Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiele für Amazon-Connect-Richtlinien auf Ressourcenebene

Amazon Connect unterstützt Berechtigungen auf Ressourcenebene für Benutzer, sodass Sie Aktionen für eine Instance angeben können, wie in den folgenden Richtlinien dargestellt.

Alle Aktionen auf einer Amazon Connect Connect-Instance ablehnen

Eine Amazon Connect-Instance ist die Ressource der obersten Ebene innerhalb von Amazon Connect. Alle anderen Unterressourcen werden innerhalb ihres Geltungsbereichs erstellt. Um alle Aktionen für alle Ressourcen innerhalb einer Amazon Connect Connect-Instance zu verweigern, können Sie eine der folgenden Methoden verwenden:

Die folgende Beispielrichtlinie verweigert alle Verbindungsaktionen für die Instanz mit der instanceId 00fbeee1-123e-111e-93e3-11111bfbfcc1.

{
"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "connect:*"
            ],
            "Resource": "*"
        },
        "Condition": {
            "StringEquals": {
                "connect:instanceId": "00fbeee1-123e-111e-93e3-11111bfbfcc1"
            }
        }
    ]
} 

Alternativ können Sie alle Aktionen ablehnen, indem Sie den Instanz-ARN gefolgt von einem Platzhalter (*) angeben. Die folgende Beispielrichtlinie verweigert alle Verbindungsaktionen für die Instanz mit Instanz-ARNarn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1.

{
"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "connect:*"
            ],
            "Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1*"
        }
    ]
}

Verweigern der Aktionen „Löschen“ und „Aktualisieren“

Die folgende Beispielrichtlinie verweigert die Aktionen „Löschen“ und „Aktualisieren“ für Benutzer in einer Amazon-Connect-Instance. Sie verwendet einen Platzhalter am Ende des Benutzer-ARN von Amazon Connect, sodass das Löschen und das Aktualisieren von Benutzern auf dem vollständigen Benutzer-ARN verweigert wird (d. h. alle Amazon-Connect-Benutzer in der bereitgestellten Instance, arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/00dtcddd1-123e-111e-93e3-11111bfbfcc1).

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "connect:DeleteUser",
                "connect:UpdateUser*"
            ],
            "Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/*"
        }
    ]
}            

Erlauben Sie Aktionen für Integrationen mit bestimmten Namen

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllAppIntegrationsActions",
            "Effect": "Allow",
            "Action": [
                "app-integrations:ListEventIntegrations",
                "app-integrations:CreateEventIntegration",
                "app-integrations:GetEventIntegration",
                "app-integrations:UpdateEventIntegration",
                "app-integartions:DeleteEventIntegration"
            ],
"Resource":"arn:aws:appintegrations:*:*:event-integration/MyNamePrefix-*"
	}
    ]
}            

Zulassen von „Benutzer erstellen“, aber verweigern, wenn Sie einem bestimmten Sicherheitsprofil zugewiesen sind

Die folgende Beispielrichtlinie erlaubt „Benutzer erstellen“, verweigert jedoch ausdrücklich die Verwendung von arn:aws:connect:us-west- 2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17 als Parameter für das angeforderte Sicherheitsprofil. CreateUser

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",        
            "Action": [
                "connect:CreateUser"
             ],
            "Resource": "*",
        },
        {
            "Effect": "Deny",
            "Action": [
                "connect:CreateUser"
             ],
            "Resource": "arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc17/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17",
        } 
    ]
}            

Erlauben des Aufzeichnens von Aktionen für einen Kontakt

Die folgende Beispielrichtlinie ermöglicht das Starten der Kontaktaufzeichnung für einen Kontakt in einer bestimmten Instance. Da ContactID dynamisch ist, wird „*“ verwendet.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
          "connect:StartContactRecording"
      ],
      "Resource": "arn:aws:connect:us-west-2:accountID:instance/instanceId/contact/*",
      "Effect": "Allow"
    }
  ]
}            

Richten Sie eine Vertrauensbeziehung mit accountID ein.

