

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Connect Customer 的服務連結角色和角色許可
<a name="connect-slr"></a>

## 什麼是服務連結角色 (SLR)？它們為什麼很重要？
<a name="what-is-slr"></a>

Connect Customer use AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 Connect Customer 執行個體的唯一 IAM 角色類型。

服務連結角色由 Connect Customer 預先定義，並包含 Connect Customer 代表您呼叫其他 AWS 服務所需的[所有許可](#slr-permissions)。

您需要啟用服務連結角色，才能在 Connect Customer 中使用新功能，例如標記支援、**使用者管理和****路由設定檔**中的新使用者介面，以及具有 CloudTrail 支援的佇列。

如需關於支援服務連結角色的其他服務資訊，請參閱[《可搭配 IAM 運作的AWS 服務》](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)，尋找 **Service-Linked Role** (服務連結角色) 欄中顯示為 **Yes** (是) 的服務。選擇具有連結的**是**，以檢視該服務的服務連結角色文件。

## Connect Customer 的服務連結角色許可
<a name="slr-permissions"></a>

Connect Customer 使用字首為 **AWSServiceRoleForAmazonConnect**\_{{unique-id}} 的服務連結角色 – 授予 Amazon Connect 代表您存取 AWS 資源的許可。

AWSServiceRoleForAmazonConnect 前綴的服務連結角色信任下列服務擔任該角色：
+ `connect.amazonaws.com`

[AmazonConnectServiceLinkedRolePolicy](https://docs.aws.amazon.com/connect/latest/adminguide/security_iam_awsmanpol.html#amazonconnectservicelinkedrolepolicy) 角色許可政策允許 Connect Customer 對指定的資源完成下列動作：
+ 動作：所有 Connect Customer 資源上的所有 Connect Customer 動作 `connect:*`。
+ 動作：IAM `iam:DeleteRole` 以允許刪除服務連結角色。
+ 動作：Amazon S3 `s3:GetObject`、`s3:DeleteObject`、`s3:GetBucketLocation` 和 `GetBucketAcl` 適用於針對錄音對話指定的 S3 儲存貯體。

  這也會授予 `s3:PutObject`、`s3:PutObjectAcl` 和 `s3:GetObjectAcl` 給針對已匯出報告指定的儲存貯體。
+ 動作：Amazon CloudWatch Logs `logs:CreateLogStream`、`logs:DescribeLogStreams` 和 `logs:PutLogEvents` 以及針對流程記錄指定的 CloudWatch Logs 群組。
+ 動作：Amazon Lex `lex:ListBots`，`lex:ListBotAliases` 適用於在所有區域的帳戶中建立的所有機器人。
+ 動作：使用與 Connect Customer 執行個體相關聯的`amazon-connect-`網域字首和範本資源，在所有 Connect Customer Profiles 資源`profile:*`上連接客戶設定檔，明確拒絕以下動作除外：
  + `profile:CreateDomain`
  + `profile:UpdateDomain`
  + `profile:DeleteDomain`
  + `profile:CreateEventStream`
  + `profile:DeleteEventStream`
  + `profile:DeleteWorkflow`
  + `profile:DeleteProfileKey`
  + `profile:UntagResource`
  + `profile:TagResource`
  + `profile:CreateIntegrationWorkflow`

  此外，允許對所有資源執行下列動作：`profile:ListRecommenderRecipes`、 `profile:ListAccountIntegrations`和 `profile:ListDomains`。
**注意**  
每個 Connect Customer 執行個體一次只能與一個網域建立關聯。不過，您可以將任何網域連結至 Connect Customer 執行個體。相同 AWS 帳戶和區域內的跨網域存取，會自動為開頭為字首 `amazon-connect-` 的所有網域啟用。若要限制跨網域存取，您可以使用個別的 Connect Customer 執行個體以邏輯方式分割資料，或在開頭不是 `amazon-connect-`字首的相同執行個體中使用 Customer Profiles 網域名稱，藉此防止跨網域存取。
+ 動作：將所有 Connect Customer Connect AI 代理器資源`wisdom:*`上的 AI 代理器與 Connect Customer 執行個體`'AmazonConnectEnabled':'True'`相關聯的資源標籤連線，明確拒絕以下動作除外：
  + `wisdom:DeleteAssistant`
  + `wisdom:DeleteKnowledgeBase`
+ 動作：Amazon CloudWatch 指標`cloudwatch:PutMetricData`可將執行個體的 Connect Customer 用量指標發佈至您的帳戶。
+ 動作：Amazon Pinpoint SMS 和 Voice`sms-voice:SendTextMessage`，`sms-voice:DescribePhoneNumbers`並允許 Connect Customer 傳送 SMS。
+ 動作：Amazon Pinpoint `mobiletargeting:SendMessages` 允許 Connect Customer 傳送推播通知。
+ 動作：Amazon Cognito 使用者集區`cognito-idp:ListUserPoolClients`，`cognito-idp:DescribeUserPool`並允許 Connect Customer 存取，以選取具有`AmazonConnectEnabled`資源標籤的 Amazon Cognito 使用者集區資源上的讀取操作。
+ 動作：Amazon Chime SDK Voice Connector `chime:GetVoiceConnector` 允許所有具有 `'AmazonConnectEnabled':'True'` 資源標籤的 Amazon Chime SDK Voice Connector 資源上 Connect Customer 的讀取存取權。
+ 動作：Amazon Chime SDK Voice Connector `chime:ListVoiceConnectors`，適用於所有區域中，在帳戶中建立的所有 Amazon Chime SDK Voice Connector。
+ 動作：連線客戶傳訊 WhatsApp 整合。授予 Connect Customer 下列 AWS 最終使用者傳訊社交 APIs許可：
  + `social-messaging:SendWhatsAppMessage`
  + `social-messaging:PostWhatsAppMessageMedia`
  + `social-messaging:GetWhatsAppMessageMedia`
  + `social-messaging:GetLinkedWhatsAppBusinessAccountPhoneNumber`

