

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Use funções vinculadas ao serviço e permissões de função para Connect Customer
<a name="connect-slr"></a>

## O que são funções vinculadas ao serviço (SLR) e por que elas são importantes?
<a name="what-is-slr"></a>

O Connect Customer usa AWS Identity and Access Management funções [vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a uma instância do Connect Customer. 

Service-linked as funções são predefinidas pelo Connect Customer e incluem [todas as permissões](#slr-permissions) que o Connect Customer exige para ligar para outros AWS serviços em seu nome.

Você precisa habilitar funções vinculadas ao serviço para poder usar novos recursos no Connect Customer, como suporte à marcação, a nova interface de **usuário em gerenciamento** de usuários e **perfis de roteamento** e filas com suporte. CloudTrail 

Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a [AWS serviços, consulte serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim na coluna Service-Linked ** **Função**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.

## Service-linked permissões de função para Connect Customer
<a name="slr-permissions"></a>

O Connect Customer usa a função vinculada ao serviço com o prefixo **AWSServiceRoleForAmazonConnect**\_ {{unique-id}} — Concede permissão ao Amazon Connect para acessar AWS recursos em seu nome.

A função vinculada ao serviço AWSServiceRoleForAmazonConnect prefixada confia nos seguintes serviços para assumir a função:
+ `connect.amazonaws.com`

A política de permissões de [AmazonConnectServiceLinkedRolePolicy](https://docs.aws.amazon.com/connect/latest/adminguide/security_iam_awsmanpol.html#amazonconnectservicelinkedrolepolicy)função permite que o Connect Customer conclua as seguintes ações nos recursos especificados:
+ Ação: todas as ações do Connect Customer,`connect:*`, em todos os recursos do Connect Customer.
+ Ação: `iam:DeleteRole` IAM para permitir a exclusão da função vinculada ao serviço.
+ Ação: `s3:GetObject`, `s3:DeleteObject`, `s3:GetBucketLocation` e `GetBucketAcl` do Amazon S3 para o bucket do S3 especificado para conversas gravadas.

  Ele também concede `s3:PutObject`, `s3:PutObjectAcl` e `s3:GetObjectAcl` para o bucket especificado para relatórios exportados.
+ Ação: Amazon CloudWatch Logs`logs:CreateLogStream`,`logs:DescribeLogStreams`, e `logs:PutLogEvents` para o grupo CloudWatch Logs especificado para registro de fluxo.
+ Ação: `lex:ListBots` e `lex:ListBotAliases` do Amazon Lex para todos os bots criados na conta em todas as regiões.
+ Ação: Conecte perfis de clientes de clientes `profile:*` em todos os recursos do Connect Customer Customer Profiles com o prefixo de `amazon-connect-` domínio e os recursos de modelo associados à sua instância do Connect Customer, exceto pelas seguintes ações que são explicitamente negadas:
  + `profile:CreateDomain`
  + `profile:UpdateDomain`
  + `profile:DeleteDomain`
  + `profile:CreateEventStream`
  + `profile:DeleteEventStream`
  + `profile:DeleteWorkflow`
  + `profile:DeleteProfileKey`
  + `profile:UntagResource`
  + `profile:TagResource`
  + `profile:CreateIntegrationWorkflow`

  Além disso, as seguintes ações são permitidas em todos os recursos: `profile:ListRecommenderRecipes``profile:ListAccountIntegrations`, `profile:ListDomains` e.
**nota**  
Cada instância do Connect Customer só pode ser associada a um domínio por vez. No entanto, você pode vincular qualquer domínio a uma instância do Connect Customer. Cross-domain o acesso dentro da mesma conta e região da AWS é habilitado automaticamente para todos os domínios que começam com o prefixo`amazon-connect-`. Para restringir o acesso entre domínios, você pode usar instâncias separadas do Connect Customer para particionar logicamente seus dados ou usar nomes de domínio de perfis de clientes na mesma instância que não comecem com o `amazon-connect-` prefixo, impedindo assim o acesso entre domínios.
+ Ação: Conecte agentes de IA `wisdom:*` em todos os recursos de agentes do Connect Customer Connect AI com a tag de recurso `'AmazonConnectEnabled':'True'` associada à sua instância do Connect Customer, exceto pelas seguintes ações que são explicitamente negadas:
  + `wisdom:DeleteAssistant`
  + `wisdom:DeleteKnowledgeBase`
+ Ação: Amazon CloudWatch Metrics `cloudwatch:PutMetricData` para publicar métricas de uso do Connect Customer para uma instância em sua conta.
+ Ação: Amazon Pinpoint SMS and Voice `sms-voice:DescribePhoneNumbers` e `sms-voice:SendTextMessage` permitir que o Connect Customer envie SMS.
+ Ação: Amazon Pinpoint `mobiletargeting:SendMessages` para permitir que o Connect Customer envie notificações push.
+ Ação: grupos de usuários do Amazon Cognito `cognito-idp:DescribeUserPool` e `cognito-idp:ListUserPoolClients` permitir que o Connect Customer acesse operações de leitura selecionadas em recursos de grupos de usuários do Amazon Cognito que tenham `AmazonConnectEnabled` uma tag de recurso.
+ Ação: Conector de voz do Amazon Chime SDK `chime:GetVoiceConnector` para permitir acesso de leitura para o Connect Customer em todos os recursos do Amazon Chime SDK Voice Connector que tenham uma tag de recurso. `'AmazonConnectEnabled':'True'`
+ Ação: conector de voz do SDK do Amazon Chime `chime:ListVoiceConnectors` para todos os conectores de voz do SDK do Amazon Chime criados na conta entre regiões.
+ Ação: WhatsApp Integração do Connect Customer Messaging. Concede permissões do Connect Customer às seguintes APIs sociais de mensagens de usuário AWS final: 
  + `social-messaging:SendWhatsAppMessage`
  + `social-messaging:PostWhatsAppMessageMedia`
  + `social-messaging:GetWhatsAppMessageMedia`
  + `social-messaging:GetLinkedWhatsAppBusinessAccountPhoneNumber`

