View a markdown version of this page

使用 Connect Customer 的服務連結角色和角色許可 - Amazon Connect 客戶

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Connect Customer 的服務連結角色和角色許可

什麼是服務連結角色 (SLR)?它們為什麼很重要?

Connect Customer use AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是直接連結至 Connect Customer 執行個體的唯一 IAM 角色類型。

服務連結角色由 Connect Customer 預先定義,並包含 Connect Customer 代表您呼叫其他 AWS 服務所需的所有許可

您需要啟用服務連結角色,才能在 Connect Customer 中使用新功能,例如標記支援、使用者管理和路由設定檔中的新使用者介面,以及具有 CloudTrail 支援的佇列。

如需關於支援服務連結角色的其他服務資訊,請參閱《可搭配 IAM 運作的AWS 服務》,尋找 Service-Linked Role (服務連結角色) 欄中顯示為 Yes (是) 的服務。選擇具有連結的,以檢視該服務的服務連結角色文件。

Connect Customer 的服務連結角色許可

Connect Customer 使用字首為 AWSServiceRoleForAmazonConnect_unique-id 的服務連結角色 – 授予 Amazon Connect 代表您存取 AWS 資源的許可。

AWSServiceRoleForAmazonConnect 前綴的服務連結角色信任下列服務擔任該角色:

  • connect.amazonaws.com

AmazonConnectServiceLinkedRolePolicy 角色許可政策允許 Connect Customer 對指定的資源完成下列動作:

  • 動作:所有 Connect Customer 資源上的所有 Connect Customer 動作 connect:*

  • 動作:IAM iam:DeleteRole 以允許刪除服務連結角色。

  • 動作:Amazon S3 s3:GetObjects3:DeleteObjects3:GetBucketLocationGetBucketAcl 適用於針對錄音對話指定的 S3 儲存貯體。

    這也會授予 s3:PutObjects3:PutObjectAcls3:GetObjectAcl 給針對已匯出報告指定的儲存貯體。

  • 動作:Amazon CloudWatch Logs logs:CreateLogStreamlogs:DescribeLogStreamslogs:PutLogEvents 以及針對流程記錄指定的 CloudWatch Logs 群組。

  • 動作:Amazon Lex lex:ListBotslex:ListBotAliases 適用於在所有區域的帳戶中建立的所有機器人。

  • 動作:使用與 Connect Customer 執行個體相關聯的amazon-connect-網域字首和範本資源,在所有 Connect Customer Profiles 資源profile:*上連接客戶設定檔,明確拒絕以下動作除外:

    • profile:CreateDomain

    • profile:UpdateDomain

    • profile:DeleteDomain

    • profile:CreateEventStream

    • profile:DeleteEventStream

    • profile:DeleteWorkflow

    • profile:DeleteProfileKey

    • profile:UntagResource

    • profile:TagResource

    • profile:CreateIntegrationWorkflow

    此外,允許對所有資源執行下列動作:profile:ListRecommenderRecipesprofile:ListAccountIntegrationsprofile:ListDomains

    注意

    每個 Connect Customer 執行個體一次只能與一個網域建立關聯。不過,您可以將任何網域連結至 Connect Customer 執行個體。相同 AWS 帳戶和區域內的跨網域存取,會自動為開頭為字首 amazon-connect- 的所有網域啟用。若要限制跨網域存取,您可以使用個別的 Connect Customer 執行個體以邏輯方式分割資料,或在開頭不是 amazon-connect-字首的相同執行個體中使用 Customer Profiles 網域名稱,藉此防止跨網域存取。

  • 動作:將所有 Connect Customer Connect AI 代理器資源wisdom:*上的 AI 代理器與 Connect Customer 執行個體'AmazonConnectEnabled':'True'相關聯的資源標籤連線,明確拒絕以下動作除外:

    • wisdom:DeleteAssistant

    • wisdom:DeleteKnowledgeBase

  • 動作:Amazon CloudWatch 指標cloudwatch:PutMetricData可將執行個體的 Connect Customer 用量指標發佈至您的帳戶。

