Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh kebijakan tingkat sumber daya Amazon Connect
Amazon Connect mendukung izin tingkat sumber daya untuk pengguna, sehingga Anda dapat menentukan tindakan untuk instans, seperti yang ditunjukkan dalam kebijakan berikut.
Daftar Isi
- Tolak semua tindakan pada instans Amazon Connect
- Tolak tindakan “hapus” dan “perbarui”
- Izinkan tindakan untuk integrasi dengan nama tertentu
- Izinkan “buat pengguna” tetapi tolak jika Anda ditugaskan ke profil keamanan tertentu
- Izinkan tindakan perekaman pada kontak
- Izinkan atau Tolak tindakan API antrian untuk nomor telepon di Wilayah replika
- Lihat AppIntegrations sumber daya Amazon tertentu
- Berikan akses ke Profil Pelanggan Amazon Connect
- Berikan akses read-only ke data Profil Pelanggan
- Kueri Amazon Q di Connect hanya untuk Asisten tertentu
- Berikan akses penuh ke Amazon Connect Voice ID
- Berikan akses ke sumber daya kampanye keluar Amazon Connect
- Batasi kemampuan untuk mencari pada transkrip yang dianalisis oleh Amazon Connect Contact Lens
Tolak semua tindakan pada instans Amazon Connect
Instans Amazon Connect adalah sumber daya tingkat atas dalam Amazon Connect. Semua sub-sumber daya lainnya dibuat dalam ruang lingkupnya. Untuk menolak semua tindakan pada semua sumber daya dalam instans Amazon Connect, Anda dapat menggunakan salah satu metode berikut:
-
Gunakan tombol
connect:instanceId
konteks. -
Gunakan Instance ARN diikuti oleh wildcard (*).
Kebijakan contoh berikut menyangkal semua tindakan connect untuk instance dengan InstanceId 00fbeee1-123e-111e-93e3-11111bfbfcc1.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "connect:*" ], "Resource": "*" }, "Condition": { "StringEquals": { "connect:instanceId": "00fbeee1-123e-111e-93e3-11111bfbfcc1" } } ] }
Atau, Anda dapat menolak semua tindakan dengan menentukan ARN Instance diikuti dengan wildcard (*). Kebijakan contoh berikut menyangkal semua tindakan connect untuk instance dengan ARN arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1
instance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "connect:*" ], "Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1*" } ] }
Tolak tindakan “hapus” dan “perbarui”
Kebijakan contoh berikut ini menyangkal tindakan “hapus” dan “perbarui” untuk pengguna dalam satu instance Amazon Connect. Ini menggunakan kartu liar di akhir ARN pengguna Amazon Connect sehingga “hapus pengguna” dan “perbarui pengguna” ditolak pada ARN pengguna penuh (yaitu, semua pengguna Amazon Connect dalam contoh yang disediakan, seperti arn:aws:connect:us-east- 1:123456789012: instance/00fbeee1-123e-111e-93e3-111111bfbfcc1/agen/00dtcddd1-123e-111e-93e3-111bfcc1 arn:aws:east-1:123456789012:instance/00fbeee1-123e-111e-93e3-111bfcc1/agent/00dtcdd1-123e3-111bfbfcc1).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "connect:DeleteUser", "connect:UpdateUser*" ], "Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/*" } ] }
Izinkan tindakan untuk integrasi dengan nama tertentu
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllAppIntegrationsActions", "Effect": "Allow", "Action": [ "app-integrations:ListEventIntegrations", "app-integrations:CreateEventIntegration", "app-integrations:GetEventIntegration", "app-integrations:UpdateEventIntegration", "app-integartions:DeleteEventIntegration" ], "Resource":"arn:aws:appintegrations:*:*:event-integration/MyNamePrefix-*" } ] }
Izinkan “buat pengguna” tetapi tolak jika Anda ditugaskan ke profil keamanan tertentu
Kebijakan contoh berikut memungkinkan “buat pengguna” tetapi secara eksplisit menyangkal menggunakan arn:aws:connect:us-west- 2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17 sebagai parameter keamanan profil dalam permintaan. CreateUser
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "connect:CreateUser" ], "Resource": "*", }, { "Effect": "Deny", "Action": [ "connect:CreateUser" ], "Resource": "arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc17/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17", } ] }
Izinkan tindakan perekaman pada kontak
Kebijakan sampel berikut memungkinkan “mulai perekaman kontak” pada kontak dalam contoh tertentu. Karena Contactid bersifat dinamis, * digunakan.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "connect:StartContactRecording" ], "Resource": "arn:aws:connect:us-west-2:accountID:instance/instanceId/contact/*", "Effect": "Allow" } ] }
Siapkan hubungan tepercaya dengan AccountID.