  社交 APIs 僅限於為 Connect Customer 啟用的電話號碼資源。電話號碼匯入 Connect Customer 執行個體`AmazonConnectEnabled : True`時，會加上 標籤。
+ 動作：連線客戶傳訊 WhatsApp 訊息範本整合。准許 Connect Customer 呼叫 AWS 終端用戶訊息社交服務 APIs。可能會列出 AWS 帳戶的 WhatsApp 商業帳戶。此外，只要 WhatsApp 商業帳戶已標記 `AmazonConnectEnabled: True`，即可能列出 WhatsApp 商業帳戶的範本，並擷取範本的詳細資訊。
  + `social-messaging:ListLinkedWhatsAppBusinessAccounts`
  + `social-messaging:GetWhatsAppMessageTemplate`
  + `social-messaging:ListWhatsAppMessageTemplates`
+ 動作：Amazon SES 
  + `ses:DescribeReceiptRule`
  + `ses:UpdateReceiptRule`

  所有 Amazon SES 接收規則。用於傳送和接收電子郵件。
  + `ses:DeleteEmailIdentity` for {{{instance-alias}}}.email.connect.aws SES 網域身分。用於 Connect Customer 提供的電子郵件網域管理。
  + `ses:SendRawEmail` 使用 Connect Customer (configuration-set-for-connect-DO-NOT-DELETE) 提供的 SES 組態設定傳送電子郵件。

  
  + `iam:PassRole` 用於 Amazon SES 使用的 `AmazonConnectEmailSESAccessRole` 服務角色。針對 Amazon SES 接收規則管理，Amazon SES 需要傳遞其擔任的角色。
+ 動作：Amazon Polly
  + `polly:ListLexicons`
  + `polly:DescribeVoices`
  + `polly:SynthesizeSpeech`

當您在 Connect Customer 中啟用其他功能時，會為服務連結角色新增下列許可，以使用內嵌政策存取與這些功能相關聯的資源：
+ 動作：Amazon Data Firehose `firehose:DescribeDeliveryStream`、`firehose:PutRecord` 和 `firehose:PutRecordBatch`，適用於客服人員事件串流和聯絡人記錄定義的交付串流。
+ 動作：Amazon Kinesis Data Streams `kinesis:PutRecord`、`kinesis:PutRecords` 以及 `kinesis:DescribeStream` 針對客服人員事件串流和聯絡記錄指定的串流。
+ 動作：Amazon Lex `lex:PostContent` 適用於加入您執行個體的機器人。
+ 動作：`voiceid:*`連接與執行個體相關聯之語音 ID 網域的客戶語音 ID。
+ 動作：EventBridge `events:PutRule`和 `events:PutTargets` 適用於 Connect Customer 受管 EventBridge 規則，用於發佈相關聯語音 ID 網域的 CTR 記錄。
+ 動作：對外行銷活動
  + `connect-campaigns:CreateCampaign`
  + `connect-campaigns:DeleteCampaign`
  +  `connect-campaigns:DescribeCampaign`
  + `connect-campaigns:UpdateCampaignName`
  + `connect-campaigns:GetCampaignState`
  +  `connect-campaigns:GetCampaignStateBatch`
  + `connect-campaigns:ListCampaigns`
  + `connect-campaigns:UpdateOutboundCallConfig`
  +  `connect-campaigns:UpdateDialerConfig`
  +  `connect-campaigns:PauseCampaign`
  + `connect-campaigns:ResumeCampaign`
  + `connect-campaigns:StopCampaign`

