Use funções vinculadas ao serviço e permissões de função para o Amazon Connect - Amazon Connect
O que são funções vinculadas a serviços (SLR) e por que elas são importantes?Permissões de função vinculada ao serviço para o Amazon ConnectCriar uma função vinculada ao serviço para o Amazon ConnectPara instâncias criadas antes de outubro de 2018Editar uma função vinculada ao serviço para o Amazon ConnectVerificar se uma função vinculada ao serviço tem permissões para o Amazon LexExcluir uma função vinculada ao serviço para o Amazon ConnectRegiões que comportam funções vinculadas ao serviço do Amazon Connect

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Use funções vinculadas ao serviço e permissões de função para o Amazon Connect

O que são funções vinculadas a serviços (SLR) e por que elas são importantes?

O Amazon Connect usa AWS Identity and Access Management (IAM) funções vinculadas ao serviço. Uma função vinculada ao serviço é um tipo exclusivo de IAM função vinculada diretamente a uma instância do Amazon Connect.

As funções vinculadas ao serviço são predefinidas pelo Amazon Connect e incluem todas as permissões que o Amazon Connect exige para chamar outros AWS serviços em seu nome.

Você precisa habilitar funções vinculadas a serviços para poder usar novos recursos no Amazon Connect, como suporte à marcação, a nova interface de usuário em gerenciamento de usuários e perfis de roteamento e filas com suporte. CloudTrail

Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte AWS serviços que funcionam com IAM e procure os serviços que têm Sim na coluna Função vinculada ao serviço. Escolha um Sim com um link para visualizar a documentação da função vinculada a esse serviço.

Permissões de função vinculada ao serviço para o Amazon Connect

O Amazon Connect usa a função vinculada ao serviço com o prefixo _ AWSServiceRoleForAmazonConnectunique-id — Concede permissão ao Amazon Connect para acessar AWS recursos em seu nome.

A função vinculada ao serviço AWSServiceRoleForAmazonConnect prefixada confia nos seguintes serviços para assumir a função:

  • connect.amazonaws.com

A política de permissões de AmazonConnectServiceLinkedRolePolicyfunção permite que o Amazon Connect conclua as seguintes ações nos recursos especificados:

  • Ação: todas as ações do Amazon Connect, connect:*, em todos os recursos do Amazon Connect.

  • Ação: permitir IAM iam:DeleteRole a exclusão da função vinculada ao serviço.

  • Ação: s3:GetObject, s3:DeleteObject, s3:GetBucketLocation e GetBucketAcl do Amazon S3 para o bucket do S3 especificado para conversas gravadas.

    Ele também concede s3:PutObject, s3:PutObjectAcl e s3:GetObjectAcl para o bucket especificado para relatórios exportados.

  • Ação: Amazon CloudWatch Logslogs:CreateLogStream,logs:DescribeLogStreams, e logs:PutLogEvents para o grupo CloudWatch Logs especificado para registro de fluxo.

  • Ação: lex:ListBots e lex:ListBotAliases do Amazon Lex para todos os bots criados na conta em todas as regiões.

  • Amazon Connect Customer Profiles

    • profile:SearchProfiles

    • profile:CreateProfile

    • profile:UpdateProfile

    • profile:AddProfileKey

    • profile:ListProfileObjects

    • profile:ListAccountIntegrations

    • profile:ListProfileObjectTypeTemplates

    • profile:GetProfileObjectTypeTemplate

    • profile:ListProfileObjectTypes

    • profile:GetProfileObjectType

    • profile:ListCalculatedAttributeDefinitions

    • profile:GetCalculatedAttributeForProfile

    • profile:ListCalculatedAttributesForProfile

    • profile:GetDomain

    • profile:ListIntegrations

    • profile:CreateCalculatedAttributeDefinition

    • profile:DeleteCalculatedAttributeDefinition

    • profile:GetCalculatedAttributeDefinition

    • profile:UpdateCalculatedAttributeDefinition

    • profile:PutProfileObject

    para usar seu domínio padrão do Customer Profiles (incluindo perfis e todos os tipos de objeto no domínio) com os fluxos do Amazon Connect e as aplicações de experiência do atendente.

    nota

    Cada instância do Amazon Connect só pode ser associada a um domínio por vez. No entanto, você pode vincular qualquer domínio a uma instância do Amazon Connect. O acesso entre domínios na mesma AWS conta e região é ativado automaticamente para todos os domínios que começam com o prefixo. amazon-connect- Para restringir o acesso entre domínios, você pode usar instâncias separadas do Amazon Connect para particionar logicamente seus dados ou usar nomes de domínio de perfis de clientes na mesma instância que não comecem com o amazon-connect- prefixo, impedindo assim o acesso entre domínios.

  • Ação: Amazon Connect Amazon Q in Connect

    • wisdom:CreateContent

    • wisdom:DeleteContent

    • wisdom:CreateKnowledgeBase

    • wisdom:GetAssistant

    • wisdom:GetKnowledgeBase

    • wisdom:GetContent

    • wisdom:GetRecommendations

    • wisdom:GetSession

    • wisdom:NotifyRecommendationsReceived

    • wisdom:QueryAssistant

    • wisdom:StartContentUpload

    • wisdom:UntagResource

    • wisdom:TagResource

    • wisdom:CreateSession

    • wisdom:CreateQuickResponse

    • wisdom:GetQuickResponse

    • wisdom:SearchQuickResponses

    • wisdom:StartImportJob

    • wisdom:GetImportJob

    • wisdom:ListImportJobs

    • wisdom:ListQuickResponses

    • wisdom:UpdateQuickResponse

    • wisdom:DeleteQuickResponse

    • wisdom:PutFeedback

    • wisdom:ListContentAssociations

    com a etiqueta de recurso 'AmazonConnectEnabled':'True' em todos os recursos do Amazon Connect Amazon Q in Connect associados à instância do Amazon Connect.

