Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Utilisation de rôles liés aux services et d’autorisations de rôle pour Amazon Connect
<a name="connect-slr"></a>

## Que sont les rôles liés au service (SLR) et pourquoi sont-ils importants ?
<a name="what-is-slr"></a>

Amazon Connect utilise des rôles Gestion des identités et des accès AWS liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM lié directement à une instance Amazon Connect. 

Les rôles liés aux services sont prédéfinis par Amazon Connect et incluent [toutes les autorisations](#slr-permissions) dont Amazon Connect a besoin pour appeler d'autres AWS services en votre nom.

Vous devez activer les rôles liés aux services afin de pouvoir utiliser les nouvelles fonctionnalités d'Amazon Connect, telles que la prise en charge du balisage, la nouvelle interface **utilisateur dans la gestion** des utilisateurs et les **profils de routage**, ainsi que les files d'attente avec assistance. CloudTrail 

Pour plus d’informations sur les autres services qui prennent en charge les rôles liés à un service, consultez [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services avec un **Oui** dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.

## Autorisations de rôle lié à un service pour Amazon Connect
<a name="slr-permissions"></a>

Amazon Connect utilise le rôle lié à un service avec le préfixe **AWSServiceRoleForAmazonConnect**\$1 *unique-id* — Octroie à Amazon Connect l'autorisation d'accéder aux AWS ressources en votre nom.

Le rôle AWSService RoleForAmazonConnect préfixé lié à un service fait confiance aux services suivants pour assumer le rôle :
+ `connect.amazonaws.com`

La politique d'autorisation des [AmazonConnectServiceLinkedRolePolicy](https://docs.aws.amazon.com/connect/latest/adminguide/security_iam_awsmanpol.html#amazonconnectservicelinkedrolepolicy)rôles permet à Amazon Connect d'effectuer les actions suivantes sur les ressources spécifiées :
+ Action : toutes les actions Amazon Connect, `connect:*`, sur toutes les ressources Amazon Connect.
+ Action : `iam:DeleteRole` d’IAM pour autoriser la suppression du rôle lié à un service.
+ Action : `s3:GetObject`, `s3:DeleteObject`, `s3:GetBucketLocation` et `GetBucketAcl` d’Amazon S3 pour le compartiment S3 spécifié pour les conversations enregistrées.

  Elle accorde également `s3:PutObject`, `s3:PutObjectAcl` et `s3:GetObjectAcl` au compartiment spécifié pour les rapports exportés.
+ Action : Amazon CloudWatch Logs `logs:CreateLogStream``logs:DescribeLogStreams`, et `logs:PutLogEvents` vers le groupe CloudWatch Logs spécifié pour la journalisation des flux.
+ Action : Amazon Lex`lex:ListBots`, `lex:ListBotAliases` pour tous les robots créés dans le compte dans toutes les régions.
+ Action : Profils des clients Amazon Connect 
  + `profile:SearchProfiles`
  + `profile:CreateProfile`
  + `profile:UpdateProfile`
  + `profile:AddProfileKey`
  + `profile:ListProfileObjects`
  + `profile:ListAccountIntegrations` 
  + `profile:ListProfileObjectTypeTemplates`
  + `profile:GetProfileObjectTypeTemplate`
  + `profile:ListProfileObjectTypes`
  + `profile:GetProfileObjectType`
  + `profile:ListCalculatedAttributeDefinitions`
  + `profile:GetCalculatedAttributeForProfile`
  + `profile:ListCalculatedAttributesForProfile`
  + `profile:GetDomain`
  + `profile:ListIntegrations`
  + `profile:GetIntegration`
  + `profile:PutIntegration`
  + `profile:DeleteIntegration`
  + `profile:CreateEventTrigger`
  + `profile:GetEventTrigger`
  + `profile:ListEventTriggers`
  + `profile:UpdateEventTrigger`
  + `profile:DeleteEventTrigger`
  + `profile:CreateCalculatedAttributeDefinition`
  + `profile:DeleteCalculatedAttributeDefinition`
  + `profile:GetCalculatedAttributeDefinition`
  + `profile:UpdateCalculatedAttributeDefinition`
  + `profile:PutProfileObject`
  +  `profile:ListObjectTypeAttributes` 
  +  `profile:ListProfileAttributeValues` 
  +  `profile:BatchGetProfile` 
  +  `profile:BatchGetCalculatedAttributeForProfile` 
  +  `profile:ListSegmentDefinitions` 
  +  `profile:CreateSegmentDefinition` 
  +  `profile:GetSegmentDefinition` 
  +  `profile:DeleteSegmentDefinition` 
  +  `profile:CreateSegmentEstimate` 
  +  `profile:GetSegmentEstimate` 
  +  `profile:CreateSegmentSnapshot` 
  +  `profile:GetSegmentSnapshot` 
  +  `profile:GetSegmentMembership` 
  + `profile:CreateDomainLayout`
  + `profile:UpdateDomainLayout`
  + `profile:DeleteDomainLayout`
  + `profile:GetDomainLayout`
  + `profile:ListDomainLayouts`
  + `profile:GetSimilarProfiles`
  + `profile:GetUploadJob`
  + `profile:GetUploadJobPath`
  + `profile:StartUploadJob`
  + `profile:StopUploadJob`
  + `profile:CreateUploadJob`
  + `profile:ListUploadJobs`
  + `profile:DetectProfileObjectType`

