Restrinja AWS os recursos que podem ser associados ao Amazon Connect - Amazon Connect

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Restrinja AWS os recursos que podem ser associados ao Amazon Connect

Cada instância do Amazon Connect é associada a uma função IAM vinculada ao serviço quando a instância é criada. O Amazon Connect pode se integrar a outros serviços da AWS para casos de uso, como armazenamento de gravação de chamadas (bucket do Amazon S3), bots de linguagem natural (bots do Amazon Lex) e streaming de dados (Amazon Kinesis Data Streams). O Amazon Connect assume a função vinculada ao serviço para interagir com esses outros serviços. A política é adicionada primeiro à função vinculada ao serviço como parte da correspondência APIs no serviço Amazon Connect (que, por sua vez, é chamada pelo site AWS administrativo). Por exemplo, se você quiser usar um determinado bucket do Amazon S3 com sua instância do Amazon Connect, o bucket deve ser passado para o. AssociateInstanceStorageConfigAPI

Para o conjunto de IAM ações definidas pelo Amazon Connect, consulte Ações definidas pelo Amazon Connect.

Veja a seguir alguns exemplos de como restringir o acesso a outros recursos que podem estar associados a uma instância do Amazon Connect. Eles devem ser aplicados ao usuário ou função que está interagindo com o Amazon Connect APIs ou com o site de administração do Amazon Connect.

nota

Uma política com um Deny explícito substituiria a política Allow nesses exemplos.

Para obter mais informações sobre quais recursos, chaves de condição e dependentes APIs você pode usar para restringir o acesso, consulte Ações, recursos e chaves de condição do Amazon Connect.

Exemplo 1: Restringir quais buckets do Amazon S3 podem ser associados a uma instância do Amazon Connect

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:UpdateInstanceStorageConfig", "connect:AssociateInstanceStorageConfig" ], "Resource": "arn:aws:connect:region:account-id:instance/instance-id", "Condition": { "StringEquals": { "connect:StorageResourceType": "CALL_RECORDINGS" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:iam::account-id:role/aws-service-role/connect.amazonaws.com/*", "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "*" } ] }

Este exemplo permite que um IAM principal associe um bucket do Amazon S3 para gravações de chamadas para uma determinada instância do Amazon Connect e um bucket ARN específico do Amazon S3 chamado. my-connect-recording-bucket As PutRolePolicy ações AttachRolePolicy e têm como escopo a função vinculada ao serviço Amazon Connect (um curinga é usado neste exemplo, mas você pode fornecer a função ARN para a instância, se necessário).

nota

Para usar uma AWS KMS chave para criptografar gravações nesse bucket, é necessária uma política adicional.

Exemplo 2: Restringir quais funções do AWS Lambda podem ser associados a uma instância do Amazon Connect

AWS Lambda as funções estão associadas a uma instância do Amazon Connect, mas a função vinculada ao serviço Amazon Connect não é usada para invocá-las e, portanto, não é modificada. Em vez disso, uma política é adicionada à função por meio do lambda:AddPermission API que permite que determinada instância do Amazon Connect invoque a função.

Para restringir quais funções podem ser associadas a uma instância do Amazon Connect, você especifica a função Lambda ARN que um usuário pode usar para invocar: lambda:AddPermission

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:AssociateLambdaFunction", "lambda:AddPermission" ], "Resource": [ "arn:aws:connect:region:account-id:instance/instance-id", "arn:aws:lambda:*:*:function:my-function" ] } ] }

Exemplo 1: Restringir quais fluxos do Amazon Kinesis Data Streams podem ser associados a uma instância do Amazon Connect

Este exemplo segue um modelo semelhante ao exemplo do Amazon S3. Ele restringe quais fluxos específicos do Kinesis Data Streams podem ser associados a determinada instância do Amazon Connect para fornecimento de registros de contato.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:UpdateInstanceStorageConfig", "connect:AssociateInstanceStorageConfig" ], "Resource": "arn:aws:connect:region:account-id:instance/instance-id", "Condition": { "StringEquals": { "connect:StorageResourceType": "CONTACT_TRACE_RECORDS" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "kinesis:DescribeStream", "iam:PutRolePolicy" ], "Resource": [ "arn:aws:iam::account-id:role/aws-service-role/connect.amazonaws.com/*", "arn:aws:kinesis:*:account-id:stream/stream-name" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": "kinesis:ListStreams", "Resource": "*" } ] }