

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 Connect 客户使用服务相关角色和角色权限
<a name="connect-slr"></a>

## 什么是服务相关角色 (SLR) 以及为什么它们非常重要？
<a name="what-is-slr"></a>

Connect 客户使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种独特的 IAM 角色，直接链接到 Connect Customer 实例。

Service-linked 角色由 Connect 客户预定义，包括 Connect 客户代表您呼叫其他 AWS 服务所需[的所有权限](#slr-permissions)。

您需要启用服务相关角色才能使用 Connect Customer 中的新功能，例如标记支持、用户**管理和**路由配置文件**中的新用户**界面以及支持队列。 CloudTrail 

有关支持服务相关角色的其他服务的信息，请参阅与 [IAM 配合使用的AWS 服务，](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并在 “**Service-Linked 角色**” 列中查找 “**是**” 的服务。请选择**是**与查看该服务的服务关联角色文档的链接。

## Service-linked Connect 客户的角色权限
<a name="slr-permissions"></a>

Connect 客户使用前缀为 **AWSServiceRoleForAmazonConnect**\_ 的服务相关角色 {{unique-id}} — 授予 Amazon Connect 代表您访问 AWS 资源的权限。

带 AWSServiceRoleForAmazonConnect 前缀的服务相关角色信任以下服务来代入该角色：
+ `connect.amazonaws.com`

[AmazonConnectServiceLinkedRolePolicy](https://docs.aws.amazon.com/connect/latest/adminguide/security_iam_awsmanpol.html#amazonconnectservicelinkedrolepolicy)角色权限策略允许 Connect Customer 对指定资源完成以下操作：
+ 操作：所有 Connect 客户资源上的所有 Connect 客户操作。`connect:*`
+ 操作：IAM `iam:DeleteRole` 允许删除服务相关角色。
+ 操作：Amazon S3 `s3:GetObject`、`s3:DeleteObject`、`s3:GetBucketLocation` 和 `GetBucketAcl`，适用于为记录的对话指定的 S3 存储桶。

  对于为导出报告指定的存储桶，它还授予 `s3:PutObject`、`s3:PutObjectAcl` 和 `s3:GetObjectAcl`。
+ 操作：Amazon CloudWatch Logs `logs:CreateLogStream``logs:DescribeLogStreams`，然后发送`logs:PutLogEvents`到为流 CloudWatch 日志指定的日志组。
+ 操作：Amazon Lex `lex:ListBots`、`lex:ListBotAliases`，适用于在跨所有区域的账户中创建的所有自动程序。
+ 操作：将所有 Connect Customer Customer Profiles 资源`profile:*`上的客户档案与与您的 Connect Customer 实例关联的`amazon-connect-`域前缀和模板资源关联起来，但以下被明确拒绝的操作除外：
  + `profile:CreateDomain`
  + `profile:UpdateDomain`
  + `profile:DeleteDomain`
  + `profile:CreateEventStream`
  + `profile:DeleteEventStream`
  + `profile:DeleteWorkflow`
  + `profile:DeleteProfileKey`
  + `profile:UntagResource`
  + `profile:TagResource`
  + `profile:CreateIntegrationWorkflow`

  此外，允许对所有资源执行以下操作：`profile:ListRecommenderRecipes``profile:ListAccountIntegrations`、和`profile:ListDomains`。
**注意**  
每个 Connect 客户实例一次只能与一个域关联。但是，您可以将任何域关联到 Connect 客户实例。 Cross-domain 对于所有以该前缀开头的域名，将自动启用在同一 AWS 账户和区域内的访问权限`amazon-connect-`。要限制跨域访问，您可以使用单独的 Connect Customer 实例对数据进行逻辑分区，也可以在同一实例中使用不以`amazon-connect-`前缀开头的 Customer Profiles 域名，从而防止跨域访问。
+ 操作：`wisdom:*`在所有 Connect Customer Connect AI 代理资源上使用与您的 Connect Customer Customer Connect 实例`'AmazonConnectEnabled':'True'`关联的资源标签连接人工智能代理，但以下被明确拒绝的操作除外：
  + `wisdom:DeleteAssistant`
  + `wisdom:DeleteKnowledgeBase`
+ 操作：用于`cloudwatch:PutMetricData`向您的账户发布实例的 Connect 客户使用指标的 Amazon CloudWatch 指标。
+ 操作：亚马逊 Pinpoint 短信和语音，`sms-voice:DescribePhoneNumbers`并允许 `sms-voice:SendTextMessage` Connect 客户发送短信。
+ 操作：亚马逊 Pinpoint 允`mobiletargeting:SendMessages`许 Connect 客户发送推送通知。
+ 操作：Amazon Cognito 用户池，`cognito-idp:DescribeUserPool`并`cognito-idp:ListUserPoolClients`允许 Connect 客户访问带有资源标签的 Amazon Cognito 用户池资源的精选读取操作。`AmazonConnectEnabled`
+ 操作：Amazon Chime SDK 语音连接器`chime:GetVoiceConnector`允许连接客户对所有带有资源标签的 Amazon Chime SDK 语音连接器资源进行读取。`'AmazonConnectEnabled':'True'`
+ 操作：所有区域账户中创建的所有 Amazon Chime SDK Voice Connector 的 Amazon Chime SDK Voice Connector `chime:ListVoiceConnectors`。
+ 操作：Connect 客户消息 WhatsApp 集成。向 Connect 客户授予对以下 AWS 最终用户消息社交 API 的权限：
  + `social-messaging:SendWhatsAppMessage`
  + `social-messaging:PostWhatsAppMessageMedia`
  + `social-messaging:GetWhatsAppMessageMedia`
  + `social-messaging:GetLinkedWhatsAppBusinessAccountPhoneNumber`