  • 動作:Amazon Pinpoint SMS 和 Voicesms-voice:SendTextMessagesms-voice:DescribePhoneNumbers並允許 Connect Customer 傳送 SMS。

  • 動作:Amazon Pinpoint mobiletargeting:SendMessages 允許 Connect Customer 傳送推播通知。

  • 動作:Amazon Cognito 使用者集區cognito-idp:ListUserPoolClientscognito-idp:DescribeUserPool並允許 Connect Customer 存取,以選取具有AmazonConnectEnabled資源標籤的 Amazon Cognito 使用者集區資源上的讀取操作。

  • 動作:Amazon Chime SDK Voice Connector chime:GetVoiceConnector 允許所有具有 'AmazonConnectEnabled':'True' 資源標籤的 Amazon Chime SDK Voice Connector 資源上 Connect Customer 的讀取存取權。

  • 動作:Amazon Chime SDK Voice Connector chime:ListVoiceConnectors,適用於所有區域中,在帳戶中建立的所有 Amazon Chime SDK Voice Connector。

  • 動作:連線客戶傳訊 WhatsApp 整合。授予 Connect Customer 下列 AWS 最終使用者傳訊社交 APIs許可:

    • social-messaging:SendWhatsAppMessage

    • social-messaging:PostWhatsAppMessageMedia

    • social-messaging:GetWhatsAppMessageMedia

    • social-messaging:GetLinkedWhatsAppBusinessAccountPhoneNumber

    社交 APIs 僅限於為 Connect Customer 啟用的電話號碼資源。電話號碼匯入 Connect Customer 執行個體AmazonConnectEnabled : True時,會加上 標籤。

  • 動作:連線客戶傳訊 WhatsApp 訊息範本整合。准許 Connect Customer 呼叫 AWS 終端用戶訊息社交服務 APIs。可能會列出 AWS 帳戶的 WhatsApp 商業帳戶。此外,只要 WhatsApp 商業帳戶已標記 AmazonConnectEnabled: True,即可能列出 WhatsApp 商業帳戶的範本,並擷取範本的詳細資訊。

    • social-messaging:ListLinkedWhatsAppBusinessAccounts

    • social-messaging:GetWhatsAppMessageTemplate

    • social-messaging:ListWhatsAppMessageTemplates

  • 動作:Amazon SES

    • ses:DescribeReceiptRule

    • ses:UpdateReceiptRule

    所有 Amazon SES 接收規則。用於傳送和接收電子郵件。

    • ses:DeleteEmailIdentity for {instance-alias}.email.connect.aws SES 網域身分。用於 Connect Customer 提供的電子郵件網域管理。

    • ses:SendRawEmail 使用 Connect Customer (configuration-set-for-connect-DO-NOT-DELETE) 提供的 SES 組態設定傳送電子郵件。

    • iam:PassRole 用於 Amazon SES 使用的 AmazonConnectEmailSESAccessRole 服務角色。針對 Amazon SES 接收規則管理,Amazon SES 需要傳遞其擔任的角色。

  • 動作:Amazon Polly

    • polly:ListLexicons

    • polly:DescribeVoices

    • polly:SynthesizeSpeech

當您在 Connect Customer 中啟用其他功能時,會為服務連結角色新增下列許可,以使用內嵌政策存取與這些功能相關聯的資源:

  • 動作:Amazon Data Firehose firehose:DescribeDeliveryStreamfirehose:PutRecordfirehose:PutRecordBatch,適用於客服人員事件串流和聯絡人記錄定義的交付串流。

  • 動作:Amazon Kinesis Data Streams kinesis:PutRecordkinesis:PutRecords 以及 kinesis:DescribeStream 針對客服人員事件串流和聯絡記錄指定的串流。

  • 動作:Amazon Lex lex:PostContent 適用於加入您執行個體的機器人。

  • 動作:voiceid:*連接與執行個體相關聯之語音 ID 網域的客戶語音 ID。

  • 動作:EventBridge events:PutRuleevents:PutTargets 適用於 Connect Customer 受管 EventBridge 規則,用於發佈相關聯語音 ID 網域的 CTR 記錄。

