Permissões necessárias para usar políticas do IAM personalizadas no gerenciamento de acesso ao site de administração do Amazon Connect
Se você estiver usando políticas do IAM personalizadas para gerenciar o acesso ao site de administração do Amazon Connect, os usuários precisarão de algumas ou de todas as permissões listadas neste artigo, dependendo das tarefas que precisam realizar.
nota
Usar connect:* em uma política do IAM personalizada concede aos usuários todas as permissões do Amazon Connect listadas neste artigo.
nota
Determinadas páginas no site de administração do Amazon Connect, como Tarefas e Customer Profiles, exigem que você adicione permissões às políticas em linha.
Conteúdo
- Política AmazonConnect_FullAccess
- Política AmazonConnectReadOnlyAccess
- Home page (Página inicial)
- Páginas de detalhes
- Página Visão geral
- Página de telefonia
- Página de armazenamento de dados
- Página de streaming de dados
- Página Fluxos
- Página Integração de aplicativos
- Página Perfis de clientes
- Página Tasks
- Páginas Casos
- Página do Amazon Q in Connect
- Página Voice ID
- Página de previsão, planejamento de capacidade e programação
- Federações
Política AmazonConnect_FullAccess
Para permitir acesso total de leitura/gravação ao Amazon Connect, você deve anexar duas políticas a usuários, grupos ou funções. Anexe a AmazonConnect_FullAccess e uma política personalizada com o seguinte conteúdo:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AttachAnyPolicyToAmazonConnectRole", "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/connect.amazonaws.com/AWSServiceRoleForAmazonConnect*" } ] }
Para permitir que um usuário crie uma instância, verifique se ele tem as permissões concedidas pela política AmazonConnect_FullAccess.
Ao usar a política AmazonConnect_FullAccess, observe o seguinte:
-
Privilégios adicionais são necessários para criar um bucket do Amazon S3 com um nome de sua escolha ou usar um bucket existente ao criar ou atualizar uma instância por meio do site de administração do Amazon Connect. Se você escolher locais de armazenamento padrão para gravações de chamadas, transcrições de chat, transcrições de chamadas e outros dados, o sistema anexará “amazon-connect-” a esses objetos.
-
A chave aws/connect do KMS está disponível para uso como opção de criptografia padrão. Para usar uma chave de criptografia personalizada, atribua aos usuários outros privilégios do KMS.
-
Atribua aos usuários privilégios adicionais para vincular outros recursos da AWS, como Amazon Polly, streaming de mídia ao vivo, streaming de dados e bots Lex, às instâncias do Amazon Connect.
Política AmazonConnectReadOnlyAccess
Para conceder acesso somente leitura, anexe somente a política AmazonConnectReadOnlyAccess.
Página inicial do site de administração do Amazon Connect
A imagem a seguir mostra um exemplo da página inicial do site de administração do Amazon Connect, com uma seta apontando para o alias da instância. Escolha o alias da instância para navegar até as páginas detalhadas da instância.
Use as permissões listadas na tabela a seguir para gerenciar o acesso a essa página.
| Ação/caso de uso | Permissões necessárias |
|---|---|
Listar instância |
connect:ListInstances ds:DescribeDirectories |
Descrever a instância: veja os detalhes da instância e configurações atuais |
connect:DescribeInstance connect:ListLambdaFunctions connect:ListLexBots connect:ListInstanceStorageConfigs connect:ListApprovedOrigins connect:ListSecurityKeys connect:DescribeInstanceAttributes connect:DescribeInstanceStorageConfig ds:DescribeDirectories |
Criar instância |
connect:AssociateCustomerProfilesDomain connect:CreateInstance connect:DescribeInstance connect:ListInstances connect:AssociateInstanceStorageConfig connect:UpdateInstanceAttribute ds:CheckAlias ds:CreateAlias ds:AuthorizeApplication ds:UnauthorizeApplication ds:CreateIdentityPoolDirectory ds:CreateDirectory ds:DescribeDirectories iam:CreateServiceLinkedRole iam:PutRolePolicy kms:CreateGrant kms:DescribeKey kms:ListAliases kms:RetireGrant logs:CreateLogGroup s3:CreateBucket s3:GetBucketLocation s3:ListAllMyBuckets servicequotas:GetServiceQuota profile:CreateDomain profile:GetDomain profile:GetProfileObjectType profile:ListAccountIntegrations profile:ListDomains profile:ListProfileObjectTypeTemplates profile:PutIntegration |
Excluir instância |
connect:DescribeInstance connect:DeleteInstance connect:ListInstances ds:DescribeDirectories ds:DeleteDirectory ds:UnauthorizeApplication |
Páginas de instância detalhadas
A imagem a seguir mostra o menu de navegação que você usa para acessar cada uma das páginas detalhadas da instância.
