As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Restrinja AWS os recursos que podem ser associados ao Amazon Connect
Cada instância do Amazon Connect é associada a uma função IAM vinculada ao serviço quando a instância é criada. O Amazon Connect pode se integrar a outros serviços da AWS para casos de uso, como armazenamento de gravação de chamadas (bucket do Amazon S3), bots de linguagem natural (bots do Amazon Lex) e streaming de dados (Amazon Kinesis Data Streams). O Amazon Connect assume a função vinculada ao serviço para interagir com esses outros serviços. A política é adicionada primeiro à função vinculada ao serviço como parte da correspondência APIs no serviço Amazon Connect (que, por sua vez, é chamada pelo site AWS administrativo). Por exemplo, se você quiser usar um determinado bucket do Amazon S3 com sua instância do Amazon Connect, o bucket deve ser passado para o. AssociateInstanceStorageConfigAPI
Para o conjunto de IAM ações definidas pelo Amazon Connect, consulte Ações definidas pelo Amazon Connect.
Veja a seguir alguns exemplos de como restringir o acesso a outros recursos que podem estar associados a uma instância do Amazon Connect. Eles devem ser aplicados ao usuário ou função que está interagindo com o Amazon Connect APIs ou com o site de administração do Amazon Connect.
nota
Uma política com um Deny
explícito substituiria a política Allow
nesses exemplos.
Para obter mais informações sobre quais recursos, chaves de condição e dependentes APIs você pode usar para restringir o acesso, consulte Ações, recursos e chaves de condição do Amazon Connect.
Exemplo 1: Restringir quais buckets do Amazon S3 podem ser associados a uma instância do Amazon Connect
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:UpdateInstanceStorageConfig", "connect:AssociateInstanceStorageConfig" ], "Resource": "arn:aws:connect:
region
:account-id
:instance/instance-id
", "Condition": { "StringEquals": { "connect:StorageResourceType": "CALL_RECORDINGS" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:iam::account-id
:role/aws-service-role/connect.amazonaws.com/*", "arn:aws:s3:::amzn-s3-demo-bucket
" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": "s3:ListAllMyBuckets", "Resource": "*" } ] }
Este exemplo permite que um IAM principal associe um bucket do Amazon S3 para gravações de chamadas para uma determinada instância do Amazon Connect e um bucket ARN específico do Amazon S3 chamado. my-connect-recording-bucket
As PutRolePolicy
ações AttachRolePolicy
e têm como escopo a função vinculada ao serviço Amazon Connect (um curinga é usado neste exemplo, mas você pode fornecer a função ARN para a instância, se necessário).
nota
Para usar uma AWS KMS chave para criptografar gravações nesse bucket, é necessária uma política adicional.
Exemplo 2: Restringir quais funções do AWS Lambda podem ser associados a uma instância do Amazon Connect
AWS Lambda as funções estão associadas a uma instância do Amazon Connect, mas a função vinculada ao serviço Amazon Connect não é usada para invocá-las e, portanto, não é modificada. Em vez disso, uma política é adicionada à função por meio do lambda:AddPermission
API que permite que determinada instância do Amazon Connect invoque a função.
Para restringir quais funções podem ser associadas a uma instância do Amazon Connect, você especifica a função Lambda ARN que um usuário pode usar para invocar: lambda:AddPermission
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:AssociateLambdaFunction", "lambda:AddPermission" ], "Resource": [ "arn:aws:connect:
region
:account-id
:instance/instance-id
", "arn:aws:lambda:*:*:function:my-function
" ] } ] }
Exemplo 1: Restringir quais fluxos do Amazon Kinesis Data Streams podem ser associados a uma instância do Amazon Connect
Este exemplo segue um modelo semelhante ao exemplo do Amazon S3. Ele restringe quais fluxos específicos do Kinesis Data Streams podem ser associados a determinada instância do Amazon Connect para fornecimento de registros de contato.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:UpdateInstanceStorageConfig", "connect:AssociateInstanceStorageConfig" ], "Resource": "arn:aws:connect:
region
:account-id
:instance/instance-id
", "Condition": { "StringEquals": { "connect:StorageResourceType": "CONTACT_TRACE_RECORDS" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "kinesis:DescribeStream", "iam:PutRolePolicy" ], "Resource": [ "arn:aws:iam::account-id
:role/aws-service-role/connect.amazonaws.com/*", "arn:aws:kinesis:*:account-id
:stream/stream-name
" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": "kinesis:ListStreams", "Resource": "*" } ] }