

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Beispiele für Richtlinien auf Ressourcenebene von Connect Customer
<a name="security_iam_resource-level-policy-examples"></a>

Connect Customer unterstützt Berechtigungen auf Ressourcenebene für Benutzer, sodass Sie Aktionen für sie für eine Instanz angeben können, wie in den folgenden Richtlinien dargestellt.

**Topics**
+ [Alle Aktionen auf einer Connect-Kundeninstanz ablehnen](#connect-access-control-resources-example-all)
+ [Verweigern der Aktionen „Löschen“ und „Aktualisieren“](#connect-access-control-resources-example2)
+ [Erlauben Sie Aktionen für Integrationen mit bestimmten Namen](#connect-access-control-resources-integration-example)
+ [Zulassen von „Benutzer erstellen“, aber verweigern, wenn Sie einem bestimmten Sicherheitsprofil zugewiesen sind](#connect-access-control-resources-example3)
+ [Erlauben des Aufzeichnens von Aktionen für einen Kontakt](#connect-access-control-resources-example4)
+ [Zulassen oder Verweigern von Warteschleifen-API-Aktionen für Telefonnummern in einer Replikat-Region](#allow-deny-queue-actions-replica-region)
+ [Spezifische AppIntegrations Amazon-Ressourcen anzeigen](#view-specific-appintegrations-resources)
+ [Zugriff auf Connect-Kundenprofile gewähren](#grant-access-to-customer-profiles)
+ [Gewähren von Lesezugriff auf Daten aus Customer Profiles](#grant-read-only-access-to-customer-profiles)
+ [Query Connect AI-Agenten nur für einen bestimmten Assistenten](#query-wisdom-assistant)
+ [Vollzugriff auf Connect Customer Voice ID gewähren](#grant-read-only-access-to-voiceid)
+ [Zugriff auf Ressourcen für ausgehende Kampagnen von Connect Customer gewähren](#grant-read-only-access-to-outboundcommunications)
+ [Schränken Sie die Suche nach Transkripten ein, die von analysiert wurden Kundenkontaktlinsen Connect](#restrict-ability-to-search-transcripts-contact-lens)

## Alle Aktionen auf einer Connect-Kundeninstanz ablehnen
<a name="connect-access-control-resources-example-all"></a>

Eine Connect Customer-Instanz ist die oberste Ressource innerhalb von Connect Customer. Alle anderen Unterressourcen werden innerhalb ihres Gültigkeitsbereichs erstellt. Um alle Aktionen für alle Ressourcen innerhalb einer Connect Customer-Instanz zu verweigern, können Sie eine der folgenden Methoden verwenden: 
+ Verwenden Sie `connect:instanceId`-Kontextschlüssel. 
+ Verwenden Sie den Instance-ARN gefolgt von einem Platzhalter (\*).

Mit der folgenden Beispielrichtlinie werden alle Verbindungsaktionen für die Instance mit der instanceId „00fbeee1-123e-111e-93e3-11111bfbfcc1“ abgelehnt.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "connect:*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "connect:instanceId": "00fbeee1-123e-111e-93e3-11111bfbfcc1"
                }
            }
        }
    ]
}
```

------

Alternativ können Sie alle Aktionen ablehnen, indem Sie den Instance-ARN gefolgt von einem Platzhalter (\*) angeben. Mit der folgenden Beispielrichtlinie werden alle Verbindungsaktionen für die Instance mit dem Instance-ARN „`arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1`“ abgelehnt. 

------
#### [ JSON ]

****  

```
{
"Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "connect:*"
            ],
            "Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1*"
        }
    ]
}
```

------

## Verweigern der Aktionen „Löschen“ und „Aktualisieren“
<a name="connect-access-control-resources-example2"></a>

Die folgende Beispielrichtlinie verweigert die Aktionen „Löschen“ und „Aktualisieren“ für Benutzer in einer Connect Customer-Instanz. Es verwendet einen Platzhalter am Ende des Connect Customer-Benutzer-ARN, sodass „Benutzer löschen“ und „Benutzer aktualisieren“ für den vollständigen Benutzer-ARN verweigert werden (d. h. alle Connect Customer-Benutzer in der bereitgestellten Instanz), wie arn:aws:connect:us-east- 1:123456789012: -123e-111e-93e3- /00dtcddd1-123e-111e-93e3-11111bfbfcc1). instance/00fbeee1 11111bfbfcc1/agent

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "connect:DeleteUser",
                "connect:UpdateUser*"
            ],
            "Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/*"
        }
    ]
}
```

