Utilice roles y permisos de rol vinculados a servicios para Amazon Connect - Amazon Connect
¿Qué son las funciones vinculadas al servicio (SLR) y por qué son importantes?Permisos de roles vinculados al servicio para Amazon ConnectCreación de un rol vinculado al servicio para Amazon ConnectPara las instancias creadas antes de octubre de 2018Edición de un rol vinculado al servicio para Amazon ConnectComprobación de que un rol vinculado al servicio tiene permisos para Amazon LexEliminación de un rol vinculado al servicio para Amazon ConnectRegiones compatibles con los roles vinculados al servicio de Amazon Connect

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Utilice roles y permisos de rol vinculados a servicios para Amazon Connect

¿Qué son las funciones vinculadas al servicio (SLR) y por qué son importantes?

Amazon Connect usa AWS Identity and Access Management (IAM) roles vinculados al servicio. Un rol vinculado a un servicio es un tipo de IAM rol único que está vinculado directamente a una instancia de Amazon Connect.

Amazon Connect predefine las funciones vinculadas a servicios e incluyen todos los permisos que Amazon Connect necesita para llamar a otros AWS servicios en su nombre.

Debe habilitar las funciones vinculadas a servicios para poder utilizar las nuevas funciones de Amazon Connect, como el soporte de etiquetado, la nueva interfaz de usuario en los perfiles de gestión de usuarios y enrutamiento, y las colas con soporte. CloudTrail

Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte los servicios compatibles IAM y busque AWS los servicios con los que aparezca la palabra «» en la columna Función vinculada a servicios. Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Permisos de roles vinculados al servicio para Amazon Connect

Amazon Connect usa el rol vinculado al servicio con el prefijo _ AWSServiceRoleForAmazonConnectunique-id — Concede permiso a Amazon Connect para acceder a AWS los recursos en tu nombre.

La función vinculada a un servicio con AWSServiceRoleForAmazonConnect prefijo confía en los siguientes servicios para asumir la función:

  • connect.amazonaws.com

La política de permisos de AmazonConnectServiceLinkedRolePolicyroles permite a Amazon Connect realizar las siguientes acciones en los recursos especificados:

  • Acción: todas las acciones de Amazon Connect, connect:*, en todos los recursos de Amazon Connect.

  • Acción: IAM iam:DeleteRole permitir la eliminación del rol vinculado al servicio.

  • Acción: Amazon S3 s3:GetObject, s3:DeleteObject, s3:GetBucketLocation y GetBucketAcl para el bucket de S3 especificado para las conversaciones registradas.

    También concede s3:PutObject, s3:PutObjectAcl y s3:GetObjectAcl en el bucket especificado para los informes exportados.

  • Acción: Amazon CloudWatch Logs logs:CreateLogStream y logs:PutLogEvents al grupo de CloudWatch registros especificado para el registro de flujos. logs:DescribeLogStreams

  • Acción: lex:ListBots y lex:ListBotAliases de Amazon Lex para todos los bots creados en la cuenta en todas las regiones.

  • Acción: Perfiles de clientes de Amazon Connect

    • profile:SearchProfiles

    • profile:CreateProfile

    • profile:UpdateProfile

    • profile:AddProfileKey

    • profile:ListProfileObjects

    • profile:ListAccountIntegrations

    • profile:ListProfileObjectTypeTemplates

    • profile:GetProfileObjectTypeTemplate

    • profile:ListProfileObjectTypes

    • profile:GetProfileObjectType

    • profile:ListCalculatedAttributeDefinitions

    • profile:GetCalculatedAttributeForProfile

    • profile:ListCalculatedAttributesForProfile

    • profile:GetDomain

    • profile:ListIntegrations

    • profile:CreateCalculatedAttributeDefinition

    • profile:DeleteCalculatedAttributeDefinition

    • profile:GetCalculatedAttributeDefinition

    • profile:UpdateCalculatedAttributeDefinition

    • profile:PutProfileObject

    para utilizar su dominio predeterminado de Perfiles de clientes (incluidos los perfiles y todos los tipos de objetos del dominio) con los flujos de Amazon Connect y las aplicaciones de experiencia de agente.

    nota

    Cada instancia de Amazon Connect solo se puede asociar a un dominio a la vez. Sin embargo, puedes vincular cualquier dominio a una instancia de Amazon Connect. El acceso entre dominios dentro de la misma AWS cuenta y región se habilita automáticamente para todos los dominios que comiencen con el prefijoamazon-connect-. Para restringir el acceso entre dominios, puede usar instancias de Amazon Connect independientes para particionar sus datos de forma lógica o usar nombres de dominio de perfiles de clientes dentro de la misma instancia que no comiencen con el amazon-connect- prefijo, lo que impide el acceso entre dominios.

  • Acción: Amazon Q in Connect de Amazon Connect

    • wisdom:CreateContent

    • wisdom:DeleteContent

    • wisdom:CreateKnowledgeBase

    • wisdom:GetAssistant

    • wisdom:GetKnowledgeBase

    • wisdom:GetContent

    • wisdom:GetRecommendations

    • wisdom:GetSession

    • wisdom:NotifyRecommendationsReceived

    • wisdom:QueryAssistant

    • wisdom:StartContentUpload

    • wisdom:UntagResource

    • wisdom:TagResource

    • wisdom:CreateSession

    • wisdom:CreateQuickResponse

    • wisdom:GetQuickResponse

    • wisdom:SearchQuickResponses

    • wisdom:StartImportJob

    • wisdom:GetImportJob

    • wisdom:ListImportJobs

    • wisdom:ListQuickResponses

    • wisdom:UpdateQuickResponse

    • wisdom:DeleteQuickResponse

    • wisdom:PutFeedback

    • wisdom:ListContentAssociations

    con la etiqueta de recurso 'AmazonConnectEnabled':'True' en todos los recursos de Amazon Q in Connect de Amazon Connect asociados con la instancia de Amazon Connect.

