本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用自訂 IAM 政策管理 Amazon Connect Cases 的必要許可
如果您使用自訂 IAM 政策來管理 Amazon Connect Cases 的存取許可,則您的使用者需要本文中列出的部分或全部許可,具體取決於他們需要執行的任務。
檢視案例網域詳細資訊
有兩個選項可授予使用者 IAM 許可,以便在 Amazon Connect 主控台上檢視案例網域詳細資料。
選項 1:必要的最低 IAM 許可
如要在 Amazon Connect 主控台中檢視案例網域詳細資訊,使用者必須具有下列 IAM 許可:
-
connect:ListInstances -
ds:DescribeDirectories -
connect:ListIntegrationAssociations -
cases:GetDomain
以下是具有這些許可的 IAM 政策範例:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsViewingConnectConsole", "Effect": "Allow", "Action": [ "connect:ListInstances", "ds:DescribeDirectories" ], "Resource": "*" }, { "Sid": "ListIntegrationAssociations", "Effect": "Allow", "Action": [ "connect:ListIntegrationAssociations" ], "Resource": "*" }, { "Sid": "CasesGetDomain", "Effect": "Allow", "Action": [ "cases:GetDomain" ], "Resource": "*" } ] }
注意下列事項:
-
需要對資源
*採取cases:GetDomain動作 -
connect:ListIntegrationAssociations動作支援instance資源類型。請參閱 Amazon Connect 定義的動作中的表格。
選項 2:使用 cases:GetDomain 和 profile:SearchProfiles 更新現有的 Amazon Connect 政策
納入 AmazonConnectReadOnlyAccess 政策,然後新增 cases:GetDomain,如下列範例所示。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CasesGetDomain", "Effect": "Allow", "Action": [ "cases:GetDomain" ], "Resource": "*" } ] }
上線至 Cases
有兩個選項可讓使用者使用 Amazon Connect 主控台將 IAM 許可授予上線至案例。
選項 1:所需的最低許可
若要使用 Amazon Connect 主控台上線至 Cases,使用者必須具有下列 IAM 許可:
-
connect:ListInstances -
ds:DescribeDirectories -
connect:ListIntegrationAssociations -
cases:GetDomain -
cases:CreateDomain -
connect:CreateIntegrationAssociation -
connect:DescribeInstance -
iam:PutRolePolicy -
profile:SearchProfiles
以下是具有這些許可的 IAM 政策範例:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsViewingConnectConsole", "Effect": "Allow", "Action": [ "connect:ListInstances", "ds:DescribeDirectories" ], "Resource": "*" }, { "Sid": "ListIntegrationAssociations", "Effect": "Allow", "Action": [ "connect:ListIntegrationAssociations" ], "Resource": "*" }, { "Sid": "CasesGetDomain", "Effect": "Allow", "Action": [ "cases:GetDomain" ], "Resource": "*" }, { "Sid": "CasesCreateDomain", "Effect": "Allow", "Action": [ "cases:CreateDomain" ], "Resource": "*" }, { "Sid": "CreateIntegrationAssociationsAndDependencies", "Effect": "Allow", "Action": [ "connect:CreateIntegrationAssociation", "connect:DescribeInstance" ], "Resource": "*" }, { "Sid": "AttachAnyPolicyToAmazonConnectRole", "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/connect.amazonaws.com/AWSServiceRoleForAmazonConnect*" }, { "Sid": "ProfileSearchProfiles", "Effect": "Allow", "Action": [ "profile:SearchProfiles" ], "Resource": "*" } ] }
注意下列事項:
-
需要對資源
*採取cases:GetDomain動作 -
您可以使用 Amazon Connect 的動作、資源和條件金鑰中的資訊,將許可範圍限定為特定 Amazon Connect 任務。
-
profile:SearchProfiles動作是必要的,因為CreateCaseAPI 會呼叫SearchProfilesAPI 來搜尋要驗證的客戶設定檔,然後將該設定檔與案例關聯。
選項 2:使用現有策略的組合
以下政策組合也有效:
-
AmazonConnect_FullAccess 政策
-
iam:PutRolePolicy修改服務連結角色。如需範例,請參閱「AmazonConnect_FullAccess 政策」。 -
下列 IAM 政策:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CasesGetDomain", "Effect": "Allow", "Action": [ "cases:GetDomain", "cases:CreateDomain" ], "Resource": "*" }, { "Sid": "ProfileSearchProfiles", "Effect": "Allow", "Action": [ "profile:SearchProfiles" ], "Resource": "*" } ] }
