本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Connect 中的階層存取控制 (預覽)
| 這是預覽版本之服務的發行前版本文件。內容可能變動。 |
您可以根據指派給使用者的客服人員階層限制對聯絡人的存取。這可透過使用限制聯絡人存取 等許可來完成。除了這些許可之外,階層也可以用於強制執行資源的精細存取控制,例如使用者,以及標籤。本頁面的其餘部分包含有關設定階層型存取控制 (目前在預覽中) 的其他詳細資訊。
背景介紹
階層型存取控制可讓您根據指派給使用者的客服人員階層來設定特定資源的精細存取權。您可以使用 API/SDK 或在 Amazon Connect 主控台內設定階層型存取控制,以取得支援的資源。
目前,支援階層型存取控制的唯一資源是使用者。此授權模型與標籤型存取控制 搭配使用,可讓您限制對使用者的存取,以便他們只能看到屬於其階層群組的其他使用者,以及與其有關聯之特定標籤的其他使用者。
使用 API/ 的階層型存取控制SDK
為了使用階層來控制對 AWS 帳戶內資源的存取,您需要在IAM政策的條件元素中提供階層的資訊。例如,若要控制屬於特定階層之使用者的存取權,請使用connect:HierarchyGroupL3Id/hierarchyGroupId條件索引鍵,以及指定使用者必須所屬StringEquals的階層群組的特定運算子,以便為其允許指定動作。支援的條件金鑰為:
-
connect:HierarchyGroupL1Id /hierarchyGroupId
-
connect:HierarchyGroupL2Id/hierarchyGroupId -
connect:HierarchyGroupL3Id/hierarchyGroupId -
connect:HierarchyGroupL4Id/hierarchyGroupId -
connect:HierarchyGroupL5Id/hierarchyGroupId
每個 代表使用者階層結構特定層級中指定階層群組的 ID。
如需階層型存取控制的詳細資訊,請參閱 IAM 使用者指南中的使用標籤控制對 AWS 資源的存取。
使用 Amazon Connect 主控台的階層型存取控制
若要使用階層來控制對 Amazon Connect 執行個體管理網站內資源的存取,您需要在指定的安全設定檔內設定存取控制區段。例如,若要根據使用者所屬的階層為特定使用者啟用精細存取控制存取,您需要將使用者設定為存取控制資源。在這種情況下,您將有兩個選項:
-
根據使用者的階層強制執行階層型存取控制:這將確保獲得存取權的使用者只能管理屬於其階層的使用者。例如,為指定使用者啟用此組態,將讓他們能夠管理屬於其階層群組或子階層群組的其他使用者。這將確保獲得存取權的使用者只能管理屬於其階層的使用者。例如,為主管啟用此組態將可讓他們管理屬於其階層群組或子階層群組的其他使用者。
-
基於特定階層強制執行階層型存取控制:這將確保獲得存取權的使用者只能管理屬於安全設定檔中定義的階層的使用者。例如,為指定使用者啟用此組態,將讓他們能夠管理屬於安全設定檔或子階層群組中指定的階層群組的其他使用者。
組態限制
精細存取控制是在安全設定檔上設定。最多可為使用者指派兩個安全設定檔,以強制執行精細存取控制。在此情況下,許可將變得較不嚴格,並作為兩個許可集的聯合。例如,如果一個安全設定檔強制執行階層型存取控制,而另一個安全設定檔強制執行標籤型存取控制,則使用者將能夠管理屬於相同階層或以指定標籤標記的任何使用者。如果同時將標籤型和階層型存取控制設定為相同安全設定檔的一部分,則需要滿足這兩個條件。在此情況下,使用者將只能管理屬於相同階層且以指定標籤標記的使用者。
使用者可以擁有兩個以上的安全設定檔,只要這些額外的安全設定檔不會強制執行精細的存取控制即可。如果存在多個具有重疊資源許可的安全設定檔,則具有階層型存取控制的安全設定檔將強制執行在具有階層型存取控制的 上。
需要服務連結角色,才能設定階層型存取控制。如果您的執行個體是在 2018 年 10 月之後建立的,您的 Amazon Connect 執行個體預設可使用此執行個體。不過,如果您有較舊的執行個體,請參閱使用 Amazon Connect 的服務連結角色,以取得如何啟用服務連結角色的指示。
套用階層型存取控制的最佳實務
套用階層型存取控制是 Amazon Connect 支援的進階組態功能,遵循 AWS 共同責任模型。請務必確保您正確設定執行個體以符合您想要的授權需求。如需詳細資訊,請檢閱AWS 共同責任模型
確保您已啟用至少檢視您啟用階層型存取控制之資源的許可。這將確保您避免導致拒絕存取請求的權限不一致。在資源層級啟用階層型存取控制,這表示每個資源都可以獨立限制。請務必仔細檢閱在強制執行階層型存取控制時授予的許可。例如,啟用階層限制對使用者的存取view/edit permissions security profiles, would allow a user to create/update,以及具有可取代預期使用者存取控制設定之權限的安全設定檔。
在套用階層型存取控制的情況下登入 Amazon Connect 主控台時,使用者將無法存取其受限資源的歷史變更日誌。
嘗試將子資源指派給子資源上具有階層型存取控制的父資源時,如果子資源不屬於您的階層,則操作會被拒絕。例如,如果您嘗試將使用者指派給 Quick Connect,但無法存取使用者的階層,操作將會失敗。不過,取消關聯並不正確。假設您有 Quick Connect 的存取權,即使強制執行階層型存取控制,您也可以自由取消使用者關聯。這是因為取消關聯是關於捨棄兩個資源之間的現有關係 (而不是新的關聯),並作為使用者已擁有存取權的父資源 (在此案例中為 Quick Connect) 的一部分建模。因此,在使用者資源上強制執行階層型存取控制時,請務必仔細考慮父資源上授予的許可,因為使用者可能會在不知情的情況下取消關聯。
最佳實務是,在 Amazon Connect 主控台中套用階層型存取控制時,您應該停用對下列資源/模組的存取權。如果您未停用對這些資源的存取,則在特定資源上具有階層型存取控制以檢視這些頁面的使用者可能會看到無限制的使用者清單。如需如何管理許可的詳細資訊,請參閱安全設定檔許可清單 。
| 模組 | 禁用存取權限 |
|---|---|
| 聯絡搜尋 | 聯絡人搜尋 - 檢視 |
| 歷史變更/稽核門戶 | 存取指標 - 存取 |
| 即時指標 | 即時指標 - Access |
| 歷史指標 | 歷史指標 - Access |
| 登入/登出報告 | 登入/登出報告 - 檢視 |
| 規則 | 規則-檢視 |
| 已儲存的報告 | 已儲存的報告–檢視 |
| 客服人員階層 | 客服人員階層 - 檢視 |
| 流量/流量模組 | 流量模組-檢視 |
| 排程 | 排程管理員-檢視 |