------

## Erlauben Sie Aktionen für Integrationen mit bestimmten Namen
<a name="connect-access-control-resources-integration-example"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAllAppIntegrationsActions",
            "Effect": "Allow",
            "Action": [
                "app-integrations:ListEventIntegrations",
                "app-integrations:CreateEventIntegration",
                "app-integrations:GetEventIntegration",
                "app-integrations:UpdateEventIntegration",
                "app-integrations:DeleteEventIntegration"
            ],
            "Resource":"arn:aws:app-integrations:*:*:event-integration/MyNamePrefix-*"
	}
    ]
}
```

------

## Zulassen von „Benutzer erstellen“, aber verweigern, wenn Sie einem bestimmten Sicherheitsprofil zugewiesen sind
<a name="connect-access-control-resources-example3"></a>

Die folgende Beispielrichtlinie erlaubt „Benutzer erstellen“, verweigert jedoch ausdrücklich die Verwendung von arn:aws:connect:us-west- 2:123456789012: instance/00fbeee1 -123e-111e-93e3- 11111bfbfcc1/security - profile/11dtcggg1 -123e-111e-93e3-11111bfbfcc17 als Parameter für das [CreateUser](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateUser.html#API_CreateUser_RequestBody)angeforderte Sicherheitsprofil.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "connect:CreateUser"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "connect:CreateUser"
            ],
            "Resource": "arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc17/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17"
        }
    ]
}
```

------

## Erlauben des Aufzeichnens von Aktionen für einen Kontakt
<a name="connect-access-control-resources-example4"></a>

Die folgende Beispielrichtlinie ermöglicht das Starten der Kontaktaufzeichnung für einen Kontakt in einer bestimmten Instance. Da ContactID dynamisch ist, wird „\*“ verwendet.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "connect:StartContactRecording"
            ],
            "Resource": "arn:aws:connect:us-west-2:111122223333:instance/instanceId/contact/*",
            "Effect": "Allow"
        }
    ]
}
```

------

Richten Sie eine Vertrauensbeziehung mit *accountID* ein.

Die folgenden Aktionen sind für die Aufzeichnungs-APIs definiert:
+ StartContactRecording„verbinden:“
+ „verbinden:StopContactRecording“
+ „verbinden:SuspendContactRecording“
+ „verbinden:ResumeContactRecording“

### Erlauben weiterer Kontaktaktionen in derselben Rolle
<a name="example4-allow-more-actions"></a>

Wenn dieselbe Rolle zum Aufrufen anderer Kontakt-APIs verwendet wird, können Sie die folgenden Kontaktaktionen auflisten:
+ GetContactAttributes
+ ListContactFlows
+ StartChatContact
+ StartOutboundVoiceContact
+ StopContact
+ UpdateContactAttributes

Oder verwenden Sie einen Platzhalter, um alle Kontaktaktionen zuzulassen, zum Beispiel: „connect: \*“

### Erlauben weiterer Ressourcen
<a name="example4-allow-more-resources"></a>

Sie können auch einen Platzhalter verwenden, um mehr Ressourcen zuzulassen. So lassen Sie beispielsweise alle Verbindungsaktionen für alle Kontaktressourcen zu:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "connect:*"
            ],
            "Resource": "arn:aws:connect:us-west-2:111122223333:instance/*/contact/*",
            "Effect": "Allow"
        }
    ]
}
```

------

## Zulassen oder Verweigern von Warteschleifen-API-Aktionen für Telefonnummern in einer Replikat-Region
<a name="allow-deny-queue-actions-replica-region"></a>

Die [UpdateQueueOutboundCallerConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateQueueOutboundCallerConfig.html)APIs [CreateQueue](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateQueue.html)und enthalten ein Eingabefeld mit dem Namen`OutboundCallerIdNumberId`. Dieses Feld stellt eine Telefonnummernressource dar, die für eine Datenverkehr-Verteilergruppe beansprucht werden kann. Es unterstützt sowohl das Rufnummern-V1-ARN-Format, das von [ListPhoneNumbers](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListPhoneNumbers.html)zurückgegeben wird, als auch das V2-ARN-Format, das von zurückgegeben wird [ListPhoneNumbersV2](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListPhoneNumbersV2.html). 

