Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Limita AWS le risorse che possono essere associate ad Amazon Connect
Ogni istanza Amazon Connect è associata a un ruolo IAM collegato al servizio al momento della creazione dell'istanza. Amazon Connect può integrarsi con altri servizi AWS per casi di utilizzo come lo storage delle registrazioni delle chiamate (bucket Amazon S3), i bot in linguaggio naturale (bot Amazon Lex) e lo streaming di dati (flusso di dati Amazon Kinesis). Amazon Connect assume il ruolo orientato ai servizi per interagire con questi altri servizi. La policy viene inizialmente aggiunta al ruolo collegato al servizio come parte del corrispondente APIs servizio Amazon Connect (che a sua volta viene richiamato dal sito Web di AWS amministrazione). Ad esempio, se desideri utilizzare un determinato bucket Amazon S3 con la tua istanza Amazon Connect, il bucket deve essere passato a. AssociateInstanceStorageConfigAPI
Per il set di IAM azioni definito da Amazon Connect, consulta Azioni definite da Amazon Connect.
Di seguito sono riportati alcuni esempi di come limitare l'accesso ad altre risorse che possono essere associate a un'istanza Amazon Connect. Devono essere applicati all'utente o al ruolo che interagisce con Amazon Connect APIs o il sito Web di amministrazione di Amazon Connect.
Nota
Una policy con il comando esplicito Deny sostituirebbe la policy Allow in questi esempi.
Per ulteriori informazioni su quali risorse, chiavi di condizione e dipendenti APIs puoi utilizzare per limitare l'accesso, consulta Azioni, risorse e chiavi di condizione per Amazon Connect.
Esempio 1: limitazione dei bucket Amazon S3 che possono essere associati a un'istanza Amazon Connect
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:UpdateInstanceStorageConfig", "connect:AssociateInstanceStorageConfig" ], "Resource": "arn:aws:connect:region:account-id:instance/instance-id", "Condition": { "StringEquals": { "connect:StorageResourceType": "CALL_RECORDINGS" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:iam::account-id:role/aws-service-role/connect.amazonaws.com/*", "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "*" } ] }
Questo esempio consente a un IAM principale di associare un bucket Amazon S3 per le registrazioni delle chiamate per una determinata istanza ARN Amazon Connect e un bucket Amazon S3 specifico denominato. my-connect-recording-bucket PutRolePolicy Le azioni AttachRolePolicy and rientrano nell'ambito del ruolo collegato al servizio Amazon Connect (in questo esempio viene utilizzato un carattere jolly, ma puoi fornire il ruolo ARN per l'istanza se necessario).
Nota
Per utilizzare una AWS KMS chiave per crittografare le registrazioni in questo bucket, è necessaria una politica aggiuntiva.
Esempio 2: limitazione delle funzioni AWS Lambda che possono essere associate a un'istanza Amazon Connect
AWS Lambda le funzioni sono associate a un'istanza Amazon Connect, ma il ruolo collegato al servizio Amazon Connect non viene utilizzato per richiamarle e quindi non viene modificato. Viene invece aggiunta una policy alla funzione tramite la lambda:AddPermission API che consente all'istanza Amazon Connect specificata di richiamare la funzione.
Per limitare le funzioni che possono essere associate a un'istanza Amazon Connect, specifichi la funzione Lambda ARN che un utente può utilizzare per richiamare: lambda:AddPermission
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:AssociateLambdaFunction", "lambda:AddPermission" ], "Resource": [ "arn:aws:connect:region:account-id:instance/instance-id", "arn:aws:lambda:*:*:function:my-function" ] } ] }
Esempio 3: limitazione dei tipi di flussi di dati Amazon Kinesis che possono essere associati a un'istanza Amazon Connect
Il modello di questo esempio è simile all'esempio relativo ad Amazon S3. Limita i flussi di dati specifici di Kinesis che possono essere associati a una determinata istanza Amazon Connect per la distribuzione dei record dei contatti.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:UpdateInstanceStorageConfig", "connect:AssociateInstanceStorageConfig" ], "Resource": "arn:aws:connect:region:account-id:instance/instance-id", "Condition": { "StringEquals": { "connect:StorageResourceType": "CONTACT_TRACE_RECORDS" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "kinesis:DescribeStream", "iam:PutRolePolicy" ], "Resource": [ "arn:aws:iam::account-id:role/aws-service-role/connect.amazonaws.com/*", "arn:aws:kinesis:*:account-id:stream/stream-name" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": "kinesis:ListStreams", "Resource": "*" } ] }
