Tolak tindakan “hapus” dan “perbarui”Izinkan tindakan untuk integrasi dengan nama tertentu Izinkan “buat pengguna” tetapi tolak jika Anda ditugaskan ke profil keamanan tertentu Izinkan tindakan perekaman pada kontak Izinkan atau Tolak API tindakan antrian untuk nomor telepon di Wilayah replika Lihat AppIntegrations sumber daya Amazon tertentu Berikan akses ke Profil Pelanggan Amazon Connect Berikan akses read-only ke data Profil Pelanggan Kueri Amazon Q di Connect hanya untuk Asisten tertentu Berikan akses penuh ke Amazon Connect Voice ID Berikan akses ke sumber daya kampanye keluar Amazon Connect Batasi kemampuan untuk mencari pada transkrip yang dianalisis oleh Amazon Connect Contact Lens

Contoh kebijakan tingkat sumber daya Amazon Connect

Amazon Connect mendukung izin tingkat sumber daya untuk pengguna, sehingga Anda dapat menentukan tindakan untuk instans, seperti yang ditunjukkan dalam kebijakan berikut.

Daftar Isi

Tolak tindakan “hapus” dan “perbarui”
Izinkan tindakan untuk integrasi dengan nama tertentu
Izinkan “buat pengguna” tetapi tolak jika Anda ditugaskan ke profil keamanan tertentu
Izinkan tindakan perekaman pada kontak
Izinkan atau Tolak API tindakan antrian untuk nomor telepon di Wilayah replika
Lihat AppIntegrations sumber daya Amazon tertentu
Berikan akses ke Profil Pelanggan Amazon Connect
Berikan akses read-only ke data Profil Pelanggan
Kueri Amazon Q di Connect hanya untuk Asisten tertentu
Berikan akses penuh ke Amazon Connect Voice ID
Berikan akses ke sumber daya kampanye keluar Amazon Connect
Batasi kemampuan untuk mencari pada transkrip yang dianalisis oleh Amazon Connect Contact Lens

Tolak tindakan “hapus” dan “perbarui”

Kebijakan contoh berikut ini menyangkal tindakan “hapus” dan “perbarui” untuk pengguna dalam satu instance Amazon Connect. Ini menggunakan kartu liar di akhir pengguna Amazon Connect ARN sehingga “hapus pengguna” dan “perbarui pengguna” ditolak pada pengguna penuh ARN (yaitu, semua pengguna Amazon Connect dalam contoh yang disediakan, seperti arn:aws:connect:us-east- 1:123456789012: instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/00dtcddd1-123e-111e-93e3-111bfcc1 arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-111bfbfcc1/agent/00dtcdd1-123e-93e3-11e3-111fcc1).


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "connect:DeleteUser",
                "connect:UpdateUser*"
            ],
            "Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/*"
        }
    ]
}

Izinkan tindakan untuk integrasi dengan nama tertentu


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllAppIntegrationsActions",
            "Effect": "Allow",
            "Action": [
                "app-integrations:ListEventIntegrations",
                "app-integrations:CreateEventIntegration",
                "app-integrations:GetEventIntegration",
                "app-integrations:UpdateEventIntegration",
                "app-integartions:DeleteEventIntegration"
            ],
"Resource":"arn:aws:appintegrations:*:*:event-integration/MyNamePrefix-*"
	}
    ]
}

Izinkan “buat pengguna” tetapi tolak jika Anda ditugaskan ke profil keamanan tertentu

Kebijakan contoh berikut memungkinkan “buat pengguna” tetapi secara eksplisit menyangkal menggunakan arn:aws:connect:us-west- 2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17 sebagai parameter untuk keamanan profil dalam permintaan. CreateUser


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",        
            "Action": [
                "connect:CreateUser"
             ],
            "Resource": "*",
        },
        {
            "Effect": "Deny",
            "Action": [
                "connect:CreateUser"
             ],
            "Resource": "arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc17/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17",
        } 
    ]
}

Izinkan tindakan perekaman pada kontak

Kebijakan sampel berikut memungkinkan “mulai perekaman kontak” pada kontak dalam contoh tertentu. Karena Contactid bersifat dinamis, * digunakan.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
          "connect:StartContactRecording"
      ],
      "Resource": "arn:aws:connect:us-west-2:accountID:instance/instanceId/contact/*",
      "Effect": "Allow"
    }
  ]
}

Siapkan hubungan tepercaya dengan AccountID.

