Utiliser les rôles liés aux services et les autorisations de rôle pour Amazon Connect - Amazon Connect
Que sont les rôles liés aux services (SLR) et pourquoi sont-ils importants ?Autorisations de rôle lié à un service pour Amazon ConnectCréation d'un rôle lié à un service pour Amazon ConnectPour les instances créées avant octobre 2018Modification d'un rôle lié à un service pour Amazon ConnectVérification qu'un rôle lié à un service dispose d'autorisations pour Amazon LexSuppression d'un rôle lié à un service pour Amazon ConnectRégions prises en charge pour les rôles liés à un service Amazon Connect

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser les rôles liés aux services et les autorisations de rôle pour Amazon Connect

Que sont les rôles liés aux services (SLR) et pourquoi sont-ils importants ?

Amazon Connect utilise AWS Identity and Access Management (IAM) des rôles liés à un service. Un rôle lié à un service est un type unique de IAM rôle directement lié à une instance Amazon Connect.

Les rôles liés aux services sont prédéfinis par Amazon Connect et incluent toutes les autorisations dont Amazon Connect a besoin pour appeler d'autres AWS services en votre nom.

Vous devez activer les rôles liés aux services afin de pouvoir utiliser les nouvelles fonctionnalités d'Amazon Connect, telles que la prise en charge du balisage, la nouvelle interface utilisateur dans la gestion des utilisateurs et les profils de routage, ainsi que les files d'attente avec assistance. CloudTrail

Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section AWS Services qui fonctionnent avec IAM et recherchez les services dont la valeur est Oui dans la colonne Rôle lié au service. Choisissez un Oui ayant un lien permettant de consulter les détails du rôle pour ce service.

Autorisations de rôle lié à un service pour Amazon Connect

Amazon Connect utilise le rôle lié à un service avec le préfixe _ AWSServiceRoleForAmazonConnectunique-id — Accorde à Amazon Connect l'autorisation d'accéder aux AWS ressources en votre nom.

Le rôle AWSServiceRoleForAmazonConnect préfixé lié à un service fait confiance aux services suivants pour assumer le rôle :

  • connect.amazonaws.com

La politique d'autorisation des AmazonConnectServiceLinkedRolePolicyrôles permet à Amazon Connect d'effectuer les actions suivantes sur les ressources spécifiées :

  • Action : toutes les actions Amazon Connect, connect:*, sur toutes les ressources Amazon Connect.

  • Action : IAM iam:DeleteRole pour autoriser la suppression du rôle lié au service.

  • Action : s3:GetObject, s3:DeleteObject, s3:GetBucketLocation et GetBucketAcl d’Amazon S3 pour le compartiment S3 spécifié pour les conversations enregistrées.

    Elle accorde également s3:PutObject, s3:PutObjectAcl et s3:GetObjectAcl au compartiment spécifié pour les rapports exportés.

  • Action : Amazon CloudWatch Logs logs:CreateLogStreamlogs:DescribeLogStreams, et logs:PutLogEvents vers le groupe CloudWatch Logs spécifié pour la journalisation des flux.

  • Action : Amazon Lexlex:ListBots, lex:ListBotAliases pour tous les robots créés dans le compte dans toutes les régions.

  • Action : Profils des clients Amazon Connect

    • profile:SearchProfiles

    • profile:CreateProfile

    • profile:UpdateProfile

    • profile:AddProfileKey

    • profile:ListProfileObjects

    • profile:ListAccountIntegrations

    • profile:ListProfileObjectTypeTemplates

    • profile:GetProfileObjectTypeTemplate

    • profile:ListProfileObjectTypes

    • profile:GetProfileObjectType

    • profile:ListCalculatedAttributeDefinitions

    • profile:GetCalculatedAttributeForProfile

    • profile:ListCalculatedAttributesForProfile

    • profile:GetDomain

    • profile:ListIntegrations

    • profile:CreateCalculatedAttributeDefinition

    • profile:DeleteCalculatedAttributeDefinition

    • profile:GetCalculatedAttributeDefinition

    • profile:UpdateCalculatedAttributeDefinition

    • profile:PutProfileObject

    pour utiliser votre domaine Profils des clients par défaut (y compris les profils et tous les types d'objets du domaine) avec les flux Amazon Connect et les applications d'expérience de l'agent.

