Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comment Connect Customer travaille avec IAM
Avant d'utiliser IAM pour gérer l'accès à Connect Customer, vous devez connaître les fonctionnalités IAM disponibles avec Connect Customer. Pour obtenir une vue d'ensemble de la façon dont Connect Customer et les autres AWS services fonctionnent avec IAM, consultez la section AWS Services That Work with IAM dans le guide de l'utilisateur d'IAM.
Table des matières
Connect Customer : politiques basées sur l'identité
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Connect Customer prend en charge des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez Références des éléments de politique JSON IAM dans le Guide de l’utilisateur IAM.
Actions
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.
L’élément Action d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Les actions de politique dans Connect Customer utilisent le préfixe suivant avant l'action :connect:. Les déclarations de politique doivent inclure un élément Action ou NotAction. Connect Customer définit son propre ensemble d'actions décrivant les tâches que vous pouvez effectuer avec ce service.
Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :
"Action": [ "connect:action1", "connect:action2"
Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (*). Par exemple, pour spécifier toutes les actions qui commencent par le mot Describe, incluez l’action suivante :
"Action": "connect:Describe*"
Pour consulter la liste des actions, actions, ressources et clés de condition de Connect Customer pour Connect Customer.
Ressources
Connect Customer prend en charge les autorisations au niveau des ressources (en spécifiant un ARN de ressource dans une politique IAM). Voici une liste des ressources destinées aux clients Connect :
-
Instance
-
Contact
-
Utilisateur
-
Profil de routage
-
Profil de sécurité
-
Groupe de hiérarchie
-
File d’attente
-
Fichier
-
Flux
-
Heures de fonctionnement.
-
Numéro de téléphone
-
Modèles de tâches
-
Domaine du profil client
-
Type d’objet du profil client
-
Campagnes sortantes
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.
L’élément de politique JSON Resource indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son Amazon Resource Name (ARN). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (*) afin d’indiquer que l’instruction s’applique à toutes les ressources.
"Resource": "*"
La ressource d'instance Connect Customer possède l'ARN suivant :
arn:${Partition}:connect:${Region}:${Account}:instance/${InstanceId}
Pour plus d'informations sur le format des ARN, consultez les sections Amazon Resource Names (ARN) et AWS Service Namespaces.
Par exemple, pour spécifier l’instance i-1234567890abcdef0 dans votre instruction, utilisez l’ARN suivant :
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/i-1234567890abcdef0"
Pour spécifier toutes les instances qui appartiennent à un compte spécifique, utilisez le caractère générique (*) :
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/*"
Certaines actions Connect Customer, telles que celles relatives à la création de ressources, ne peuvent pas être effectuées sur une ressource spécifique. Dans ces cas-là, vous devez utiliser le caractère générique (*).
"Resource": "*"
De nombreuses actions d'API Connect Customer ; impliquent plusieurs ressources. Par exemple,
Pour spécifier plusieurs ressources dans une seule instruction, séparez leurs ARN par des virgules.
"Resource": [ "resource1", "resource2"
Pour consulter la liste des types de ressources Connect Customer et de leurs ARN, consultez Actions, ressources et clés de condition pour Connect Customer. Le même article explique avec quelles actions vous pouvez spécifier l’ARN de chaque ressource.
Clés de condition
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.
L’élément Condition indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des opérateurs de condition, tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de contexte de condition AWS globales dans le guide de l'utilisateur IAM.
Connect Customer définit son propre ensemble de clés de condition et prend également en charge l'utilisation de certaines clés de condition globales. Pour voir toutes les clés de condition AWS globales, consultez la section Clés contextuelles de condition AWS globale dans le guide de l'utilisateur IAM.
Toutes les actions Amazon EC2 prennent en charge les clés de condition aws:RequestedRegion et ec2:Region. Pour plus d’informations, consultez Exemple : restriction de l’accès à une région spécifique.
Pour consulter la liste des clés de condition Connect Customer, consultez Actions, ressources et clés de condition pour Connect Customer.
Exemples
Pour consulter des exemples de politiques basées sur l'identité des clients Connect, consultez. Exemples de politiques basées sur l'identité du client Connect
Autorisation basée sur les balises Connect Customer
Vous pouvez associer des balises aux ressources Connect Customer ou transmettre des balises dans une demande adressée à Connect Customer. Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’élément de condition d’une politique utilisant les clés de condition connect:ResourceTag/, key-nameaws:RequestTag/ ou key-nameaws:TagKeys.
Pour visualiser un exemple de politique basée sur l’identité permettant de limiter l’accès à une ressource en fonction des balises de cette ressource, consultez Décrire et mettre à jour les utilisateurs de Connect Customer en fonction des balises.
Rôles IAM du client Connect
Un rôle IAM est une entité de votre AWS compte qui possède des autorisations spécifiques.
Utilisation d'informations d'identification temporaires avec Connect Customer
Vous pouvez utiliser des informations d’identification temporaires pour vous connecter à l’aide de la fédération, endosser un rôle IAM ou encore pour endosser un rôle intercompte. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d' AWS STS API telles que AssumeRoleou GetFederationToken.
Connect Customer prend en charge l'utilisation d'informations d'identification temporaires.
Service-linked rôles
Service-linked les rôles permettent aux AWS services d'accéder aux ressources d'autres services pour effectuer une action en votre nom. Service-linked les rôles apparaissent dans votre compte IAM et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
Connect Customer prend en charge les rôles liés aux services. Pour plus d'informations sur la création ou la gestion des rôles liés au service Connect Customer, consultez. Utiliser les rôles liés au service et les autorisations de rôle pour Connect Customer
Choix d'un rôle IAM dans Connect Customer
Lorsque vous créez une ressource dans Connect Customer, vous devez choisir un rôle pour permettre à Connect Customer d'accéder à Amazon EC2 en votre nom. Si vous avez déjà créé un rôle de service ou un rôle lié à un service, Connect Customer vous propose une liste de rôles parmi lesquels choisir. Il est important de choisir un rôle qui permet d’accéder au démarrage et à l’arrêt des instances Amazon EC2.