Para acessar as páginas detalhadas da instância, você precisa de permissões para a página inicial do site de administração do Amazon Connect (descrever/listar). Ou use a política AmazonConnectReadOnlyAccess.
As tabelas a seguir listam as permissões detalhadas para cada página pormenorizada da instância.
nota
Para realizar ações Editar, os usuários também precisam das permissões Listar e Descrever.
Página Visão geral
| Ação/caso de uso | Permissões necessárias |
|---|---|
| Criar funções vinculadas ao serviço |
connect:DescribeInstance connect:ListInstances connect:DescribeInstanceAttribute connect:UpdateInstanceAttribute connect:ListIntegrationAssociations profile:ListAccountIntegrations ds:DescribeDirectories iam:CreateServiceLinkedRole iam:PutRolePolicy |
Página de telefonia
| Ação/caso de uso | Permissões necessárias |
|---|---|
| Exibir opções de telefonia | connect:DescribeInstance |
Habilitar/desabilitar opções de telefonia |
connect:UpdateInstanceAttribute |
Exibir campanhas externas |
connect-campaigns:GetConnectInstanceConfig connect-campaigns:GetInstanceOnboardingJobStatus connect:DescribeInstance connect:DescribeInstanceAttribute kms:DescribeKey |
Habilitar/desabilitar campanhas externas |
connect-campaigns:GetConnectInstanceConfig connect-campaigns:GetInstanceOnboardingJobStatus connect-campaigns:StartInstanceOnboardingJob connect-campaigns:DeleteInstanceOnboardingJob connect-campaigns:DeleteConnectInstanceConfig connect:DescribeInstance connect:DescribeInstanceAttribute connect:UpdateInstanceAttribute iam:CreateServiceLinkedRole iam:DeleteServiceLinkedRole iam:AttachRolePolicy iam:PutRolePolicy iam:DeleteRolePolicy events:PutRule events:PutTargets events:DeleteRule events:RemoveTargets events:DescribeRule events:ListTargetsByRule ds:DescribeDirectories kms:DescribeKey kms:ListKeys kms:CreateGrant kms:RetireGrant |
Página de armazenamento de dados
Seção de gravação de chamadas
| Ação/caso de uso | Permissões necessárias |
|---|---|
Exibir gravação de chamadas |
connect:DescribeInstance connect:ListInstanceStorageConfigs connect:DescribeInstanceStorageConfig |
Editar gravação de chamadas |
connect:AssociateInstanceStorageConfig connect:UpdateInstanceStorageConfig connect:DisassociateInstanceStorageConfig s3:ListAllMyBuckets s3:GetBucketLocation s3:GetBucketAcl s3:CreateBucket kms:CreateGrant kms:DescribeKey kms:ListAliases kms:RetireGrant iam:PutRolePolicy |
Seção de gravação de tela
| Ação/caso de uso | Permissões necessárias |
|---|---|
Exibir gravação de tela |
connect:DescribeInstance connect:ListInstanceStorageConfigs connect:DescribeInstanceStorageConfig |
Editar gravação de tela |
connect:AssociateInstanceStorageConfig connect:UpdateInstanceStorageConfig connect:DisassociateInstanceStorageConfig s3:ListAllMyBuckets s3:GetBucketLocation s3:GetBucketAcl s3:CreateBucket iam:PutRolePolicy kms:CreateGrant kms:DescribeKey kms:ListAliases kms:RetireGrant |
Seção de transcrições de chat
| Ação/caso de uso | Permissões necessárias |
|---|---|
Exibir transcrições de chat |
connect:DescribeInstance connect:DescribeInstanceStorageConfig connect:ListInstanceStorageConfigs |
Editar transcrições de chat |
connect:AssociateInstanceStorageConfig connect:UpdateInstanceStorageConfig connect:DisassociateInstanceStorageConfig s3:ListAllMyBuckets s3:GetBucketLocation s3:GetBucketAcl s3:CreateBucket kms:CreateGrant kms:DescribeKey kms:ListAliases kms:RetireGrant iam:PutRolePolicy |
Seção de anexos
| Ação/caso de uso | Permissões necessárias |
|---|---|
Exibir anexos de chat |
connect:DescribeInstance connect:DescribeInstanceStorageConfig connect:ListInstanceStorageConfigs |
Editar anexos de chat |
connect:AssociateInstanceStorageConfig connect:UpdateInstanceStorageConfig connect:DisassociateInstanceStorageConfig s3:ListAllMyBuckets s3:GetBucketLocation s3:CreateBucket s3:GetBucketAcl kms:CreateGrant kms:DescribeKey kms:ListAliases kms:RetireGrant iam:PutRolePolicy |