Tindakan berikut didefinisikan untuk perekaman APIs:
-
“sambungkan:StartContactRecording”
-
“sambungkan:StopContactRecording”
-
“sambungkan:SuspendContactRecording”
-
“sambungkan:ResumeContactRecording”
Izinkan lebih banyak tindakan kontak dalam peran yang sama
Jika peran yang sama digunakan untuk memanggil kontak lain APIs, Anda dapat mencantumkan tindakan kontak berikut:
-
GetContactAttributes
-
ListContactFlows
-
StartChatContact
-
StartOutboundVoiceContact
-
StopContact
-
UpdateContactAttributes
Atau gunakan wildcard untuk mengizinkan semua tindakan kontak, misalnya: “connect: *”
Izinkan lebih banyak sumber daya
Anda juga dapat menggunakan wildcard untuk memungkinkan lebih banyak sumber daya. Misalnya, berikut cara mengizinkan semua tindakan menghubungkan pada semua sumber daya kontak:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "connect:*" ], "Resource": "arn:aws:connect:us-west-2:accountID:instance/*/contact/*", "Effect": "Allow" } ] }
Izinkan atau Tolak tindakan API antrian untuk nomor telepon di Wilayah replika
CreateQueueDan UpdateQueueOutboundCallerConfig APIs berisi kolom input bernamaOutboundCallerIdNumberId
. Bidang ini mewakili sumber daya nomor telepon yang dapat diklaim ke grup distribusi lalu lintas. Ini mendukung format ARN nomor telepon V1 yang dikembalikan ListPhoneNumbersoleh dan format V2 ARN yang dikembalikan oleh V2. ListPhoneNumbers
Berikut ini adalah format OutboundCallerIdNumberId
ARN V1 dan V2 yang mendukung:
-
Format V1 ARN:
arn:aws:connect:
your-region
:your-account_id
:instance/instance_id
/phone-number/resource_id
-
Format V2 ARN:
arn:aws:connect:
your-region
:your-account_id
:phone-number/resource_id
catatan
Kami merekomendasikan menggunakan format V2 ARN. Format V1 ARN akan usang di masa mendatang.
Menyediakan kedua format ARN untuk sumber daya nomor telepon di Wilayah replika
Jika nomor telepon diklaim ke grup distribusi lalu lintas, untuk mengizinkan/menolak akses dengan benar ke tindakan API antrian untuk sumber daya nomor telepon saat beroperasi di Wilayah replika, Anda harus menyediakan sumber daya nomor telepon dalam format ARN V1 dan V2. Jika Anda memberikan sumber daya nomor telepon hanya dalam satu format ARN, itu tidak menghasilkan perilaku izin/tolak yang benar saat beroperasi di Wilayah replika.
Contoh 1: Tolak akses ke CreateQueue
Misalnya, Anda beroperasi di replika Region us-west-2 dengan akun dan instance.
123456789012
aaaaaaaa-bbbb-cccc-dddd-0123456789012
Anda ingin menolak akses ke CreateQueueAPI jika OutboundCallerIdNumberId
nilainya adalah nomor telepon yang diklaim ke grup distribusi lalu lintas dengan ID sumber dayaaaaaaaaa-eeee-ffff-gggg-0123456789012
. Dalam skenario ini Anda harus menggunakan kebijakan berikut:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyCreateQueueForSpecificNumber", "Effect": "Deny", "Action": "connect:CreateQueue", "Resource": [ "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012", "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012" ] } ] }
Dimana us-west-2 adalah Wilayah tempat permintaan dibuat.
