Controllo degli accessi basato su tag in Amazon Connect - Amazon Connect

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo degli accessi basato su tag in Amazon Connect

I controlli degli accessi basati su tag consentono di configurare l'accesso granulare a risorse specifiche in base ai tag delle risorse assegnati. Puoi configurare i controlli di accesso basati su tag utilizzandoAPI/SDKo all'interno della console Amazon Connect (per le risorse supportate).

Controllo degli accessi basato su tag utilizzando/APISDK

Per utilizzare i tag per controllare l'accesso alle risorse all'interno AWS dei tuoi account, devi fornire le informazioni sui tag nell'elemento condition di una IAM policy. Ad esempio, per controllare l'accesso al dominio Voice ID in base ai tag assegnati, usa la chiave di condizione aws:ResourceTag/key-name insieme a un operatore come StringEquals per indicare quale coppia chiave:valore dei tag deve essere collegata al dominio, in modo da consentire le azioni specificate.

Per informazioni più dettagliate sul controllo degli accessi basato sui tag, consulta Controllare l'accesso alle AWS risorse utilizzando i tag nella Guida per l'IAMutente.

Controllo degli accessi basato su tag tramite la console Amazon Connect

Un tag delle risorse è un'etichetta di metadati personalizzata che puoi aggiungere a una risorsa per semplificarne l'identificazione, l'organizzazione e l'individuazione in una ricerca. Puoi applicare i tag a livello di codice utilizzando Amazon ConnectSDK/APIse per determinate risorse puoi applicare i tag dalla console Amazon Connect. Per ulteriori informazioni sui tag delle risorse, consulta Aggiungi tag alle risorse in Amazon Connect.

Un tag di controllo degli accessi è simile a un tag delle risorse per il fatto che usa la stessa struttura chiave:valore. Tuttavia, la differenza è che aggiunge controlli di autorizzazione che limitano l'accesso di un utente alle sole risorse specificate contenenti tag delle risorse con coppie chiave:valore identiche. I tag di controllo degli accessi vengono definiti all'interno dei profili di sicurezza, selezionando prima di tutto la risorsa (profilo di instradamento, coda, utenti e così via) per cui controllare l'accesso e quindi definendo la coppia chiave:valore per la corrispondenza. Dopo aver applicato un profilo di sicurezza con tag di controllo degli accessi a un utente, il profilo limita l'accesso dell'utente in base alla combinazione definita tra le risorse selezionate e i tag di controllo degli accessi (chiave:valore). Un utente a cui non sono applicati tag di controllo degli accessi può visualizzare tutte le risorse se dispone dell'autorizzazione a questo scopo.

Per usare tag per controllare l'accesso alle risorse all'interno del sito web di amministrazione dell'istanza Amazon Connect, devi configurare la sezione per il controllo degli accessi all'interno di un profilo di sicurezza specifico. Ad esempio, per controllare l'accesso a un profilo di instradamento in base ai tag assegnati, devi specificare il profilo di instradamento come risorsa con accesso controllato e quindi indicare la coppia chiave:valore dei tag a cui vuoi consentire l'accesso.

Limitazioni di configurazione

I tag di controllo degli accessi vengono configurati in un profilo di sicurezza. Puoi configurare fino a 4 tag di controllo degli accessi in un unico profilo di sicurezza. L'aggiunta di altri tag di controllo degli accessi renderà il profilo di sicurezza più restrittivo. Ad esempio, se aggiungi due tag di controllo degli accessi come Department:X e Country:Y, l'utente può visualizzare solo le risorse che contengono entrambi i tag.

Agli utenti possono essere assegnati al massimo due profili di sicurezza contenenti tag di controllo degli accessi. Quando a un singolo utente vengono assegnati più profili di sicurezza contenenti tag di controllo degli accessi, i controlli degli accessi basati su tag diventano meno restrittivi. Ad esempio, un utente che possiede un profilo di sicurezza con un tag di controllo degli accessi come Country:USA e un altro profilo di sicurezza con un tag di controllo degli accessi come Country:Argentina può visualizzare le risorse con tag Country:USA o Country:Argentina. Un utente può avere altri profili di sicurezza, purché quelli aggiuntivi non contengano tag. Se sono presenti più profili di sicurezza con autorizzazioni delle risorse sovrapposte, viene applicato il profilo di sicurezza privo di controlli degli accessi basati su tag a scapito di quello dotato di controlli degli accessi basati su tag.

Per configurare tag delle risorse o tag di controllo degli accessi, sono necessari ruoli collegati al servizio. Se l'istanza è stata creata dopo ottobre 2018, questi ruoli sono già disponibili per impostazione predefinita con l'istanza Amazon Connect. Se invece l'istanza è meno recente, consulta Uso di ruoli collegati al servizio per Amazon Connect per istruzioni su come abilitare ruoli collegati al servizio.

Best practice per l'applicazione di controlli di accesso basati sui tag

L'applicazione di controlli di accesso basati su tag è una funzionalità di configurazione avanzata supportata da Amazon Connect e che segue il modello di responsabilità AWS condivisa. È importante verificare di configurare correttamente l'istanza in modo da soddisfare le esigenze di autorizzazione desiderate. Per ulteriori informazioni, consulta il modello di responsabilità condivisa di AWS.

Assicurati di aver abilitato almeno le autorizzazioni di visualizzazione per le risorse per cui vuoi specificare il controllo degli accessi basato su tag. In questo modo, eviterai incoerenze nelle autorizzazioni, che possono provocare il rifiuto delle richieste di accesso.

I controlli degli accessi basati su tag vengono abilitati a livello di risorsa, ovvero è possibile applicare restrizioni a ogni risorsa in modo indipendente. In alcuni casi d'uso questo comportamento può essere accettabile, ma come best practice consigliamo di abilitare i controlli degli accessi basati su tag per tutte le risorse. Ad esempio, se abiliti l'accesso per gli utenti ma non per i profili di sicurezza, un utente potrebbe creare un profilo di sicurezza con privilegi che prevalgono sulle impostazioni di controllo degli accessi utente previste.

Gli utenti a cui sono applicati controlli degli accessi basati su tag che accedono alla console Amazon Connect non potranno accedere ai log delle modifiche cronologiche per le risorse per cui sono soggetti a restrizioni.

Come best practice, devi disabilitare l'accesso alle risorse e/o ai moduli seguenti quando applichi controlli degli accessi basati su tag all'interno della console Amazon Connect. Se non disabiliti l'accesso a queste risorse, gli utenti con controlli di accesso basati su tag su una particolare risorsa che visualizzano queste pagine possono visualizzare un elenco illimitato di utenti, profili di sicurezza, profili di routing, code, flussi o moduli di flusso. Per ulteriori informazioni su come gestire le autorizzazioni, consulta Elenco delle autorizzazioni dei profili di sicurezza in Amazon Connect.

Modules

Autorizzazione per disabilitare l'accesso

Ricerca contatti

Ricerca contatti

Dashboard

Accesso ai parametri

Flows

Flussi: Visualizza

Moduli di flusso

Moduli di flusso – Visualizza

Previsioni

Previsioni

Modifiche storiche/Portale audit

Accesso ai parametri

Ore di operatività

Ore di operatività - Visualizza

Report Login/Logout

Report Login/Logout – Visualizza

Campagna in uscita

Campagne – Visualizza

Prompt

Prompt – Visualizza

Connessione rapida

Collegamento rapido - Visualizza

Regolamento

Regole – Visualizza

Report salvati.

Report salvati – Visualizza

Pianificazione

Gestore pianificazione

Pianificazione

Calendario della pianificazione pubblicato