Definir restrições de endereço IP e tempos limite de sessão no Amazon Connect
nota
Esse recurso está em prévia de lançamento e sujeito a alterações. Para obter acesso a esse recurso, entre em contato com o arquiteto de soluções, gerente técnico de contas ou AWS Support do Amazon Connect.
Para restringir ainda mais a central de atendimento, por exemplo, para cumprir os requisitos e regulamentos do setor, é possível configurar restrições de endereço IP e tempos limite de sessão.
-
As restrições de endereço IP exigem que os atendentes se conectem somente a partir da sua VPN ou bloqueiem o acesso de países ou sub-redes específicos.
-
O tempo limite da sessão exige que os atendentes façam login no Amazon Connect novamente.
No Amazon Connect, você configura um perfil de autenticação para definir restrições de endereço IP e durações de sessão de atendentes conectados. Um perfil de autenticação é um recurso que armazena as configurações de autenticação dos usuários na central de atendimento.
Configurar intervalos de endereços IP e duração da sessão
A instância do Amazon Connect inclui um perfil de autenticação padrão. Esse perfil de autenticação se aplica automaticamente a todos os usuários da central de atendimento. Não é necessário atribuir o perfil de autenticação aos usuários para que ele seja aplicado.
Para configurar o perfil de autenticação padrão, use os comandos a seguir do SDK da AWS.
dica
O ID da instância do Amazon Connect é necessário para executar esses comandos. Para obter instruções sobre como localizar o ID da instância, consulte Encontrar o ID ou ARN da instância do Amazon Connect.
-
Liste os perfis de autenticação na instância para obter o ID do perfil de autenticação que deseja atualizar. Você pode chamar a API ListAuthenticationProfile ou executar o comando da CLI
list-authentication-profiles.Veja a seguir um exemplo de comando
list-authentication-profiles:aws connect list-authentication-profiles --instance-idyour-instance-idVeja a seguir um exemplo do perfil de autenticação padrão que é retornado pelo comando
list-authentication-profiles.{ "AuthenticationProfileSummaryList": [ { "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id", "Id": "profile-id", "IsDefault": true, "LastModifiedRegion": "us-west-2", "LastModifiedTime": 1.719249173664E9, "Name": "Default Authentication Profile" } ], "NextToken": null } -
Visualize a configuração do perfil de autenticação que deseja atualizar. É possível chamar a API DescribeAuthenticationProfile ou executar o comando da CLI
describe-authentication-profile.Veja a seguir um exemplo de comando
describe-authentication-profile:aws connect describe-authentication-profile --instance-idyour-instance-id--profile-idprofile-idVeja a seguir um exemplo da informação retornada pelo comando
describe-authentication-profile.{ "AuthenticationProfile": { "AllowedIps": [], "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id", "BlockedIps": [], "CreatedTime": 1.718999177811E9, "Description": "A basic default Authentication Profile", "Id": "profile-id", "IsDefault": true, "LastModifiedRegion": "us-west-2", "LastModifiedTime": 1.719249173664E9, "MaxSessionDuration": 720, "Name": "Default Authentication Profile", "PeriodicSessionDuration": 60 } }Para obter uma descrição de cada campo, consulte AuthenticationProfile na Referência de API do Amazon Connect.
-
Configure o perfil de autenticação usando a API UpdateAuthenticationProfile ou o comando da CLI
update-authentication-profile. Todos os campos excetoInstanceIdeProfileIdsão opcionais. Somente as configurações definidas na chamada de API são alteradas.Veja um exemplo de comando
update-authentication-profilea seguir. Ele configura o perfil de autenticação padrão que é atribuído automaticamente a todos os usuários. Ele permite alguns endereços IP, bloqueia outros e define a duração da sessão periódica para 60 minutos.aws connect update-authentication-profile --instance-idyour-instance-id--profile-idprofile-id--name "Default Authentication Profile" --description "A basic default Authentication Profile" --allowed-ips "ip-range-1" "ip-range-2" ... --blocked-ips "ip-range-3" "ip-range-4" ... --periodic-session-duration 60
Configurar o controle de acesso com base em IP
Se você quiser configurar o acesso à central de atendimento com base em endereços IP, pode usar o recurso de controle de acesso baseado em IP do perfil de autenticação.
Há dois tipos de configurações de IP que você pode configurar em um perfil de autenticação: intervalos de endereços IP permitidos e intervalos de endereços IP bloqueados. Os pontos a seguir descrevem como funciona o controle de acesso com base em IP.
-
Os endereços IP podem estar nos formatos IPV4 e IPV6.
-
É possível definir endereços IP individuais e intervalos de endereços IP na notação CIDR.
-
As configurações de IP bloqueadas sempre têm precedência.
-
Se os endereços IP estiverem definidos na lista de IPs permitidos, apenas esses endereços IP serão permitidos.
-
Esses endereços IP podem ser restringidos pela lista de IPs bloqueados.
-
-
Se apenas endereços IP bloqueados forem definidos, qualquer endereço IP poderá acessar a instância, exceto aqueles definidos na lista de bloqueados.