Im Folgenden sind die V1- und V2-ARN-Formate aufgeführt, die von `OutboundCallerIdNumberId` unterstützt werden:
+ **V1-ARN-Format**: `arn:aws:connect:{{your-region}}:{{your-account_id}}:instance/{{instance_id}}/phone-number/{{resource_id}}`
+ **V2-ARN-Format**: `arn:aws:connect:{{your-region}}:{{your-account_id}}:phone-number/{{resource_id}}`

**Anmerkung**  
Wir empfehlen die Verwendung des V2-ARN-Formats. Das V1-ARN-Format wird in Zukunft nicht mehr verwendet.

### Bereitstellen beider ARN-Formate für Telefonnummernressourcen in der Replikatregion
<a name="provide-both-arn-formats"></a>

Wenn die Telefonnummer für eine Verkehrsverteilergruppe beansprucht wird, **müssen Sie die Telefonnummernressource sowohl im V1- als auch im V2-ARN-Format bereitstellen, um während des Betriebs in der Replikatregion korrekt auf die Warteschleifen-API-Aktionen für Telefonnummernressourcen allow/deny ** zugreifen zu können. Wenn Sie die Telefonnummernressource nur in ARN ARN-Format angeben, führt dies nicht zum korrekten allow/deny Verhalten beim Betrieb in der Replikatregion.

### Beispiel 1: Verweigern Sie den Zugriff auf CreateQueue
<a name="deny-access-createqueue"></a>

Beispiel: Sie arbeiten in der Replikatregion us-west-2 mit Konto ` 123456789012` und Instance `aaaaaaaa-bbbb-cccc-dddd-0123456789012`. Sie möchten den Zugriff auf die [CreateQueue](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateQueue.html)API verweigern, wenn es sich bei dem `OutboundCallerIdNumberId` Wert um eine Telefonnummer handelt, die für eine Verkehrsverteilergruppe mit Ressourcen-ID beansprucht wurde`aaaaaaaa-eeee-ffff-gggg-0123456789012`. In diesem Szenario müssen Sie die folgende Richtlinie verwenden:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DenyCreateQueueForSpecificNumber",
            "Effect": "Deny",
            "Action": "connect:CreateQueue",
            "Resource": [
                "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
                "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
            ]
        }
    ]
}
```

------

Wobei us-west-2 die Region ist, in der die Anfrage gestellt wird.

### Beispiel 2: Erlauben Sie nur den Zugriff auf UpdateQueueOutboundCallerConfig
<a name="deny-access-createqueue"></a>

Beispiel: Sie arbeiten in der Replikatregion us-west-2 mit Konto `123456789012` und Instance `aaaaaaaa-bbbb-cccc-dddd-0123456789012`. Sie möchten den Zugriff auf die [UpdateQueueOutboundCallerConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateQueueOutboundCallerConfig.html)API nur zulassen, wenn es sich bei dem `OutboundCallerIdNumberId` Wert um eine Telefonnummer handelt, die für eine Verkehrsverteilergruppe mit Ressourcen-ID beansprucht wurde`aaaaaaaa-eeee-ffff-gggg-0123456789012`. In diesem Szenario müssen Sie die folgende Richtlinie verwenden:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "OnlyAllowUpdateQueueOutboundCallerConfigForSpecificNumber",
            "Effect": "Allow",
            "Action": "connect:UpdateQueueOutboundCallerConfig",
            "Resource": [
                "arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
                "arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
            ]
        }
    ]
}
```