  • 動作:對外行銷活動

    • connect-campaigns:CreateCampaign

    • connect-campaigns:DeleteCampaign

    • connect-campaigns:DescribeCampaign

    • connect-campaigns:UpdateCampaignName

    • connect-campaigns:GetCampaignState

    • connect-campaigns:GetCampaignStateBatch

    • connect-campaigns:ListCampaigns

    • connect-campaigns:UpdateOutboundCallConfig

    • connect-campaigns:UpdateDialerConfig

    • connect-campaigns:PauseCampaign

    • connect-campaigns:ResumeCampaign

    • connect-campaigns:StopCampaign

    對於與對外行銷活動相關的所有操作。

您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 IAM 使用者指南中的服務連結角色許可

建立 Connect Customer 的服務連結角色

您不需要手動建立服務連結角色,當您在 Amazon Connect 中建立新的執行個體時 AWS 管理主控台,Connect Customer 會為您建立服務連結角色。

若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您在 Amazon Connect 中建立新執行個體時,Connect Customer 會再次為您建立服務連結角色。

您也可以使用 IAM 主控台,透過 Amazon Connect – 完整存取 使用案例建立服務連結角色。在 IAM CLI 或 IAM API 中,建立一個使用 connect.amazonaws.com 服務名稱的服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的「建立服務連結角色」。如果您刪除此服務連結角色,您可以使用此相同的程序以再次建立該角色。

對於 2018 年 10 月之前建立的執行個體

提示

無法登入以管理 AWS 您的帳戶? 您不知道誰負責管理您的 AWS 帳戶嗎? 如需協助,請參閱針對 AWS 帳戶登入問題進行疑難排解

如果您的 Connect Customer 執行個體是在 2018 年 10 月之前建立的,則表示您未設定服務連結角色。若要建立服務連結角色,請在 帳戶概觀 頁面上,選擇 建立服務連結角色,如下圖所示。

帳戶概觀頁面,建立服務連結角色按鈕。

如需建立服務連結角色所需的 IAM 許可清單,請參閱 使用自訂 IAM 政策管理 Connect Customer 主控台存取權的必要許可 主題中的 概觀頁面

對於在 2025 年 1 月 31 日之前建立,並使用客戶 KMS 金鑰設定來加密資料的 Customer Profile 網域,您需要將額外 KMS 權限授予您的 Amazon Connect 執行個體。

如果您的關聯 Customer Profile 網域是在 2025 年 1 月 31 日之前建立,且該網域使用客戶受管 KMS 金鑰 (CMK) 進行加密,若要啟用 Connect 執行個體的 CMK 強制執行,請採取下列動作:

  1. 提供 Connect Customer 執行個體的服務連結角色 (SLR) 許可,以使用客戶設定檔網域的 AWS KMS 金鑰,方法是導覽至 Connect Customer AWS 管理主控台中的客戶設定檔頁面,然後選擇更新 KMS 許可

    選擇更新 KMS 許可按鈕,為您 Connect Customer 執行個體的服務連結角色授予 KMS 許可。
  2. 與 Connect Customer Profiles 團隊建立支援票證,為您的 帳戶請求 CMK 許可強制執行。

如需更新 Connect Customer 執行個體的 IAM 許可清單,請參閱 自訂 IAM 政策所需的許可客戶設定檔頁面

編輯 Connect Customer 的服務連結角色

Connect Customer 不允許您編輯 AWSServiceRoleForAmazonConnect 字首的服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《IAM 使用者指南》中的編輯服務連結角色

檢查服務連結角色是否具有 Amazon Lex 的許可

  1. 在 IAM 主控台的導覽面板上,選擇 角色

  2. 選擇要修改之角色的名稱。

刪除 Connect Customer 的服務連結角色

您不需要手動刪除 AWSServiceRoleForAmazonConnect 前綴的角色。當您在 中刪除 Amazon Connect 執行個體時 AWS 管理主控台,Connect Customer 會為您清除資源並刪除服務連結角色。

Connect Customer 服務連結角色支援的 區域

Connect Customer 支援在提供服務的所有區域中使用服務連結角色。如需詳細資訊,請參閱 AWS 區域與端點