选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户
在 Amazon Connect 中应用基于层次结构的访问控制(预览版) - Amazon Connect
概览使用 API/SDK 应用基于层次结构的访问控制使用 Amazon Connect 管理网站应用基于层次结构的访问控制配置限制应用基于层次结构的访问控制的最佳实践

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon Connect 中应用基于层次结构的访问控制(预览版)

PDFRSS
注意

这是面向预览版中服务的预发行文档。本文档随时可能更改。

您可以根据分配给用户的座席层次结构限制对联系人的访问权限。为此,您可以使用安全配置文件权限,例如限制联系人访问权限。除了这些权限外,您还可以使用层次结构对诸如用户之类的资源实施精细的访问控制,并使用标签。

本主题有关配置基于层次结构的访问控制的信息(当前为预览版)。

概览

基于层次结构的访问控制使您能够根据分配给用户的代理层次结构配置对特定资源的精细访问权限。 您可以使用 API/SDK 或管理员网站配置基于层次结构的 Amazon Connect 访问控制。 

唯一支持基于层次结构的访问控制的资源是用户。此授权模型与基于标签的访问控制配合使用,因此您可以限制用户的访问权限,仅允许他们查看属于同一层次结构组且具有与之关联的特定标签的其他用户。

注意

对用户应用基于层次结构的访问控制后,他们可以访问其层次结构组及其所有后代(超出子级别)。

使用 API/SDK 应用基于层次结构的访问控制

要使用层次结构来控制对 AWS 账户内资源的访问权限,您需要在 IAM 策略的条件元素中提供层次结构的信息。例如,要控制对属于特定层次结构的用户的访问权限,请使用connect:HierarchyGroupL3Id/hierarchyGroupId条件键以及特定运算符,例如StringEquals指定该用户必须属于哪个层次结构组,以便允许其执行给定操作。

以下是支持的条件键:

  1. connect:HierarchyGroupL1Id/hierarchyGroupId

  2. connect:HierarchyGroupL2Id/hierarchyGroupId

  3. connect:HierarchyGroupL3Id/hierarchyGroupId

  4. connect:HierarchyGroupL4Id/hierarchyGroupId

  5. connect:HierarchyGroupL5Id/hierarchyGroupId

每个键代表用户层次结构中特定级别中给定层次结构组的 ID。

有关基于层次结构的访问控制的更多详细信息,请参阅 IAM 用户指南中的使用标签控制对 AWS 资源的访问权限

使用 Amazon Connect 管理网站应用基于层次结构的访问控制

要使用层次结构来控制对 Amazon Connect 管理网站资源的访问,请在给定的安全配置文件中配置访问控制部分。

例如,要根据给定用户所属的层次结构为其启用精细的访问控制,可以将该用户配置为访问控制资源。要做到这一点,你有以下两个选择:

  1. 根据用户的层次结构实施基于层次结构的访问控制

    此选项可确保获得访问权限的用户只能管理属于其层次结构的用户。例如,为给定用户启用此配置使他们能够管理属于其层次结构组或子层次结构组的其他用户。这样可以确保被授予访问权限的用户只能管理属于其层次结构的用户。例如,为主管启用此配置使他们能够管理属于其层次结构组或子层次结构组的其他用户。

  2. 基于特定层次结构实施基于层次结构的访问控制

    此选项可确保获得访问权限的用户只能管理属于安全配置文件中定义的层次结构的用户。例如,为给定用户启用此配置可以让他们管理属于安全配置文件中指定的层次结构组或子层次结构组的其他用户。

配置限制

精细的访问控制是在安全配置文件上配置的。 最多可以为用户分配两个安全配置文件,以实施精细的访问控制。 在这种情况下,权限的限制性会降低,并充当两个权限集的组合。

例如,如果一个安全配置文件强制实施基于层次结构的访问控制,而另一个安全配置文件强制执行基于标签的访问控制,则用户可以管理属于同一层次结构或使用给定标签标记的任何用户。如果将基于标签的访问控制和基于层次结构的访问控制配置为同一个安全配置文件的一部分,则需要同时满足这两个条件。在这种情况下,用户只能管理属于相同层次结构且使用给定标签标记的用户。 

用户可以拥有两个以上的安全配置文件,只要这些额外的安全配置文件不执行精细的访问控制。如果存在多个具有重叠资源权限的安全配置文件,则不基于层次结构的访问控制的安全配置文件将优先于具有基于层次结构的访问控制的安全配置文件。

需要服务相关角色才能配置基于层次结构访问控制。如果您的实例是在 2018 年 10 月之后创建的,则默认情况下,这适用于您的 Amazon Connect 实例。但是,如果您使用的是较旧的实例,请参阅使用 Amazon Connect 的服务相关角色,了解有关如何启用服务相关角色的说明。

应用基于层次结构的访问控制的最佳实践

  • 查看责任AWS 共担模型

    应用基于层次结构的访问控制是 Amazon Connect 支持的一项高级配置功能,它遵循责任 AWS 共担模式。请务必确保正确配置您的实例以符合所需的授权需求。

  • 对于启用了基于层次结构的访问控制的资源,请确保至少启用了查看权限。

    这将确保您避免因权限不一致而导致的访问请求被拒绝。基于层次结构的访问控制在资源级别启用,这意味着可以独立限制每个资源。

  • 仔细检查在实施基于层次结构的访问控制时授予的权限。

    例如,启用层次结构限制了用户的访问权限view/edit permissions security profiles would allow a user to create/update,以及具有取代目标用户访问控制设置的权限的安全配置文件。

    • 当用户在应用了基于层次结构的访问控制的情况下登录 Amazon Connect 控制台时,将无法访问受限资源的历史变更日志。

    • 尝试将子资源分配给具有基于层次结构的子资源访问控制的父资源时,如果子资源不属于您的层次结构,则此操作会被拒绝。

      例如,如果您尝试将用户分配给快速连接,但您无权访问该用户的层次结构,则操作将失败。但是,解除关联的情况并非如此。假设您有权访问快速连接,即使实施了基于层次结构的访问控制,您也可以自由取消用户关联。这是因为取消关联就是要丢弃两个资源之间的现有关系(而不是新的关联),并建模为用户已经可以访问的父资源(在本例中为快速连接)的一部分。

  • 请考虑授予父资源的权限,因为用户可能会在主管不知情的情况下取消关联。

  • 在 Amazon Connect 管理网站中应用基于层次结构的访问控制时,请禁用对以下功能的访问权限。

    功能 禁用访问权限的安全配置文件权限
    联系搜索 联系人搜索:查看
    历史变更/审计门户 访问指标 - 访问
    实时指标 实时指标:访问
    历史指标 历史指标:访问
    登录/注销报告 登录/退出报告:查看
    规则 规则 - 查看
    已保存的报告 已保存的报告 - 查看
    座席层次结构 座席层次结构:查看
    流/流模块 流模块 - 查看
    调度 日程安排管理器 - 查看

    如果您不禁用对这些资源的访问权限,则在 Amazon Connect 管理网站上查看这些页面的特定资源上拥有基于层次结构的访问控制的用户可能会看到不受限制的用户列表。有关如何管理权限的更多信息,请参阅安全配置文件权限列表

下一主题:

设置路由

需要帮助吗?

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。