Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de políticas basadas en identidades de Amazon Connect
De forma predeterminada, los usuarios de IAM no tienen permiso para crear ni modificar recursos de Amazon Connect. Tampoco pueden realizar tareas con la AWS API AWS Management Console AWS CLI, o. Un administrador de IAM debe crear políticas de IAM que concedan permiso a las entidades de IAM para realizar operaciones de API concretas en los recursos especificados que necesiten. El administrador de IAM debe asociar esas políticas a las entidades de IAM que necesiten esos permisos.
Para obtener información acerca de cómo crear una política basada en identidades de IAM con estos documentos de políticas JSON de ejemplo, consulte Creación de políticas en la pestaña JSON en la Guía del usuario de IAM.
Contenido
- Prácticas recomendadas sobre las políticas
- Permitir a los usuarios de IAM ver sus propios permisos
- Conceder permisos "Consultar usuario"
- Permiso para que los usuarios se integren con aplicaciones externas
- Descripción y actualización de usuarios de Amazon Connect en función de las etiquetas
- Creación de usuarios de Amazon Connect basados en etiquetas
- Crea y consulta los AppIntegrations recursos de Amazon
- Creación y visualización de asistentes de Amazon Q in Connect
- Administración de recursos de campañas externas
Prácticas recomendadas sobre las políticas
Las políticas basadas en identidades determinan si alguien puede crear, eliminar o acceder a los recursos de Amazon Connect de la cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
-
Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las políticas AWS administradas que otorgan permisos en muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las políticas administradas por AWS o las políticas administradas por AWS para funciones de trabajo en la Guía del usuario de IAM.
-
Aplique permisos de privilegio mínimo: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se puedes llevar a cabo en determinados recursos en condiciones específicas, también conocidos como permisos de privilegios mínimos. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulta Políticas y permisos en IAM en la Guía del usuario de IAM.
-
Utiliza condiciones en las políticas de IAM para restringir aún más el acceso: puedes agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puedes escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo AWS CloudFormation. Para obtener más información, consulte Elementos de la política de JSON de IAM: condición en la Guía del usuario de IAM.
-
Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte Validación de políticas mediante el Analizador de acceso de IAM en la Guía de usuario de IAM.
-
Requerir autenticación multifactor (MFA): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte Acceso seguro a la API con MFA en la Guía de usuario de IAM.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte Prácticas recomendadas de seguridad en IAM en la Guía del usuario de IAM.
Permitir a los usuarios de IAM ver sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas gestionadas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API o. AWS CLI AWS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Conceder permisos "Consultar usuario"
Al crear un usuario o un grupo en su AWS cuenta, puede asociar una política de IAM a ese grupo o usuario, que especifique los permisos que desea conceder.
Por ejemplo, imagine que tiene un grupo de desarrolladores de nivel inicial. Puede crear un grupo de IAM denominado Junior application developers e incluir todos los desarrolladores de nivel inicial. A continuación, asocie una política al grupo que les concede permisos para ver los usuarios de Amazon Connect. En esta situación, es posible que tenga una política como la que se muestra en el siguiente ejemplo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "connect:DescribeUser", "connect:ListUsers" ], "Resource": "*" } ] }
Esta política de ejemplo concede permisos a las acciones de la API que aparecen en el elemento Action.
nota
Si no especifica un ID o ARN de usuario en su declaración, también debe conceder permiso para utilizar todos los recursos para la acción mediante el carácter comodín * del elemento Resource.
Permiso para que los usuarios se integren con aplicaciones externas
En este ejemplo se muestra cómo podría crear una política que permita a los usuarios interactuar con sus integraciones de aplicaciones externas.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllAppIntegrationsActions", "Effect": "Allow", "Action": [ "app-integrations:ListEventIntegrations", "app-integrations:CreateEventIntegration", "app-integrations:GetEventIntegration", "app-integrations:UpdateEventIntegration", "app-integrations:DeleteEventIntegration", "app-integrations:ListDataIntegrations", "app-integrations:CreateDataIntegration", "app-integrations:GetDataIntegration", "app-integrations:UpdateDataIntegration", "app-integartions:DeleteDataIntegration" ], "Resource": "*" } ] }
Descripción y actualización de usuarios de Amazon Connect en función de las etiquetas
En una política de IAM, tiene la opción de especificar las condiciones que controlan cuándo está en vigor una política. Por ejemplo, puede definir una política que permite a los usuarios actualizar únicamente un usuario de Amazon Connect que está trabajando en el entorno de prueba.
Puede definir algunas condiciones que sean específicas de Amazon Connect y definir otras condiciones que se apliquen a todos AWS. Para obtener más información y una lista de condiciones generales, consulte AWS la referencia sobre la condición en los elementos de política JSON de IAM en la Guía del usuario de IAM.
En esta política de ejemplo, se permiten las acciones "describe" (describir) y "update" (actualizar) a usuarios con etiquetas específicas
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "connect:DescribeUser", "connect:UpdateUser*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Test" } } } ] }
Esta política permite “describir usuario” y “actualizar usuario”, pero solo a aquellos usuarios de Amazon Connect que cuenten con la etiqueta “Departamento: prueba” donde “Departamento” es la clave de la etiqueta y “Prueba” es el valor de la etiqueta.
