Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh kebijakan tingkat sumber daya Amazon Connect

Amazon Connect mendukung izin tingkat sumber daya untuk pengguna, sehingga Anda dapat menentukan tindakan untuk instans, seperti yang ditunjukkan dalam kebijakan berikut.

Tolak semua tindakan pada instans Amazon Connect

Instans Amazon Connect adalah sumber daya tingkat atas dalam Amazon Connect. Semua sub-sumber daya lainnya dibuat dalam ruang lingkupnya. Untuk menolak semua tindakan pada semua sumber daya dalam instans Amazon Connect, Anda dapat menggunakan salah satu metode berikut:

Kebijakan contoh berikut menyangkal semua tindakan connect untuk instance dengan InstanceId 00fbeee1-123e-111e-93e3-11111bfbfcc1.

{
"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "connect:*"
            ],
            "Resource": "*"
        },
        "Condition": {
            "StringEquals": {
                "connect:instanceId": "00fbeee1-123e-111e-93e3-11111bfbfcc1"
            }
        }
    ]
} 

Atau, Anda dapat menolak semua tindakan dengan menentukan ARN Instance diikuti dengan wildcard (*). Kebijakan contoh berikut menyangkal semua tindakan connect untuk instance dengan ARN arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1 instance.

{
"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "connect:*"
            ],
            "Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1*"
        }
    ]
}

Tolak tindakan “hapus” dan “perbarui”

Kebijakan contoh berikut ini menyangkal tindakan “hapus” dan “perbarui” untuk pengguna dalam satu instance Amazon Connect. Ini menggunakan kartu liar di akhir ARN pengguna Amazon Connect sehingga “hapus pengguna” dan “perbarui pengguna” ditolak pada ARN pengguna penuh (yaitu, semua pengguna Amazon Connect dalam contoh yang disediakan, seperti arn:aws:connect:us-east- 1:123456789012: instance/00fbeee1-123e-111e-93e3-111111bfbfcc1/agen/00dtcddd1-123e-111e-93e3-111bfcc1 arn:aws:east-1:123456789012:instance/00fbeee1-123e-111e-93e3-111bfcc1/agent/00dtcdd1-123e3-111bfbfcc1).

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "connect:DeleteUser",
                "connect:UpdateUser*"
            ],
            "Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/*"
        }
    ]
}            

Izinkan tindakan untuk integrasi dengan nama tertentu

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllAppIntegrationsActions",
            "Effect": "Allow",
            "Action": [
                "app-integrations:ListEventIntegrations",
                "app-integrations:CreateEventIntegration",
                "app-integrations:GetEventIntegration",
                "app-integrations:UpdateEventIntegration",
                "app-integartions:DeleteEventIntegration"
            ],
"Resource":"arn:aws:appintegrations:*:*:event-integration/MyNamePrefix-*"
	}
    ]
}            

Izinkan “buat pengguna” tetapi tolak jika Anda ditugaskan ke profil keamanan tertentu

Kebijakan contoh berikut memungkinkan “buat pengguna” tetapi secara eksplisit menyangkal menggunakan arn:aws:connect:us-west- 2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17 sebagai parameter keamanan profil dalam permintaan. CreateUser

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",        
            "Action": [
                "connect:CreateUser"
             ],
            "Resource": "*",
        },
        {
            "Effect": "Deny",
            "Action": [
                "connect:CreateUser"
             ],
            "Resource": "arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc17/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17",
        } 
    ]
}            

Izinkan tindakan perekaman pada kontak

Kebijakan sampel berikut memungkinkan “mulai perekaman kontak” pada kontak dalam contoh tertentu. Karena Contactid bersifat dinamis, * digunakan.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
          "connect:StartContactRecording"
      ],
      "Resource": "arn:aws:connect:us-west-2:accountID:instance/instanceId/contact/*",
      "Effect": "Allow"
    }
  ]
}            

Siapkan hubungan tepercaya dengan AccountID.

Tindakan berikut didefinisikan untuk perekaman APIs:

Izinkan lebih banyak tindakan kontak dalam peran yang sama

Jika peran yang sama digunakan untuk memanggil kontak lain APIs, Anda dapat mencantumkan tindakan kontak berikut:

Atau gunakan wildcard untuk mengizinkan semua tindakan kontak, misalnya: “connect: *”

Izinkan lebih banyak sumber daya

Anda juga dapat menggunakan wildcard untuk memungkinkan lebih banyak sumber daya. Misalnya, berikut cara mengizinkan semua tindakan menghubungkan pada semua sumber daya kontak:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "connect:*"
            ],
            "Resource": "arn:aws:connect:us-west-2:accountID:instance/*/contact/*",
            "Effect": "Allow"
        }
    ]
}       

Izinkan atau Tolak tindakan API antrian untuk nomor telepon di Wilayah replika

CreateQueueDan UpdateQueueOutboundCallerConfig APIs berisi kolom input bernamaOutboundCallerIdNumberId. Bidang ini mewakili sumber daya nomor telepon yang dapat diklaim ke grup distribusi lalu lintas. Ini mendukung format ARN nomor telepon V1 yang dikembalikan ListPhoneNumbersoleh dan format V2 ARN yang dikembalikan oleh V2. ListPhoneNumbers

Berikut ini adalah format OutboundCallerIdNumberId ARN V1 dan V2 yang mendukung:

Menyediakan kedua format ARN untuk sumber daya nomor telepon di Wilayah replika

Jika nomor telepon diklaim ke grup distribusi lalu lintas, untuk mengizinkan/menolak akses dengan benar ke tindakan API antrian untuk sumber daya nomor telepon saat beroperasi di Wilayah replika, Anda harus menyediakan sumber daya nomor telepon dalam format ARN V1 dan V2. Jika Anda memberikan sumber daya nomor telepon hanya dalam satu format ARN, itu tidak menghasilkan perilaku izin/tolak yang benar saat beroperasi di Wilayah replika.

