Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Tag-basierte Zugriffskontrolle in Amazon Connect
Tag-basierte Zugriffskontrollen ermöglichen es Ihnen, den detaillierten Zugriff auf bestimmte Ressourcen auf der Grundlage der zugewiesenen Ressourcen-Tags zu konfigurieren. Sie können tagbasierte Zugriffskontrollen mithilfe vonAPI/SDKoder innerhalb der Amazon Connect Connect-Konsole (für unterstützte Ressourcen) konfigurieren.
Tag-basierte Zugriffskontrolle mithilfe von/APISDK
Um den Zugriff auf Ressourcen in Ihren AWS Konten mithilfe von Tags zu steuern, müssen Sie Tag-Informationen im Bedingungselement einer IAM Richtlinie angeben. Um beispielsweise den Zugriff auf Ihre Sprach-ID-Domain anhand der Tags zu steuern, die Sie ihr zugewiesen haben, verwenden Sie den aws:ResourceTag/key-name Bedingungsschlüssel zusammen mit einem bestimmten Operator, StringEquals um anzugeben, welches Tag-Schlüssel/Wert-Paar an die Domain angehängt werden muss, um bestimmte Aktionen für sie zuzulassen.
Ausführlichere Informationen zur tagbasierten Zugriffskontrolle finden Sie im IAM Benutzerhandbuch unter Steuern des Zugriffs auf AWS Ressourcen mithilfe von Stichwörtern.
Tag-basierte Zugriffskontrolle mithilfe der Amazon Connect-Konsole
Ein Ressourcen-Tag ist ein benutzerdefiniertes Metadatenetikett, das Sie einer Ressource hinzufügen können, um sie leichter zu identifizieren, zu organisieren und in einer Suche zu finden. Sie können Tags mithilfe von Amazon ConnectSDK/programmgesteuert anwendenAPIs, und für bestimmte Ressourcen können Sie Tags von der Amazon Connect Connect-Konsole aus anwenden. Weitere Informationen über Ressourcen-Tags finden Sie unter Hinzufügen von Tags zu Ressourcen in Amazon Connect.
Ein Zugriffskontroll-Tag ähnelt einem Ressourcen-Tag insofern, als es dieselbe Key:Value-Struktur verwendet. Der Unterschied zu einem Zugriffskontrolltag besteht jedoch darin, dass es Autorisierungskontrollen einführt, die den Zugriff eines Benutzers auf bestimmte Ressourcen beschränken, die Ressourcen-Tags mit identischen Schlüssel:Wert-Paaren enthalten. Zugriffskontrolltags werden innerhalb von Sicherheitsprofilen definiert, indem zuerst die Ressource (Weiterleitungsprofil, Warteschlange, Benutzer usw.) ausgewählt wird, auf die der Zugriff gesteuert werden soll, und dann das Schlüssel:Wert-Paar definiert wird, für das ein Abgleich durchgeführt werden soll. Sobald ein Sicherheitsprofil mit Zugriffskontrolltags auf einen Benutzer angewendet wurde, schränkt es den Zugriff des Benutzers auf der Grundlage der definierten Kombination aus der ausgewählten Ressource (n) und den Zugriffskontroll-Tags (Key:Value) ein. Wenn keine Zugriffskontroll-Tags angewendet werden, kann ein Benutzer alle Ressourcen sehen, sofern er dazu berechtigt ist.
Um Tags zur Steuerung des Zugriffs auf Ressourcen auf der Admin-Website Ihrer Amazon Connect-Instance zu verwenden, müssen Sie den Zugriffskontrollbereich innerhalb eines bestimmten Sicherheitsprofils konfigurieren. Um beispielsweise den Zugriff auf ein Weiterleitungsprofil anhand der Tags zu steuern, die Sie ihm zugewiesen haben, würden Sie das Weiterleitungsprofil als zugriffskontrollierte Ressource angeben und dann angeben, für welches Tag-Schlüssel:Wert-Paar Sie den Zugriff aktivieren möchten.
Einschränkungen der Konfiguration
Tags für die Zugriffskontrolle werden in einem Sicherheitsprofil konfiguriert. Sie können bis zu vier Zugriffskontrolltags für ein einzelnes Sicherheitsprofil konfigurieren. Durch das Hinzufügen zusätzlicher Zugriffskontrolltags wird das Sicherheitsprofil restriktiver. Wenn Sie beispielsweise zwei Zugriffskontrolltags wie Department:X und hinzufügen würdenCountry:Y, könnte der Benutzer nur Ressourcen sehen, die beide Tags enthalten.