Die folgenden Aktionen sind für die Aufzeichnung definiert APIs:

Erlauben weiterer Kontaktaktionen in derselben Rolle

Wenn dieselbe Rolle für das Anrufen eines anderen Kontakts verwendet wird APIs, können Sie die folgenden Kontaktaktionen auflisten:

Oder verwenden Sie einen Platzhalter, um alle Kontaktaktionen zuzulassen, zum Beispiel: „connect: *“

Erlauben weiterer Ressourcen

Sie können auch einen Platzhalter verwenden, um mehr Ressourcen zuzulassen. So lassen Sie beispielsweise alle Verbindungsaktionen für alle Kontaktressourcen zu:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "connect:*"
            ],
            "Resource": "arn:aws:connect:us-west-2:accountID:instance/*/contact/*",
            "Effect": "Allow"
        }
    ]
}       

Zulassen oder Verweigern von Warteschleifen-API-Aktionen für Telefonnummern in einer Replikat-Region

Das CreateQueueund UpdateQueueOutboundCallerConfig APIs enthält ein Eingabefeld mit dem NamenOutboundCallerIdNumberId. Dieses Feld stellt eine Telefonnummernressource dar, die für eine Datenverkehr-Verteilergruppe beansprucht werden kann. Es unterstützt sowohl das Rufnummern-V1-ARN-Format, das von ListPhoneNumberszurückgegeben wird, als auch das V2-ARN-Format, das von ListPhoneNumbersV2 zurückgegeben wird.

Im Folgenden sind die V1- und V2-ARN-Formate aufgeführt, die von OutboundCallerIdNumberId unterstützt werden:

Bereitstellen beider ARN-Formate für Telefonnummernressourcen in der Replikatregion

Wenn die Telefonnummer für eine Datenverkehr-Verteilergruppe beansprucht wird, müssen Sie die Telefonnummernressource sowohl im V1- als auch im V2-ARN-Format bereitstellen, um den Zugriff auf Warteschleifen-API-Aktionen für Telefonnummernressourcen während des Betriebs in der Replikatregion korrekt zuzulassen/zu verweigern. Wenn Sie die Telefonnummernressource nur in einem ARN-Format angeben, führt dies beim Betrieb in der Replikatregion nicht zum korrekten Zulassen/Verweigern von Vorgängen.

Beispiel 1: Zugriff verweigern auf CreateQueue

Beispiel: Sie arbeiten in der Replikatregion us-west-2 mit Konto 123456789012 und Instance aaaaaaaa-bbbb-cccc-dddd-0123456789012. Sie möchten den Zugriff auf die CreateQueueAPI verweigern, wenn es sich bei dem OutboundCallerIdNumberId Wert um eine Telefonnummer handelt, die für eine Verkehrsverteilergruppe mit Ressourcen-ID beansprucht wurdeaaaaaaaa-eeee-ffff-gggg-0123456789012. In diesem Szenario müssen Sie die folgende Richtlinie verwenden:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyCreateQueueForSpecificNumber",
            "Effect": "Deny",
            "Action": "connect:CreateQueue",
            "Resource": [
                "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
                "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
            ]
        }
    ]
}

Wobei us-west-2 die Region ist, in der die Anfrage gestellt wird.

Beispiel 2: Erlauben Sie nur den Zugriff auf UpdateQueueOutboundCallerConfig

Beispiel: Sie arbeiten in der Replikatregion us-west-2 mit Konto 123456789012 und Instance aaaaaaaa-bbbb-cccc-dddd-0123456789012. Sie möchten den Zugriff auf die UpdateQueueOutboundCallerConfigAPI nur zulassen, wenn es sich bei dem OutboundCallerIdNumberId Wert um eine Telefonnummer handelt, die für eine Verkehrsverteilergruppe mit Ressourcen-ID beansprucht wurdeaaaaaaaa-eeee-ffff-gggg-0123456789012. In diesem Szenario müssen Sie die folgende Richtlinie verwenden:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OnlyAllowUpdateQueueOutboundCallerConfigForSpecificNumber",
            "Effect": "Allow",
            "Action": "connect:UpdateQueueOutboundCallerConfig",
            "Resource": [
                "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
                "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
            ]
        }
    ]
}