  As APIs sociais estão restritas aos recursos do seu número de telefone que estão habilitados para o Connect Customer. Um número de telefone é marcado com `AmazonConnectEnabled : True` quando é importado para uma instância do Connect Customer.
+ Ação: Integração do modelo de WhatsApp mensagem Connect Customer Messaging. Concede permissão ao Connect Customer para chamar AWS End User Messaging Social APIs. As contas WhatsApp comerciais de uma AWS conta podem ser listadas. Além disso, os modelos de uma conta WhatsApp comercial podem ser listados e os detalhes de um modelo podem ser recuperados, desde que a conta WhatsApp comercial esteja marcada`AmazonConnectEnabled: True`.
  + `social-messaging:ListLinkedWhatsAppBusinessAccounts`
  + `social-messaging:GetWhatsAppMessageTemplate`
  + `social-messaging:ListWhatsAppMessageTemplates`
+ Ação: Amazon SES 
  + `ses:DescribeReceiptRule`
  + `ses:UpdateReceiptRule`

  Em todas as regras de recebimento do Amazon SES. Usado para enviar e receber e-mails.
  + `ses:DeleteEmailIdentity`para a identidade de domínio {{{instance-alias}}} .email.connect.aws SES. Usado para gerenciamento de domínio de e-mail fornecido pelo Connect Customer.
  + `ses:SendRawEmail`para enviar e-mails com um conjunto de configurações SES fornecido pelo Connect Customer (configuration-set-for-connect-). DO-NOT-DELETE 

  
  + `iam:PassRole` para o perfil de serviço `AmazonConnectEmailSESAccessRole` que é usado pelo Amazon SES. Para o gerenciamento de regras de recebimento do Amazon SES, o Amazon SES exige que um perfil seja enviado, que ele então assume.
+ Ação: Amazon Polly
  + `polly:ListLexicons`
  + `polly:DescribeVoices`
  + `polly:SynthesizeSpeech`

À medida que você ativa recursos adicionais no Connect Customer, as seguintes permissões são adicionadas à função vinculada ao serviço para acessar os recursos associados a esses recursos usando políticas em linha:
+ Ação: `firehose:DescribeDeliveryStream`, `firehose:PutRecord` e `firehose:PutRecordBatch` do Amazon Data Firehose para o fluxo de entrega definido para fluxos de eventos de atendentes e registros de contato.
+ Ação: `kinesis:PutRecord`, `kinesis:PutRecords` e `kinesis:DescribeStream` do Amazon Kinesis Data Streams para o fluxo especificado para fluxos de eventos de atendentes e registros de contato.
+ Ação: `lex:PostContent` do Amazon Lex para bots adicionados à instância.
+ Ação: Conecte o cliente Voice-ID `voiceid:*` aos domínios do Voice ID associados à sua instância.
+ Ação: EventBridge `events:PutRule` e `events:PutTargets` para a EventBridge regra gerenciada do Connect Customer para publicar registros de CTR para seus domínios de ID de voz associados.
+ Ação: campanhas externas
  + `connect-campaigns:CreateCampaign`
  + `connect-campaigns:DeleteCampaign`
  +  `connect-campaigns:DescribeCampaign`
  + `connect-campaigns:UpdateCampaignName`
  + `connect-campaigns:GetCampaignState`
  +  `connect-campaigns:GetCampaignStateBatch`
  + `connect-campaigns:ListCampaigns`
  + `connect-campaigns:UpdateOutboundCallConfig`
  +  `connect-campaigns:UpdateDialerConfig`
  +  `connect-campaigns:PauseCampaign`
  + `connect-campaigns:ResumeCampaign`
  + `connect-campaigns:StopCampaign`

  para todas as operações relacionadas a campanhas externas.