Seção de streaming de mídia ao vivo
| Ação/caso de uso | Permissões necessárias |
|---|---|
Exibir streaming de mídia ao vivo |
connect:DescribeInstance connect:ListInstanceStorageConfigs connect:DescribeInstanceStorageConfig |
Editar streaming de mídia ao vivo |
connect:AssociateInstanceStorageConfig connect:UpdateInstanceStorageConfig connect:DisassociateInstanceStorageConfig kms:CreateGrant kms:DescribeKey kms:RetireGrant iam:PutRolePolicy |
Seção de relatórios exportados
| Ação/caso de uso | Permissões necessárias |
|---|---|
Exibir relatórios exportados |
connect:DescribeInstance connect:ListInstanceStorageConfigs connect:DescribeInstanceStorageConfig |
Editar relatórios exportados |
connect:AssociateInstanceStorageConfig connect:UpdateInstanceStorageConfig connect: DisassociateInstanceStorageConfig s3:ListAllMyBuckets s3:GetBucketLocation s3:CreateBucket kms:DescribeKey kms:ListAliases kms:RetireGrant kms:CreateGrant iam:PutRolePolicy |
Página de streaming de dados
Seção Registros de contato
| Ação/caso de uso | Permissões necessárias |
|---|---|
Exibir streaming de dados: registros de contato |
connect:DescribeInstance connect:ListInstanceStorageConfigs connect:DescribeInstanceStorageConfig |
Editar registro de contato |
connect:AssociateInstanceStorageConfig connect:UpdateInstanceStorageConfig connect:DisassociateInstanceStorageConfig firehose:ListDeliveryStreams firehose:DescribeDeliveryStream kinesis:ListStreams kinesis:DescribeStream iam:PutRolePolicy |
Seção de eventos do atendente
| Ação/caso de uso | Permissões necessárias |
|---|---|
Exibir streaming de dados: eventos do atendente |
connect:DescribeInstance connect:ListInstanceStorageConfigs connect:DescribeInstanceStorageConfig |
Editar eventos do atendente |
connect:AssociateInstanceStorageConfig connect:UpdateInstanceStorageConfig connect:DisassociateInstanceStorageConfig kinesis:ListStreams kinesis: DescribeStream iam:PutRolePolicy |
Página Fluxos
Seção de chaves de segurança de fluxos
| Ação/caso de uso | Permissões necessárias |
|---|---|
Exibir chaves de segurança de fluxo |
connect:DescribeInstance connect:ListSecurityKeys |
Adicionar/remover chaves de segurança de fluxo |
connect:AssociateSecurityKey connect:DisassociateSecurityKey |
Seção de bots Lex
| Ação/caso de uso | Permissões necessárias |
|---|---|
Exibir bots Lex |
connect:ListLexBots connect:ListBots |
Adicionar/remover bots Lex |
lex:GetBots lex:GetBot lex:CreateResourcePolicy lex:DeleteResourcePolicy lex:UpdateResourcePolicy lex:DescribeBotAlias lex:ListBotAliases lex:ListBots connect:AssociateBot connect:DisassociateBot connect:ListBots connect:AssociateLexBot connect:DisassociateLexBot connect:ListLexBots iam:PutRolePolicy |
Seção de funções do Lambda
| Ação/caso de uso | Permissões necessárias |
|---|---|
Exibir funções do Lambda |
connect:ListLambdaFunctions |
Adicionar/remover funções do Lambda |
connect:ListLambdaFunctions connect:AssociateLambdaFunction connect:DisassociateLambdaFunction iam:PutRolePolicy lambda:ListFunctions lambda:AddPermission lambda:RemovePermission |
Seção de logs de fluxo
| Ação/caso de uso | Permissões necessárias |
|---|---|
Exibir configuração de log de fluxo |
connect:DescribeInstance connect:DescribeInstanceAttribute |
Habilitar/desabilitar log de fluxo |
logs:CreateLogGroup |
Seção Amazon Polly
| Ação/caso de uso | Permissões necessárias |
|---|---|
Exibir a opção Amazon Polly |
connect:DescribeInstance connect:DescribeInstanceAttribute |
Atualizar a opção Amazon Polly |
connect:UpdateInstanceAttribute |
Página Integração de aplicativos
| Ação/caso de uso | Permissões necessárias |
|---|---|
Exibir origens aprovadas |
connect:DescribeInstance connect:ListApprovedOrigins |
Editar origens aprovadas |