Tindakan berikut didefinisikan untuk perekamanAPIs:

“sambungkan:StartContactRecording”
“sambungkan:StopContactRecording”
“sambungkan:SuspendContactRecording”
“sambungkan:ResumeContactRecording”

Izinkan lebih banyak tindakan kontak dalam peran yang sama

Jika peran yang sama digunakan untuk memanggil kontak lainAPIs, Anda dapat mencantumkan tindakan kontak berikut:

GetContactAttributes
ListContactFlows
StartChatContact
StartOutboundVoiceContact
StopContact
UpdateContactAttributes

Atau gunakan wildcard untuk mengizinkan semua tindakan kontak, misalnya: “connect: *”

Izinkan lebih banyak sumber daya

Anda juga dapat menggunakan wildcard untuk memungkinkan lebih banyak sumber daya. Misalnya, berikut cara mengizinkan semua tindakan menghubungkan pada semua sumber daya kontak:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "connect:*"
            ],
            "Resource": "arn:aws:connect:us-west-2:accountID:instance/*/contact/*",
            "Effect": "Allow"
        }
    ]
}

Izinkan atau Tolak API tindakan antrian untuk nomor telepon di Wilayah replika

The CreateQueuedan UpdateQueueOutboundCallerConfigAPIsberisi kolom input bernamaOutboundCallerIdNumberId. Bidang ini mewakili sumber daya nomor telepon yang dapat diklaim ke grup distribusi lalu lintas. Ini mendukung ARN format nomor telepon V1 yang dikembalikan oleh ListPhoneNumbersdan ARN format V2 yang dikembalikan oleh ListPhoneNumbersV2.

Berikut ini adalah ARN format V1 dan V2 yang OutboundCallerIdNumberId mendukung:

ARNFormat V1: arn:aws:connect:your-region:your-account_id:instance/instance_id/phone-number/resource_id
ARNFormat V2: arn:aws:connect:your-region:your-account_id:phone-number/resource_id

catatan

Kami merekomendasikan menggunakan ARN format V2. ARNFormat V1 akan usang di masa mendatang.

Menyediakan kedua ARN format untuk sumber daya nomor telepon di Wilayah replika

Jika nomor telepon diklaim ke grup distribusi lalu lintas, untuk mengizinkan/menolak akses dengan benar ke API tindakan antrian untuk sumber daya nomor telepon saat beroperasi di Wilayah replika, Anda harus menyediakan sumber daya nomor telepon dalam format V1 dan V2. ARN Jika Anda memberikan sumber daya nomor telepon hanya dalam satu ARN format, itu tidak menghasilkan perilaku izin/tolak yang benar saat beroperasi di Wilayah replika.

Contoh 1: Tolak akses ke CreateQueue

Misalnya, Anda beroperasi di replika Region us-west-2 dengan akun dan instance. 123456789012 aaaaaaaa-bbbb-cccc-dddd-0123456789012 Anda ingin menolak akses CreateQueueAPIketika OutboundCallerIdNumberId nilainya adalah nomor telepon yang diklaim ke grup distribusi lalu lintas dengan ID sumber dayaaaaaaaaa-eeee-ffff-gggg-0123456789012. Dalam skenario ini Anda harus menggunakan kebijakan berikut:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyCreateQueueForSpecificNumber",
            "Effect": "Deny",
            "Action": "connect:CreateQueue",
            "Resource": [
                "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
                "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
            ]
        }
    ]
}

Dimana us-west-2 adalah Wilayah tempat permintaan dibuat.