Contoh 2: Hanya izinkan akses ke UpdateQueueOutboundCallerConfig
Misalnya, Anda beroperasi di replika Region us-west-2 dengan akun dan instance. 123456789012
aaaaaaaa-bbbb-cccc-dddd-0123456789012
Anda hanya ingin mengizinkan akses ke UpdateQueueOutboundCallerConfigAPI jika OutboundCallerIdNumberId
nilainya adalah nomor telepon yang diklaim ke grup distribusi lalu lintas dengan ID sumber dayaaaaaaaaa-eeee-ffff-gggg-0123456789012
. Dalam skenario ini Anda harus menggunakan kebijakan berikut:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "OnlyAllowUpdateQueueOutboundCallerConfigForSpecificNumber", "Effect": "Allow", "Action": "connect:UpdateQueueOutboundCallerConfig", "Resource": [ "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012", "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012" ] } ] }
Lihat AppIntegrations sumber daya Amazon tertentu
Kebijakan sampel berikut memungkinkan integrasi peristiwa tertentu untuk diambil.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "app-integrations:GetEventIntegration" ], "Resource": "arn:aws:app-integrations:us-west-2:accountID:event-integration/Name" } ] }
Berikan akses ke Profil Pelanggan Amazon Connect
Profil Pelanggan Amazon Connect digunakan profile
sebagai awalan untuk tindakan, bukan. connect
Kebijakan berikut memberikan akses penuh ke domain tertentu di Profil Pelanggan Amazon Connect.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "profile:*" ], "Resource": "arn:aws:profile:us-west-2:accountID:domains/domainName", "Effect": "Allow" } ] }
Siapkan hubungan tepercaya dengan AccountID ke domain domainName.
Berikan akses read-only ke data Profil Pelanggan
Berikut ini adalah contoh untuk memberikan akses baca ke data di Amazon Connect Customer Profiles.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "profile:SearchProfiles", "profile:ListObjects" ], "Resource": "arn:aws:profile:us-west-2:accountID:domains/domainName", "Effect": "Allow" } ] }
Kueri Amazon Q di Connect hanya untuk Asisten tertentu
Kebijakan contoh berikut memungkinkan kueri hanya Asisten tertentu.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "wisdom:QueryAssistant " ], "Resource": "arn:aws:wisdom:us-west-2:accountID:assistant/assistantID" } ] }
Berikan akses penuh ke Amazon Connect Voice ID
Amazon Connect Voice ID digunakan voiceid
sebagai awalan untuk tindakan, bukan menghubungkan. Kebijakan berikut memberikan akses penuh ke domain tertentu di ID Suara Amazon Connect:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "voiceid:*" ], "Resource": "arn:aws:voiceid:us-west-2:accountID:domain/domainName", "Effect": "Allow" } ] }
Siapkan hubungan tepercaya dengan AccountID ke domain domainName.
Berikan akses ke sumber daya kampanye keluar Amazon Connect
Kampanye keluar digunakan connect-campaign
sebagai awalan untuk tindakan, bukan. connect
Kebijakan berikut memberikan akses penuh ke kampanye keluar tertentu.
{ "Sid": "AllowConnectCampaignsOperations", "Effect": "Allow", "Action": [ "connect-campaigns:DeleteCampaign", "connect-campaigns:DescribeCampaign", "connect-campaigns:UpdateCampaignName", "connect-campaigns:GetCampaignState" "connect-campaigns:UpdateOutboundCallConfig", "connect-campaigns:UpdateDialerConfig", "connect-campaigns:PauseCampaign", "connect-campaigns:ResumeCampaign", "connect-campaigns:StopCampaign" ], "Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId", }
Batasi kemampuan untuk mencari pada transkrip yang dianalisis oleh Amazon Connect Contact Lens
Kebijakan berikut memungkinkan pencarian dan deskripsikan kontak, tetapi menolak mencari kontak menggunakan transkrip yang dianalisis oleh Amazon Connect Contact Lens.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:DescribeContact" ], "Resource": "arn:aws:connect:region:account-id:instance/instance-id/contact/*" }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "connect:SearchContacts" ], "Resource": "arn:aws:connect:region:account-id:instance/instance-id" }, { "Sid": "VisualEditor2", "Effect": "Deny", "Action": [ "connect:SearchContacts" ], "Resource": "arn:aws:connect:region:account-id:instance/instance-id", "Condition": { "ForAnyValue:StringEquals": { "connect:SearchContactsByContactAnalysis": [ "Transcript" ] } } } ] }