    Note

    Chaque instance Amazon Connect ne peut être associée qu'à un seul domaine à la fois. Cependant, vous pouvez associer n'importe quel domaine à une instance Amazon Connect. L'accès entre domaines au sein d'un même AWS compte et d'une même région est automatiquement activé pour tous les domaines commençant par le préfixeamazon-connect-. Pour restreindre l'accès entre domaines, vous pouvez soit utiliser des instances Amazon Connect distinctes pour partitionner logiquement vos données, soit utiliser des noms de domaine Customer Profiles au sein de la même instance qui ne commencent pas par le amazon-connect- préfixe, empêchant ainsi l'accès entre domaines.

  • Action : Amazon Connect Amazon Q in Connect

    • wisdom:CreateContent

    • wisdom:DeleteContent

    • wisdom:CreateKnowledgeBase

    • wisdom:GetAssistant

    • wisdom:GetKnowledgeBase

    • wisdom:GetContent

    • wisdom:GetRecommendations

    • wisdom:GetSession

    • wisdom:NotifyRecommendationsReceived

    • wisdom:QueryAssistant

    • wisdom:StartContentUpload

    • wisdom:UntagResource

    • wisdom:TagResource

    • wisdom:CreateSession

    • wisdom:CreateQuickResponse

    • wisdom:GetQuickResponse

    • wisdom:SearchQuickResponses

    • wisdom:StartImportJob

    • wisdom:GetImportJob

    • wisdom:ListImportJobs

    • wisdom:ListQuickResponses

    • wisdom:UpdateQuickResponse

    • wisdom:DeleteQuickResponse

    • wisdom:PutFeedback

    • wisdom:ListContentAssociations

    avec la balise de ressource 'AmazonConnectEnabled':'True' sur toutes les ressources Amazon Connect Amazon Q in Connect associées à votre instance Amazon Connect.

    • wisdom:ListAssistants

    • wisdom:KnowledgeBases

    sur toutes les ressources Amazon Connect Amazon Q in Connect.

  • Action : Amazon CloudWatch Metrics cloudwatch:PutMetricData pour publier les statistiques d'utilisation d'Amazon Connect pour une instance sur votre compte.

  • Action : Amazon Pinpoint sms:DescribePhoneNumbers et sms:SendTextMessage autoriser Amazon Connect à envoyer. SMS

  • Action : groupes d'utilisateurs Amazon Cognito cognito-idp:DescribeUserPool et autorisation d'accéder cognito-idp:ListUserPoolClients à Amazon Connect pour sélectionner les opérations de lecture sur les ressources des groupes d'utilisateurs Amazon Cognito dotées d'une balise de ressource. AmazonConnectEnabled

  • Action : Amazon Chime SDK Voice Connector autorisera l'accès en lecture chime:GetVoiceConnector à Amazon Connect sur toutes les ressources Amazon SDK Chime Voice Connector dotées 'AmazonConnectEnabled':'True' d'une balise de ressource.

  • Action : Amazon Chime SDK Voice Connector chime:ListVoiceConnectors pour tous les connecteurs vocaux Amazon SDK Chime créés dans le compte dans toutes les régions.

Lorsque vous activez des fonctionnalités supplémentaires dans Amazon Connect, les autorisations suivantes sont ajoutées pour que le rôle lié à un service puisse accéder aux ressources associées à ces fonctionnalités en utilisant les politiques intégrées :

  • Action : Amazon Data Firehose firehose:DescribeDeliveryStream et firehose:PutRecord pour le flux de diffusion défini firehose:PutRecordBatch pour les flux d'événements des agents et les enregistrements de contacts.

  • Action : Amazon Kinesis Data Streams kinesis:PutRecord, kinesis:PutRecords et kinesis:DescribeStream pour le flux spécifié pour les flux d'événements d'agent et les enregistrements de contact.