-
Se os endereços IP estiverem definidos nas listas de endereços IP permitidos e bloqueados, apenas os endereços IP definidos no intervalo permitido serão permitidos, menos os endereços IP no intervalo bloqueado.
nota
O controle de acesso baseado em endereço IP não se aplica ao login de emergência do administrador. Para aplicar restrições a esse usuário, é possível aplicar restrições SourceIp nas políticas do IAM para a API connect:AdminGetEmergencyAccessToken.
Quando o endereço IP de um usuário é determinado como bloqueado pela instância, a sessão do usuário é invalidada. Um evento de logout é publicado no relatório Login/Logout.
A experiência dos usuários quando a verificação do endereço IP falha
Atendentes
Quando um atendente está ativo no Painel de controle do contato (CCP), seu endereço IP é verificado periodicamente. A frequência com que o Amazon Connect verifica o endereço IP é baseada em como você configurou a duração da sessão periódica do perfil de autenticação.
Veja a seguir o que acontece se o endereço IP falhar na verificação:
-
Se o atendente não estiver em uma chamada ativa, ele será desconectado se o endereço IP mudar para um endereço não permitido.
-
Se o atendente estiver em uma chamada ativa, a sessão do atendente será invalidada, no entanto, isso encerrará a chamada atualmente ativa. Veja o que acontece:
-
O atendente perde a capacidade de realizar qualquer ação, como alterar o status do atendente, transferir chamadas, colocar a chamada em espera, encerrar a chamada ou criar um caso.
-
O atendente é notificado de que sua capacidade de realizar ações no CCP é restrita.
-
Se eles fizerem login com sucesso após a invalidação da sessão, eles serão colocados novamente na chamada ativa e poderão realizar ações novamente.
-
Administradores e usuários que usam o site de administração do Amazon Connect
Quando a verificação do endereço IP falha para administradores e outros usuários que realizam ações no site de administração do Amazon Connect, como salvar atualizações em recursos ou acessar chamadas ativas, eles são automaticamente desconectados.
Exemplo de configurações de endereço IP
Exemplo 1: endereços IP definidos apenas na lista de IPs permitidos
-
AllowedIps: [
111.222.0.0/16] -
BlockedIps: [ ]
Resultado:
-
Somente endereços IP entre
111.222.0.0e111.222.255.255têm permissão para acessar a instância.
Exemplo 2: endereços IP definidos apenas na lista de IPs bloqueados
-
AllowedIps: [ ]
-
BlockedIps: [
155.155.155.0/24]
Resultado:
-
Todos os endereços IP são permitidos, exceto o intervalo de endereços IP
155.155.155.0 - 155.155.155.255, inclusive.
Exemplo 3: endereços IP definidos na lista de IPs permitidos e na lista de IPs bloqueados
-
AllowedIps: [
200.255.0.0/16] -
BlockedIps: [
200.255.10.0/24, 200.255.40.50, 192.123.211.211]
Resultado:
-
Endereços IP entre
200.255.0.0 - 200.255.255.255são permitidos, menos(200.255.10.0 - 200.255.10.255 AND 200.255.40.50). -
Efetivamente,
200.255.0.0 - 200.255.9.255, 200.255.11.0 - 200.255.40.49, 200.255.40.51 - 200.255.255.255são permitidos. -
192.123.211.211é efetivamente ignorado, pois não está no intervalo permitido.
Exemplo 4: nenhum endereço IP definido na lista de IPs permitidos ou na lista de IPs bloqueados
-
AllowedIps: [ ]
-
BlockedIps: [ ]
Nesse caso, não há restrições.
Importante
A lista allowedIps define o intervalo de IPs possíveis permitidos na central de atendimento apenas se não estiver vazia. Se estiver vazia, qualquer endereço IP poderá acessar a central de atendimento, a menos que seja explicitamente bloqueado pela lista blockedIps.
Configurar a duração da sessão
É possível ajustar a duração da sessão periódica de acordo com as preferências e os requisitos de segurança da organização. Por exemplo, é possível definir a duração da sessão periódica para 20 minutos para que o endereço IP e a duração da sessão do atendente sejam verificados em um período de 20 minutos no CCP.
O Amazon Connect usa um modelo de autenticação baseado em tokens. Há dois tempos limite de sessão que se aplicam às sessões de usuários na central de atendimento:
-
Duração da sessão periódica: o período máximo até que um usuário da central de atendimento seja autenticado. Padrão = 60 minutos. Essa opção pode ser configurada para um valor diferente entre 10 e 60.
nota
Embora essa configuração defina o intervalo máximo de tempo que pode passar até que um usuário seja autenticado, a autenticação pode ocorrer antes em situações específicas. Por exemplo, no site de administração do Amazon Connect, a autenticação também acontece sempre que determinadas ações são realizadas, como criar um usuário ou alterar um perfil de segurança.
-
Duração máxima da sessão: o período máximo de tempo em que um usuário da central de atendimento pode estar conectado antes de ser forçado a entrar novamente. Padrão = 12 horas; não pode ser configurado com um valor diferente.