  pour utiliser votre domaine Profils des clients par défaut (y compris les profils et tous les types d’objets du domaine) avec les flux Amazon Connect et les applications d’expérience de l’agent.
**Note**  
Chaque instance Amazon Connect peut être associée à un seul domaine à la fois. Cependant, vous pouvez associer n’importe quel domaine à une instance Amazon Connect. L’accès entre domaines au sein d’un même compte AWS et d’une même région est automatiquement activé pour tous les domaines commençant par le préfixe `amazon-connect-`. Pour restreindre l’accès interdomaines, vous pouvez soit utiliser des instances Amazon Connect distinctes pour partitionner logiquement vos données, soit utiliser des noms de domaine Profils des clients au sein de la même instance qui ne commencent pas par le préfixe `amazon-connect-`, empêchant ainsi l’accès interdomaines.
+ Action : Connect AI agents
  + `wisdom:CreateContent`
  + `wisdom:DeleteContent`
  + `wisdom:CreateKnowledgeBase`
  + `wisdom:GetAssistant`
  + `wisdom:GetKnowledgeBase`
  + `wisdom:GetContent`
  + `wisdom:GetRecommendations`
  + `wisdom:GetSession`
  + `wisdom:NotifyRecommendationsReceived`
  + `wisdom:QueryAssistant`
  + `wisdom:StartContentUpload`
  + `wisdom:UntagResource`
  + `wisdom:TagResource`
  + `wisdom:CreateSession`
  + `wisdom:CreateQuickResponse`
  + `wisdom:GetQuickResponse`
  + `wisdom:SearchQuickResponses`
  + `wisdom:StartImportJob`
  + `wisdom:GetImportJob`
  + `wisdom:ListImportJobs`
  + `wisdom:ListQuickResponses`
  + `wisdom:UpdateQuickResponse`
  + `wisdom:DeleteQuickResponse`
  + `wisdom:PutFeedback`
  + `wisdom:ListContentAssociations`
  +  `wisdom:CreateMessageTemplate` 
  +  `wisdom:UpdateMessageTemplate` 
  +  `wisdom:UpdateMessageTemplateMetadata` 
  +  `wisdom:GetMessageTemplate` 
  +  `wisdom:DeleteMessageTemplate` 
  +  `wisdom:ListMessageTemplates` 
  +  `wisdom:SearchMessageTemplates` 
  +  `wisdom:ActivateMessageTemplate` 
  +  `wisdom:DeactivateMessageTemplate` 
  +  `wisdom:CreateMessageTemplateVersion` 
  +  `wisdom:ListMessageTemplateVersions` 
  +  `wisdom:CreateMessageTemplateAttachment` 
  +  `wisdom:DeleteMessageTemplateAttachment` 
  +  `wisdom:RenderMessageTemplate` 
  + `wisdom:CreateAIAgent`
  + `wisdom:CreateAIAgentVersion`
  + `wisdom:DeleteAIAgent`
  + `wisdom:DeleteAIAgentVersion`
  + `wisdom:UpdateAIAgent`
  + `wisdom:UpdateAssistantAIAgent`
  + `wisdom:RemoveAssistantAIAgent`
  + `wisdom:GetAIAgent`
  + `wisdom:ListAIAgents`
  + `wisdom:ListAIAgentVersions`
  + `wisdom:CreateAIPrompt`
  + `wisdom:CreateAIPromptVersion`
  + `wisdom:DeleteAIPrompt`
  + `wisdom:DeleteAIPromptVersion`
  + `wisdom:UpdateAIPrompt`
  + `wisdom:GetAIPrompt`
  + `wisdom:ListAIPrompts`
  + `wisdom:ListAIPromptVersions`
  + `wisdom:CreateAIGuardrail`
  + `wisdom:CreateAIGuardrailVersion`
  + `wisdom:DeleteAIGuardrail`
  + `wisdom:DeleteAIGuardrailVersion`
  + `wisdom:UpdateAIGuardrail`
  + `wisdom:GetAIGuardrail`
  + `wisdom:ListAIGuardrails`
  + `wisdom:ListAIGuardrailVersions`
  + `wisdom:CreateAssistant`
  + `wisdom:ListTagsForResource`
  + `wisdom:SendMessage`
  + `wisdom:GetNextMessage`
  + `wisdom:ListMessages`
  + `wisdom:Retrieve`
  + `wisdom:ListAssistantAssociations`

