使用/进行基于标签的API访问控制 SDK 使用 Amazon Connect 控制台的基于标签的访问控制配置限制最佳实践

Amazon Connect 中基于标签的访问控制

借助基于标签的访问控制，您能够根据分配的资源标签配置对特定资源的精细访问。您可以使用API/SDK或在 Amazon Connect 控制台中配置基于标签的访问控制（适用于支持的资源）。

使用/进行基于标签的API访问控制 SDK

要使用标签来控制对AWS账户内资源的访问权限，您需要在IAM策略的条件元素中提供标签信息。例如，要根据您分配给 Voice ID 域的标签来控制对 Voice ID 域的访问权限，请使用 aws:ResourceTag/key-name 条件键，以及 StringEquals 等特定操作指定必须将哪个标签键值对附加到该域，以便允许对其执行给定操作。

有关基于标签的访问控制的更多详细信息，请参阅《IAM用户指南》中的使用标签控制对AWS资源的访问权限。

使用 Amazon Connect 控制台的基于标签的访问控制

资源标签是一种自定义元数据标签，您可以将其添加到资源中，以便更轻松地在搜索中识别、整理和查找。您可以使用 Amazon ConnectSDK/以编程方式应用标签APIs，对于某些资源，您可以从 Amazon Connect 控制台中应用标签。要了解有关资源标签的更多信息，请参阅在 Amazon Connect 中为资源添加标签。

访问控制标签与资源标签类似，因为它使用相同的键：值结构。但是，访问控制标签的区别在于，它引入了授权控制，仅允许用户访问包含具有相同键：值对的资源标签的指定资源。访问控制标签是在安全配置文件中定义的，方法是首先选择要控制访问的资源（路由配置文件、队列、用户等），然后定义要匹配的键：值对。将带有访问控制标签的安全配置文件应用于用户后，它将根据所选资源和访问控制标签（键：值）的定义组合限制用户的访问权限。如果不应用访问控制标签，只要获得权限，用户就能够查看所有资源。

要使用标签控制对 Amazon Connect 实例管理员网站内资源的访问，您需要在给定的安全配置文件中配置访问控制部分。例如，要根据分配给路由配置文件的标签来控制对路由配置文件的访问权限，您可以将该路由配置文件指定为访问控制资源，然后指定要允许访问的标签键：值对。

配置限制

访问控制标签是在安全配置文件上配置的。您最多可以在一个安全配置文件上配置四个访问控制标签。增加额外的访问控制标签将使安全配置文件更具限制性。例如，如果您要添加两个访问控制标签（例如 Department:X 和 Country:Y），则用户只能看到包含这两个标签的资源。

最多可以为用户分配两个包含访问控制标签的安全配置文件。将包含访问控制标签的多个安全配置文件分配给单个用户时，基于标签的访问控制将变得不那么严格。例如，如果用户的一个安全配置文件带有控制访问标签 Country:USA，另一个安全配置文件带有控制访问标签 Country:Argentina，那么用户就可以查看标签为 Country:USA 或 Country:Argentina 的资源。用户可以拥有其他的安全配置文件，前提是这些额外的安全配置文件不包含标签。在存在多个安全配置文件且资源权限重叠的情况下，没有基于标签的访问控制的安全配置文件将优先于具有基于标签的访问控制的安全配置文件。

需要服务相关角色才能配置资源标签或访问控制标签。如果您的实例是在 2018 年 10 月之后创建的，则默认情况下，Amazon Connect 实例将提供此功能。但是，如果您使用的是较旧的实例，请参阅使用 Amazon Connect 的服务相关角色，了解有关如何启用服务相关角色的说明。

应用基于标签的访问控制的最佳实践

应用基于标签的访问控制是一项高级配置功能，由 Amazon Connect 支持，遵循责任 AWS 共担模式。请务必确保正确配置您的实例以符合所需的授权需求。有关更多信息，请查看 AWS 责任共担模式。

对于启用了基于标签的访问控制的资源，请确保至少启用了查看权限。这将确保您避免因权限不一致而导致的访问请求被拒绝。

基于标签的访问控制在资源级别启用，这意味着可以独立限制每个资源。在某些用例中，这种做法是可以接受的，但最佳实践是同时对所有资源启用基于标签的访问控制。例如，如果只启用对用户的访问权限，而不启用对安全配置文件的访问权限，系统将允许用户创建一个安全配置文件，其权限将取代预期的用户访问控制设置。

当用户在应用了基于标签的访问控制的情况下登录 Amazon Connect 控制台时，将无法访问受限资源的历史变更日志。

作为最佳实践，在 Amazon Connect 控制台中应用基于标签的访问控制时，应禁用对以下资源/模块的访问权限。如果您不禁用对这些资源的访问权限，则在查看这些页面的特定资源上具有基于标签的访问控制的用户可能会看到不受限制的用户列表、安全配置文件、路由配置文件、队列、流程或流程模块。有关如何管理权限的更多信息，请参阅Amazon Connect 中的安全配置文件权限列表。

模块	禁用访问的权限
联系搜索	联系搜索
控制面板	访问指标
流	流程-视图
流模块	流模块 - 查看
预测	预测
历史变更/审计门户	访问指标
操作小时数	操作小时数 - 查看
登录/注销报告	登录/注销报告 - 查看
出站活动	活动 - 查看
提示	提示 - 查看
快速连接	快速连接 - 查看
规则	规则 - 查看
已保存的报告	已保存的报告 - 查看
调度	计划管理器
调度	已发布的计划日历

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

在 Amazon Connect 中更新安全配置文件

Amazon Connect 中的层次结构访问控制（预览版）