    • wisdom:ListAssistants

    • wisdom:KnowledgeBases

    em todos os recursos do Amazon Connect Amazon Q in Connect.

  • Ação: Amazon CloudWatch Metrics cloudwatch:PutMetricData para publicar métricas de uso do Amazon Connect para uma instância em sua conta.

  • Ação: Amazon Pinpoint sms:DescribePhoneNumbers e sms:SendTextMessage permitir que o Amazon Connect envie. SMS

  • Ação: grupos de usuários do Amazon Cognito cognito-idp:DescribeUserPool e cognito-idp:ListUserPoolClients permitir que o Amazon Connect acesse operações de leitura selecionadas em recursos de grupos de usuários do Amazon Cognito que tenham AmazonConnectEnabled uma tag de recurso.

  • Ação: Amazon Chime SDK Voice Connector chime:GetVoiceConnector para permitir acesso de leitura ao Amazon Connect em todos os recursos do Amazon SDK Chime Voice Connector que tenham 'AmazonConnectEnabled':'True' uma tag de recurso.

  • Ação: Conector de SDK voz do Amazon Chime chime:ListVoiceConnectors para todos os conectores de voz do Amazon SDK Chime criados na conta em todas as regiões.

À medida que você habilitar recursos adicionais no Amazon Connect, as seguintes permissões serão adicionadas para a função vinculada ao serviço acessar os recursos associados a esses recursos:

  • Ação: Amazon Data Firehose firehose:DescribeDeliveryStream efirehose:PutRecord, e firehose:PutRecordBatch para o fluxo de entrega definido para fluxos de eventos de agentes e registros de contato.

  • Ação: kinesis:PutRecord, kinesis:PutRecords e kinesis:DescribeStream do Amazon Kinesis Data Streams para o fluxo especificado para fluxos de eventos de atendentes e registros de contato.

  • Ação: lex:PostContent do Amazon Lex para bots adicionados à instância.

  • Ação:voiceid:* do Amazon Connect Voice-ID para os domínios do Voice ID associados à instância.

  • Ação: EventBridge events:PutRule e events:PutTargets para a EventBridge regra gerenciada do Amazon Connect para publicar CTR registros para seus domínios de ID de voz associados.

  • Ação: campanhas externas

    • connect-campaigns:CreateCampaign

    • connect-campaigns:DeleteCampaign

    • connect-campaigns:DescribeCampaign

    • connect-campaigns:UpdateCampaignName

    • connect-campaigns:GetCampaignState

    • connect-campaigns:GetCampaignStateBatch

    • connect-campaigns:ListCampaigns

    • connect-campaigns:UpdateOutboundCallConfig

    • connect-campaigns:UpdateDialerConfig

    • connect-campaigns:PauseCampaign

    • connect-campaigns:ResumeCampaign

    • connect-campaigns:StopCampaign

    para todas as operações relacionadas a campanhas externas.

Você deve configurar permissões para permitir que uma IAM entidade (como um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte Permissões de funções vinculadas ao serviço no Guia do IAMusuário.

Criar uma função vinculada ao serviço para o Amazon Connect

Não é necessário criar manualmente uma função vinculada ao serviço. Quando você cria uma nova instância no Amazon Connect no AWS Management Console, o Amazon Connect cria a função vinculada ao serviço para você.

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta. Ao criar uma instância no Amazon Connect, o Amazon Connect criará a função vinculada ao serviço para você.

Você também pode usar o IAM console para criar uma função vinculada ao serviço com o caso de uso Amazon Connect - Full Access. No IAM CLI ou no IAMAPI, crie uma função vinculada ao serviço com o nome do connect.amazonaws.com serviço. Para obter mais informações, consulte Criação de uma função vinculada ao serviço no Guia do IAMusuário. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

Para instâncias criadas antes de outubro de 2018

dica

Está tendo problemas para fazer login para gerenciar sua AWS conta? Não sabe quem gerencia sua AWS conta? Para obter ajuda, consulte Solução de problemas de login na AWS conta.

Se a instância do Amazon Connect foi criada antes de outubro de 2018, você não tem funções vinculadas ao serviço configuradas. Para criar uma função vinculada ao serviço, na página Visão geral da conta, escolha Criar função vinculada ao serviço, conforme mostrado na imagem a seguir.

A página Visão geral da conta e o botão Criar função vinculada ao serviço.

Para obter uma lista das IAM permissões necessárias para criar a função vinculada ao serviço, consulte o Página Visão geral Permissões necessárias para usar IAM políticas personalizadas para gerenciar o acesso ao site de administração do Amazon Connect tópico.

Editar uma função vinculada ao serviço para o Amazon Connect

O Amazon Connect não permite que você edite a função vinculada ao serviço AWSServiceRoleForAmazonConnect prefixada. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, você pode editar a descrição da função usandoIAM. Para obter mais informações, consulte Edição de uma função vinculada ao serviço no Guia do IAMusuário.

Verificar se uma função vinculada ao serviço tem permissões para o Amazon Lex

  1. No painel de navegação do IAM console, escolha Funções.

  2. Escolha o nome da função a ser modificada.

Excluir uma função vinculada ao serviço para o Amazon Connect

Você não precisa excluir manualmente a função AWSServiceRoleForAmazonConnect prefixada. Quando você exclui sua instância do Amazon Connect no AWS Management Console, o Amazon Connect limpa os recursos e exclui a função vinculada ao serviço para você.

Regiões que comportam funções vinculadas ao serviço do Amazon Connect

O Amazon Connect comporta funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para mais informações, consulte Regiões e endpoints da AWS.