Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Restrinja AWS los recursos que se pueden asociar a Amazon Connect
<a name="restrict-access-examples"></a>

Cada instancia de Amazon Connect está asociada a un rol [vinculado al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) de IAM cuando se crea la instancia. Amazon Connect puede integrarse con otros servicios de AWS para casos de uso como el almacenamiento de grabaciones de llamadas (bucket de Amazon S3), bots de lenguaje natural (bots de Amazon Lex) y streaming de datos (Amazon Kinesis Data Streams). Amazon Connect asume el rol vinculado al servicio para interactuar con estos otros servicios. La política se añade primero a la función vinculada al servicio como parte de la correspondiente función APIs en el servicio Amazon Connect (que, a su vez, recibe el nombre de la consola de AWS administración). Por ejemplo, si quiere usar un determinado bucket de Amazon S3 con su instancia de Amazon Connect, el bucket debe pasarse a la [ AssociateInstanceStorageConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_AssociateInstanceStorageConfig.html)API.

Para conocer el conjunto de acciones de IAM definidas por Amazon Connect, consulte [Acciones definidas por Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html#amazonconnect-actions-as-permissions).

A continuación, se ofrecen algunos ejemplos de cómo restringir el acceso a otros recursos que pueden estar asociados a una instancia de Amazon Connect. Deben aplicarse al usuario o rol que interactúa con Amazon Connect APIs o la consola Amazon Connect. 

**nota**  
Una política con un `Deny` explícito anularía la política `Allow` de estos ejemplos.

Para obtener más información sobre los recursos, las claves de condición y los dependientes APIs que puede utilizar para restringir el acceso, consulte [Acciones, recursos y claves de condición de Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html). 

## Ejemplo 1: restringir qué buckets de Amazon S3 se pueden asociar a una instancia de Amazon Connect
<a name="example1-restrict-buckets"></a>

Este ejemplo permite a una entidad principal de IAM asociar un bucket de Amazon S3 para grabaciones de llamadas para el ARN de instancia de Amazon Connect dado y un bucket de Amazon S3 específico llamado `my-connect-recording-bucket`. Las acciones `AttachRolePolicy` y `PutRolePolicy `tienen como ámbito el rol vinculado al servicio de Amazon Connect (en este ejemplo se utiliza un carácter comodín, pero puede proporcionar el ARN de rol para la instancia si es necesario).

**nota**  
Para usar una AWS KMS clave para cifrar las grabaciones de este depósito, se necesita una política adicional. 

## Ejemplo 2: Restringir qué AWS Lambda funciones se pueden asociar a una instancia de Amazon Connect
<a name="example2-restrict-lambda-functions"></a>

AWS Lambda las funciones están asociadas a una instancia de Amazon Connect, pero el rol vinculado al servicio Amazon Connect no se usa para invocarlas y, por lo tanto, no se modifica. En su lugar, se agrega una política a la función a través de la API `lambda:AddPermission`, que permite a la instancia de Amazon Connect dada invocar la función. 

Para restringir qué funciones pueden asociarse a una instancia de Amazon Connect, debe especificar el ARN de la función de Lambda que un usuario puede utilizar para invocar `lambda:AddPermission`: 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:AssociateLambdaFunction",
                "lambda:AddPermission"
            ],
            "Resource": [
                "arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{instance-id}}",
                "arn:aws:lambda:*:*:function:{{my-function}}"
            ]
        }
    ]
}
```

------

## Ejemplo 3: restringir qué flujos de Amazon Kinesis Data Streams se pueden asociar a una instancia de Amazon Connect
<a name="example3-restrict-kinesis-data-streams"></a>

Este ejemplo sigue un modelo similar al ejemplo de Amazon S3. Restringe qué flujos de datos de Kinesis específicos pueden asociarse a una instancia de Amazon Connect determinada para entregar registros de contacto.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:UpdateInstanceStorageConfig",
                "connect:AssociateInstanceStorageConfig"
            ],
            "Resource": "arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{instance-id}}",
            "Condition": {
                "StringEquals": {
                    "connect:StorageResourceType": "CONTACT_TRACE_RECORDS"
                }
            }
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "kinesis:DescribeStream",
                "iam:PutRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::{{111122223333}}:role/aws-service-role/connect.amazonaws.com/*",
                "arn:aws:kinesis:*:{{111122223333}}:stream/{{stream-name}}"
            ]
        },
        {
            "Sid": "VisualEditor2",
            "Effect": "Allow",
            "Action": "kinesis:ListStreams",
            "Resource": "*"
        }
    ]
}
```

------