Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di policy a livello di risorsa Amazon Connect

Amazon Connect supporta le autorizzazioni a livello di risorsa per gli utenti, pertanto è possibile specificare le loro azioni per un'istanza, come illustrato nelle policy seguenti.

Negare le operazioni "elimina" e "aggiorna"

La seguente policy di esempio nega le azioni "elimina" e "aggiorna" per gli utenti in un'istanza Amazon Connect. Utilizza una wild card alla fine dell'utente Amazon Connect in ARN modo che «delete user» e «update user» vengano negati all'utente completo ARN (ovvero, tutti gli utenti Amazon Connect nell'istanza fornita, ad esempio arn:aws:connect:us-east- 1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/00dbeee1-123e-111e-93e3-11111bfbfcc1/agent/00dbeee1-123e-111e-93e3-11111bfbfcc1/agent/00dd/ cddd1-123e-111e-93e3-11111bfbfcc1 arn:aws:east-1:123456712:instance/00fbeee1-123e-111bfbfcc1).

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "connect:DeleteUser",
                "connect:UpdateUser*"
            ],
            "Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/*"
        }
    ]
}            

Consentire azioni per le integrazioni con nomi specifici

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllAppIntegrationsActions",
            "Effect": "Allow",
            "Action": [
                "app-integrations:ListEventIntegrations",
                "app-integrations:CreateEventIntegration",
                "app-integrations:GetEventIntegration",
                "app-integrations:UpdateEventIntegration",
                "app-integartions:DeleteEventIntegration"
            ],
"Resource":"arn:aws:appintegrations:*:*:event-integration/MyNamePrefix-*"
	}
    ]
}            

Consentire "crea utenti" ma negare se assegnati a un profilo di sicurezza specifico

La seguente politica di esempio consente di «creare utenti» ma nega esplicitamente l'utilizzo di arn:aws:connect:us-west- 2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17 come parametro per il profilo di sicurezza in richiesta. CreateUser

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",        
            "Action": [
                "connect:CreateUser"
             ],
            "Resource": "*",
        },
        {
            "Effect": "Deny",
            "Action": [
                "connect:CreateUser"
             ],
            "Resource": "arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc17/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17",
        } 
    ]
}            

Consentire la registrazione di azioni su un contatto

La seguente policy di esempio consente l'operazione “avvia la registrazione del contatto” su un contatto in un'istanza specifica. Poiché ContactID è un valore dinamico, viene utilizzato *.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
          "connect:StartContactRecording"
      ],
      "Resource": "arn:aws:connect:us-west-2:accountID:instance/instanceId/contact/*",
      "Effect": "Allow"
    }
  ]
}            

Imposta una relazione attendibile con AccountID.

Le seguenti azioni sono definite per la registrazioneAPIs:

Consentire più azioni di contatto nello stesso ruolo

Se lo stesso ruolo viene utilizzato per chiamare altri contattiAPIs, puoi elencare le seguenti azioni di contatto:

Oppure utilizza un carattere jolly per consentire tutte le azioni di contatto, ad esempio: "connect:*"

Consentire più risorse

Puoi utilizzare un carattere jolly anche per consentire l'utilizzo di più risorse. Ad esempio, puoi consentire tutte le azioni di connessione su tutte le risorse di contatto in questo modo:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "connect:*"
            ],
            "Resource": "arn:aws:connect:us-west-2:accountID:instance/*/contact/*",
            "Effect": "Allow"
        }
    ]
}       

Consenti o nega API le azioni di coda per i numeri di telefono in una regione di replica

I CreateQueuee UpdateQueueOutboundCallerConfigAPIscontengono un campo di input denominato. OutboundCallerIdNumberId Questo campo rappresenta una risorsa di numeri di telefono che può essere richiesta a un gruppo di distribuzione del traffico. Supporta sia il ARN formato V1 del numero di telefono restituito da ListPhoneNumberssia il ARN formato V2 restituito da ListPhoneNumbers V2.

Di seguito sono riportati i formati V1 e ARN V2 che supportano: OutboundCallerIdNumberId

Fornisci entrambi i ARN formati per le risorse relative ai numeri di telefono nella regione di replica

Se il numero di telefono viene dichiarato a un gruppo di distribuzione del traffico, per consentire/negare correttamente l'accesso alle API azioni di coda per le risorse dei numeri di telefono mentre si opera nella regione di replica, è necessario fornire la risorsa del numero di telefono nei formati V1 e V2. ARN Se si fornisce la risorsa relativa al numero di telefono in un solo ARN formato, non si ottiene il corretto comportamento di autorizzazione/negazione durante il funzionamento nella regione di replica.

