在 Amazon Connect 中设置 IP 地址限制和会话超时 - Amazon Connect
配置 IP 地址范围和会话持续时间配置基于 IP 的访问控制IP 地址配置示例配置会话持续时间

在 Amazon Connect 中设置 IP 地址限制和会话超时

注意

此功能为预览版,可能会发生变化。要获得对此功能的访问权限,请联系您的 Amazon Connect 解决方案架构师、技术客户经理或 Support。

例如,要进一步锁定您的联络中心,以符合您所在行业的要求和法规,您可以设置 IP 地址限制和会话超时。

  • IP 地址限制要求座席只能通过您的 VPN 登录,或者阻止来自特定国家/地区或子网的访问。

  • 会话超时要求座席重新登录 Amazon Connect。

在 Amazon Connect 中,您可以配置身份验证配置文件,以设置 IP 地址限制和登录座席的会话持续时间。身份验证配置文件是一种存储联络中心用户身份验证设置的资源。

配置 IP 地址范围和会话持续时间

您的 Amazon Connect 实例包含默认的身份验证配置文件。此身份验证配置文件会自动应用于联络中心的所有用户。您无需将身份验证配置文件分配给用户即可应用。

要配置默认身份验证配置文件,请使用以下 AWS SDK 命令。

提示

您需要您的 Amazon Connect 实例 ID 才能运行这些命令。有关如何查找实例 ID 的说明,请参阅 找到您的 Amazon Connect 实例 ID 或 ARN

  1. 列出实例中的身份验证配置文件,以获取要更新的身份验证配置文件的配置文件 ID。您可以调用 ListAuthenticationProfile API 或运行 list-authentication-profiles CLI 命令。

    以下是示例 list-authentication-profiles 命令。

    aws connect list-authentication-profiles --instance-id your-instance-id

    以下是 list-authentication-profiles 命令返回的默认身份验证配置文件示例。

    {
    "AuthenticationProfileSummaryList": [
        {
        "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
        "Id": "profile-id",
        "IsDefault": true,
        "LastModifiedRegion": "us-west-2",
        "LastModifiedTime": 1.719249173664E9,
        "Name": "Default Authentication Profile"
        }
    ],
    "NextToken": null
}

  2. 查看要更新的身份验证配置文件的配置。您可以调用 DescribeAuthenticationProfile 或运行 或 describe-authentication-profile CLI 命令。

    以下是示例 describe-authentication-profile 命令。

    aws connect describe-authentication-profile --instance-id your-instance-id --profile-id profile-id

    以下是 describe-authentication-profile 命令返回信息的示例。

    {
    "AuthenticationProfile": {
    "AllowedIps": [],
    "Arn": "arn:aws:connect:us-west-2:account-id:instance/your-instance-id/authentication-profile/profile-id",
    "BlockedIps": [],
    "CreatedTime": 1.718999177811E9,
    "Description": "A basic default Authentication Profile",
    "Id": "profile-id",
    "IsDefault": true,
    "LastModifiedRegion": "us-west-2",
    "LastModifiedTime": 1.719249173664E9,
    "MaxSessionDuration": 720,
    "Name": "Default Authentication Profile",
    "PeriodicSessionDuration": 60
    }
}

    有关每个字段的说明,请参阅 Amazon Connect API Reference 中的 AuthenticationProfile

  3. 使用 UpdateAuthenticationProfile API 或 update-authentication-profile CLI 命令配置身份验证配置文件。除 InstanceIdProfileId 之外的所有字段均为可选字段。只有您在 API 调用中定义的设置才会被更改。

    以下是示例 update-authentication-profile 命令。它可以配置自动分配给所有用户的默认身份验证配置文件。它允许某些 IP 地址,屏蔽其他 IP 地址,并将定期会话持续时间设置为 60 分钟。

    aws connect update-authentication-profile 
    --instance-id your-instance-id 
    --profile-id profile-id
    --name "Default Authentication Profile"
    --description "A basic default Authentication Profile"
    --allowed-ips "ip-range-1" "ip-range-2" ...
    --blocked-ips "ip-range-3" "ip-range-4" ...
    --periodic-session-duration 60

