die zu seiner Hierarchie gehören. Wenn Sie diese Konfiguration beispielsweise für einen Supervisor aktivieren, kann er andere Benutzer verwalten, die entweder zu seiner Hierarchiegruppe oder einer untergeordneten Hierarchiegruppe gehören.
-
Erzwingen Sie eine hierarchiebasierte Zugriffskontrolle auf der Grundlage einer bestimmten Hierarchie
Diese Option stellt sicher, dass der Benutzer, dem Zugriff gewährt wird, nur Benutzer verwalten kann, die zu der im Sicherheitsprofil definierten Hierarchie gehören. Wenn Sie diese Konfiguration beispielsweise für einen bestimmten Benutzer aktivieren, können diese Benutzer andere Benutzer verwalten, die entweder zu der im Sicherheitsprofil angegebenen Hierarchiegruppe oder zu einer untergeordneten Hierarchiegruppe gehören.
Einschränkungen der Konfiguration
Die granulare Zugriffskontrolle wird für ein Sicherheitsprofil konfiguriert. Benutzern können maximal zwei Sicherheitsprofile zugewiesen werden, die eine detaillierte Zugriffskontrolle erzwingen. In diesem Fall werden die Berechtigungen weniger restriktiv und dienen als Vereinigung beider Berechtigungssätze.
Wenn beispielsweise ein Sicherheitsprofil eine hierarchiebasierte Zugriffskontrolle und ein anderes eine tagbasierte Zugriffskontrolle erzwingt, kann der Benutzer jeden Benutzer verwalten, der derselben Hierarchie angehört oder mit dem angegebenen Tag gekennzeichnet ist. Wenn sowohl die tagbasierte als auch die hierarchiebasierte Zugriffskontrolle als Teil desselben Sicherheitsprofils konfiguriert sind, müssen beide Bedingungen erfüllt sein. In diesem Fall kann der Benutzer nur Benutzer verwalten, die derselben Hierarchie angehören und mit einem bestimmten Tag gekennzeichnet sind.
Ein Benutzer kann mehr als zwei Sicherheitsprofile haben, sofern diese zusätzlichen Sicherheitsprofile keine detaillierte Zugriffskontrolle erzwingen. Wenn mehrere Sicherheitsprofile mit sich überschneidenden Ressourcenberechtigungen vorhanden sind, wird das Sicherheitsprofil ohne hierarchiebasierte Zugriffskontrolle dem Profil mit hierarchiebasierter Zugriffskontrolle vorgezogen.
Für die Konfiguration der hierarchiebasierten Zugriffskontrolle sind dienstverknüpfte Rollen erforderlich. Wenn Ihre Instance nach Oktober 2018 erstellt wurde, ist dies standardmäßig mit Ihrer Amazon Connect Connect-Instance verfügbar. Wenn Sie jedoch über eine ältere Instance verfügen, finden Sie unter Verwenden von serviceverknüpften Rollen für Amazon Connect Anweisungen zur Aktivierung von serviceverknüpften Rollen.
Bewährte Methoden für die Anwendung hierarchiebasierter Zugriffskontrollen
-
Überprüfen Sie das Modell der AWS gemeinsamen Verantwortung
. Die Anwendung der hierarchiebasierten Zugriffskontrolle ist eine erweiterte Konfigurationsfunktion, die von Amazon Connect unterstützt wird und dem Modell der AWS gemeinsamen Verantwortung folgt. Es ist wichtig sicherzustellen, dass Sie Ihre Instance korrekt konfigurieren, damit sie Ihren gewünschten Autorisierungsanforderungen entspricht.
-
Stellen Sie sicher, dass Sie mindestens die Anzeigeberechtigungen für die Ressourcen aktiviert haben, für die Sie die hierarchiebasierte Zugriffskontrolle aktivieren.
