Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Appliquer un contrôle d'accès basé sur des balises dans Amazon Connect

Vous utilisez des contrôles d'accès basés sur des balises pour configurer un accès granulaire à des ressources spécifiques en fonction des balises de ressources attribuées. Vous pouvez configurer des contrôles d'accès basés sur des balises à l'aide de l'API/du SDK ou du site Web d' Amazon Connect administration pour les ressources prises en charge.

Appliquez un contrôle d'accès basé sur des balises à l'aide de l'API/SDK

Pour contrôler l'accès aux ressources de vos comptes AWS à l'aide de balises, vous devez fournir des informations sur les balises dans l'élément de condition d'une politique IAM. Par exemple, pour contrôler l'accès à votre domaine Voice ID en fonction des balises que vous lui avez attribuées, utilisez la clé de condition aws:ResourceTag/key-name, ainsi qu'un opérateur spécifique, comme StringEquals, pour spécifier la paire de balises clé:valeur qui doit être attachée au domaine, afin d'autoriser certaines actions sur celui-ci.

Pour plus d'informations sur le contrôle d'accès basé sur des balises, consultez la section Contrôle de l'accès aux ressources AWS à l'aide de balises dans le guide de l'utilisateur IAM.

Appliquer un contrôle d'accès basé sur des balises à l'aide du site Web Amazon Connect d'administration

Une balise de ressources est une balise de métadonnées personnalisée que vous pouvez ajouter à une ressource pour faciliter son identification, son organisation et sa recherche. Vous pouvez appliquer des balises par programmation à l'aide du SDK Amazon Connect/APIs, et pour certaines ressources, vous pouvez appliquer des balises depuis la console Amazon Connect. Pour plus d'informations sur les balises de ressources, consultez Ajouter des balises aux ressources dans Amazon Connect.

Une balise de contrôle d'accès est semblable à une balise de ressources en ce sens qu'elle utilise la même structure clé:valeur. Cependant, la balise de ressources diffère de la balise de contrôle d'accès, car elle introduit des contrôles d'autorisation qui limitent l'accès de l'utilisateur aux seules ressources spécifiées contenant des balises de ressources avec des paires clé:valeur identiques. Les balises de contrôle d'accès sont définies dans des profils de sécurité, en sélectionnant d'abord la ressource (profil de routage, file d'attente, utilisateurs, etc.) dont vous souhaitez contrôler l'accès, puis en définissant la paire clé:valeur à associer. Une fois appliqué, le profil de sécurité avec des balises de contrôle d'accès limitera l'accès de l'utilisateur en fonction de la combinaison définie de ressources et de balises de contrôle d'accès (clé:valeur) sélectionnées. Sans l'application de balises de contrôle d'accès, l'utilisateur pourra voir toutes les ressources s'il est autorisé à le faire.

Pour contrôler l'accès aux ressources sur le site Web d'administration de votre instance Amazon Connect à l'aide de balises, vous devez configurer la section Contrôle d'accès d'un profil de sécurité donné. Par exemple, pour contrôler l'accès à un profil de routage en fonction des balises que vous lui avez attribuées, vous devez spécifier le profil de routage en tant que ressource à accès contrôlé, puis spécifier la paire de balises clé:valeur à laquelle vous souhaitez autoriser l'accès.

Limitations relatives à la configuration

Les balises de contrôle d'accès sont configurées sur un profil de sécurité. Vous pouvez configurer jusqu’à quatre balises de contrôle d’accès sur un même profil de sécurité. L'ajout de balises de contrôle d'accès supplémentaires rendra ce profil de sécurité plus restrictif. Par exemple, si vous ajoutez deux balises de contrôle d'accès comme Department:X et Country:Y, l'utilisateur ne verra plus que les ressources contenant ces deux balises.

Les utilisateurs peuvent se voir attribuer un maximum de deux profils de sécurité contenant des balises de contrôle d'accès. Lorsque plusieurs profils de sécurité contenant des balises de contrôle d’accès sont attribués à un seul utilisateur, les contrôles d’accès basés sur les balises deviennent moins restrictifs. Par exemple, si un utilisateur possède un profil de sécurité avec une balise de contrôle d'accès telle que Country:USA, et un autre profil de sécurité avec une balise de contrôle d'accès comme Country:Argentina, il pourra voir les ressources contenant les balises Country:USA ouCountry:Argentina. Un utilisateur peut avoir d'autres profils de sécurité, à condition que ces profils de sécurité supplémentaires ne contiennent pas de balises. Si plusieurs profils de sécurité comprennent des autorisations de ressources qui se chevauchent, le profil de sécurité sans contrôles d’accès basés sur les balises sera appliqué plutôt que le profil avec des contrôles d’accès basés sur les balises.

Des rôles liés à un service sont nécessaires pour configurer des balises de ressources ou des balises de contrôle d'accès. Si votre instance a été créée après octobre 2018, elle sera disponible par défaut avec votre instance Amazon Connect. Toutefois, si votre instance est plus ancienne, consultez Utilisation de rôles liés à un service pour Amazon Connect pour savoir comment activer des rôles liés à un service.

Bonnes pratiques pour l’application de contrôles d’accès basés sur les balises

L'application de contrôles d'accès basés sur des balises est une fonctionnalité de configuration avancée prise en charge par Amazon Connect et qui suit le modèle de responsabilité AWS partagée. Il est important de veiller à bien configurer votre instance afin de répondre aux besoins d'autorisation souhaités. Pour plus d’informations, passez en revue le modèle de responsabilités partagées AWS.

Assurez-vous d’avoir activé au moins les autorisations d’affichage pour les ressources pour lesquelles vous activez le contrôle d’accès basé sur les balises. Vous éviterez ainsi les incohérences au niveau des autorisations qui entraînent des refus de demandes d'accès.

Les contrôles d’accès basés sur les balises sont activés au niveau des ressources, ce qui signifie que chaque ressource peut être restreinte indépendamment. Dans certains cas d’utilisation, cela peut être acceptable, mais la bonne pratique consiste à mettre en place des contrôles d’accès basés sur les balises pour l’ensemble des ressources. Par exemple, le fait d'autoriser l'accès aux utilisateurs, mais pas aux profils de sécurité, permettrait à un utilisateur de créer un profil de sécurité avec des privilèges qui supplanteraient les paramètres de contrôle d'accès que vous avez définis pour les utilisateurs.

Lorsqu’ils sont connectés à la console Amazon Connect et que des contrôles d’accès basés sur les balises sont appliqués, les utilisateurs ne peuvent pas accéder aux journaux d’historique des modifications pour les ressources sur lesquelles ils sont soumis à des restrictions.

Une bonne pratique consiste à désactiver l’accès aux ressources/modules suivants lorsque vous appliquez des contrôles d’accès basés sur les balises dans la console Amazon Connect. Si vous ne désactivez pas l'accès à ces ressources, les utilisateurs dotés de contrôles d'accès basés sur des balises sur une ressource donnée qui consultent ces pages peuvent voir une liste illimitée d'utilisateurs, de profils de sécurité, de profils de routage, de files d'attente, de flux ou de modules de flux. Pour plus d'informations sur la gestion des autorisations consultez Liste des autorisations des profils de sécurité dans Amazon Connect.