選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶
在 Amazon Connect 中套用階層型存取控制 (預覽) - Amazon Connect
概要使用 API/SDK 套用階層型存取控制使用 Amazon Connect 管理網站套用階層型存取控制組態限制套用階層型存取控制的最佳實務

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Amazon Connect 中套用階層型存取控制 (預覽)

PDFRSS
注意

這是預覽版本之服務的發行前版本文件。內容可能變動。

您可以根據指派給使用者的客服人員階層,限制對聯絡人的存取。您可以使用限制聯絡人存取等安全性設定檔許可來執行此操作。除了這些許可之外,您也可以使用階層,對使用者等資源強制執行精細的存取控制,並使用標籤。

此主題資訊是關於設定階層型存取控制 (目前在預覽版中)。

概要

階層型存取控制可讓您根據指派給使用者的客服人員階層來設定特定資源的精細存取權。您可以使用 API/SDK 或 Amazon Connect 管理網站來設定階層型存取控制。 

支援階層型存取控制的唯一資源是 使用者。此授權模型使用標籤型存取控制,因此您可以限制對使用者的存取,讓他們只能看到屬於相同階層群組且具有與其關聯之特定標籤的其他使用者。

注意

將階層型存取控制套用至使用者後,他們可以存取其階層群組及其所有子系 (子層級之外)。

使用 API/SDK 套用階層型存取控制

若要使用階層來控制對 AWS 帳戶中資源的存取,您需要在 IAM 政策的條件元素中提供階層的資訊。例如,若要控制對屬於特定階層之使用者的存取,請使用connect:HierarchyGroupL3Id/hierarchyGroupId 條件索引鍵,以及特定運算子StringEquals,例如指定使用者必須所屬的階層群組,以允許其特定的動作。

以下是支援的條件金鑰:

  1. connect:HierarchyGroupL1Id/hierarchyGroupId

  2. connect:HierarchyGroupL2Id/hierarchyGroupId

  3. connect:HierarchyGroupL3Id/hierarchyGroupId

  4. connect:HierarchyGroupL4Id/hierarchyGroupId

  5. connect:HierarchyGroupL5Id/hierarchyGroupId

每個索引鍵代表使用者階層結構特定層級中指定階層群組的 ID。

如需階層型存取控制的詳細資訊,請參閱《IAM 使用者指南》中的使用標籤控制對 AWS 資源的存取

使用 Amazon Connect 管理網站套用階層型存取控制

若要使用階層來控制對 Amazon Connect 管理網站資源的存取,請在指定的安全性設定檔中設定存取控制區段。

例如,若要根據使用者所屬的階層啟用特定使用者的精細存取控制,請將使用者設定為存取控制資源。若要這樣做,您有兩個選項:

  1. 根據使用者的階層強制執行階層型存取控制

    此選項可確保獲得存取權的使用者只能管理屬於其階層的使用者。例如,為指定使用者啟用此組態,可讓他們管理屬於其階層群組或子階層群組的其他使用者。這可確保獲得存取權的使用者只能管理屬於其階層的使用者。例如,為主管啟用此組態可讓他們管理屬於其階層群組或子階層群組的其他使用者。

  2. 根據特定階層強制執行階層型存取控制

    此選項可確保獲得存取權的使用者只能管理屬於安全性設定檔中定義階層的使用者。例如,為指定使用者啟用此組態,可讓他們管理屬於安全設定檔或子階層群組中指定的階層群組的其他使用者。

組態限制

精細存取控制是在安全性描述檔上設定。最多可以指派兩個安全性描述檔來強制執行精細存取控制。在此情況下,許可會變得較不嚴格,並做為兩個許可集的聯集。

例如,如果一個安全性設定檔強制執行階層型存取控制,另一個設定檔強制執行標籤型存取控制,則使用者能夠管理屬於相同階層或以指定標籤標記的任何使用者。如果以標籤為基礎的存取控制和以階層為基礎的存取控制都設定為相同安全性設定檔的一部分,則需要滿足這兩個條件。在此情況下,使用者只能管理屬於相同階層且已加上指定標籤的使用者。 

使用者可以擁有兩個以上的安全性設定檔,只要這些額外的安全性設定檔不強制執行精細的存取控制即可。如果多個安全性描述檔具有重疊的資源許可,則沒有階層型存取控制的安全性描述檔會強制執行在具有階層型存取控制的 上。

需要服務連結角色,才能設定階層型存取控制。如果您的執行個體是在 2018 年 10 月之後建立的,則預設情況下可在您的 Amazon Connect 執行個體上使用。不過,如果您有較舊的執行個體,請參閱使用 Amazon Connect 的服務連結角色,以取得如何啟用服務連結角色的指示。

套用階層型存取控制的最佳實務

  • 檢閱AWS 共同責任模型

    套用階層型存取控制是 Amazon Connect 支援的進階組態功能,遵循 AWS 共同責任模型。請務必確保您正確設定執行個體以符合您想要的授權需求。

  • 請確定您已啟用至少檢視您啟用階層型存取控制之資源的許可。

    這將確保您避免導致拒絕存取請求的權限不一致。階層型存取控制會在資源層級啟用,這表示每個資源都可以獨立限制。

  • 仔細檢閱強制執行階層型存取控制時授予的許可。

    例如,啟用階層限制存取使用者和檢視/編輯許可安全性設定檔,可讓使用者建立/更新具有取代預期使用者存取控制設定之權限的安全性設定檔。

    • 在套用階層型存取控制的情況下登入 Amazon Connect 主控台時,使用者將無法存取其受限資源的歷史變更日誌。

    • 嘗試將子資源指派給在子資源上具有階層型存取控制的父資源時,如果子資源不屬於您的階層,則操作將被拒絕。

      例如,如果您嘗試將使用者指派給快速連線,但無法存取使用者的階層,則操作會失敗。不過,取消關聯並不適用。即使強制執行階層型存取控制,假設您可以存取快速連線,您仍可以自由取消使用者關聯。這是因為取消關聯是關於捨棄兩個資源之間的現有關聯 (而不是新關聯),並將其建模為使用者已可存取的父資源 (在此案例中為快速連線) 的一部分。

  • 請仔細考慮在父資源上授予的許可,因為使用者可能會在不知情的情況下取消關聯。

  • 當您在 Amazon Connect 管理網站中套用階層型存取控制時,請停用下列功能的存取權。

    功能 停用存取的安全設定檔許可
    聯絡搜尋 聯絡人搜尋 - 檢視
    歷史變更/稽核門戶 存取指標 - 存取
    即時指標 即時指標 - 存取
    歷史指標 歷史指標 - 存取
    登入/登出報告 登入/登出報告 - 檢視
    規則 規則-檢視
    已儲存的報告 已儲存的報告–檢視
    客服人員階層 客服人員階層 - 檢視
    流量/流量模組 流量模組-檢視
    排程 排程管理員-檢視

    如果您未停用對這些資源的存取,在特定資源上具有階層型存取控制的使用者,若在 Amazon Connect 管理網站中檢視這些頁面,可能會看到無限制的使用者清單。如需如何管理許可的詳細資訊,請參閱安全性設定檔許可清單

下一個主題:

設定轉接

上一個主題:

套用標籤型存取控制

需要協助?

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。