  社交 API 仅限于您为 Connect 客户启用的电话号码资源。将电话号码导入 Connect Customer 实例`AmazonConnectEnabled : True`时，会使用该号码进行标记。
+ 操作：Connect 客户 WhatsApp 消息消息模板集成。授予 Connect 客户调用 AWS 终端用户消息收发社交服务 API 的权限。可能会列出 AWS 账户的 WhatsApp 企业账户。此外，只要对 WhatsApp 企业账户进行了标记，就可以列出 WhatsApp 企业账户的模板并检索模板的详细信息`AmazonConnectEnabled: True`。
  + `social-messaging:ListLinkedWhatsAppBusinessAccounts`
  + `social-messaging:GetWhatsAppMessageTemplate`
  + `social-messaging:ListWhatsAppMessageTemplates`
+ 操作：Amazon SES 
  + `ses:DescribeReceiptRule`
  + `ses:UpdateReceiptRule`

  对所有 Amazon SES 接收规则执行。用于发送和接收电子邮件。
  + `ses:DeleteEmailIdentity`用于 {{{instance-alias}}} .email.connect.aws SES 域身份。用于 Connect 客户提供的电子邮件域管理。
  + `ses:SendRawEmail`用于发送包含 Connect Customer 提供的 SES 配置集（连接配置集-）的电子邮件。DO-NOT-DELETE

  
  + `iam:PassRole` 表示由 Amazon SES 使用的 `AmazonConnectEmailSESAccessRole` 服务角色。对于 Amazon SES 接收规则管理，Amazon SES 要求传递一个由它代入的角色。
+ 操作：Amazon Polly
  + `polly:ListLexicons`
  + `polly:DescribeVoices`
  + `polly:SynthesizeSpeech`

在 Connect Customer 中启用其他功能时，将为服务相关角色添加以下权限，使其能够使用内联策略访问与这些功能关联的资源：
+ 操作：Amazon Data Firehose `firehose:DescribeDeliveryStream` 和 `firehose:PutRecord` 以及 `firehose:PutRecordBatch`，适用于为座席事件流和联系记录定义的传输流。
+ 操作：Amazon Kinesis Data Streams `kinesis:PutRecord`、`kinesis:PutRecords` 和 `kinesis:DescribeStream`，适用于为座席事件流和联系记录定义的流。
+ 操作：Amazon Lex `lex:PostContent`，适用于添加到实例中的自动程序。
+ 操作：Connect Customer Voice-ID `voiceid:*` 获取与您的实例关联的语音 ID 域。
+ 操作： EventBridge `events:PutRule`以及`events:PutTargets`用于发布关联语音 ID 域的点击率记录的 Connect Customer 托管 EventBridge 规则。
+ 操作：出站活动
  + `connect-campaigns:CreateCampaign`
  + `connect-campaigns:DeleteCampaign`
  +  `connect-campaigns:DescribeCampaign`
  + `connect-campaigns:UpdateCampaignName`
  + `connect-campaigns:GetCampaignState`
  +  `connect-campaigns:GetCampaignStateBatch`
  + `connect-campaigns:ListCampaigns`
  + `connect-campaigns:UpdateOutboundCallConfig`
  +  `connect-campaigns:UpdateDialerConfig`
  +  `connect-campaigns:PauseCampaign`
  + `connect-campaigns:ResumeCampaign`
  + `connect-campaigns:StopCampaign`