    • wisdom:ListAssistants

    • wisdom:KnowledgeBases

    en todos los recursos de Amazon Q in Connect de Amazon Connect.

  • Acción: Amazon CloudWatch Metrics publicará cloudwatch:PutMetricData las métricas de uso de Amazon Connect de una instancia en su cuenta.

  • Acción: Amazon Pinpoint sms:DescribePhoneNumbers y sms:SendTextMessage permitir que Amazon Connect envíe. SMS

  • Acción: grupos de usuarios de Amazon Cognito cognito-idp:DescribeUserPool y permitir el acceso de Amazon Connect cognito-idp:ListUserPoolClients a determinadas operaciones de lectura en los recursos de los grupos de usuarios de Amazon Cognito que tienen AmazonConnectEnabled una etiqueta de recurso.

A medida que se habilitan las características adicionales en Amazon Connect, se agregan permisos adicionales para el rol vinculado al servicio a fin de acceder a los recursos asociados con estas características mediante el uso de políticas en línea:

  • Acción: Amazon Data Firehose firehose:DescribeDeliveryStream yfirehose:PutRecord, y firehose:PutRecordBatch para el flujo de entrega definido para los flujos de eventos de los agentes y los registros de contactos.

  • Acción: kinesis:PutRecord, kinesis:PutRecords y kinesis:DescribeStream de Amazon Kinesis Data Streams para el flujo especificado para los flujos de eventos de agente y los registros de contacto.

  • Acción: lex:PostContent de Amazon Lex para los bots agregados a su instancia.

  • Acción: voiceid:* de Amazon Connect Voice ID para los dominios de Voice ID asociados a su instancia.

  • Acción: EventBridge events:PutRule y events:PutTargets para la EventBridge regla gestionada de Amazon Connect para publicar CTR registros para los dominios de Voice ID asociados.

  • Acción: campañas externas

    • connect-campaigns:CreateCampaign

    • connect-campaigns:DeleteCampaign

    • connect-campaigns:DescribeCampaign

    • connect-campaigns:UpdateCampaignName

    • connect-campaigns:GetCampaignState

    • connect-campaigns:GetCampaignStateBatch

    • connect-campaigns:ListCampaigns

    • connect-campaigns:UpdateOutboundCallConfig

    • connect-campaigns:UpdateDialerConfig

    • connect-campaigns:PauseCampaign

    • connect-campaigns:ResumeCampaign

    • connect-campaigns:StopCampaign

    para todas las operaciones relacionadas con las campañas externas.

Debes configurar los permisos para permitir que una IAM entidad (como un usuario, un grupo o un rol) cree, edite o elimine un rol vinculado a un servicio. Para obtener más información, consulte los permisos de los roles vinculados a un servicio en la Guía del usuario. IAM

Creación de un rol vinculado al servicio para Amazon Connect

No necesita crear manualmente un rol vinculado a servicios. Cuando creas una nueva instancia en Amazon Connect en AWS Management Console, Amazon Connect crea el rol vinculado al servicio por ti.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando cree una nueva instancia en Amazon Connect, este volverá a crear el rol vinculado al servicio para usted.

También puedes usar la IAM consola para crear un rol vinculado a un servicio con el caso de uso Amazon Connect: acceso total. En IAM CLI o en IAMAPI, cree un rol vinculado a un servicio con el nombre del servicio. connect.amazonaws.com Para obtener más información, consulte Creación de un rol vinculado a un servicio en la Guía del usuario. IAM Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.

Para las instancias creadas antes de octubre de 2018

sugerencia

¿Tienes problemas para iniciar sesión para administrar tu cuenta? AWS ¿No sabes quién administra tu AWS cuenta? Para obtener ayuda, consulta Solución de problemas de inicio de sesión en la AWS cuenta.

Si su instancia de Amazon Connect se creó antes de octubre de 2018, no tiene configurados los roles vinculados al servicio. Para crear un rol vinculado al servicio, en la página Información general de la cuenta, elija Crear un rol vinculado al servicio, como se muestra en la siguiente imagen.

La página de información general de la cuenta, el botón para crear un rol vinculado al servicio.

Para ver una lista de los IAM permisos necesarios para crear el rol vinculado al servicio, consulta Página de información general el tema. Permisos necesarios para utilizar IAM políticas personalizadas a fin de gestionar el acceso al sitio web de administración de Amazon Connect

Edición de un rol vinculado al servicio para Amazon Connect

Amazon Connect no le permite editar la función vinculada al servicio con AWSServiceRoleForAmazonConnect prefijo. Después de crear un rol vinculado a un servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al mismo. Sin embargo, puede editar la descripción del rol utilizando. IAM Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del IAMusuario.

Comprobación de que un rol vinculado al servicio tiene permisos para Amazon Lex

  1. En el panel de navegación de la IAM consola, elija Roles.

  2. Seleccione el nombre del rol que desea modificar.

Eliminación de un rol vinculado al servicio para Amazon Connect

No es necesario eliminar manualmente el rol con el AWSServiceRoleForAmazonConnect prefijo. Cuando eliminas tu instancia de Amazon Connect en AWS Management Console, Amazon Connect limpia los recursos y elimina el rol vinculado al servicio por ti.

Regiones compatibles con los roles vinculados al servicio de Amazon Connect

Amazon Connect es compatible con el uso de roles vinculados al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte AWS Puntos de conexión y regiones.