As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Restrinja AWS os recursos que podem ser associados ao Amazon Connect
<a name="restrict-access-examples"></a>

Cada instância do Amazon Connect é associada a um [perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) do IAM quando a instância é criada. O Amazon Connect pode se integrar a outros serviços da AWS para casos de uso, como armazenamento de gravação de chamadas (bucket do Amazon S3), bots de linguagem natural (bots do Amazon Lex) e streaming de dados (Amazon Kinesis Data Streams). O Amazon Connect assume a função vinculada ao serviço para interagir com esses outros serviços. A política é adicionada primeiro à função vinculada ao serviço como parte da correspondência APIs no serviço Amazon Connect (que, por sua vez, é chamada pelo console AWS administrativo). Por exemplo, se você quiser usar um determinado bucket do Amazon S3 com sua instância do Amazon Connect, o bucket deve ser passado para a [ AssociateInstanceStorageConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_AssociateInstanceStorageConfig.html)API.

Com relação ao conjunto de ações do IAM definido pelo Amazon Connect, consulte [Ações definidas pelo Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html#amazonconnect-actions-as-permissions).

Veja a seguir alguns exemplos de como restringir o acesso a outros recursos que podem estar associados a uma instância do Amazon Connect. Eles devem ser aplicados ao usuário ou função que está interagindo com o Amazon Connect APIs ou com o console do Amazon Connect. 

**nota**  
Uma política com um `Deny` explícito substituiria a política `Allow` nesses exemplos.

Para obter mais informações sobre quais recursos, chaves de condição e dependentes APIs você pode usar para restringir o acesso, consulte [Ações, recursos e chaves de condição do Amazon Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html). 

## Exemplo 1: Restringir quais buckets do Amazon S3 podem ser associados a uma instância do Amazon Connect
<a name="example1-restrict-buckets"></a>

Este exemplo permite que uma entidade principal do IAM associe um bucket do Amazon S3 destinado a gravações de chamada ao ARN da instância em questão do Amazon Connect e a um bucket específico do Amazon S3 chamado `my-connect-recording-bucket`. As ações `AttachRolePolicy` e `PutRolePolicy ` têm como escopo a função vinculada ao serviço do Amazon Connect (um curinga é usado neste exemplo, mas você pode fornecer o ARN da função para a instância, se necessário).

**nota**  
Para usar uma AWS KMS chave para criptografar gravações nesse bucket, é necessária uma política adicional. 

## Exemplo 2: Restringir quais AWS Lambda funções podem ser associadas a uma instância do Amazon Connect
<a name="example2-restrict-lambda-functions"></a>

AWS Lambda as funções estão associadas a uma instância do Amazon Connect, mas a função vinculada ao serviço Amazon Connect não é usada para invocá-las e, portanto, não é modificada. Em vez disso, uma política é adicionada à função por meio da API `lambda:AddPermission`, que permite que determinada instância do Amazon Connect invoque a função. 

Para restringir quais funções podem ser associadas a uma instância do Amazon Connect, você especifica o ARN da função do Lambda que um usuário pode usar para invocar `lambda:AddPermission`: 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:AssociateLambdaFunction",
                "lambda:AddPermission"
            ],
            "Resource": [
                "arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{instance-id}}",
                "arn:aws:lambda:*:*:function:{{my-function}}"
            ]
        }
    ]
}
```

------

## Exemplo 1: Restringir quais fluxos do Amazon Kinesis Data Streams podem ser associados a uma instância do Amazon Connect
<a name="example3-restrict-kinesis-data-streams"></a>

Este exemplo segue um modelo semelhante ao exemplo do Amazon S3. Ele restringe quais fluxos específicos do Kinesis Data Streams podem ser associados a determinada instância do Amazon Connect para fornecimento de registros de contato.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "connect:UpdateInstanceStorageConfig",
                "connect:AssociateInstanceStorageConfig"
            ],
            "Resource": "arn:aws:connect:{{us-east-1}}:{{111122223333}}:instance/{{instance-id}}",
            "Condition": {
                "StringEquals": {
                    "connect:StorageResourceType": "CONTACT_TRACE_RECORDS"
                }
            }
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "kinesis:DescribeStream",
                "iam:PutRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::{{111122223333}}:role/aws-service-role/connect.amazonaws.com/*",
                "arn:aws:kinesis:*:{{111122223333}}:stream/{{stream-name}}"
            ]
        },
        {
            "Sid": "VisualEditor2",
            "Effect": "Allow",
            "Action": "kinesis:ListStreams",
            "Resource": "*"
        }
    ]
}
```

------