  avec une balise de ressource `'AmazonConnectEnabled':'True'` sur toutes les ressources des agents Amazon Connect AI associées à votre instance Amazon Connect.
  + `wisdom:ListAssistants`
  + `wisdom:KnowledgeBases`

  sur toutes les ressources des agents Connect AI.
+ Action : Amazon CloudWatch Metrics `cloudwatch:PutMetricData` pour publier les statistiques d'utilisation d'Amazon Connect pour une instance sur votre compte.
+ Action : SMS et Voix Amazon Pinpoint `sms-voice:DescribePhoneNumbers` et `sms-voice:SendTextMessage` pour autoriser Amazon Connect à envoyer des SMS.
+ Action : Amazon Pinpoint `mobiletargeting:SendMessages` pour autoriser Amazon Connect d’envoyer des notifications push.
+ Action : groupes d’utilisateurs Amazon Cognito `cognito-idp:DescribeUserPool` et `cognito-idp:ListUserPoolClients` pour autoriser Amazon Connect à accéder à certaines opérations de lecture sur les ressources des groupes d’utilisateurs Amazon Cognito qui possèdent une balise de ressource `AmazonConnectEnabled`.
+ Action : connecteur vocal SDK Amazon Chime `chime:GetVoiceConnector` pour autoriser l’accès en lecture à Amazon Connect sur toutes les ressources de connecteur vocal SDK Amazon Chime dotées d’une balise de ressource `'AmazonConnectEnabled':'True'`.
+ Action : connecteur vocal SDK Amazon Chime `chime:ListVoiceConnectors` pour tous les connecteurs vocaux SDK Amazon Chime créés dans le compte dans toutes les régions.
+ Action : WhatsApp intégration de la messagerie Amazon Connect. Accorde des autorisations Amazon Connect aux utilisateurs AWS finaux suivants sur le réseau social de messagerie APIs : 
  + `social-messaging:SendWhatsAppMessage`
  + `social-messaging:PostWhatsAppMessageMedia`
  + `social-messaging:GetWhatsAppMessageMedia`
  + `social-messaging:GetLinkedWhatsAppBusinessAccountPhoneNumber`