------

## Spezifische AppIntegrations Amazon-Ressourcen anzeigen
<a name="view-specific-appintegrations-resources"></a>

Die folgende Beispielrichtlinie ermöglicht das Abrufen von spezifischen Ereignisintegrationen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "app-integrations:GetEventIntegration"
            ],
            "Resource": "arn:aws:app-integrations:us-west-2:{{111122223333}}:event-integration/Name"
        }
    ]
}
```

------

## Zugriff auf Connect-Kundenprofile gewähren
<a name="grant-access-to-customer-profiles"></a>

Connect-Kundenprofile verwenden anstelle von `profile` als Präfix für Aktionen`connect`. Die folgende Richtlinie gewährt vollen Zugriff auf eine bestimmte Domain in den Kundenprofilen von Connect.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "profile:*"
            ],
            "Resource": "arn:aws:profile:us-west-2:{{111122223333}}:domains/domainName",
            "Effect": "Allow"
        }
    ]
}
```

------

Richten Sie eine Vertrauensbeziehung mit accountID zur Domain DomainName ein.

## Gewähren von Lesezugriff auf Daten aus Customer Profiles
<a name="grant-read-only-access-to-customer-profiles"></a>

Im Folgenden finden Sie ein Beispiel für die Gewährung von Lesezugriff auf die Daten in Connect Customer Customer Profiles.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "profile:SearchProfiles"
            ],
            "Resource": "arn:aws:profile:{{us-east-1}}:{{111122223333}}:domains/domainName",
            "Effect": "Allow"
        }
    ]
}
```

------

## Query Connect AI-Agenten nur für einen bestimmten Assistenten
<a name="query-wisdom-assistant"></a>

Die folgende Beispielrichtlinie erlaubt es, nur einen bestimmten Assistenten abzufragen. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wisdom:QueryAssistant"
            ],
            "Resource": "arn:aws:wisdom:{{us-east-1}}:{{111122223333}}:assistant/{{assistantID}}"
        }
    ]
}
```

------

## Vollzugriff auf Connect Customer Voice ID gewähren
<a name="grant-read-only-access-to-voiceid"></a>

Connect Customer Voice ID wird anstelle von Connect `voiceid` als Präfix für Aktionen verwendet. Die folgende Richtlinie gewährt vollen Zugriff auf eine bestimmte Domain in Connect Customer Voice ID: 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "voiceid:*"
            ],
            "Resource": "arn:aws:voiceid:us-west-2:{{111122223333}}:domain/domainName",
            "Effect": "Allow"
        }
    ]
}
```

------

Richten Sie eine Vertrauensbeziehung mit accountID zur Domain DomainName ein.

## Zugriff auf Ressourcen für ausgehende Kampagnen von Connect Customer gewähren
<a name="grant-read-only-access-to-outboundcommunications"></a>

Ausgehende Kampagnen verwenden `connect-campaign` als Präfix für Aktionen anstelle von `connect`. Die folgende Richtlinie gewährt Vollzugriff auf eine bestimmte ausgehende Kampagne. 

```
{
    "Sid": "AllowConnectCampaignsOperations",
    "Effect": "Allow",
    "Action": [
        "connect-campaigns:DeleteCampaign",
        "connect-campaigns:DescribeCampaign",
        "connect-campaigns:UpdateCampaignName",
        "connect-campaigns:GetCampaignState"
        "connect-campaigns:UpdateOutboundCallConfig",
        "connect-campaigns:UpdateDialerConfig",
        "connect-campaigns:PauseCampaign",
        "connect-campaigns:ResumeCampaign",
        "connect-campaigns:StopCampaign"
    ],
    "Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId",
    }
```

## Schränken Sie die Suche nach Transkripten ein, die von analysiert wurden Kundenkontaktlinsen Connect
<a name="restrict-ability-to-search-transcripts-contact-lens"></a>

Die folgende Richtlinie erlaubt das Suchen und Beschreiben von Kontakten, verweigert jedoch die Suche nach Kontakten mithilfe von Transkripten, die von Connect Customer Contact Lens analysiert wurden.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:DescribeContact"
            ],
            "Resource": "arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{instance-id}}/contact/*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "connect:SearchContacts"
            ],
            "Resource": "arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{instance-id}}"
        },
        {
            "Sid": "VisualEditor2",
            "Effect": "Deny",
            "Action": [
                "connect:SearchContacts"
            ],
            "Resource": "arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{instance-id}}",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "connect:SearchContactsByContactAnalysis": [
                        "Transcript"
                    ]
                }
            }
        }
    ]
}
```

------