View a markdown version of this page

Connect 客户如何使用 IAM - Amazon Connect Customer

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Connect 客户如何使用 IAM

在使用 IAM 管理对 Connect Customer 的访问权限之前,您应该了解哪些可用于 Connect Customer 的 IAM 功能。要全面了解 Connect Customer 和其他 AWS 服务如何与 IAM 配合使用,请参阅 I AM 用户指南中的与 IAM 配合使用的AWS 服务

Connect 基于客户身份的政策

通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。Connect 客户支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》 中的 IAM JSON 策略元素参考

操作

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个主体可以对什么资源执行操作,以及在什么条件下执行。

JSON 策略的 Action 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。

Connect Customer 中的策略操作在操作前使用以下前缀:connect:. 策略语句必须包含 ActionNotAction 元素。Connect Customer 定义了自己的一组操作,这些操作描述了您可以使用此服务执行的任务。

要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:

"Action": [ "connect:action1", "connect:action2"

您也可以使用通配符 (*) 指定多个操作。例如,要指定以单词 Describe 开头的所有操作,包括以下操作:

"Action": "connect:Describe*"

查看 Connect 客户操作、操作、资源和适用于 Connect 客户的条件密钥列表。

资源

Connect 客户支持资源级权限(在 IAM 策略中指定资源 ARN)。以下是 Connect 客户资源列表:

  • 实例

  • 联系人

  • 用户

  • 路由配置文件

  • 安全配置文件

  • 层次结构组

  • 队列

  • 文件

  • 营业时间

  • Phone number(电话号码)

  • 任务模板

  • 客户资料域

  • 客户资料对象类型

  • 出站活动

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个主体可以对什么资源执行操作,以及在什么条件下执行。

Resource JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 Amazon 资源名称(ARN)指定资源。对于不支持资源级权限的操作,请使用通配符 (*) 指示语句应用于所有资源。

"Resource": "*"

Connect 客户实例资源具有以下 ARN:

arn:${Partition}:connect:${Region}:${Account}:instance/${InstanceId}

有关 ARN 格式的更多信息,请参阅 A mazon 资源名称 (ARN) 和 AWS 服务命名空间。

例如,要在语句中指定 i-1234567890abcdef0 实例,请使用以下 ARN:

"Resource": "arn:aws:connect:us-east-1:123456789012:instance/i-1234567890abcdef0"

要指定属于特定账户的所有实例,请使用通配符 (*):

"Resource": "arn:aws:connect:us-east-1:123456789012:instance/*"

某些 Connect 客户操作(例如创建资源的操作)无法对特定资源执行。在这些情况下,您必须使用通配符(*)。

"Resource": "*"

许多 Connect 客户;API 操作涉及多种资源。例如,

要在单个语句中指定多个资源,请使用逗号分隔 ARN。

"Resource": [ "resource1", "resource2"

要查看 Connect 客户资源类型及其 ARN 的列表,请参阅 Conn ect 客户的操作、资源和条件密钥。同一篇文章介绍了您可以使用哪些操作指定每个资源的 ARN。

条件键

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个主体可以对什么资源执行操作,以及在什么条件下执行。

Condition 元素根据定义的条件指定语句何时执行。您可以创建使用条件运算符(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 IAM 用户指南中的AWS 全局条件上下文密钥

Connect Customer 定义了自己的条件键集,还支持使用一些全局条件键。要查看所有 AWS 全局条件键,请参阅 IAM 用户指南中的AWS 全局条件上下文密钥

所有 Amazon EC2 操作都支持 aws:RequestedRegionec2:Region 条件键。有关更多信息,请参阅示例:限制对特定区域的访问

要查看 Connect 客户条件键列表,请参阅 Con nect 客户的操作、资源和条件密钥

示例

要查看 Connect 客户基于身份的策略示例,请参阅。Connect 基于客户身份的策略示例

基于 Connect 客户标签的授权

您可以将标签附加到 Connect 客户资源,也可以在请求中将标签传递给 Connect 客户。要基于标签控制访问,您需要使用 connect:ResourceTag/key-nameaws:RequestTag/key-nameaws:TagKeys 条件键在策略的条件元素中提供标签信息。

要查看基于身份的策略(用于根据资源上的标签来限制对该资源的访问)的示例,请参阅 根据标签描述和更新 Connect 客户用户

Connect 客户 IAM 角色

I AM 角色是您的 AWS 账户中具有特定权限的实体。

在 Connect 客户处使用临时证书

可以使用临时凭证进行联合身份验证登录,分派 IAM 角色或分派跨账户角色。您可以通过调用AssumeRole或之类的 AWS STS API 操作来获取临时安全证书GetFederationToken

Connect 客户支持使用临时证书。

Service-linked 角色

Service-linked 角色允许 AWS 服务访问其他服务中的资源以代表您完成操作。 Service-linked 角色出现在您的 IAM 账户中并归服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。

Connect 客户支持与服务相关的角色。有关创建或管理 Connect 客户服务相关角色的详细信息,请参阅为 Connect 客户使用服务相关角色和角色权限

在 Connect Customer 中选择 IAM 角色

在 Connect Customer 中创建资源时,必须选择一个角色才能允许 Connect 客户代表您访问 Amazon EC2。如果您之前创建过服务角色或服务相关角色,则 Connect Customer 会为您提供角色列表供您选择。选择一个允许访问以启动和停止 Amazon EC2 实例的角色很重要。