Contoh 2: Hanya izinkan akses ke UpdateQueueOutboundCallerConfig

Misalnya, Anda beroperasi di replika Region us-west-2 dengan akun dan instance. 123456789012 aaaaaaaa-bbbb-cccc-dddd-0123456789012 Anda hanya ingin mengizinkan akses UpdateQueueOutboundCallerConfigAPIketika OutboundCallerIdNumberId nilainya adalah nomor telepon yang diklaim ke grup distribusi lalu lintas dengan ID sumber dayaaaaaaaaa-eeee-ffff-gggg-0123456789012. Dalam skenario ini Anda harus menggunakan kebijakan berikut:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OnlyAllowUpdateQueueOutboundCallerConfigForSpecificNumber",
            "Effect": "Allow",
            "Action": "connect:UpdateQueueOutboundCallerConfig",
            "Resource": [
                "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
                "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
            ]
        }
    ]
}

Lihat AppIntegrations sumber daya Amazon tertentu

Kebijakan sampel berikut memungkinkan integrasi peristiwa tertentu untuk diambil.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "app-integrations:GetEventIntegration"
            ],
            "Resource": "arn:aws:app-integrations:us-west-2:accountID:event-integration/Name"
        }
    ]
}

Berikan akses ke Profil Pelanggan Amazon Connect

Profil Pelanggan Amazon Connect digunakan profile sebagai awalan untuk tindakan, bukan. connect Kebijakan berikut memberikan akses penuh ke domain tertentu di Profil Pelanggan Amazon Connect.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
          "profile:*"
      ],
      "Resource": "arn:aws:profile:us-west-2:accountID:domains/domainName",
      "Effect": "Allow"
    }
  ]
}

Siapkan hubungan tepercaya dengan accountID ke domain. domainName

Berikan akses read-only ke data Profil Pelanggan

Berikut ini adalah contoh untuk memberikan akses baca ke data di Amazon Connect Customer Profiles.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "profile:SearchProfiles",
                "profile:ListObjects"
            ],
            "Resource": "arn:aws:profile:us-west-2:accountID:domains/domainName",
            "Effect": "Allow"
        }
    ]
}

Kueri Amazon Q di Connect hanya untuk Asisten tertentu

Kebijakan contoh berikut memungkinkan kueri hanya Asisten tertentu.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wisdom:QueryAssistant "
            ],
            "Resource": "arn:aws:wisdom:us-west-2:accountID:assistant/assistantID"
        }
    ]
}

Berikan akses penuh ke Amazon Connect Voice ID

Amazon Connect Voice ID digunakan voiceid sebagai awalan untuk tindakan, bukan menghubungkan. Kebijakan berikut memberikan akses penuh ke domain tertentu di ID Suara Amazon Connect:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
          "voiceid:*"
      ],
      "Resource": "arn:aws:voiceid:us-west-2:accountID:domain/domainName",
      "Effect": "Allow"
    }
  ]
}

Siapkan hubungan tepercaya dengan accountID ke domain. domainName

Berikan akses ke sumber daya kampanye keluar Amazon Connect

Kampanye keluar digunakan connect-campaign sebagai awalan untuk tindakan, bukan. connect Kebijakan berikut memberikan akses penuh ke kampanye keluar tertentu.


{
    "Sid": "AllowConnectCampaignsOperations",
    "Effect": "Allow",
    "Action": [
        "connect-campaigns:DeleteCampaign",
        "connect-campaigns:DescribeCampaign",
        "connect-campaigns:UpdateCampaignName",
        "connect-campaigns:GetCampaignState"
        "connect-campaigns:UpdateOutboundCallConfig",
        "connect-campaigns:UpdateDialerConfig",
        "connect-campaigns:PauseCampaign",
        "connect-campaigns:ResumeCampaign",
        "connect-campaigns:StopCampaign"
    ],
    "Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId",
    }

Batasi kemampuan untuk mencari pada transkrip yang dianalisis oleh Amazon Connect Contact Lens

Kebijakan berikut memungkinkan pencarian dan deskripsikan kontak, tetapi menolak mencari kontak menggunakan transkrip yang dianalisis oleh Amazon Connect Contact Lens.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:DescribeContact"
            ],
            "Resource": "arn:aws:connect:region:account-id:instance/instance-id/contact/*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "connect:SearchContacts"
            ],
            "Resource": "arn:aws:connect:region:account-id:instance/instance-id"
        },
        {
            "Sid": "VisualEditor2",
            "Effect": "Deny",
            "Action": [
                "connect:SearchContacts"
            ],
            "Resource": "arn:aws:connect:region:account-id:instance/instance-id",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "connect:SearchContactsByContactAnalysis": [
                        "Transcript"
                    ]
                }
            }
        }
    ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Contoh kebijakan berbasis identitas

AWS kebijakan terkelola