Creación de usuarios de Amazon Connect basados en etiquetas
La siguiente política de ejemplo permite las acciones "create" (crear) a usuarios con etiquetas de solicitud específicas
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "connect:CreateUser", "connect:TagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/Owner": "TeamA" } } } ] }
Esta política permite “crear usuario” y “etiquetar recurso”, aunque la etiqueta “Propietario: EquipoA” debe estar presente en las solicitudes.
Crea y consulta los AppIntegrations recursos de Amazon
La siguiente política de ejemplo permite crear, enumerar y recuperar integraciones de eventos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "app-integrations:CreateEventIntegration", "app-integrations:GetEventIntegration", "app-integrations::ListEventIntegrations", ], "Resource": "*" } ] }
Creación y visualización de asistentes de Amazon Q in Connect
La siguiente política de ejemplo permite crear, enumerar, buscar y eliminar asistentes de Amazon Q in Connect.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "wisdom:CreateContent", "wisdom:DeleteContent", "wisdom:CreateKnowledgeBase", "wisdom:GetAssistant", "wisdom:GetKnowledgeBase", "wisdom:GetContent", "wisdom:GetRecommendations", "wisdom:GetSession", "wisdom:NotifyRecommendationsReceived", "wisdom:QueryAssistant", "wisdom:StartContentUpload", "wisdom:UpdateContent", "wisdom:UntagResource", "wisdom:TagResource", "wisdom:CreateSession" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/AmazonConnectEnabled": "True" } } }, { "Action": [ "wisdom:ListAssistants", "wisdom:ListKnowledgeBases" ], "Effect": "Allow", "Resource": "*" } ] }
Administración de recursos de campañas externas
Permisos de incorporación: la siguiente política de ejemplo permite incorporar instancias de Amazon Connect a campañas externas.
"Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:CreateGrant" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ] }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "connect:DescribeInstance" ], "Resource": [ "arn:aws:connect:region:account-id:instance/instance-id" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": [ "events:PutTargets", "events:PutRule", "iam:CreateServiceLinkedRole", "iam:AttachRolePolicy", "iam:PutRolePolicy", "ds:DescribeDirectories", "connect-campaigns:StartInstanceOnboardingJob", "connect-campaigns:GetConnectInstanceConfig", "connect-campaigns:GetInstanceOnboardingJobStatus", "connect-campaigns:DeleteInstanceOnboardingJob", "connect:DescribeInstanceAttribute", "connect:UpdateInstanceAttribute", "connect:ListInstances", "kms:ListAliases" ], "Resource": "*" }
Para deshabilitar las campañas externas de una instancia, agregue los siguientes permisos:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:RetireGrant" ], "Resource": [ "arn:aws:kms:region:account-id:key/key-id" ] }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "events:DeleteRule", "events:RemoveTargets", "events:DescribeRule", "iam:DeleteRolePolicy", "events:ListTargetsByRule", "iam:DeleteServiceLinkedRole", "connect-campaigns:DeleteConnectInstanceConfig" ], "Resource": "*" } ]
Permisos de administración: la siguiente política de ejemplo permite todas las operaciones de lectura y escritura en las campañas externas.
{ "Sid": "AllowConnectCampaignsOperations", "Effect": "Allow", "Action": [ "connect-campaigns:CreateCampaign", "connect-campaigns:DeleteCampaign", "connect-campaigns:DescribeCampaign", "connect-campaigns:UpdateCampaignName", "connect-campaigns:GetCampaignState" "connect-campaigns:UpdateOutboundCallConfig", "connect-campaigns:UpdateDialerConfig", "connect-campaigns:PauseCampaign", "connect-campaigns:ResumeCampaign", "connect-campaigns:StopCampaign", "connect-campaigns:GetCampaignStateBatch", "connect-campaigns:ListCampaigns" ], "Resource": "*" }
ReadOnly permisos: el siguiente ejemplo de política permite el acceso de solo lectura a las campañas.
{ "Sid": "AllowConnectCampaignsReadOnlyOperations", "Effect": "Allow", "Action": [ "connect-campaigns:DescribeCampaign", "connect-campaigns:GetCampaignState", "connect-campaigns:GetCampaignStateBatch", "connect-campaigns:ListCampaigns" ], "Resource": "*", }
Permisos basados en etiquetas: la siguiente política de ejemplo restringe el acceso a las campañas integradas con una instancia de Amazon Connect concreta mediante etiquetas. Se pueden agregar más permisos en función del caso de uso.
{ "Sid": "AllowConnectCampaignsOperations", "Effect": "Allow", "Action": [ "connect-campaigns:DescribeCampaign", "connect-campaigns:GetCampaignState" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/owner": "arn:aws:connect:region:customer_account_id:instance/connect_instance_id" } } }
nota
Las operaciones connect-campaigns:ListCampaigns y connect-campaigns:GetCampaignStateBatch no pueden restringirse mediante etiqueta.
