Amazon Connect에서 계층 액세스 제어(미리 보기)

사용자에게 할당된 에이전트 계층 구조에 따라 연락처에 대한 액세스를 제한할 수 있습니다. 이는 고객 응대 액세스 제한과 같은 권한을 사용하여 수행됩니다. 이러한 권한 외에도 계층 구조를 사용하여 사용자와 같은 리소스에 대한 세분화된 액세스 제어를 태그와 함께 적용할 수도 있습니다. 이 페이지의 나머지 부분에는 계층 기반 액세스 제어 구성에 대한 추가 세부 정보가 포함되어 있습니다(현재 미리 보기 중).

배경

계층 기반 액세스 제어를 사용하면 사용자에게 할당된 에이전트 계층 구조를 기반으로 특정 리소스에 대한 세분화된 액세스를 구성할 수 있습니다. 지원되는 리소스에 대해 API/SDK를 사용하거나 Amazon Connect 콘솔 내에서 계층 기반 액세스 제어를 구성할 수 있습니다. 

현재 계층 기반 액세스 제어를 지원하는 유일한 리소스는 사용자입니다. 이 권한 부여 모델은 태그 기반 액세스 제어와 함께 작동하므로 사용자에 대한 액세스를 제한할 수 있으므로 계층 구조 그룹에 속하고 연결된 특정 태그가 있는 다른 사용자만 볼 수 있습니다.

API/SDK를 사용한 계층 기반 액세스 제어

AWS 계정 내의 리소스에 대한 액세스를 제어하기 위해 계층 구조를 사용하려면 IAM 정책의 조건 요소에 계층 구조의 정보를 제공해야 합니다. 예를 들어 특정 계층에 속하는 사용자에 대한 액세스를 제어하려면 connect:HierarchyGroupL3Id/hierarchyGroupId 조건 키를 StringEquals와 같은 특정 연산자와 함께 사용하여 사용자가 속해야 하는 계층 그룹을 지정하여 해당 계층에 대해 지정된 작업을 허용합니다. 지원되는 조건 키는 다음과 같습니다.

각각은 사용자 계층 구조의 특정 수준에서 지정된 계층 그룹의 ID를 나타냅니다.

계층 기반 액세스 제어에 대한 자세한 내용은 IAM 사용 설명서의 태그를 사용한 AWS 리소스 액세스 제어를 참조하세요.

Amazon Connect 콘솔을 사용한 계층 기반 액세스 제어

계층 구조를 사용하여 Amazon Connect 인스턴스의 관리자 웹 사이트 내 리소스에 대한 액세스를 제어하려면 주어진 보안 프로필 내에 액세스 제어 섹션을 구성해야 합니다. 예를 들어, 사용자가 속한 계층 구조에 따라 특정 사용자에 대해 세분화된 액세스 제어 액세스를 활성화하려면 사용자를 액세스 제어 리소스로 구성해야 합니다. 이 경우 두 가지 옵션이 있습니다.

구성 제한 사항

세분화된 액세스 제어는 보안 프로필에 구성됩니다. 사용자에게 세분화된 액세스 제어를 적용하는 최대 2개의 보안 프로필을 할당할 수 있습니다. 이 경우 권한이 덜 제한되고 두 권한 세트의 조합으로 작동합니다. 예를 들어, 하나의 보안 프로필이 계층 기반 액세스 제어를 적용하고 다른 하나의 보안 프로필이 태그 기반 액세스 제어를 적용하는 경우 사용자는 동일한 계층에 속하거나 지정된 태그로 태그가 지정된 모든 사용자를 관리할 수 있습니다. 태그 기반 액세스 제어와 계층 기반 액세스 제어가 모두 동일한 보안 프로필의 일부로 구성된 경우 두 조건을 모두 충족해야 합니다. 이 경우 사용자는 동일한 계층에 속하고 지정된 태그로 태그가 지정된 사용자만 관리할 수 있습니다. 