É necessário configurar as permissões para permitir que uma entidade do IAM (como um usuário, grupo ou perfil) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte [as permissões de Service-linked função](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.

## Crie uma função vinculada ao serviço para o Connect Customer
<a name="create-slr"></a>

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria uma nova instância no Amazon Connect no Console de gerenciamento da AWS, o Connect Customer cria a função vinculada ao serviço para você.

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria uma nova instância no Amazon Connect, o Connect Customer cria a função vinculada ao serviço para você novamente. 

Você também pode usar o console do IAM para criar um perfil vinculado ao serviço com o caso de uso **Amazon Connect: acesso total**. Na CLI ou na API do IAM, crie uma função vinculada ao serviço com o nome de serviço `connect.amazonaws.com`. Para saber mais, consulte [Criar um perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

## Para instâncias criadas antes de outubro de 2018
<a name="migrate-slr"></a>

**dica**  
Está tendo problemas para fazer login para gerenciar sua AWS conta? Não sabe quem gerencia sua conta da AWS ? Para obter ajuda, consulte [Solução de problemas de login da Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html).

Se sua instância do Connect Customer foi criada antes de outubro de 2018, você não tem funções vinculadas ao serviço configuradas. Para criar uma função vinculada ao serviço, na página **Visão geral da conta**, escolha **Criar função vinculada ao serviço**, conforme mostrado na imagem a seguir.

![A página Visão geral da conta e o botão Criar função vinculada ao serviço.](http://docs.aws.amazon.com/pt_br/connect/latest/adminguide/images/slr-create-slr.png)


Para ver uma lista das permissões do IAM necessárias para criar um perfil vinculado ao serviço, consulte [Página Visão geral](security-iam-amazon-connect-permissions.md#overview-page) no tópico [Permissões necessárias para usar políticas personalizadas do IAM para gerenciar o acesso ao console do Connect Customer](security-iam-amazon-connect-permissions.md).

## Para domínios do Customer Profiles criados antes de 31 de janeiro de 2025 e configurados com uma chave do KMS do cliente para criptografar dados, é necessário conceder permissões adicionais do KMS à sua instância do Amazon Connect.
<a name="kms-permissions-slr"></a>

Se seu domínio de perfil de cliente associado foi criado antes de 31 de janeiro de 2025 e o domínio usa uma chave Customer-Managed KMS (CMK) para criptografia, para permitir a aplicação da CMK pela Instância Connect, execute as seguintes ações:

1. Forneça a permissão Service-Linked Role (SLR) de uma Connect Customer instância para usar AWS KMS as chaves do domínio do seu Customer Profiles navegando até a página do Customer Profiles no Connect Customer AWS Management Console e escolha **Atualizar a permissão KMS**.  
![Escolha o botão Atualizar permissão KMS para conceder permissões KMS para sua função vinculada ao serviço da instância Connect Customer.](http://docs.aws.amazon.com/pt_br/connect/latest/adminguide/images/kms-permissions-slr-1.png)

1. Crie um [ticket de suporte](https://support.console.aws.amazon.com/support) com a equipe do Connect Customer Customer Profiles para solicitar a aplicação da permissão CMK para sua conta.

Para ver uma lista de permissões do IAM para atualizar sua Connect Customer instância, consulte a permissão necessária para políticas personalizadas do IAM para [Página Perfis de clientes](security-iam-amazon-connect-permissions.md#customer-profiles-page) o.

## Editar uma função vinculada ao serviço para Connect Customer
<a name="edit-slr"></a>

O Connect Customer não permite que você edite a função AWSServiceRoleForAmazonConnect prefixada vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Verificar se uma função vinculada ao serviço tem permissões para o Amazon Lex
<a name="check-slr"></a>

1. No painel de navegação do console do IAM, escolha **Perfis**.

1. Escolha o nome da função a ser modificada.

## Excluir uma função vinculada ao serviço para Connect Customer
<a name="delete-slr"></a>

Você não precisa excluir manualmente a função AWSServiceRoleForAmazonConnect prefixada. Quando você exclui sua instância do Amazon Connect no Console de gerenciamento da AWS, o Connect Customer limpa os recursos e exclui a função vinculada ao serviço para você.

## Regiões suportadas para funções vinculadas ao atendimento ao cliente do Connect
<a name="slr-regions"></a>

O Connect Customer oferece suporte ao uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para mais informações, consulte [Regiões e endpoints da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html#connect_region).