Spezifische AppIntegrations Amazon-Ressourcen anzeigen

Die folgende Beispielrichtlinie ermöglicht das Abrufen von spezifischen Ereignisintegrationen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "app-integrations:GetEventIntegration"
            ],
            "Resource": "arn:aws:app-integrations:us-west-2:accountID:event-integration/Name"
        }
    ]
}   

Gewähren von Zugriff auf Amazon Connect Customer Profiles

Amazon Connect Customer Profiles verwenden profile anstelle von connect als Präfix für Aktionen. Die folgende Richtlinie gewährt Vollzugriff auf eine bestimmte Domain in Amazon Connect Customer Profiles.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
          "profile:*"
      ],
      "Resource": "arn:aws:profile:us-west-2:accountID:domains/domainName",
      "Effect": "Allow"
    }
  ]
}            

Richten Sie eine Vertrauensbeziehung mit accountID zur Domain DomainName ein.

Gewähren von Lesezugriff auf Daten aus Customer Profiles

Im Folgenden finden Sie ein Beispiel für die Gewährung von Lesezugriff auf die Daten in Amazon Connect Customer Profiles.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "profile:SearchProfiles",
                "profile:ListObjects"
            ],
            "Resource": "arn:aws:profile:us-west-2:accountID:domains/domainName",
            "Effect": "Allow"
        }
    ]
}            

Abfragen von Amazon Q in Connect nur für einen bestimmten Assistenten

Die folgende Beispielrichtlinie erlaubt es, nur einen bestimmten Assistenten abzufragen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wisdom:QueryAssistant "
            ],
            "Resource": "arn:aws:wisdom:us-west-2:accountID:assistant/assistantID"
        }
    ]
} 

Gewährt vollen Zugriff auf Amazon Connect Voice ID

Amazon Connect Voice ID verwendet anstelle von Connect voiceid als Präfix für Aktionen. Die folgende Richtlinie gewährt Vollzugriff auf eine bestimmte Domain in Amazon Connect Voice ID:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
          "voiceid:*"
      ],
      "Resource": "arn:aws:voiceid:us-west-2:accountID:domain/domainName",
      "Effect": "Allow"
    }
  ]
}  

Richten Sie eine Vertrauensbeziehung mit accountID zur Domain DomainName ein.

Gewähren von Zugriff auf Ressourcen für Amazon Connect Outbound Campaigns

Ausgehende Kampagnen verwenden connect-campaign als Präfix für Aktionen anstelle von connect. Die folgende Richtlinie gewährt Vollzugriff auf eine bestimmte ausgehende Kampagne.

{
    "Sid": "AllowConnectCampaignsOperations",
    "Effect": "Allow",
    "Action": [
        "connect-campaigns:DeleteCampaign",
        "connect-campaigns:DescribeCampaign",
        "connect-campaigns:UpdateCampaignName",
        "connect-campaigns:GetCampaignState"
        "connect-campaigns:UpdateOutboundCallConfig",
        "connect-campaigns:UpdateDialerConfig",
        "connect-campaigns:PauseCampaign",
        "connect-campaigns:ResumeCampaign",
        "connect-campaigns:StopCampaign"
    ],
    "Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId",
    }

Schränken Sie die Suche nach Transkripten ein, die von analysiert wurden Amazon Connect Contact Lens

Die folgende Richtlinie ermöglicht die Suche und Beschreibung von Kontakten, verweigert jedoch die Suche nach einem Kontakt anhand von Transkripten, die von analysiert wurden Amazon Connect Contact Lens.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:DescribeContact"
            ],
            "Resource": "arn:aws:connect:region:account-id:instance/instance-id/contact/*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "connect:SearchContacts"
            ],
            "Resource": "arn:aws:connect:region:account-id:instance/instance-id"
        },
        {
            "Sid": "VisualEditor2",
            "Effect": "Deny",
            "Action": [
                "connect:SearchContacts"
            ],
            "Resource": "arn:aws:connect:region:account-id:instance/instance-id",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "connect:SearchContactsByContactAnalysis": [
                        "Transcript"
                    ]
                }
            }
        }
    ]
}