Amazon Connect와 연결할 수 있는 AWS 리소스 제한 - Amazon Connect

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Connect와 연결할 수 있는 AWS 리소스 제한

각 Amazon Connect 인스턴스는 인스턴스가 생성될 때 IAM 서비스 연결 역할과 연결됩니다. Amazon Connect는 통화 녹음 스토리지(Amazon S3 버킷), 자연어 봇(Amazon Lex 봇), 데이터 스트리밍(Amazon Kinesis Data Streams)과 같은 사용 사례를 위해 다른 AWS 서비스와 통합할 수 있습니다. Amazon Connect는 이러한 다른 서비스와 상호 작용하는 서비스 연결 역할을 맡습니다. 정책은 먼저 Amazon Connect 서비스( AWS 관리자 웹 사이트에서 호출)APIs에 해당하는 의 일부로 서비스 연결 역할에 추가됩니다. 예를 들어 특정 Amazon S3 버킷을 Amazon Connect 인스턴스와 함께 사용하려면 버킷을 AssociateInstanceStorageConfig 에 전달해야 합니다API.

Amazon Connect에서 정의한 IAM 작업 세트는 Amazon Connect에서 정의한 작업을 참조하세요.

다음은 Amazon Connect 인스턴스와 연관될 수 있는 다른 리소스에 대한 액세스를 제한하는 몇 가지 예입니다. Amazon Connect 또는 Amazon Amazon Connect 관리 웹 사이트와 상호 작용하는 사용자 APIs 또는 역할에 적용해야 합니다.

참고

이 예제에서는 명시적 Deny가 있는 정책이 Allow 정책보다 우선합니다.

액세스를 제한하는 데 사용할 수 있는 리소스, 조건 키 및 종속에 대한 자세한 내용은 Amazon Connect의 작업, 리소스 및 조건 키를 참조APIs하세요.

예제 1: Amazon Connect 인스턴스와 연결할 수 있는 Amazon S3 버킷 제한

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:UpdateInstanceStorageConfig", "connect:AssociateInstanceStorageConfig" ], "Resource": "arn:aws:connect:region:account-id:instance/instance-id", "Condition": { "StringEquals": { "connect:StorageResourceType": "CALL_RECORDINGS" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:iam::account-id:role/aws-service-role/connect.amazonaws.com/*", "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "*" } ] }

이 예제에서는 IAM 보안 주체가 지정된 Amazon Connect 인스턴스 에 대한 통화 녹음을 위해 Amazon S3 버킷과 라는 특정 Amazon S3 버킷을 연결할 수 있도록 허용합니다my-connect-recording-bucket. Amazon Connect ARN AttachRolePolicyPutRolePolicy 작업은 Amazon Connect 서비스 연결 역할로 범위가 지정됩니다(이 예제에서는 와일드카드가 사용되지만 필요한 경우 인스턴스에 ARN 대한 역할을 제공할 수 있음).

참고

AWS KMS 키를 사용하여 이 버킷의 레코딩을 암호화하려면 추가 정책이 필요합니다.

예제 2: Amazon Connect 인스턴스와 연결할 수 있는 AWS Lambda 함수 제한

AWS Lambda 함수는 Amazon Connect 인스턴스와 연결되지만 Amazon Connect 서비스 연결 역할은 이를 호출하는 데 사용되지 않으므로 수정되지 않습니다. 대신 지정된 Amazon Connect 인스턴스가 함수를 호출할 수 lambda:AddPermission API 있도록 허용하는 정책이 를 통해 함수에 추가됩니다.

Amazon Connect 인스턴스와 연결할 수 있는 함수를 제한하려면 사용자가 를 호출하는 데 사용할 수 ARN 있는 Lambda 함수를 지정합니다lambda:AddPermission.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:AssociateLambdaFunction", "lambda:AddPermission" ], "Resource": [ "arn:aws:connect:region:account-id:instance/instance-id", "arn:aws:lambda:*:*:function:my-function" ] } ] }

예제 3: Amazon Connect 인스턴스와 연결할 수 있는 Amazon Kinesis Data Stream 제한

이 예제는 Amazon S3 예제와 유사한 모델을 따릅니다. 고객 응대 레코드 전달을 위해 특정 Amazon Connect 인스턴스와 연결할 수 있는 특정 Kinesis Data Streams를 제한합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:UpdateInstanceStorageConfig", "connect:AssociateInstanceStorageConfig" ], "Resource": "arn:aws:connect:region:account-id:instance/instance-id", "Condition": { "StringEquals": { "connect:StorageResourceType": "CONTACT_TRACE_RECORDS" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "kinesis:DescribeStream", "iam:PutRolePolicy" ], "Resource": [ "arn:aws:iam::account-id:role/aws-service-role/connect.amazonaws.com/*", "arn:aws:kinesis:*:account-id:stream/stream-name" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": "kinesis:ListStreams", "Resource": "*" } ] }