Applica il controllo degli accessi basato sulla gerarchia in Amazon Connect (Preview) - Amazon Connect
PanoramicaApplica il controllo degli accessi basato sulla gerarchia utilizzando l'API/SDKApplica il controllo degli accessi basato sulla gerarchia utilizzando il sito Web di amministrazione Amazon ConnectLimitazioni di configurazioneLe migliori pratiche per applicare i controlli di accesso basati sulla gerarchia

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Applica il controllo degli accessi basato sulla gerarchia in Amazon Connect (Preview)

Nota

Si tratta di una documentazione di pre-rilascio di un servizio in versione di anteprima ed è soggetta a modifiche.

È possibile limitare l'accesso ai contatti in base alla gerarchia di agenti assegnata a un utente. A tale scopo, è possibile utilizzare le autorizzazioni del profilo di sicurezza, ad esempio Limita l'accesso ai contatti. Oltre a queste autorizzazioni, puoi anche utilizzare gerarchie, applicare controlli di accesso granulari per risorse come gli utenti e utilizzare tag.

In questo argomento vengono fornite informazioni sulla configurazione dei controlli di accesso basati sulla gerarchia (attualmente disponibili in anteprima).

Panoramica

Il controllo degli accessi basato sulla gerarchia consente di configurare l'accesso granulare a risorse specifiche in base alla gerarchia di agenti assegnata a un utente. È possibile configurare i controlli di accesso basati sulla gerarchia utilizzando l'API/SDK o il sito Web di amministrazione. Amazon Connect  

L'unica risorsa che supporta il controllo degli accessi basato sulla gerarchia sono gli utenti. Questo modello di autorizzazione funziona con il controllo degli accessi basato su tag in modo da poter limitare l'accesso agli utenti, permettendo loro di vedere solo gli altri utenti che appartengono allo stesso gruppo gerarchico e a cui sono associati tag specifici.

Nota

Dopo aver applicato il controllo di accesso basato sulla gerarchia agli utenti, questi possono accedere al proprio gruppo gerarchico e a tutti i relativi discendenti (oltre il livello figlio).

Applica il controllo degli accessi basato sulla gerarchia utilizzando l'API/SDK

Per utilizzare le gerarchie per controllare l'accesso alle risorse all'interno AWS dei tuoi account, devi fornire le informazioni della gerarchia nell'elemento condition di una policy IAM. Ad esempio, per controllare l'accesso a un utente appartenente a una gerarchia specifica, utilizza la chiave connect:HierarchyGroupL3Id/hierarchyGroupId condition, insieme a un operatore specifico, StringEquals per specificare a quale gruppo gerarchico deve appartenere l'utente, in modo da consentirgli determinate azioni.

Di seguito sono riportate le chiavi di condizione supportate:

  1. connect:HierarchyGroupL1Id/hierarchyGroupId

  2. connect:HierarchyGroupL2Id/hierarchyGroupId

  3. connect:HierarchyGroupL3Id/hierarchyGroupId

  4. connect:HierarchyGroupL4Id/hierarchyGroupId

  5. connect:HierarchyGroupL5Id/hierarchyGroupId

Ogni chiave rappresenta l'ID di un determinato gruppo gerarchico in un livello specifico della struttura gerarchica dell'utente.

Per informazioni più dettagliate sul controllo degli accessi basato sulla gerarchia, consulta Controlling access to AWS resources using tags nella IAM User Guide.

Applica il controllo degli accessi basato sulla gerarchia utilizzando il sito Web di amministrazione Amazon Connect

Per utilizzare le gerarchie per controllare l'accesso alle risorse del sito Web di Amazon Connect amministrazione, è necessario configurare la sezione di controllo degli accessi all'interno di un determinato profilo di sicurezza.

Ad esempio, per abilitare il controllo granulare degli accessi per un determinato utente in base alla gerarchia a cui appartiene, si configura l'utente come risorsa ad accesso controllato. A tale scopo, sono disponibili le due opzioni seguenti:

  1. Applica il controllo degli accessi basato sulla gerarchia in base alla gerarchia dell'utente

    Questa opzione garantisce che l'utente a cui viene concesso l'accesso possa gestire solo gli utenti che appartengono alla sua gerarchia. Ad esempio, l'abilitazione di questa configurazione per un determinato utente consente loro di gestire altri utenti che appartengono al proprio gruppo gerarchico o a un gruppo gerarchico figlio. Ciò garantisce che l'utente a cui viene concesso l'accesso possa gestire solo gli utenti che appartengono alla sua gerarchia. Ad esempio, l'abilitazione di questa configurazione per un supervisore consente loro di gestire altri utenti che appartengono al proprio gruppo gerarchico o a un gruppo gerarchico figlio.

  2. Applica il controllo degli accessi basato sulla gerarchia in base a una gerarchia specifica

    Questa opzione garantisce che l'utente a cui viene concesso l'accesso possa gestire solo gli utenti che appartengono alla gerarchia definita nel profilo di sicurezza. Ad esempio, l'abilitazione di questa configurazione per un determinato utente consente loro di gestire altri utenti che appartengono al gruppo gerarchico specificato nel profilo di sicurezza o a un gruppo gerarchico figlio.