connect: AssociateApprovedOrigin connect:ListApprovedOrigins connect:DisassociateApprovedOrigin |
Página Perfis de clientes
| Ação/caso de uso | Permissões necessárias |
|---|---|
Exibir perfis de clientes |
app-integrations:ListEventIntegrations appflow:DescribeConnectorEntity appflow:DescribeConnectorProfiles appflow:DescribeFlow appflow:ListFlows appflow:ListConnectorEntities appflow:ListConnectorProfiles cloudwatch:GetMetricData connect:DescribeInstance connect:ListInstances ds:DescribeDirectories iam:ListRoles kinesis:DescribeStreamSummary kms:DescribeKey kms:ListKeys profile:GetCalculatedAttributeDefinition profile:GetDomain profile:GetEventStream profile:GetIdentityResolutionJob profile:GetIntegration profile:GetProfileObjectType profile:GetProfileObjectTypeTemplate profile:GetWorkflow profile:ListAccountIntegrations profile:ListCalculatedAttributeDefinitions profile:ListDomains profile:ListEventStreams profile:ListIdentityResolutionJobs profile:ListIntegrations profile:ListProfileObjectTypes profile:ListProfileObjectTypeTemplates sqs:ListQueues |
Editar perfis de clientes |
app-integrations:CreateEventIntegration app-integrations:ListEventIntegrations appflow:CreateFlow appflow:CreateConnectorProfile appflow:DescribeFlow appflow:DeleteFlow appflow:DescribeConnectorEntity appflow:DescribeConnectorProfiles appflow:ListFlows appflow:ListConnectorEntities appflow:ListConnectorProfiles appflow:StartFlow cloudwatch:GetMetricData connect:DescribeInstance connect:ListInstances ds:DescribeDirectories events:CreateEventBus events:DescribeEventBus events:DescribeEventSource events:ListEventSources iam:CreateRole iam:CreatePolicy iam:AttachRolePolicy iam:ListRoles iam:PutRolePolicy kinesis:DescribeStreamSummary kinesis:ListStreams kms:CreateGrant kms:DescribeKey kms:ListAliases kms:ListKeys kms:ListGrants profile:CreateDomain profile:CreateEventStream profile:CreateIntegrationWorkflow profile:DeleteEventStream profile:DeleteIntegration profile:DeleteDomain profile:DeleteProfileObjectType profile:DetectProfileObjectType profile:GetCalculatedAttributeDefinition profile:GetDomain profile:GetEventStream profile:GetIdentityResolutionJob profile:GetIntegration profile:GetProfileObjectType profile:GetProfileObjectTypeTemplate profile:GetWorkflow profile:ListAccountIntegrations profile:ListCalculatedAttributeDefinitions profile:ListDomains profile:ListEventStreams profile:ListIdentityResolutionJobs profile:ListIntegrations profile:ListProfileObjectTypes profile:ListProfileObjectTypeTemplates profile:PutIntegration profile:PutProfileObjectType profile:TagResource profile:UntagResource profile:UpdateDomain s3:GetBucketLocation s3:GetBucketPolicy s3:GetObject s3:HeadBucket s3:ListAllMyBuckets s3:ListBucket s3:ListObjectsV2 s3:PutBucketPolicy s3:SelectObjectContent sqs:ListQueues |
Página Tasks
| Ação/caso de uso | Permissões necessárias |
|---|---|
Exibir integrações de tarefas |
app-integrations:GetEventIntegration connect:ListIntegrationAssociations |
Editar integrações de tarefas |
app-integrations:CreateEventIntegration app-integrations:GetEventIntegration app-integrations:ListEventIntegrations app-integrations:DeleteEventIntegrationAssociation app-integrations:CreateEventIntegrationAssociation appflow:CreateFlow appflow:CreateConnectorProfile appflow:DescribeFlow appflow:DeleteFlow appflow:DeleteConnectorProfile appflow:DescribeConnectorEntity appflow:ListFlows appflow:ListConnectorEntities appflow:StartFlow connect:ListIntegrationAssociations connect:DeleteIntegrationAssociation connect:ListUseCases connect:DeleteUseCase events:ActivateEventSource events:CreateEventBus events:DescribeEventBus events:DescribeEventSource events:ListEventSources events:ListTargetsByRule events:PutRule events:PutTargets events:DeleteRule events:RemoveTargets kms:CreateGrant kms:DescribeKey kms:ListAliases kms:ListKeys kms:ListGrants |