Benutzern können maximal zwei Sicherheitsprofile zugewiesen werden, die Zugriffskontrolltags enthalten. Wenn einem einzelnen Benutzer mehrere Sicherheitsprofile mit Zugriffskontrolltags zugewiesen werden, werden die tagbasierten Zugriffskontrollen weniger restriktiv. Wenn ein Benutzer beispielsweise ein Sicherheitsprofil mit einem Zugriffskontrolltag wie Country:USA und ein anderes Sicherheitsprofil mit einem Zugriffskontrolltag wie hätteCountry:Argentina, könnte ein Benutzer Ressourcen sehen, die mit Country:USA oder gekennzeichnet sindCountry:Argentina. Ein Benutzer kann andere Sicherheitsprofile haben, sofern diese zusätzlichen Sicherheitsprofile keine Tags enthalten. Wenn mehrere Sicherheitsprofile mit sich überschneidenden Ressourcenberechtigungen vorhanden sind, wird das Sicherheitsprofil ohne tagbasierte Zugriffskontrollen gegenüber dem Profil mit tagbasierten Zugriffskontrollen durchgesetzt.
Serviceverknüpfte Rollen sind erforderlich, um Ressourcen-Tags oder Zugriffskontroll-Tags zu konfigurieren. Wenn Ihre Instance nach Oktober 2018 erstellt wurde, ist diese standardmäßig mit Ihrer Amazon Connect-Instance verfügbar. Wenn Sie jedoch eine ältere Instance haben, finden Sie unter Verwenden von serviceverknüpften Rollen für Amazon Connect Anweisungen zur Aktivierung von serviceverknüpften Rollen.
Bewährte Methoden für die Anwendung tagbasierter Zugriffskontrollen
Die Anwendung von tagbasierten Zugriffskontrollen ist eine erweiterte Konfigurationsfunktion, die von Amazon Connect unterstützt wird und dem Modell der AWS gemeinsamen Verantwortung folgt. Es ist wichtig sicherzustellen, dass Sie Ihre Instance korrekt konfigurieren, damit sie Ihren gewünschten Autorisierungsanforderungen entspricht. Weitere Informationen finden Sie unter AWS -Modell der geteilten Verantwortung
Stellen Sie sicher, dass Sie mindestens die Leseberechtigungen für die Ressourcen aktiviert haben, für die Sie die tagbasierte Zugriffskontrolle aktivieren. Dadurch wird sichergestellt, dass Sie Inkonsistenzen bei den Berechtigungen vermeiden, die zu verweigerten Zugriffsanfragen führen.
Tagbasierte Zugriffskontrollen werden auf Ressourcenebene aktiviert, was bedeutet, dass jede Ressource unabhängig eingeschränkt werden kann. In bestimmten Anwendungsfällen mag dies akzeptabel sein, es wird jedoch als bewährte Methode angesehen, tagbasierte Zugriffskontrollen für alle Ressourcen zusammen zu aktivieren. Wenn Sie beispielsweise den Zugriff für Benutzer, aber nicht für Sicherheitsprofile aktivieren, könnte ein Benutzer ein Sicherheitsprofil mit Rechten erstellen, die Ihre beabsichtigten Einstellungen für die Benutzerzugriffskontrolle ersetzen.
Wenn Benutzer bei der Amazon-Connect-Konsole angemeldet sind und tagbasierte Zugriffskontrollen angewendet wurden, können sie nicht auf historische Änderungsprotokolle für die Ressourcen zugreifen, auf die sie beschränkt sind.
Als bewährte Methode sollten Sie den Zugriff auf die folgenden Ressourcen/Module deaktivieren, wenn Sie tagbasierte Zugriffskontrollen in der Amazon-Connect-Konsole anwenden. Wenn Sie den Zugriff auf diese Ressourcen nicht deaktivieren, wird Benutzern mit tagbasierten Zugriffskontrollen für eine bestimmte Ressource, die diese Seiten aufrufen, möglicherweise eine uneingeschränkte Liste von Benutzern, Sicherheitsprofilen, Routing-Profilen, Warteschlangen, Flows oder Flow-Modulen angezeigt. Weitere Informationen über die Verwaltung von Berechtigungen finden Sie unter Liste der Sicherheitsprofilberechtigungen in Amazon Connect.
Module |
Erlaubnis, den Zugriff zu deaktivieren |
|---|---|
Kontaktsuche |
Kontaktsuche |
Dashboard |
Zugriff auf Metriken |
Flows |
Flows — Ansicht |
Flow-Module |
Flow-Module – Ansicht |
Prognosen |
Prognosen |
Historische Änderungen/Audit-Portal |
Zugriff auf Metriken |
Betriebsstunden |
Betriebsstunden – Anzeigen |
Anmelde-/Abmeldebericht |
Anmelde-/Abmeldebericht – Anzeigen |
Outbound-Kampagne |
Kampagnen – Ansicht |
Eingabeaufforderungen |
Eingabeaufforderungen – Ansicht |
Schnellverbindung |
Schnellverbindungen – Anzeigen |
Regeln |
Regeln – Anzeigen |
Gespeicherte Berichte |
Gespeicherte Berichte – Anzeigen |
Planung |
Zeitplanmanager |
Planung |
Veröffentlichter Terminkalender |
