Batasi AWS sumber daya yang dapat dikaitkan dengan Amazon Connect - Amazon Connect

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Batasi AWS sumber daya yang dapat dikaitkan dengan Amazon Connect

Setiap instans Amazon Connect dikaitkan dengan peran IAM terkait layanan saat instance dibuat. Amazon Connect dapat berintegrasi dengan AWS layanan lain untuk kasus penggunaan seperti penyimpanan rekaman panggilan (Amazon S3 bucket), bot bahasa alami (bot Amazon Lex), dan streaming data (Amazon Kinesis Data Streams). Amazon Connect mengasumsikan peran terkait layanan untuk berinteraksi dengan layanan lain ini. Kebijakan ini pertama kali ditambahkan ke peran terkait layanan sebagai bagian dari terkait APIs pada layanan Amazon Connect (yang pada gilirannya dipanggil oleh situs web AWS admin). Misalnya, jika Anda ingin menggunakan bucket Amazon S3 tertentu dengan instans Amazon Connect, bucket harus diteruskan ke. AssociateInstanceStorageConfigAPI

Untuk kumpulan IAM tindakan yang ditentukan oleh Amazon Connect, lihat Tindakan yang ditentukan oleh Amazon Connect.

Berikut adalah beberapa contoh cara membatasi akses ke sumber daya lain yang mungkin terkait dengan instans Amazon Connect. Mereka harus diterapkan ke Pengguna atau Peran yang berinteraksi dengan Amazon Connect APIs atau situs web admin Amazon Connect.

catatan

Kebijakan dengan eksplisit Deny akan mengesampingkan Allow kebijakan dalam contoh-contoh ini.

Untuk informasi selengkapnya tentang sumber daya, kunci kondisi, dan dependen yang dapat APIs Anda gunakan untuk membatasi akses, lihat Tindakan, sumber daya, dan kunci kondisi untuk Amazon Connect.

Contoh 1: Batasi bucket Amazon S3 mana yang dapat dikaitkan dengan instans Amazon Connect

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:UpdateInstanceStorageConfig", "connect:AssociateInstanceStorageConfig" ], "Resource": "arn:aws:connect:region:account-id:instance/instance-id", "Condition": { "StringEquals": { "connect:StorageResourceType": "CALL_RECORDINGS" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:iam::account-id:role/aws-service-role/connect.amazonaws.com/*", "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "*" } ] }

Contoh ini memungkinkan IAM prinsipal untuk mengaitkan bucket Amazon S3 untuk rekaman panggilan untuk instans Amazon Connect yang diberikanARN, dan bucket Amazon S3 tertentu yang diberi nama. my-connect-recording-bucket PutRolePolicy Tindakan AttachRolePolicy dan dicakup ke peran terkait layanan Amazon Connect (wildcard digunakan dalam contoh ini, tetapi Anda dapat memberikan peran ARN untuk instance jika diperlukan).

catatan

Untuk menggunakan AWS KMS kunci untuk mengenkripsi rekaman di bucket ini, diperlukan kebijakan tambahan.

Contoh 2: Batasi AWS Lambda fungsi mana yang dapat dikaitkan dengan instans Amazon Connect

AWS Lambda fungsi dikaitkan dengan instans Amazon Connect, tetapi peran terkait layanan Amazon Connect tidak digunakan untuk memanggilnya, sehingga tidak dimodifikasi. Sebagai gantinya, kebijakan ditambahkan ke fungsi melalui lambda:AddPermission API yang memungkinkan instance Amazon Connect yang diberikan untuk memanggil fungsi tersebut.

Untuk membatasi fungsi mana yang dapat dikaitkan dengan instans Amazon Connect, Anda menentukan ARN fungsi Lambda yang dapat digunakan pengguna untuk memanggil: lambda:AddPermission

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:AssociateLambdaFunction", "lambda:AddPermission" ], "Resource": [ "arn:aws:connect:region:account-id:instance/instance-id", "arn:aws:lambda:*:*:function:my-function" ] } ] }

Contoh 3: Batasi Amazon Kinesis Data Streams mana yang dapat dikaitkan dengan instans Amazon Connect

Contoh ini mengikuti model yang mirip dengan contoh Amazon S3. Ini membatasi Kinesis Data Streams tertentu yang mungkin terkait dengan instans Amazon Connect tertentu untuk mengirimkan catatan kontak.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:UpdateInstanceStorageConfig", "connect:AssociateInstanceStorageConfig" ], "Resource": "arn:aws:connect:region:account-id:instance/instance-id", "Condition": { "StringEquals": { "connect:StorageResourceType": "CONTACT_TRACE_RECORDS" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "kinesis:DescribeStream", "iam:PutRolePolicy" ], "Resource": [ "arn:aws:iam::account-id:role/aws-service-role/connect.amazonaws.com/*", "arn:aws:kinesis:*:account-id:stream/stream-name" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": "kinesis:ListStreams", "Resource": "*" } ] }