配置基于 IP 的访问控制

如果您要根据 IP 地址配置对联络中心的访问,则可以使用身份验证配置文件的基于 IP 的访问控制功能。

在身份验证配置文件中可以配置两种类型的 IP 配置:允许的 IP 地址范围和屏蔽的 IP 地址范围。以下几点介绍了基于 IP 的访问控制的工作原理。

  • IP 地址可以采用 IPV4 IPV6 两种格式。

  • 您可以用 CIDR 符号定义单个 IP 地址 IP 地址范围。

  • 屏蔽的 IP 配置始终优先。

  • 如果在允许 IP 列表中定义了 IP 地址,则允许使用这些 IP 地址。

    • 这些 IP 地址可以通过屏蔽的 IP 列表缩小范围。

  • 如果只定义了屏蔽的 IP 地址,则屏蔽列表中定义的 IP 地址外,任何 IP 地址都可以访问实例。

  • 如果在允许和屏蔽的 IP 地址列表中都定义了 IP 地址,则允许在允许范围内定义的 IP 地址,不包括屏蔽范围内的任何 IP 地址。

注意

基于 IP 地址的访问控制不适用于紧急管理员登录。要对此用户施加限制,您可以在 IAM 策略中对 API connect:AdminGetEmergencyAccessToken 应用 SourceIp 限制

当用户的 IP 地址被实例确定为被屏蔽时,此用户的会话将失效。登录/注销报告中会发布注销事件。

用户在 IP 地址检查失败时的体验

座席

当座席在联络人控制面板 (CCP) 中处于活动状态时,会定期检查其 IP 地址。Amazon Connect 检查 IP 地址的频率取决于您如何配置身份验证配置文件的定期会话持续时间

以下是 IP 地址未通过检查时的情况:

  • 如果座席未处于活动通话状态,则如果座席的 IP 地址更改为不允许使用的地址,则此座席将被注销。

  • 如果座席处于活动通话状态,则座席的会话将失效,但当前的通话会因此结束。将发生以下情况:

    1. 座席无法采取任何操作,例如更改座席状态、转接通话、搁置通话、结束通话或创建案例。

    2. 座席将被告知其被限制在 CCP 中采取操作。

    3. 如果他们在会话失效后成功登录,他们就会重新处于活动通话状态,可以再次进行操作。

使用 Amazon Connect 管理员网站的管理员和用户

当管理员和其他用户在 Amazon Connect 管理员网站上执行操作(例如保存资源更新或进入正在进行的通话)时,如果 IP 地址检查失败,他们会被自动注销。

IP 地址配置示例

示例 1:仅在允许的 IP 列表中定义的 IP 地址

  • AllowedIps:[ 111.222.0.0/16 ]

  • BlockedIps:[]

结果:

  • 只有介于 111.222.0.0111.222.255.255 之间的 IP 地址才允许访问此实例。

示例 2:仅在屏蔽的 IP 列表中定义的 IP 地址

  • AllowedIps:[ ]

  • BlockedIps:[155.155.155.0/24 ]

结果:

  • 允许使用所有 IP 地址, IP 地址范围 155.155.155.0 - 155.155.155.255 包含在内的除外。

示例 3:同时在允许的 IP 列表和阻止的 IP 列表中定义的 IP 地址

  • AllowedIps:[ 200.255.0.0/16 ]

  • BlockedIps:[200.255.10.0/24, 200.255.40.50, 192.123.211.211 ]

结果:

  • 允许介于 200.255.0.0 - 200.255.255.255 两者之间的 IP 地址,不包括 (200.255.10.0 - 200.255.10.255 AND 200.255.40.50)

  • 实际上,200.255.0.0 - 200.255.9.255, 200.255.11.0 - 200.255.40.49, 200.255.40.51 - 200.255.255.255 是允许的。

  • 192.123.211.211 实际上会被忽略,因为它不在允许的范围内。

示例 4:允许的 IP 列表或屏蔽的 IP 列表中均未定义 IP 地址

  • AllowedIps:[ ]

  • BlockedIps:[]

在这种情况下,没有任何限制。

重要

只有 IP 不为空时,allowedIps 列表才会定义联络中心允许使用的 IP 范围。如果为空,则允许任何 IP 地址访问您的联络中心,除非被 blockedIps 列表明确屏蔽。

配置会话持续时间

您可以根据组织的偏好和安全要求,对定期会话持续时间进行微调。例如,您可以将定期会话持续时间设置为 20 分钟,这样就可以在 CCP 中的 20 分钟时间段内检查座席的 IP 地址和会话持续时间。

Amazon Connect 使用基于令牌的身份验证模式。有两种会话超时适用于联络中心的用户会话:

  • 定期会话持续时间:联络中心用户通过身份验证前的最长时间段。默认 = 60 分钟。此选项可配置为 10:60 之间的不同值。

    注意

    虽然此设置定义了用户通过身份验证前的最大时间间隔,但在特定情况下,身份验证可能会提前进行。例如,在 Amazon Connect 管理员网站上,只要执行某些操作,例如创建用户或更改安全配置文件,也会进行身份验证。

  • 最长会话持续时间:联络中心用户登录后被迫再次登录的最长时间段。默认 = 12 小时;不能配置为其他值。