   APIs Les réseaux sociaux sont limités aux ressources de votre numéro de téléphone activées pour Amazon Connect. Un numéro de téléphone est balisé avec `AmazonConnectEnabled : True` lorsqu’il est importé dans une instance Amazon Connect.
+ Action : intégration du modèle de WhatsApp message Amazon Connect Messaging. Accorde à Amazon Connect l'autorisation d'appeler AWS End User Messaging Social APIs. Les comptes WhatsApp professionnels d'un AWS compte peuvent être répertoriés. En outre, les modèles d'un compte WhatsApp professionnel peuvent être répertoriés et les détails d'un modèle peuvent être récupérés à condition que le compte WhatsApp professionnel soit étiqueté`AmazonConnectEnabled: True`.
  + `social-messaging:ListLinkedWhatsAppBusinessAccounts`
  + `social-messaging:GetWhatsAppMessageTemplate`
  + `social-messaging:ListWhatsAppMessageTemplates`
+ Actions : Amazon SES 
  + `ses:DescribeReceiptRule`
  + `ses:UpdateReceiptRule`

  sur toutes les règles de réception Amazon SES. Utilisé pour envoyer et recevoir des e-mails.
  + `ses:DeleteEmailIdentity`pour l'identité de *instance-alias* domaine SES \$1\$1 .email.connect.aws. Utilisé pour la gestion des domaines de messagerie fournie par Amazon Connect.
  + `ses:SendRawEmail`pour envoyer des e-mails avec un ensemble de configuration SES fourni par Amazon Connect (configuration-set-for-connect-DO-NOT-DELETE). 

  
  + `iam:PassRole` pour le rôle de service `AmazonConnectEmailSESAccessRole` utilisé par Amazon SES. Pour la gestion des règles de réception Amazon SES, Amazon SES exige qu’un rôle soit transmis, ce qu’il prend en charge.
+ Action : Amazon Polly
  + `polly:ListLexicons`
  + `polly:DescribeVoices`
  + `polly:SynthesizeSpeech`

Lorsque vous activez des fonctionnalités supplémentaires dans Amazon Connect, les autorisations suivantes sont ajoutées pour que le rôle lié à un service puisse accéder aux ressources associées à ces fonctionnalités en utilisant les politiques intégrées :
+ Action : Amazon Data Firehose `firehose:DescribeDeliveryStream` et `firehose:PutRecord`, et `firehose:PutRecordBatch` pour le flux de diffusion défini pour les flux d’événements d’agent et les enregistrements de contact.
+ Action : Amazon Kinesis Data Streams `kinesis:PutRecord`, `kinesis:PutRecords` et `kinesis:DescribeStream` pour le flux spécifié pour les flux d’événements d’agent et les enregistrements de contact.
+ Action : Amazon Lex `lex:PostContent` pour les robots ajoutés à votre instance.
+ Action : Amazon Connect Voice-ID `voiceid:*` pour les domaines Voice ID associés à votre instance.
+ Action : EventBridge `events:PutRule` et `events:PutTargets` pour la EventBridge règle gérée par Amazon Connect pour la publication des enregistrements CTR pour les domaines Voice ID associés.
+ Action : campagnes sortantes
  + `connect-campaigns:CreateCampaign`
  + `connect-campaigns:DeleteCampaign`
  +  `connect-campaigns:DescribeCampaign`
  + `connect-campaigns:UpdateCampaignName`
  + `connect-campaigns:GetCampaignState`
  +  `connect-campaigns:GetCampaignStateBatch`
  + `connect-campaigns:ListCampaigns`
  + `connect-campaigns:UpdateOutboundCallConfig`
  +  `connect-campaigns:UpdateDialerConfig`
  +  `connect-campaigns:PauseCampaign`
  + `connect-campaigns:ResumeCampaign`
  + `connect-campaigns:StopCampaign`

  pour toutes les opérations liées aux campagnes sortantes.

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.

## Création d’un rôle lié à un service pour Amazon Connect
<a name="create-slr"></a>

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez une nouvelle instance dans Amazon Connect dans le AWS Management Console, Amazon Connect crée pour vous le rôle lié au service.

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez une nouvelle instance dans Amazon Connect, Amazon Connect crée à nouveau pour vous le rôle lié à un service. 

