Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Ressourcen einschränken, die mit Amazon Connect verknüpft werden können
Jede Amazon Connect Connect-Instance wird bei der Erstellung der Instance mit einer IAM serviceverknüpften Rolle verknüpft. Amazon Connect kann für Anwendungsfälle wie Anrufaufzeichnungsspeicher (Amazon-S3-Bucket), Natural Language Bots (Amazon-Lex-Bots) und Datenstreaming (Amazon Kinesis Data Streams) in andere AWS -Dienste integriert werden. Amazon Connect übernimmt die serviceverknüpfte Rolle, um mit diesen anderen Diensten zu interagieren. Die Richtlinie wird zunächst der serviceverknüpften Rolle als Teil der entsprechenden Dienste APIs auf Amazon Connect hinzugefügt (die wiederum von der AWS Admin-Website aufgerufen werden). Wenn Sie beispielsweise einen bestimmten Amazon S3-Bucket mit Ihrer Amazon Connect Connect-Instance verwenden möchten, muss der Bucket an die übergeben werden AssociateInstanceStorageConfigAPI.
Die von Amazon Connect definierten IAM Aktionen finden Sie unter Von Amazon Connect definierte Aktionen.
Im Folgenden finden Sie einige Beispiele dafür, wie Sie den Zugriff auf andere Ressourcen einschränken können, die möglicherweise mit einer Amazon-Connect-Instance verknüpft sind. Sie sollten auf den Benutzer oder die Rolle angewendet werden, der mit Amazon Connect APIs oder der Amazon Connect Connect-Admin-Website interagiert.
Anmerkung
Eine Richtlinie mit einem expliziten Wert „Deny
“ würde die Allow
-Richtlinie in diesen Beispielen außer Kraft setzen.
Weitere Informationen darüber, welche Ressourcen, Bedingungsschlüssel und abhängige Personen APIs Sie verwenden können, um den Zugriff einzuschränken, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Connect.
Beispiel 1: Beschränken, welche Amazon-S3-Buckets mit einer Amazon-Connect-Instance verknüpft werden können
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:UpdateInstanceStorageConfig", "connect:AssociateInstanceStorageConfig" ], "Resource": "arn:aws:connect:
region
:account-id
:instance/instance-id
", "Condition": { "StringEquals": { "connect:StorageResourceType": "CALL_RECORDINGS" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:iam::account-id
:role/aws-service-role/connect.amazonaws.com/*", "arn:aws:s3:::amzn-s3-demo-bucket
" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "*" } ] }
In diesem Beispiel kann ein IAM Principal einen Amazon S3 S3-Bucket für Anrufaufzeichnungen für die angegebene Amazon Connect Connect-Instance ARN und einen bestimmten Amazon S3 S3-Bucket mit dem Namen verknüpfenmy-connect-recording-bucket
. Die PutRolePolicy
Aktionen AttachRolePolicy
und sind auf die mit dem Service verknüpfte Amazon Connect Connect-Rolle beschränkt (in diesem Beispiel wird ein Platzhalter verwendet, aber Sie können die Rolle ARN für die Instance bei Bedarf angeben).
Anmerkung
Um einen AWS KMS Schlüssel zum Verschlüsseln von Aufzeichnungen in diesem Bucket zu verwenden, ist eine zusätzliche Richtlinie erforderlich.
Beispiel 2: Beschränken Sie, welche AWS Lambda -Funktionen einer Amazon-Connect-Instance zugeordnet werden können
AWS Lambda Funktionen sind mit einer Amazon Connect Connect-Instance verknüpft, aber die mit dem Service verknüpfte Amazon Connect Connect-Rolle wird nicht verwendet, um sie aufzurufen, und sie wird daher nicht geändert. Stattdessen wird der Funktion über die eine Richtlinie hinzugefügt lambda:AddPermission
API, die es der angegebenen Amazon Connect Connect-Instance ermöglicht, die Funktion aufzurufen.
Um einzuschränken, welche Funktionen einer Amazon Connect Connect-Instance zugeordnet werden können, geben Sie die Lambda-Funktion anARN, mit der ein Benutzer Folgendes aufrufen lambda:AddPermission
kann:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:AssociateLambdaFunction", "lambda:AddPermission" ], "Resource": [ "arn:aws:connect:
region
:account-id
:instance/instance-id
", "arn:aws:lambda:*:*:function:my-function
" ] } ] }
Beispiel 3: Beschränken, welche Amazon Kinesis Data Streams mit einer Amazon-Connect-Instance verknüpft werden können
Dieses Beispiel folgt einem ähnlichen Modell wie das Amazon-S3-Beispiel. Es schränkt ein, welche spezifischen Kinesis Data Streams einer bestimmten Amazon-Connect-Instance für die Übermittlung von Kontaktdatensätzen zugeordnet werden können.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:UpdateInstanceStorageConfig", "connect:AssociateInstanceStorageConfig" ], "Resource": "arn:aws:connect:
region
:account-id
:instance/instance-id
", "Condition": { "StringEquals": { "connect:StorageResourceType": "CONTACT_TRACE_RECORDS" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "kinesis:DescribeStream", "iam:PutRolePolicy" ], "Resource": [ "arn:aws:iam::account-id
:role/aws-service-role/connect.amazonaws.com/*", "arn:aws:kinesis:*:account-id
:stream/stream-name
" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": "kinesis:ListStreams", "Resource": "*" } ] }