  用于与出站活动相关的所有操作。

您必须配置权限，允许 IAM 实体（如用户、组或角色）创建、编辑或删除服务关联角色。有关更多信息，请参阅 *IAM 用户指南*中的[Service-linked 角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。

## 为 Connect 客户创建服务相关角色
<a name="create-slr"></a>

您无需手动创建服务关联角色。当您在的 Amazon Connect 中创建新实例时 AWS 管理控制台，Connect 客户会为您创建服务相关角色。

如果您删除该服务关联角色，然后需要再次创建，您可以使用相同流程在账户中重新创建此角色。当您在 Amazon Connect 中创建新实例时，Connect 客户会再次为您创建服务相关角色。

您也可以使用 IAM 控制台为 **Amazon Connect – 完全访问权限**应用场景创建服务相关角色。在 IAM CLI 或 IAM API 中，用 `connect.amazonaws.com` 服务名称创建一个服务相关角色。有关更多信息，请参阅《IAM 用户指南》**中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。如果您删除了此服务相关角色，可以使用同样的过程再次创建角色。

## 适用于 2018 年 10 月之前创建的实例
<a name="migrate-slr"></a>

**提示**  
登录管理 AWS 账户时遇到问题？ 不知道谁在管理您的 AWS 账户？ 如需帮助，请参阅[解决 AWS 账户登录问题](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html)。

如果您的 Connect 客户实例是在 2018 年 10 月之前创建的，则您没有设置服务相关角色。要创建服务相关角色，请在**账户概览**页面上，选择**创建服务相关角色**，如下图所示。

![“账户概览”页面上的“创建服务相关角色”按钮。](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/slr-create-slr.png)


有关创建服务相关角色所需的 IAM 权限的列表，请参阅[使用自定义 IAM 策略管理 Connect 客户控制台访问权限所需的权限](security-iam-amazon-connect-permissions.md)主题中的[“概述”页面](security-iam-amazon-connect-permissions.md#overview-page)。

## 对于在 2025 年 1 月 31 日之前创建并配置了用于加密数据的客户 KMS 密钥的客户配置文件域，您需要向 Amazon Connect 实例授予额外的 KMS 权限。
<a name="kms-permissions-slr"></a>

如果您关联的客户资料域是在 2025 年 1 月 31 日之前创建的，并且该域使用 KM Customer-Managed S 密钥 (CMK) 进行加密，则要启用 Connect 实例强制执行 CMK，请执行以下操作：

1. 导航到 AWS 管理控制台中的客户资料页面，然后选择**更新 KM Connect Customer** S 权限，从而提供 Connect Customer 实例的 Service-Linked 角色 (SLR) 权限，以使用您的客户档案域的密 AWS KMS 钥。  
![选择更新 KMS 权限按钮，为您的 Connect 客户实例的服务相关角色授予 KMS 权限。](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/kms-permissions-slr-1.png)

1. 向 Connect 客户档案团队创建[支持](https://support.console.aws.amazon.com/support)请求，请求为您的账户强制执行 CMK 权限。

有关更新您的 Connect Customer 实例的 IAM 权限列表，请参阅自定义 IAM 策略所需的权限[“客户资料”页面](security-iam-amazon-connect-permissions.md#customer-profiles-page)。

## 编辑 Connect 客户的服务相关角色
<a name="edit-slr"></a>

Connect Customer 不允许您编辑带 AWSServiceRoleForAmazonConnect 前缀的服务相关角色。创建服务关联角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息，请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 检查服务相关角色对 Amazon Lex 是否具有权限
<a name="check-slr"></a>

1. 在 IAM 控制台的导航窗格中，选择**角色**。

1. 以下代码示例显示如何将 IAM 策略附加到用户。

## 删除 Connect 客户的服务相关角色
<a name="delete-slr"></a>

您无需手动删除带 AWSServiceRoleForAmazonConnect 前缀的角色。当您在中删除 Amazon Connect 实例时 AWS 管理控制台，Connect 客户会清理资源并为您删除服务相关角色。

## Connect 客户服务相关角色支持的区域
<a name="slr-regions"></a>

Connect Customer 支持在提供服务的所有地区使用服务相关角色。有关更多信息，请参阅[AWS 区域和端点](https://docs.aws.amazon.com/general/latest/gr/rande.html#connect_region)。