View a markdown version of this page

Restrict AWS risorse che possono essere associate a Connect Customer - Cliente Amazon Connect

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Restrict AWS risorse che possono essere associate a Connect Customer

Ogni istanza Connect Customer è associata a un ruolo collegato al servizio IAM al momento della creazione dell'istanza. Connect Customer può integrarsi con altri AWS servizi per casi d'uso come lo storage di registrazione delle chiamate (bucket Amazon S3), i bot in linguaggio naturale (bot Amazon Lex) e lo streaming di dati (Amazon Kinesis Data Streams). Connect Customer si assume il ruolo collegato al servizio per interagire con questi altri servizi. La policy viene prima aggiunta al ruolo collegato al servizio come parte delle API corrispondenti sul servizio clienti Connect (che vengono a loro volta richiamate dalla console di AWS amministrazione). Ad esempio, se desideri utilizzare un determinato bucket Amazon S3 con l'istanza Connect Customer, il bucket deve essere passato all'API. AssociateInstanceStorageConfig

Per il set di azioni IAM definito da Connect Customer, consulta Azioni definite da Connect Customer.

Di seguito sono riportati alcuni esempi di come limitare l'accesso ad altre risorse che possono essere associate a un'istanza Connect Customer. Devono essere applicati all'utente o al ruolo che interagisce con le API Connect Customer o la console Connect Customer.

Nota

Una policy con il comando esplicito Deny sostituirebbe la policy Allow in questi esempi.

Per ulteriori informazioni su quali risorse, chiavi di condizione e API dipendenti è possibile utilizzare per limitare l'accesso, consulta Azioni, risorse e chiavi di condizione per Connect Customer.

Esempio 1: limita i bucket Amazon S3 che possono essere associati a un'istanza Connect Customer

Questo esempio consente a un principal IAM di associare un bucket Amazon S3 per le registrazioni delle chiamate per l'ARN dell'istanza Connect Customer specificata e un bucket Amazon S3 specifico denominato. my-connect-recording-bucket PutRolePolicy Le azioni AttachRolePolicy and rientrano nell'ambito del ruolo collegato al servizio Connect Customer (in questo esempio viene utilizzato un carattere jolly, ma è possibile fornire il ruolo ARN per l'istanza, se necessario).

Nota

Per utilizzare una AWS KMS chiave per crittografare le registrazioni in questo bucket, è necessaria una politica aggiuntiva.

Esempio 2: Limita quale AWS Lambda le funzioni possono essere associate a un'istanza Connect Customer

AWS Lambda le funzioni sono associate a un'istanza Connect Customer, ma il ruolo collegato al servizio Connect Customer non viene utilizzato per richiamarle e quindi non viene modificato. Invece, viene aggiunta una policy alla funzione tramite l'lambda:AddPermissionAPI che consente all'istanza Connect Customer specificata di richiamare la funzione.

Per limitare le funzioni che possono essere associate a un'istanza Connect Customer, si specifica l'ARN della funzione Lambda che un utente può utilizzare per richiamare: lambda:AddPermission

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:AssociateLambdaFunction", "lambda:AddPermission" ], "Resource": [ "arn:aws:connect:us-east-1:111122223333:instance/instance-id", "arn:aws:lambda:*:*:function:my-function" ] } ] }

Esempio 3: limita il tipo di Amazon Kinesis Data Streams che può essere associato a un'istanza Connect Customer

Il modello di questo esempio è simile all'esempio relativo ad Amazon S3. Limita quali specifici Kinesis Data Streams possono essere associati a una determinata istanza Connect Customer per la fornitura dei record di contatto.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "connect:UpdateInstanceStorageConfig", "connect:AssociateInstanceStorageConfig" ], "Resource": "arn:aws:connect:us-east-1:111122223333:instance/instance-id", "Condition": { "StringEquals": { "connect:StorageResourceType": "CONTACT_TRACE_RECORDS" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "kinesis:DescribeStream", "iam:PutRolePolicy" ], "Resource": [ "arn:aws:iam::111122223333:role/aws-service-role/connect.amazonaws.com/*", "arn:aws:kinesis:*:111122223333:stream/stream-name" ] }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": "kinesis:ListStreams", "Resource": "*" } ] }