Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Restreindre les AWS ressources qui peuvent être associées à Amazon Connect
Chaque instance Amazon Connect est associée à un rôle IAM lié à un service lors de sa création. Amazon Connect peut s'intégrer à d'autres services AWS pour des cas d'utilisation tels que le stockage des enregistrements d'appels (compartiment Amazon S3), les robots en langage naturel (robots Amazon Lex) et le streaming de données (Amazon Kinesis Data Streams). Amazon Connect assume le rôle lié au service pour interagir avec ces autres services. La politique est d'abord ajoutée au rôle lié au service dans le cadre de la correspondance APIs sur le service Amazon Connect (qui est à son tour appelé par le site Web de l' AWS administrateur). Par exemple, si vous souhaitez utiliser un certain compartiment Amazon S3 avec votre instance Amazon Connect, le compartiment doit être transmis au AssociateInstanceStorageConfigAPI.
Pour connaître l'ensemble des IAM actions définies par Amazon Connect, consultez la section Actions définies par Amazon Connect.
Voici quelques exemples de la manière de limiter l'accès à d'autres ressources susceptibles d'être associées à une instance Amazon Connect. Ils doivent être appliqués à l'utilisateur ou au rôle qui interagit avec Amazon Connect APIs ou le site Web d'administration Amazon Connect.
Note
Une politique comportant une instruction explicite Deny
remplacerait la politique Allow
décrite dans ces exemples.
Pour plus d'informations sur les ressources, les clés de condition et les personnes dépendantes APIs que vous pouvez utiliser pour restreindre l'accès, consultez Actions, ressources et clés de condition pour Amazon Connect.
Exemple 1 : limiter les compartiments Amazon S3 pouvant être associés à une instance Amazon Connect
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:UpdateInstanceStorageConfig", "connect:AssociateInstanceStorageConfig" ], "Resource": "arn:aws:connect:
region
:account-id
:instance/instance-id
", "Condition": { "StringEquals": { "connect:StorageResourceType": "CALL_RECORDINGS" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:iam::account-id
:role/aws-service-role/connect.amazonaws.com/*", "arn:aws:s3:::amzn-s3-demo-bucket
" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "*" } ] }
Cet exemple permet à un IAM principal d'associer un compartiment Amazon S3 pour les enregistrements d'appels pour l'instance ARN Amazon Connect donnée et un compartiment Amazon S3 spécifique nommémy-connect-recording-bucket
. Les PutRolePolicy
actions AttachRolePolicy
et sont limitées au rôle lié au service Amazon Connect (un caractère générique est utilisé dans cet exemple, mais vous pouvez fournir le rôle ARN pour l'instance si nécessaire).
Note
Pour utiliser une AWS KMS clé afin de chiffrer les enregistrements de ce compartiment, une politique supplémentaire est nécessaire.
Exemple 2 : limiter les fonctions AWS Lambda pouvant être associées à une instance Amazon Connect
AWS Lambda les fonctions sont associées à une instance Amazon Connect, mais le rôle lié au service Amazon Connect n'est pas utilisé pour les invoquer et n'est donc pas modifié. Au lieu de cela, une politique est ajoutée à la fonction via le lambda:AddPermission
API qui permet à l'instance Amazon Connect donnée d'invoquer la fonction.
Pour limiter les fonctions pouvant être associées à une instance Amazon Connect, vous devez spécifier la fonction Lambda ARN qu'un utilisateur peut utiliser pour appeler : lambda:AddPermission
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:AssociateLambdaFunction", "lambda:AddPermission" ], "Resource": [ "arn:aws:connect:
region
:account-id
:instance/instance-id
", "arn:aws:lambda:*:*:function:my-function
" ] } ] }
Exemple 3 : limiter les flux Amazon Kinesis Data Streams pouvant être associés à une instance Amazon Connect
Cet exemple suit un modèle similaire à celui d'Amazon S3. Il limite les flux Kinesis Data Streams spécifiques qui peuvent être associés à une instance Amazon Connect donnée pour la livraison des enregistrements de contact.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:UpdateInstanceStorageConfig", "connect:AssociateInstanceStorageConfig" ], "Resource": "arn:aws:connect:
region
:account-id
:instance/instance-id
", "Condition": { "StringEquals": { "connect:StorageResourceType": "CONTACT_TRACE_RECORDS" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "kinesis:DescribeStream", "iam:PutRolePolicy" ], "Resource": [ "arn:aws:iam::account-id
:role/aws-service-role/connect.amazonaws.com/*", "arn:aws:kinesis:*:account-id
:stream/stream-name
" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": "kinesis:ListStreams", "Resource": "*" } ] }