Esempio 1: negare l'accesso a CreateQueue

Ad esempio, stai operando nella regione di replica us-west-2 con l'account 123456789012 e l'istanza aaaaaaaa-bbbb-cccc-dddd-0123456789012. Si desidera negare l'accesso a CreateQueueAPIquando il OutboundCallerIdNumberId valore è un numero di telefono dichiarato a un gruppo di distribuzione del traffico con ID di risorsa. aaaaaaaa-eeee-ffff-gggg-0123456789012 In questo scenario, è necessario utilizzare la seguente policy.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyCreateQueueForSpecificNumber",
            "Effect": "Deny",
            "Action": "connect:CreateQueue",
            "Resource": [
                "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
                "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
            ]
        }
    ]
}

us-west-2 è la regione in cui viene effettuata la richiesta.

Esempio 2: consenti solo l'accesso a UpdateQueueOutboundCallerConfig

Ad esempio, stai operando nella regione di replica us-west-2 con l'account 123456789012 e l'istanza aaaaaaaa-bbbb-cccc-dddd-0123456789012. Si desidera consentire l'accesso solo UpdateQueueOutboundCallerConfigAPIquando il OutboundCallerIdNumberId valore è un numero di telefono dichiarato a un gruppo di distribuzione del traffico con ID di risorsaaaaaaaaa-eeee-ffff-gggg-0123456789012. In questo scenario, è necessario utilizzare la seguente policy.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OnlyAllowUpdateQueueOutboundCallerConfigForSpecificNumber",
            "Effect": "Allow",
            "Action": "connect:UpdateQueueOutboundCallerConfig",
            "Resource": [
                "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
                "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
            ]
        }
    ]
}

Visualizza AppIntegrations risorse Amazon specifiche

La seguente policy di esempio consente di recuperare le integrazioni di eventi specifici.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "app-integrations:GetEventIntegration"
            ],
            "Resource": "arn:aws:app-integrations:us-west-2:accountID:event-integration/Name"
        }
    ]
}   

Concedere l'accesso a Profili cliente Amazon Connect

Profili cliente Amazon Connect utilizza profile come prefisso per le azioni anziché connect. La seguente policy concede l'accesso completo a un dominio specifico in Profili cliente Amazon Connect.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
          "profile:*"
      ],
      "Resource": "arn:aws:profile:us-west-2:accountID:domains/domainName",
      "Effect": "Allow"
    }
  ]
}            

Imposta una relazione di fiducia con AccountID al dominio. domainName

Concedere l'accesso in sola lettura ai dati di Profili cliente

Di seguito è riportato un esempio per concedere l'accesso in lettura ai dati in Profili cliente Amazon Connect.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "profile:SearchProfiles",
                "profile:ListObjects"
            ],
            "Resource": "arn:aws:profile:us-west-2:accountID:domains/domainName",
            "Effect": "Allow"
        }
    ]
}            

Esecuzione di query su Amazon Q in Connect solo per un assistente specifico

La seguente policy di esempio consente di eseguire una query solo per un assistente specifico.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wisdom:QueryAssistant "
            ],
            "Resource": "arn:aws:wisdom:us-west-2:accountID:assistant/assistantID"
        }
    ]
} 

Concedere l'accesso completo ad Amazon Connect Voice ID

Amazon Connect Voice ID utilizza voiceid come prefisso per le azioni anziché connect. La seguente policy concede l'accesso completo a un dominio specifico in Amazon Connect Voice ID.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
          "voiceid:*"
      ],
      "Resource": "arn:aws:voiceid:us-west-2:accountID:domain/domainName",
      "Effect": "Allow"
    }
  ]
}  

Imposta una relazione di fiducia con AccountID al dominio. domainName

Concedere l'accesso alle risorse delle Campagne Amazon Connect in uscita

Campagne in uscita utilizza connect-campaign come prefisso per le azioni anziché connect. La seguente policy concede l'accesso completo a una specifica campagna in uscita.

{
    "Sid": "AllowConnectCampaignsOperations",
    "Effect": "Allow",
    "Action": [
        "connect-campaigns:DeleteCampaign",
        "connect-campaigns:DescribeCampaign",
        "connect-campaigns:UpdateCampaignName",
        "connect-campaigns:GetCampaignState"
        "connect-campaigns:UpdateOutboundCallConfig",
        "connect-campaigns:UpdateDialerConfig",
        "connect-campaigns:PauseCampaign",
        "connect-campaigns:ResumeCampaign",
        "connect-campaigns:StopCampaign"
    ],
    "Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId",
    }

Limitazione della capacità di eseguire ricerche su trascrizioni analizzate da Amazon Connect Contact Lens

La seguente policy consente di ricercare e descrivere contatti, ma nega la ricerca di un contatto utilizzando trascrizioni analizzate da Amazon Connect Contact Lens.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:DescribeContact"
            ],
            "Resource": "arn:aws:connect:region:account-id:instance/instance-id/contact/*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "connect:SearchContacts"
            ],
            "Resource": "arn:aws:connect:region:account-id:instance/instance-id"
        },
        {
            "Sid": "VisualEditor2",
            "Effect": "Deny",
            "Action": [
                "connect:SearchContacts"
            ],
            "Resource": "arn:aws:connect:region:account-id:instance/instance-id",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "connect:SearchContactsByContactAnalysis": [
                        "Transcript"
                    ]
                }
            }
        }
    ]
}