Limitazioni di configurazione

Il controllo granulare degli accessi è configurato su un profilo di sicurezza. Agli utenti possono essere assegnati un massimo di due profili di sicurezza che applicano il controllo granulare degli accessi. In questo caso, le autorizzazioni diventano meno restrittive e agiscono come un'unione di entrambi i set di autorizzazioni.

Ad esempio, se un profilo di sicurezza applica il controllo degli accessi basato sulla gerarchia e un altro applica il controllo degli accessi basato su tag, l'utente è in grado di gestire qualsiasi utente appartenente alla stessa gerarchia o contrassegnato con il tag specificato. Se sia il controllo degli accessi basato su tag che quello basato sulla gerarchia sono configurati come parte dello stesso profilo di sicurezza, dovranno essere soddisfatte entrambe le condizioni. In questo caso, l'utente può gestire solo gli utenti che appartengono alla stessa gerarchia e che sono contrassegnati con un determinato tag. 

Un utente può avere più di due profili di sicurezza, purché tali profili di sicurezza aggiuntivi non impongano un controllo granulare degli accessi. Se sono presenti più profili di sicurezza con autorizzazioni di risorse sovrapposte, il profilo di sicurezza senza controllo degli accessi basato sulla gerarchia viene applicato rispetto a quello con controllo degli accessi basato sulla gerarchia.

I ruoli collegati al servizio sono necessari per configurare il controllo degli accessi basato sulla gerarchia. Se la tua istanza è stata creata dopo ottobre 2018, è disponibile per impostazione predefinita con la tua istanza Amazon Connect. Tuttavia, se disponi di un'istanza precedente, consulta Usa ruoli collegati ai servizi per Amazon Connect per istruzioni su come abilitare i ruoli collegati al servizio.

Le migliori pratiche per applicare i controlli di accesso basati sulla gerarchia

  • Rivedi il modello di responsabilità AWS condivisa.

    L'applicazione del controllo degli accessi basato sulla gerarchia è una funzionalità di configurazione avanzata supportata da Amazon Connect e che segue il modello di responsabilità AWS condivisa. È importante verificare di configurare correttamente l'istanza in modo da soddisfare le esigenze di autorizzazione desiderate.

  • Assicurati di aver abilitato almeno le autorizzazioni di visualizzazione per le risorse per le quali abiliti il controllo degli accessi basato sulla gerarchia.

    In questo modo, eviterai incoerenze nelle autorizzazioni, che possono provocare il rifiuto delle richieste di accesso. I controlli di accesso basati sulla gerarchia sono abilitati a livello di risorsa, il che significa che ogni risorsa può essere limitata in modo indipendente.

  • Esamina attentamente le autorizzazioni concesse quando viene applicato il controllo degli accessi basato sulla gerarchia.

    Ad esempio, l'attivazione della gerarchia ha limitato l'accesso agli utenti e view/edit permissions security profiles would allow a user to create/update un profilo di sicurezza con privilegi che sostituiscono le impostazioni di controllo dell'accesso utente previste.

    • Quando accedono alla console Amazon Connect con controlli di accesso basati sulla gerarchia, gli utenti non saranno in grado di accedere ai log delle modifiche cronologiche per le risorse a cui sono limitati.

    • Quando si tenta di assegnare una risorsa figlia a una risorsa principale con un controllo di accesso basato sulla gerarchia sulla risorsa figlia, l'operazione verrà negata se la risorsa figlia non appartiene alla gerarchia.

      Ad esempio, se si tenta di assegnare un utente a una connessione rapida ma non si ha accesso alla gerarchia degli utenti, l'operazione ha esito negativo. Questo non è tuttavia vero per le disassociazioni. È possibile dissociare un utente liberamente anche applicando il controllo degli accessi basato sulla gerarchia, presupponendo che si abbia accesso alla connessione rapida. Questo perché le disassociazioni consistono nell'eliminare una relazione esistente (anziché nuove associazioni) tra due risorse ed è modellata come parte della risorsa principale (in questo caso, la connessione rapida), a cui l'utente ha già accesso.

  • Fai attenzione alle autorizzazioni concesse alle risorse principali, poiché un utente potrebbe essere dissociato all'insaputa del suo supervisore.

  • Disabilita l'accesso alle seguenti funzionalità quando applichi controlli di accesso basati sulla gerarchia nel sito Web di amministrazione. Amazon Connect

    Funzionalità Autorizzazione del profilo di sicurezza che disabilita l'accesso
    Ricerca contatti Ricerca contatti - Visualizza
    Modifiche storiche/Portale audit Parametri di accesso - Accesso
    Parametri in tempo reale Metriche in tempo reale - Access
    Parametri storici Metriche storiche - Access
    Report Login/Logout Rapporto di accesso/uscita - Visualizza
    Regolamento Regole – Visualizza
    Report salvati. Report salvati – Visualizza
    Gerarchia degli agenti Gerarchia degli agenti - Visualizza
    Flusso/Modulo di flusso Moduli di flusso – Visualizza
    Pianificazione Gestore pianificazione – Visualizza

    Se non disabiliti l'accesso a queste risorse, gli utenti con controlli di accesso basati sulla gerarchia su una particolare risorsa che visualizzano queste pagine nel sito Web di Amazon Connect amministrazione potrebbero visualizzare un elenco illimitato di utenti. Per ulteriori informazioni su come gestire le autorizzazioni, consulta Elenco delle autorizzazioni dei profili di sicurezza.