Contoh 1: Tolak akses ke CreateQueue

Misalnya, Anda beroperasi di replika Region us-west-2 dengan akun dan instance. 123456789012 aaaaaaaa-bbbb-cccc-dddd-0123456789012 Anda ingin menolak akses ke CreateQueueAPI jika OutboundCallerIdNumberId nilainya adalah nomor telepon yang diklaim ke grup distribusi lalu lintas dengan ID sumber dayaaaaaaaaa-eeee-ffff-gggg-0123456789012. Dalam skenario ini Anda harus menggunakan kebijakan berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyCreateQueueForSpecificNumber",
            "Effect": "Deny",
            "Action": "connect:CreateQueue",
            "Resource": [
                "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
                "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
            ]
        }
    ]
}

Dimana us-west-2 adalah Wilayah tempat permintaan dibuat.

Contoh 2: Hanya izinkan akses ke UpdateQueueOutboundCallerConfig

Misalnya, Anda beroperasi di replika Region us-west-2 dengan akun dan instance. 123456789012 aaaaaaaa-bbbb-cccc-dddd-0123456789012 Anda hanya ingin mengizinkan akses ke UpdateQueueOutboundCallerConfigAPI jika OutboundCallerIdNumberId nilainya adalah nomor telepon yang diklaim ke grup distribusi lalu lintas dengan ID sumber dayaaaaaaaaa-eeee-ffff-gggg-0123456789012. Dalam skenario ini Anda harus menggunakan kebijakan berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OnlyAllowUpdateQueueOutboundCallerConfigForSpecificNumber",
            "Effect": "Allow",
            "Action": "connect:UpdateQueueOutboundCallerConfig",
            "Resource": [
                "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
                "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
            ]
        }
    ]
}

Lihat AppIntegrations sumber daya Amazon tertentu

Kebijakan sampel berikut memungkinkan integrasi peristiwa tertentu untuk diambil.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "app-integrations:GetEventIntegration"
            ],
            "Resource": "arn:aws:app-integrations:us-west-2:accountID:event-integration/Name"
        }
    ]
}   

Berikan akses ke Profil Pelanggan Amazon Connect

Profil Pelanggan Amazon Connect digunakan profile sebagai awalan untuk tindakan, bukan. connect Kebijakan berikut memberikan akses penuh ke domain tertentu di Profil Pelanggan Amazon Connect.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
          "profile:*"
      ],
      "Resource": "arn:aws:profile:us-west-2:accountID:domains/domainName",
      "Effect": "Allow"
    }
  ]
}            

Siapkan hubungan tepercaya dengan AccountID ke domain domainName.

Berikan akses read-only ke data Profil Pelanggan

Berikut ini adalah contoh untuk memberikan akses baca ke data di Amazon Connect Customer Profiles.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "profile:SearchProfiles",
                "profile:ListObjects"
            ],
            "Resource": "arn:aws:profile:us-west-2:accountID:domains/domainName",
            "Effect": "Allow"
        }
    ]
}            

Kueri Amazon Q di Connect hanya untuk Asisten tertentu

Kebijakan contoh berikut memungkinkan kueri hanya Asisten tertentu.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wisdom:QueryAssistant "
            ],
            "Resource": "arn:aws:wisdom:us-west-2:accountID:assistant/assistantID"
        }
    ]
} 

Berikan akses penuh ke Amazon Connect Voice ID

Amazon Connect Voice ID digunakan voiceid sebagai awalan untuk tindakan, bukan menghubungkan. Kebijakan berikut memberikan akses penuh ke domain tertentu di ID Suara Amazon Connect:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
          "voiceid:*"
      ],
      "Resource": "arn:aws:voiceid:us-west-2:accountID:domain/domainName",
      "Effect": "Allow"
    }
  ]
}  

Siapkan hubungan tepercaya dengan AccountID ke domain domainName.

Berikan akses ke sumber daya kampanye keluar Amazon Connect

Kampanye keluar digunakan connect-campaign sebagai awalan untuk tindakan, bukan. connect Kebijakan berikut memberikan akses penuh ke kampanye keluar tertentu.

{
    "Sid": "AllowConnectCampaignsOperations",
    "Effect": "Allow",
    "Action": [
        "connect-campaigns:DeleteCampaign",
        "connect-campaigns:DescribeCampaign",
        "connect-campaigns:UpdateCampaignName",
        "connect-campaigns:GetCampaignState"
        "connect-campaigns:UpdateOutboundCallConfig",
        "connect-campaigns:UpdateDialerConfig",
        "connect-campaigns:PauseCampaign",
        "connect-campaigns:ResumeCampaign",
        "connect-campaigns:StopCampaign"
    ],
    "Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId",
    }

Batasi kemampuan untuk mencari pada transkrip yang dianalisis oleh Amazon Connect Contact Lens

Kebijakan berikut memungkinkan pencarian dan deskripsikan kontak, tetapi menolak mencari kontak menggunakan transkrip yang dianalisis oleh Amazon Connect Contact Lens.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:DescribeContact"
            ],
            "Resource": "arn:aws:connect:region:account-id:instance/instance-id/contact/*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "connect:SearchContacts"
            ],
            "Resource": "arn:aws:connect:region:account-id:instance/instance-id"
        },
        {
            "Sid": "VisualEditor2",
            "Effect": "Deny",
            "Action": [
                "connect:SearchContacts"
            ],
            "Resource": "arn:aws:connect:region:account-id:instance/instance-id",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "connect:SearchContactsByContactAnalysis": [
                        "Transcript"
                    ]
                }
            }
        }
    ]
}