Restrinja AWS los recursos que se pueden asociar a Amazon Connect - Amazon Connect

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Restrinja AWS los recursos que se pueden asociar a Amazon Connect

Cada instancia de Amazon Connect se asocia a un rol IAM vinculado a un servicio cuando se crea la instancia. Amazon Connect puede integrarse con otros servicios de AWS para casos de uso como el almacenamiento de grabaciones de llamadas (bucket de Amazon S3), bots de lenguaje natural (bots de Amazon Lex) y streaming de datos (Amazon Kinesis Data Streams). Amazon Connect asume el rol vinculado al servicio para interactuar con estos otros servicios. La política se añade primero a la función vinculada al servicio como parte de la correspondiente APIs en el servicio Amazon Connect (al que, a su vez, el sitio web de AWS administración llama). Por ejemplo, si quiere usar un determinado bucket de Amazon S3 con su instancia de Amazon Connect, el bucket debe pasarse al AssociateInstanceStorageConfigAPI.

Para ver el conjunto de IAM acciones definidas por Amazon Connect, consulte Acciones definidas por Amazon Connect.

A continuación, se ofrecen algunos ejemplos de cómo restringir el acceso a otros recursos que pueden estar asociados a una instancia de Amazon Connect. Deben aplicarse al usuario o rol que interactúa con Amazon Connect APIs o al sitio web de administración de Amazon Connect.

nota

Una política con un Deny explícito anularía la política Allow de estos ejemplos.

Para obtener más información sobre los recursos, las claves de condición y los dependientes APIs que puede utilizar para restringir el acceso, consulte Acciones, recursos y claves de condición de Amazon Connect.

Ejemplo 1: restringir qué buckets de Amazon S3 se pueden asociar a una instancia de Amazon Connect

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:UpdateInstanceStorageConfig", "connect:AssociateInstanceStorageConfig" ], "Resource": "arn:aws:connect:region:account-id:instance/instance-id", "Condition": { "StringEquals": { "connect:StorageResourceType": "CALL_RECORDINGS" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:iam::account-id:role/aws-service-role/connect.amazonaws.com/*", "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "*" } ] }

Este ejemplo permite a un IAM director asociar un bucket de Amazon S3 para las grabaciones de llamadas de la instancia de Amazon Connect en ARN cuestión y un bucket de Amazon S3 específico denominadomy-connect-recording-bucket. Las PutRolePolicy acciones AttachRolePolicy y se limitan al rol vinculado al servicio Amazon Connect (en este ejemplo se usa un comodín, pero puedes proporcionar el rol ARN para la instancia si es necesario).

nota

Para usar una AWS KMS clave para cifrar las grabaciones de este depósito, se necesita una política adicional.

Ejemplo 2: restringir qué funciones de AWS Lambda se pueden asociar a una instancia de Amazon Connect

AWS Lambda las funciones están asociadas a una instancia de Amazon Connect, pero el rol vinculado al servicio Amazon Connect no se usa para invocarlas y, por lo tanto, no se modifica. En su lugar, se añade una política a la función mediante la lambda:AddPermission API que permite que la instancia de Amazon Connect en cuestión invoque la función.

Para restringir qué funciones se pueden asociar a una instancia de Amazon Connect, especifique la función Lambda ARN que el usuario puede usar para invocar: lambda:AddPermission

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:AssociateLambdaFunction", "lambda:AddPermission" ], "Resource": [ "arn:aws:connect:region:account-id:instance/instance-id", "arn:aws:lambda:*:*:function:my-function" ] } ] }

Ejemplo 3: restringir qué flujos de Amazon Kinesis Data Streams se pueden asociar a una instancia de Amazon Connect

Este ejemplo sigue un modelo similar al ejemplo de Amazon S3. Restringe qué flujos de datos de Kinesis específicos pueden asociarse a una instancia de Amazon Connect determinada para entregar registros de contacto.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:UpdateInstanceStorageConfig", "connect:AssociateInstanceStorageConfig" ], "Resource": "arn:aws:connect:region:account-id:instance/instance-id", "Condition": { "StringEquals": { "connect:StorageResourceType": "CONTACT_TRACE_RECORDS" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "kinesis:DescribeStream", "iam:PutRolePolicy" ], "Resource": [ "arn:aws:iam::account-id:role/aws-service-role/connect.amazonaws.com/*", "arn:aws:kinesis:*:account-id:stream/stream-name" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": "kinesis:ListStreams", "Resource": "*" } ] }