Dadurch wird sichergestellt, dass Sie Inkonsistenzen bei den Berechtigungen vermeiden, die zu verweigerten Zugriffsanfragen führen. Hierarchiebasierte Zugriffskontrollen werden auf Ressourcenebene aktiviert, was bedeutet, dass jede Ressource unabhängig eingeschränkt werden kann.
-
Prüfen Sie sorgfältig die Berechtigungen, die gewährt werden, wenn die hierarchiebasierte Zugriffskontrolle durchgesetzt wird.
Beispiel: Durch die Aktivierung einer Hierarchie wird der Zugriff auf Benutzer eingeschränkt und view/edit permissions security profiles would allow a user to create/update ein Sicherheitsprofil mit Rechten, die die vorgesehenen Einstellungen für die Benutzerzugriffskontrolle ersetzen.
-
Wenn Benutzer bei der Amazon Connect Connect-Konsole angemeldet sind und hierarchiebasierte Zugriffskontrollen angewendet wurden, können sie nicht auf historische Änderungsprotokolle für die Ressourcen zugreifen, auf die sie beschränkt sind.
-
Beim Versuch, eine untergeordnete Ressource einer übergeordneten Ressource mit hierarchiebasierter Zugriffskontrolle für die untergeordnete Ressource zuzuweisen, wird der Vorgang verweigert, wenn die untergeordnete Ressource nicht zu Ihrer Hierarchie gehört.
Wenn Sie beispielsweise versuchen, einen Benutzer einer Schnellverbindung zuzuweisen, Sie aber keinen Zugriff auf die Benutzerhierarchie haben, schlägt der Vorgang fehl. Dies gilt jedoch nicht für Trennungen. Sie können die Zuordnung eines Benutzers auch bei erzwungener hierarchiebasierter Zugriffskontrolle nach Belieben aufheben, vorausgesetzt, Sie haben Zugriff auf die Schnellverbindung. Das liegt daran, dass bei der Trennung von Verknüpfungen eine bestehende Beziehung (im Gegensatz zu neuen Verknüpfungen) zwischen zwei Ressourcen verworfen wird. Diese Beziehung wird als Teil der übergeordneten Ressource (in diesem Fall der Schnellverbindung) modelliert, auf die der Benutzer bereits Zugriff hat.
-
-
Denken Sie darüber nach, welche Berechtigungen für übergeordnete Ressourcen gewährt werden, da die Zuordnung eines Benutzers ohne sein Wissen oder das seines Vorgesetzten aufgehoben werden könnte.
-
Deaktivieren Sie den Zugriff auf die folgenden Funktionen, wenn Sie hierarchiebasierte Zugriffskontrollen auf der Admin-Website anwenden. Amazon Connect
Funktionalität Sicherheitsprofilberechtigung, die den Zugriff deaktiviert Kontaktsuche Kontaktsuche — Ansicht Historische Änderungen/Audit-Portal Zugriffsmetriken – Zugriff Echtzeitmetriken Metriken in Echtzeit — Zugriff Verlaufsmetriken Historische Metriken — Zugriff Anmelde-/Abmeldebericht Bericht zur Anmeldung/Abmeldung — Ansicht Regeln Regeln – Anzeigen Gespeicherte Berichte Gespeicherte Berichte – Anzeigen Agent Hierarchy (Kundendienstmitarbeiterhierarchie) Agentenhierarchie — Ansicht Flow/Flow-Modul Flow-Module – Ansicht Planung Zeitplanmanager – Ansicht Wenn Sie den Zugriff auf diese Ressourcen nicht deaktivieren, wird Benutzern mit hierarchiebasierten Zugriffskontrollen für eine bestimmte Ressource, die diese Seiten auf der Amazon Connect Admin-Website aufrufen, möglicherweise eine uneingeschränkte Benutzerliste angezeigt. Weitere Informationen zur Verwaltung von Berechtigungen finden Sie unter Liste der Sicherheitsprofilberechtigungen.