  • Action : Amazon Lex lex:PostContent pour les robots ajoutés à votre instance.

  • Action : Amazon Connect Voice-ID voiceid:* pour les domaines Voice ID associés à votre instance.

  • Action : EventBridge events:PutRule et events:PutTargets pour la EventBridge règle gérée par Amazon Connect pour la publication d'CTRenregistrements pour les domaines Voice ID associés.

  • Action : campagnes sortantes

    • connect-campaigns:CreateCampaign

    • connect-campaigns:DeleteCampaign

    • connect-campaigns:DescribeCampaign

    • connect-campaigns:UpdateCampaignName

    • connect-campaigns:GetCampaignState

    • connect-campaigns:GetCampaignStateBatch

    • connect-campaigns:ListCampaigns

    • connect-campaigns:UpdateOutboundCallConfig

    • connect-campaigns:UpdateDialerConfig

    • connect-campaigns:PauseCampaign

    • connect-campaigns:ResumeCampaign

    • connect-campaigns:StopCampaign

    pour toutes les opérations liées aux campagnes sortantes.

Vous devez configurer les autorisations pour autoriser une IAM entité (telle qu'un utilisateur, un groupe ou un rôle) à créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez la section Autorisations relatives aux rôles liés à un service dans le Guide de l'IAMutilisateur.

Création d'un rôle lié à un service pour Amazon Connect

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez une nouvelle instance dans Amazon Connect dans le AWS Management Console, Amazon Connect crée pour vous le rôle lié au service.

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez une nouvelle instance dans Amazon Connect, Amazon Connect crée à nouveau pour vous le rôle lié à un service.

Vous pouvez également utiliser la IAM console pour créer un rôle lié à un service avec le cas d'utilisation Amazon Connect - Accès complet. Dans le IAM CLI ou le IAMAPI, créez un rôle lié au service avec le nom du connect.amazonaws.com service. Pour plus d'informations, consultez la section Création d'un rôle lié à un service dans le Guide de l'IAMutilisateur. Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.

Pour les instances créées avant octobre 2018

Astuce

Vous ne parvenez pas à vous connecter pour gérer votre AWS compte ? Vous ne savez pas qui gère votre AWS compte ? Pour obtenir de l'aide, consultez la section Résolution des problèmes de connexion au AWS compte.

Si votre instance Amazon Connect a été créée avant octobre 2018, aucun rôle lié à un service n'est configuré. Pour créer un rôle lié à un service, sur la page Présentation du compte, choisissez Créer un rôle lié à un service, comme illustré dans l'image suivante.

Page Présentation du compte, bouton Créer un rôle lié à un service.

Pour obtenir la liste des IAM autorisations requises pour créer le rôle lié à un service, consultez Page Présentation la Autorisations requises pour utiliser des IAM politiques personnalisées afin de gérer l'accès au site Web d'administration Amazon Connect rubrique.

Modification d'un rôle lié à un service pour Amazon Connect

Amazon Connect ne vous permet pas de modifier le rôle AWSServiceRoleForAmazonConnect préfixé lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Vous pouvez toutefois modifier la description du rôle à l'aide deIAM. Pour plus d'informations, consultez la section Modification d'un rôle lié à un service dans le Guide de l'IAMutilisateur.

Vérification qu'un rôle lié à un service dispose d'autorisations pour Amazon Lex

  1. Dans le volet de navigation de la IAM console, sélectionnez Rôles.

  2. Choisissez le nom du rôle à modifier.

Suppression d'un rôle lié à un service pour Amazon Connect

Il n'est pas nécessaire de supprimer manuellement le rôle AWSServiceRoleForAmazonConnect préfixé. Lorsque vous supprimez votre instance Amazon Connect dans le AWS Management Console, Amazon Connect nettoie les ressources et supprime pour vous le rôle lié au service.

Régions prises en charge pour les rôles liés à un service Amazon Connect

Amazon Connect prend en charge l'utilisation des rôles liés à un service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez AWS Régions et points de terminaison.