Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Restrict AWS Ressourcen, die Connect Customer zugeordnet werden können
Jede Connect Customer-Instanz wird bei der Erstellung einer mit dem IAM-Dienst verknüpften Rolle zugeordnet. Connect Customer kann für Anwendungsfälle wie Anrufaufzeichnungsspeicher (Amazon S3 S3-Bucket), Bots in natürlicher Sprache (Amazon Lex Lex-Bots) und Datenstreaming (Amazon Kinesis Data Streams) in andere AWS Dienste integrieren. Connect Customer übernimmt die dienstbezogene Rolle, um mit diesen anderen Diensten zu interagieren. Die Richtlinie wird zunächst der serviceverknüpften Rolle als Teil der entsprechenden APIs im Connect-Kundendienst hinzugefügt (die wiederum von der AWS Admin-Konsole aufgerufen werden). Wenn Sie beispielsweise einen bestimmten Amazon S3 S3-Bucket mit Ihrer Connect Customer-Instance verwenden möchten, muss der Bucket an die AssociateInstanceStorageConfigAPI übergeben werden.
Informationen zu den von Connect Customer definierten IAM-Aktionen finden Sie unter Von Connect Customer definierte Aktionen.
Im Folgenden finden Sie einige Beispiele dafür, wie Sie den Zugriff auf andere Ressourcen einschränken können, die möglicherweise mit einer Connect Customer-Instanz verknüpft sind. Sie sollten auf den Benutzer oder die Rolle angewendet werden, die mit den Connect-Kunden-APIs oder der Connect-Kundenkonsole interagiert.
Anmerkung
Eine Richtlinie mit einem expliziten Wert „Deny“ würde die Allow-Richtlinie in diesen Beispielen außer Kraft setzen.
Weitere Informationen darüber, mit welchen Ressourcen, Bedingungsschlüsseln und abhängigen APIs Sie den Zugriff einschränken können, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Connect Customer.
Beispiel 1: Beschränken Sie, welche Amazon S3 S3-Buckets einer Connect Customer-Instance zugeordnet werden können
In diesem Beispiel kann ein IAM-Principal einen Amazon S3 S3-Bucket für Anrufaufzeichnungen für die angegebene Connect Customer-Instance ARN und einen bestimmten Amazon S3 S3-Bucket mit dem Namen my-connect-recording-bucket verknüpfen. Die PutRolePolicy Aktionen AttachRolePolicy und sind auf die mit dem Connect Customer Service verknüpfte Rolle beschränkt (in diesem Beispiel wird ein Platzhalter verwendet, aber Sie können bei Bedarf den Rollen-ARN für die Instanz angeben).
Anmerkung
Um Aufzeichnungen in diesem Bucket mit einem AWS KMS Schlüssel zu verschlüsseln, ist eine zusätzliche Richtlinie erforderlich.
Beispiel 2: Beschränken Sie welche AWS Lambda Funktionen können mit einer Connect Customer-Instanz verknüpft werden
AWS Lambda Funktionen sind mit einer Connect Customer-Instanz verknüpft, aber die mit dem Connect Customer-Service verknüpfte Rolle wird nicht verwendet, um sie aufzurufen, weshalb sie nicht geändert werden. Stattdessen wird der Funktion über die lambda:AddPermission API eine Richtlinie hinzugefügt, die es der angegebenen Connect Customer-Instanz ermöglicht, die Funktion aufzurufen.
Um einzuschränken, welche Funktionen einer Connect Customer-Instanz zugeordnet werden können, geben Sie den ARN der Lambda-Funktion an, den ein Benutzer verwenden kann, um Folgendes aufzurufenlambda:AddPermission:
Beispiel 3: Beschränken, welche Amazon Kinesis Data Streams einer Connect Customer-Instance zugeordnet werden können
Dieses Beispiel folgt einem ähnlichen Modell wie das Amazon-S3-Beispiel. Es schränkt ein, welche spezifischen Kinesis Data Streams einer bestimmten Connect-Kundeninstanz für die Übermittlung von Kontaktdatensätzen zugeordnet werden können.