  對於與對外行銷活動相關的所有操作。

您必須設定許可，IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊，請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。

## 建立 Connect Customer 的服務連結角色
<a name="create-slr"></a>

您不需要手動建立服務連結角色，當您在 Amazon Connect 中建立新的執行個體時 AWS 管理主控台，Connect Customer 會為您建立服務連結角色。

若您刪除此服務連結角色，之後需要再次建立，您可以在帳戶中使用相同程序重新建立角色。當您在 Amazon Connect 中建立新執行個體時，Connect Customer 會再次為您建立服務連結角色。

您也可以使用 IAM 主控台，透過 **Amazon Connect – 完整存取** 使用案例建立服務連結角色。在 IAM CLI 或 IAM API 中，建立一個使用 `connect.amazonaws.com` 服務名稱的服務連結角色。如需詳細資訊，請參閱《IAM 使用者指南》**中的「[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」。如果您刪除此服務連結角色，您可以使用此相同的程序以再次建立該角色。

## 對於 2018 年 10 月之前建立的執行個體
<a name="migrate-slr"></a>

**提示**  
無法登入以管理 AWS 您的帳戶？ 您不知道誰負責管理您的 AWS 帳戶嗎？ 如需協助，請參閱[針對 AWS 帳戶登入問題進行疑難排解](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html)。

如果您的 Connect Customer 執行個體是在 2018 年 10 月之前建立的，則表示您未設定服務連結角色。若要建立服務連結角色，請在 **帳戶概觀** 頁面上，選擇 **建立服務連結角色**，如下圖所示。

![帳戶概觀頁面，建立服務連結角色按鈕。](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/images/slr-create-slr.png)


如需建立服務連結角色所需的 IAM 許可清單，請參閱 [使用自訂 IAM 政策管理 Connect Customer 主控台存取權的必要許可](security-iam-amazon-connect-permissions.md) 主題中的 [概觀頁面](security-iam-amazon-connect-permissions.md#overview-page)。

## 對於在 2025 年 1 月 31 日之前建立，並使用客戶 KMS 金鑰設定來加密資料的 Customer Profile 網域，您需要將額外 KMS 權限授予您的 Amazon Connect 執行個體。
<a name="kms-permissions-slr"></a>

如果您的關聯 Customer Profile 網域是在 2025 年 1 月 31 日之前建立，且該網域使用客戶受管 KMS 金鑰 (CMK) 進行加密，若要啟用 Connect 執行個體的 CMK 強制執行，請採取下列動作：

1. 提供 Connect Customer 執行個體的服務連結角色 (SLR) 許可，以使用客戶設定檔網域的 AWS KMS 金鑰，方法是導覽至 Connect Customer AWS 管理主控台中的客戶設定檔頁面，然後選擇**更新 KMS 許可**。  
![選擇更新 KMS 許可按鈕，為您 Connect Customer 執行個體的服務連結角色授予 KMS 許可。](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/images/kms-permissions-slr-1.png)

1. 與 Connect Customer Profiles 團隊建立[支援票證](https://support.console.aws.amazon.com/support)，為您的 帳戶請求 CMK 許可強制執行。

如需更新 Connect Customer 執行個體的 IAM 許可清單，請參閱 自訂 IAM 政策所需的許可[客戶設定檔頁面](security-iam-amazon-connect-permissions.md#customer-profiles-page)。

## 編輯 Connect Customer 的服務連結角色
<a name="edit-slr"></a>

Connect Customer 不允許您編輯 AWSServiceRoleForAmazonConnect 字首的服務連結角色。因為有各種實體可能會參考服務連結角色，所以您無法在建立角色之後變更角色名稱。然而，您可使用 IAM 來編輯角色描述。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 檢查服務連結角色是否具有 Amazon Lex 的許可
<a name="check-slr"></a>

1. 在 IAM 主控台的導覽面板上，選擇 **角色**。

1. 選擇要修改之角色的名稱。

## 刪除 Connect Customer 的服務連結角色
<a name="delete-slr"></a>

您不需要手動刪除 AWSServiceRoleForAmazonConnect 前綴的角色。當您在 中刪除 Amazon Connect 執行個體時 AWS 管理主控台，Connect Customer 會為您清除資源並刪除服務連結角色。

## Connect Customer 服務連結角色支援的 區域
<a name="slr-regions"></a>

Connect Customer 支援在提供服務的所有區域中使用服務連結角色。如需詳細資訊，請參閱 [AWS 區域與端點](https://docs.aws.amazon.com/general/latest/gr/rande.html#connect_region)。