Configuración de restricciones de direcciones IP y tiempos de espera de sesión en Amazon Connect - Amazon Connect
Configuración de los rangos de direcciones IP y la duración de la sesiónConfiguración del control de acceso basado en IPEjemplo de configuraciones de dirección IPConfiguración de la duración de la sesión

Configuración de restricciones de direcciones IP y tiempos de espera de sesión en Amazon Connect

nota

Esta característica está en versión preliminar y está sujeta a cambios. Para obtener acceso a esta característica, contacte con su arquitecto de soluciones, administrador técnico de cuentas o AWS Support de Amazon Connect.

Para restringir aún más su centro de contacto, por ejemplo, para cumplir con los requisitos y reglamentos de su sector, puede configurar restricciones de direcciones IP y tiempos de espera de sesión.

  • Las restricciones de direcciones IP requieren que los agentes inicien sesión únicamente desde su VPN o bloqueen el acceso desde países o subredes específicos.

  • Los tiempos de espera de sesión requieren que los agentes vuelvan a iniciar sesión en Amazon Connect.

En Amazon Connect, se configura un perfil de autenticación para establecer las restricciones de direcciones IP y la duración de las sesiones de los agentes que han iniciado sesión. Un perfil de autenticación es un recurso que almacena la configuración de autenticación de los usuarios de su centro de contacto.

Configuración de los rangos de direcciones IP y la duración de la sesión

La instancia de Amazon Connect incluye un perfil de autenticación predeterminado. Este perfil de autenticación se aplica automáticamente a todos los usuarios de su centro de contacto. No es necesario que asigne el perfil de autenticación a los usuarios para que se aplique.

Para configurar el perfil de autenticación predeterminado, use los siguientes comandos del AWS SDK.

sugerencia

Necesita el ID de su instancia de Amazon Connect para ejecutar estos comandos. Para ver las instrucciones sobre cómo encontrar el ID de instancia, consulte Búsqueda del ARN o del ID de instancia de Amazon Connect.

  1. Enumere los perfiles de autenticación de su instancia para obtener el ID del perfil de autenticación que desea actualizar. Puede llamar a la API ListAuthenticationProfile o ejecutar el comando de la list-authentication-profiles CLI.

    A continuación, se muestra un comando list-authentication-profiles de ejemplo:

    aws connect list-authentication-profiles --instance-id your-instance-id

    A continuación se muestra un ejemplo del perfil de autenticación predeterminado que devuelve el comando list-authentication-profiles.

    {
    "AuthenticationProfileSummaryList": [
        {
        "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
        "Id": "profile-id",
        "IsDefault": true,
        "LastModifiedRegion": "us-west-2",
        "LastModifiedTime": 1.719249173664E9,
        "Name": "Default Authentication Profile"
        }
    ],
    "NextToken": null
}

  2. Consulte la configuración del perfil de autenticación que desea actualizar. Puede llamar a DescribeAuthenticationProfile o ejecutar el comando o el comando de la describe-authentication-profile CLI.

    A continuación, se muestra un comando describe-authentication-profile de ejemplo:

    aws connect describe-authentication-profile --instance-id your-instance-id --profile-id profile-id

    A continuación, se muestra un ejemplo de la información que devuelve el comando describe-authentication-profile.

    {
    "AuthenticationProfile": {
    "AllowedIps": [],
    "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
    "BlockedIps": [],
    "CreatedTime": 1.718999177811E9,
    "Description": "A basic default Authentication Profile",
    "Id": "profile-id",
    "IsDefault": true,
    "LastModifiedRegion": "us-west-2",
    "LastModifiedTime": 1.719249173664E9,
    "MaxSessionDuration": 720,
    "Name": "Default Authentication Profile",
    "PeriodicSessionDuration": 60
    }
}

    Para obtener una descripción de cada campo, consulte AuthenticationProfile en la Referencia de la API de Amazon Connect.

  3. Configure el perfil de autenticación mediante la API UpdateAuthenticationProfile o el comando de la update-authentication-profile CLI. Todos los campos son opcionales salvo InstanceId y ProfileId. Solo se cambian los ajustes que defina en la llamada a la API.

    A continuación, se muestra un comando update-authentication-profile de ejemplo: Configura el perfil de autenticación predeterminado que se asigna automáticamente a todos los usuarios. Permite algunas direcciones IP, bloquea otras y establece la duración de la sesión periódica en 60 minutos.

    aws connect update-authentication-profile 
    --instance-id your-instance-id 
    --profile-id profile-id
    --name "Default Authentication Profile"
    --description "A basic default Authentication Profile"
    --allowed-ips "ip-range-1" "ip-range-2" ...
    --blocked-ips "ip-range-3" "ip-range-4" ...
    --periodic-session-duration 60

Configuración del control de acceso basado en IP

Si desea configurar el acceso a su centro de contacto en función de las direcciones IP, puede utilizar la característica de control de acceso basado en IP de su perfil de autenticación.

Hay dos tipos de configuraciones de IP que puede configurar en un perfil de autenticación: los rangos de direcciones IP permitidas y los rangos de direcciones IP bloqueadas. En los siguientes puntos se describe cómo funciona el control de acceso basado en IP.

  • Las direcciones IP pueden estar en los formatos IPV4 e IPV6.

  • Puede definir tanto direcciones IP individuales como rangos de direcciones IP en notación CIDR.

  • Las configuraciones de IP bloqueadas siempre tienen prioridad.

  • Si las direcciones IP están definidas en la lista de IP permitidas, solo se permiten esas direcciones IP.

    • Esta lista de direcciones IP se puede restringir mediante la lista de direcciones IP bloqueadas.

