Aplique controle de acesso baseado em tags no Amazon Connect - Amazon Connect
Aplique o controle de acesso baseado em tags usando a API/SDKAplique o controle de acesso baseado em tags usando o site de Amazon Connect administraçãoLimitações de configuraçãoPráticas recomendadas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Aplique controle de acesso baseado em tags no Amazon Connect

Você usa controles de acesso baseados em tags para configurar o acesso granular a recursos específicos com base nas tags de recursos atribuídas. Você pode configurar controles de acesso baseados em tags usando a API/SDK ou o site Amazon Connect administrativo para obter recursos compatíveis.

Aplique o controle de acesso baseado em tags usando a API/SDK

Para usar tags para controlar o acesso a recursos nas contas da AWS, forneça informações sobre a tag no elemento de condição de uma política do IAM. Por exemplo, para controlar o acesso ao domínio do Voice ID com base nas tags que você atribuiu a ele, use a chave de condição aws:ResourceTag/key-name, junto com um operador específico, como StringEquals para especificar qual par de tag chave/valor deve ser anexado ao domínio, a fim de permitir determinadas ações para ele.

Para obter informações mais detalhadas sobre o controle de acesso baseado em tags, consulte Como controlar o acesso aos recursos da AWS usando tags no Guia do usuário do IAM.

Aplique o controle de acesso baseado em tags usando o site de Amazon Connect administração

Tag de recurso é um rótulo de metadados personalizado que você adiciona a um recurso para facilitar a identificação, organização e pesquisa de recursos. Você pode aplicar tags programaticamente usando o Amazon Connect SDK/ eAPIs, para determinados recursos, você pode aplicar tags de dentro do console do Amazon Connect. Para saber mais sobre tags de recurso, consulte Adicionar tags a recursos no Amazon Connect.

Uma tag de controle de acesso é semelhante a uma tag de recurso, pois usa a mesma estrutura Chave:valor. No entanto, a diferença com uma tag de controle de acesso é que ela introduz controles de autorização que limitam o acesso de um usuário somente a recursos especificados que contêm tags de recursos com pares Chave:valor idênticos. As tags de controle de acesso são definidas nos perfis de segurança, selecionando primeiro o recurso (perfil de roteamento, fila, usuários etc.) ao qual controlar o acesso e, em seguida, definindo o par Chave:valor a ser correspondido. Depois que um perfil de segurança com tags de controle de acesso for aplicado a um usuário, ele limitará o acesso do usuário com base na combinação definida dos recursos selecionados e das tags de controle de acesso (Chave:valor). Sem a aplicação de tags de controle de acesso, o usuário poderá ver todos os recursos se tiver permissão para fazer isso.

Para usar tags para controlar o acesso aos recursos no site de administração da instância do Amazon Connect, você precisa configurar a seção de controle de acesso em um determinado perfil de segurança. Por exemplo, para controlar o acesso a um perfil de roteamento com base nas tags atribuídas a ele, você especificaria o perfil de roteamento como um recurso de acesso controlado e, em seguida, especificaria qual par de tag Chave:valor você gostaria de ativar o acesso.

Limitações de configuração

As tags de controle de acesso são configuradas em um perfil de segurança. Você pode configurar até quatro tags de controle de acesso em um único perfil de segurança. A inclusão das tags de controle de acesso adicionais tornará um determinado perfil de segurança mais restritivo. Por exemplo, se você adicionasse duas tags de controle de acesso, como Department:X e Country:Y, o usuário só conseguiria ver os recursos contendo as duas tags.

Os usuários podem receber no máximo dois perfis de segurança que contêm tags de controle de acesso. Quando vários perfis de segurança contendo tags de controle de acesso são atribuídos a um único usuário, os controles de acesso baseados em tags se tornam menos restritivos. Por exemplo, se um usuário tivesse um perfil de segurança com uma tag de controle de acesso como Country:USA e outro perfil de segurança com uma tag de controle de acesso como Country:Argentina, um usuário poderia ver os recursos marcados com Country:USA ou Country:Argentina. Um usuário pode ter outros perfis de segurança, desde que esses perfis de segurança adicionais não contenham tags. Se vários perfis de segurança estiverem presentes com permissões de recursos sobrepostas, o perfil de segurança sem controles de acesso baseados em tags será aplicado sobre aquele com controles de acesso baseados em tags.

As funções vinculadas ao serviço são necessárias para configurar tags de recursos ou tags de controle de acesso. Se sua instância foi criada após outubro de 2018, ela estará disponível por padrão com a instância do Amazon Connect. No entanto, se você tiver uma instância mais antiga, consulte Usar funções vinculadas ao serviço para o Amazon Connect para obter instruções sobre como habilitar funções vinculadas ao serviço.

Práticas recomendadas para aplicar controles de acesso baseados em tags

A aplicação de controles de acesso baseados em tags é um recurso de configuração avançada compatível com o Amazon Connect e que segue o modelo de responsabilidade AWS compartilhada. É importante garantir que você esteja configurando corretamente sua instância para atender às necessidades de autorização desejadas. Para obter mais informações, revise o modelo de responsabilidade compartilhada da AWS.

Certifique-se de ter habilitado pelo menos permissões de visualização para os recursos para os quais você habilita o controle de acesso baseado em tags. Isso garantirá que você evite inconsistências de permissão que resultam em solicitações de acesso negadas.

Os controles de acesso baseados em tags são habilitados no nível do recurso, o que significa que cada recurso pode ser restrito de forma independente. Em certos casos de uso, isso pode ser aceitável, mas é considerada a melhor prática habilitar controles de acesso baseados em tags para todos os recursos juntos. Por exemplo, habilitar o acesso aos usuários, mas não aos perfis de segurança, permitiria que um usuário criasse um perfil de segurança com privilégios que substituem as configurações de controle de acesso do usuário pretendidas.

Quando estiverem conectados ao console do Amazon Connect com controles de acesso baseados em tags aplicados, os usuários não poderão acessar registros históricos de alterações dos recursos aos quais estão restritos.

Como prática recomendada, você deve desabilitar o acesso aos seguintes recursos/módulos ao aplicar controles de acesso baseados em tags no console do Amazon Connect. Se você não desabilitar o acesso a esses recursos, os usuários com controles de acesso baseados em tags em um recurso específico que visualizam essas páginas poderão ver uma lista irrestrita de usuários, perfis de segurança, perfis de roteamento, filas, fluxos ou módulos de fluxo. Para obter mais informações sobre como gerenciar permissões, consulte Lista de permissões do perfil de segurança no Amazon Connect.

Modules

Permissão para desabilitar o acesso

Pesquisa de contato

Pesquisa de contato

Painel

Acessar métricas

Fluxos

Fluxos - Visualizar

Módulos de fluxo

Módulos de fluxo - Visualizar

Previsões

Previsões

Histórico de alterações/Portal de auditoria

Acessar métricas

Horas de operação

Horas de operação - Exibir

Relatório de login/logout

Relatório de login/logout - Exibir

Campanha externa

Campanhas - Exibir

Solicitações

Prompts - Exibir

Conexão rápida

Conexões rápidas – Visualizar

Regras

Regras - Exibir

Relatórios salvos

Relatórios salvos - Exibir

Programação

Gerenciador de programação

Programação

Calendário de programação publicado