추가 보안 프로필에 세부적인 액세스 제어를 강제하지 않는 한 사용자는 두 개 이상의 보안 프로필을 가질 수 있습니다. 리소스 권한이 겹치는 보안 프로필이 여러 개 있는 경우 계층 기반 액세스 제어가 없는 보안 프로필이 계층 기반 액세스 제어가 있는 보안 프로필을 무시하고 적용됩니다.

계층 기반 액세스 제어 태그를 구성하려면 서비스 연결 역할이 필요합니다. 인스턴스가 2018년 10월 이후에 생성된 경우 Amazon Connect 인스턴스에서 기본적으로 사용할 수 있습니다. 하지만 그보다 전에 생성된 인스턴스를 사용하는 경우 서비스 연결 역할을 활성화하는 방법에 대한 지침은 Amazon Connect의 서비스 연결 역할 사용을 참조하세요.

계층 기반 액세스 제어 적용의 모범 사례

계층 기반 액세스 제어 적용은 Amazon Connect에서 지원하는 고급 구성 기능이며 AWS 공동 책임 모델을 따릅니다. 원하는 인증 요구 사항을 준수하도록 인스턴스를 올바르게 구성하고 있는지 확인하는 것이 중요합니다. 자세한 내용은 AWS 공동 책임 모델을 참조하세요.

계층 기반 액세스 제어를 활성화하려는 리소스에 대해 최소한 보기 권한을 활성화했는지 확인하세요. 이렇게 하면 권한 불일치로 인해 액세스 요청이 거부되는 것을 방지할 수 있습니다. 계층 기반 액세스 제어는 리소스 수준에서 활성화되므로 각 리소스를 독립적으로 제한할 수 있습니다. 계층 기반 액세스 제어가 적용될 때 부여된 권한을 주의 깊게 검토하는 것이 중요합니다. 예를 들어, 사용자에 대한 계층 제한 액세스를 활성화하고 권한 보안 프로필을 보거나 편집하면 사용자가 의도한 사용자 액세스 제어 설정을 대체하는 권한이 있는 보안 프로필을 생성/업데이트할 수 있습니다.

계층 기반 액세스 제어를 적용한 상태로 Amazon Connect 콘솔에 로그인하면 사용자는 제한된 리소스의 기록 변경 사항 로그에 액세스할 수 없습니다.

하위 리소스에 대한 계층 기반 액세스 제어를 통해 상위 리소스에 하위 리소스를 할당하려고 하면 하위 리소스가 계층에 속하지 않으면 작업이 거부됩니다. 예를 들어 빠른 연결에 사용자를 할당하려고 했지만 사용자의 계층 구조에 액세스할 수 없는 경우 작업이 실패합니다. 그러나 연결 해제의 경우에는 그렇지 않습니다. 빠른 연결에 대한 액세스 권한이 있다고 가정하여 계층 기반 액세스 제어를 적용하더라도 사용자를 자유롭게 연결 해제할 수 있습니다. 이는 연결 해제가 두 리소스 간의 기존 관계(새 연결과는 반대로)를 취소하는 것이며 사용자가 이미 액세스할 수 있는 상위 리소스(이 경우 빠른 연결)의 일부로 모델링되기 때문입니다. 따라서 사용자 리소스에 계층 기반 액세스 제어를 적용할 때는 상위 리소스에 부여된 권한을 신중하게 고려하는 것이 중요합니다. 사용자가 감독자의 지식 없이 연결이 해제될 수 있기 때문입니다.

Amazon Connect 콘솔 내에서 계층 기반 액세스 제어를 적용할 때는 다음 리소스/모듈에 대한 액세스를 비활성화하는 것이 가장 좋습니다. 이러한 리소스에 대한 액세스를 비활성화하지 않으면 특정 리소스에 대한 계층 기반 액세스 제어를 사용하며 해당 페이지를 보는 사용자에게 제한되지 않은 사용자 목록이 표시될 수 있습니다. 권한 관리 방법에 대한 자세한 내용은 보안List of security profile permissions를 참조하세요.