Vous pouvez également utiliser la console IAM pour créer un rôle lié à un service avec le cas d’utilisation **Amazon Connect - Accès complet**. Dans l’interface de ligne de commande (CLI) IAM ou l’API IAM, créez un rôle lié à un service avec le nom de service `connect.amazonaws.com`. Pour plus d’informations, consultez [Création d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l’utilisateur IAM*. Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.

## Pour les instances créées avant octobre 2018
<a name="migrate-slr"></a>

**Astuce**  
Vous ne parvenez pas à vous connecter pour gérer votre AWS compte ? Vous ne savez pas qui gère votre compte AWS  ? Pour obtenir de l’aide, consultez [Dépannage de problèmes de connexion au compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html).

Si votre instance Amazon Connect a été créée avant octobre 2018, aucun rôle lié à un service n’est configuré. Pour créer un rôle lié à un service, sur la page **Présentation du compte**, choisissez **Créer un rôle lié à un service**, comme illustré dans l’image suivante.

![\[Page Présentation du compte, bouton Créer un rôle lié à un service.\]](http://docs.aws.amazon.com/fr_fr/connect/latest/adminguide/images/slr-create-slr.png)


Pour obtenir la liste des autorisations IAM requises pour créer le rôle lié à un service, consultez [Page Présentation](security-iam-amazon-connect-permissions.md#overview-page) la rubrique [Autorisations requises pour l’utilisation de politiques IAM personnalisées afin de gérer l’accès à la console Amazon Connect](security-iam-amazon-connect-permissions.md).

## Pour les domaines de profil client créés avant le 31 janvier 2025 et configurés avec une clé KMS client pour chiffrer les données, vous devez accorder des autorisations KMS supplémentaires à votre instance Amazon Connect.
<a name="kms-permissions-slr"></a>

Si votre domaine de profil client associé a été créé avant le 31 janvier 2025 et que le domaine utilise une clé KMS gérée par le client (CMK) pour le chiffrement, afin de permettre l’application de la CMK par l’instance Connect, effectuez les actions suivantes :

1. **Donnez à une Amazon Connect instance l'autorisation SLR (Service-Linked Role) d'utiliser les AWS KMS clés de votre domaine Customer Profiles en accédant à la page des profils clients dans la console de gestion Amazon Connect AWS et en choisissant Mettre à jour l'autorisation KMS.**  
![\[Cliquez sur le bouton Mettre à jour l’autorisation KMS pour accorder des autorisations KMS pour le rôle lié au service de votre instance Amazon Connect.\]](http://docs.aws.amazon.com/fr_fr/connect/latest/adminguide/images/kms-permissions-slr-1.png)

1. Créez un [ticket de support](https://support.console.aws.amazon.com/support) auprès de l’équipe chargée des Profils des clients Amazon Connect pour demander l’application des autorisations CMK pour votre compte.

Pour obtenir la liste des autorisations IAM permettant de mettre à jour votre Amazon Connect instance, consultez l'autorisation requise pour les politiques IAM personnalisées pour le. [Page Profils des clients](security-iam-amazon-connect-permissions.md#customer-profiles-page)

## Modification d’un rôle lié à un service pour Amazon Connect
<a name="edit-slr"></a>

Amazon Connect ne vous permet pas de modifier le rôle AWSService RoleForAmazonConnect préfixé lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.

## Vérification qu’un rôle lié à un service dispose d’autorisations pour Amazon Lex
<a name="check-slr"></a>

1. Dans le panneau de navigation de la console IAM, choisissez **Rôles**.

1. Choisissez le nom du rôle à modifier.

## Suppression d’un rôle lié à un service pour Amazon Connect
<a name="delete-slr"></a>

Il n'est pas nécessaire de supprimer manuellement le rôle AWSService RoleForAmazonConnect préfixé. Lorsque vous supprimez votre instance Amazon Connect dans le AWS Management Console, Amazon Connect nettoie les ressources et supprime pour vous le rôle lié au service.

## Régions prises en charge pour les rôles liés à un service Amazon Connect
<a name="slr-regions"></a>

Amazon Connect prend en charge l’utilisation des rôles liés à un service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez [AWS Régions et points de terminaison](https://docs.aws.amazon.com/general/latest/gr/rande.html#connect_region).