Páginas Casos
| Ação/caso de uso | Permissões necessárias |
|---|---|
Visualizar detalhes de um domínio do Chamados |
connect:ListInstances ds:DescribeDirectories connect:ListIntegrationAssociations cases:GetDomain |
Integração com Chamados |
connect:ListInstances connect:ListIntegrationAssociations cases:GetDomain cases:CreateDomain connect:CreateIntegrationAssociation connect:DescribeInstance iam:PutRolePolicy |
Página do Amazon Q in Connect
| Ação/caso de uso | Permissões necessárias |
|---|---|
Exibir domínios e integrações |
wisdom:ListAssistantAssociations appflow:DescribeConnectorProfiles app-integrations:GetDataIntegration connect:DescribeInstance connect:DescribeInstanceAttribute connect:ListIntegrationAssociations kms:DescribeKey kms:ListGrants wisdom:GetAssistant wisdom:GetKnowledgeBase wisdom:ListAssistantAssociations |
Adicionar ou remover domínios |
connect:CreateIntegrationAssociation connect:DeleteIntegrationAssociation connect:ListIntegrationAssociations iam:DeleteRolePolicy iam:PutRolePolicy kms:CreateGrant kms:DescribeKey kms:ListAliases wisdom:CreateAssistant wisdom:DeleteAssistant wisdom:GetAssistant wisdom:ListAssistantAssociations wisdom:ListAssistants wisdom:TagResource |
Adicionar ou remover integrações |
wisdom:ListAssistantAssociations app-integrations:CreateDataIntegration app-integrations:CreateDataIntegrationAssociation app-integrations:DeleteDataIntegrationAssociation app-integrations:GetDataIntegration app-integrations:ListDataIntegrations appflow:CreateConnectorProfile appflow:CreateFlow appflow:DeleteFlow appflow:DescribeConnector appflow:DescribeConnectorEntity appflow:DescribeConnectorProfiles appflow:DescribeConnectors appflow:DescribeFlow appflow:ListConnectorEntities appflow:StartFlow appflow:StopFlow appflow:TagResource appflow:UseConnectorProfile connect:CreateIntegrationAssociation connect:DeleteIntegrationAssociation connect:ListIntegrationAssociations iam:DeleteRolePolicy iam:PutRolePolicy kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey kms:ListAliases kms:ListGrants secretsmanager:CreateSecret secretsmanager:PutResourcePolicy wisdom:CreateAssistantAssociation wisdom:CreateKnowledgeBase wisdom:DeleteAssistantAssociation wisdom:DeleteKnowledgeBase wisdom:GetAssistant wisdom:GetKnowledgeBase wisdom:ListAssistantAssociations wisdom:ListKnowledgeBases wisdom:TagResource |
Página Voice ID
| Ação/caso de uso | Permissões necessárias |
|---|---|
Exibir integrações do Voice ID |
voiceid:DescribeDomain voiceid:ListDomains voiceid:RegisterComplianceConsent voiceid:DescribeComplianceConsent connect:ListIntegrationAssociations |
Editar integrações do Voice ID |
voiceid:DescribeDomain voiceid:ListDomains voiceid:RegisterComplianceConsent voiceid:DescribeComplianceConsent voiceid:UpdateDomain voiceid:CreateDomain connect:ListIntegrationAssociations connect:CreateIntegrationAssociation connect:DeleteIntegrationAssociation events:PutRule events:DeleteRule events:PutTargets events:RemoveTargets iam:PutRolePolicy |
Página de previsão, planejamento de capacidade e programação
| Ação/caso de uso | Permissões necessárias |
|---|---|
Exibir previsão, planejamento de capacidade e programação |
connect:DescribeForecastingPlanningSchedulingIntegration |
Habilitar previsão, planejamento de capacidade e programação |
connect:UpdateInstanceAttribute connect:StartForecastingPlanningSchedulingIntegration |
Desabilitar previsão, planejamento de capacidade e programação |
connect:UpdateInstanceAttribute connect:StopForecastingPlanningSchedulingIntegration |
Federações
Federação do SAML
| Ação/caso de uso | Permissões necessárias |
|---|---|
Federação do SAML |
connect:GetFederationToken |
Federação de administração/emergência
| Ação/caso de uso | Permissões necessárias |
|---|---|
Federação de administração/emergência |
connect:GetFederationTokens |