  • Si solo se definen las direcciones IP bloqueadas, cualquier dirección IP puede acceder a la instancia, excepto las definidas en la lista de bloqueados.

  • Si las direcciones IP están definidas tanto en la lista de direcciones IP permitidas como en la de bloqueadas, solo se permiten las direcciones IP definidas en el rango de las permitidas, excluyendo las direcciones IP del rango bloqueado.

nota

El control de acceso basado en direcciones IP no se aplica al inicio de sesión de administrador de emergencia. Para aplicar restricciones a este usuario, puede aplicar restricciones SourceIp a sus políticas de IAM para la API connect:AdminGetEmergencyAccessToken.

Cuando la instancia determine que la dirección IP de un usuario está bloqueada, la sesión del usuario quedará invalidada. El evento de cierre de sesión se publica en el informe de inicio/cierre de sesión.

Qué les sucede a los usuarios cuando hay un error al comprobar la dirección IP

Agentes

Cuando un agente está activo en el Panel de control de contacto (CCP), su dirección IP se comprueba periódicamente. La frecuencia con la que Amazon Connect comprueba la dirección IP depende de cómo haya configurado la duración de la sesión periódica en el perfil de autenticación.

A continuación, se muestra lo que sucede si la dirección IP no supera la comprobación:

  • Si el agente no está en una llamada activa, la sesión del agente se cierra si su dirección IP cambia a una dirección no permitida.

  • Si el agente está en una llamada activa, la sesión del agente queda invalidada; sin embargo, esto finaliza la llamada activa actualmente. Y ocurre lo siguiente:

    1. El agente pierde la capacidad de realizar cualquier acción, como cambiar el estado del agente, transferir llamadas, poner la llamada en espera, finalizarla o crear un caso.

    2. Se notifica al agente que su capacidad para actuar en el CCP está restringida.

    3. Si se conecta correctamente después de que la sesión se haya invalidado, vuelve a estar en la llamada activa y puede volver a realizar acciones.

Administradores y usuarios que utilizan el sitio web de administración de Amazon Connect

Cuando no se supera la comprobación de la dirección IP de los administradores y otros usuarios que realizan acciones en el sitio web de administración de Amazon Connect, por ejemplo, guardar las actualizaciones de los recursos o acceder a las llamadas activas, la sesión se cierra automáticamente.

Ejemplo de configuraciones de dirección IP

Ejemplo 1: Las direcciones IP solo están definidas en la lista de IP permitidas

  • AllowedIps: [ 111.222.0.0/16 ]

  • BlockedIps: [ ]

Resultado:

  • Solo las direcciones IP que se encuentren entre 111.222.0.0 y 111.222.255.255 puedan acceder a la instancia.

Ejemplo 2: Las direcciones IP solo están definidas en la lista de IP bloqueadas

  • AllowedIps: [ ]

  • BlockedIps: [155.155.155.0/24 ]

Resultado:

  • Se permiten todas las direcciones IP, excepto el rango de direcciones IP 155.155.155.0 - 155.155.155.255 incluido.

Ejemplo 3: Direcciones IP definidas tanto en la lista de IP permitidas como en la lista de IP bloqueadas

  • AllowedIps: [ 200.255.0.0/16 ]

  • BlockedIps: [200.255.10.0/24, 200.255.40.50, 192.123.211.211 ]

Resultado:

  • Se permiten las direcciones IP entre 200.255.0.0 - 200.255.255.255, menos (200.255.10.0 - 200.255.10.255 AND 200.255.40.50).

  • Efectivamente, 200.255.0.0 - 200.255.9.255, 200.255.11.0 - 200.255.40.49, 200.255.40.51 - 200.255.255.255 están permitidas.

  • 192.123.211.211 se ignora porque no está dentro del rango permitido.

Ejemplo 4: No hay direcciones IP definidas ni en la lista de IP permitidas ni en la lista de IP bloqueadas

  • AllowedIps: [ ]

  • BlockedIps: [ ]

En este caso, no hay restricciones.

importante

La lista allowedIps define el rango de posibles direcciones IP permitidas en su centro de contacto solo si no está vacía. Si está vacía, cualquier dirección IP podrá acceder a su centro de contacto a menos que la lista blockedIps la bloquee explícitamente.

Configuración de la duración de la sesión

Puede ajustar la duración de las sesiones periódicas conforme a las preferencias y los requisitos de seguridad de su organización. Por ejemplo, puede establecer la duración de la sesión periódica en 20 minutos para que la dirección IP y la duración de la sesión de su agente se comprueben en un periodo de 20 minutos en el CCP.

Amazon Connect utiliza un modelo de autenticación basado en tokens. Hay dos tiempos de espera de sesión que se aplican a las sesiones de usuario de su centro de contacto:

  • Duración de la sesión periódica: el periodo de tiempo máximo antes de que un usuario del centro de contacto se autentique. Valor predeterminado: 60 minutos. Esta opción se puede configurar con un valor diferente, entre 10 y 60.

    nota

    Si bien esta configuración define el intervalo de tiempo máximo que puede transcurrir antes de que un usuario se autentique, la autenticación puede producirse antes en determinadas situaciones. Por ejemplo, en el sitio web de administración de Amazon Connect, la autenticación también se realiza cada vez que se llevan a cabo determinadas acciones, como crear un usuario o cambiar un perfil de seguridad.

  • Duración máxima de la sesión: el periodo máximo de tiempo durante el que un usuario del centro de contacto puede iniciar tener la sesión iniciada antes de que se le obligue a volver a iniciar sesión. El valor predeterminado es 12 horas; no se puede configurar con un valor diferente.