As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Exemplos de política em nível de recurso do Amazon Connect
O Amazon Connect comporta permissões em nível de recurso para usuários, para que você possa especificar ações para eles em uma instância, conforme mostrado na política a seguir.
**Topics**
+ [Negar todas as ações em uma instância do Amazon Connect](#connect-access-control-resources-example-all)
+ [Negar as ações “Excluir” e “Atualizar”](#connect-access-control-resources-example2)
+ [Permitir ações para integrações com nomes específicos](#connect-access-control-resources-integration-example)
+ [Permitir “Criar usuários”, mas negar se você for atribuído a um perfil de segurança específico](#connect-access-control-resources-example3)
+ [Permitir ações de gravação em um contato](#connect-access-control-resources-example4)
+ [Permitir ou negar ações de fila da API para números de telefone em uma região de réplica](#allow-deny-queue-actions-replica-region)
+ [Veja AppIntegrations recursos específicos da Amazon](#view-specific-appintegrations-resources)
+ [Conceder acesso ao Amazon Connect Customer Profiles](#grant-access-to-customer-profiles)
+ [Conceder acesso somente leitura aos dados do Customer Profiles](#grant-read-only-access-to-customer-profiles)
+ [Consulte os agentes do Connect AI somente para um Assistente específico](#query-wisdom-assistant)
+ [Conceder acesso total ao Amazon Connect Voice ID](#grant-read-only-access-to-voiceid)
+ [Conceder acesso aos recursos de Campanhas Externas do Amazon Connect](#grant-read-only-access-to-outboundcommunications)
+ [Restringir a capacidade de pesquisar transcrições analisadas pelo Amazon Connect Contact Lens](#restrict-ability-to-search-transcripts-contact-lens)
## Negar todas as ações em uma instância do Amazon Connect
Uma instância do Amazon Connect é o principal recurso dentro do Amazon Connect. Todos os outros sub-recursos são criados dentro do escopo dela. Para negar todas as ações em todos os recursos dentro de uma instância do Amazon Connect, você pode usar um dos seguintes métodos:
+ Use chaves de contexto `connect:instanceId`.
+ Use o ARN da instância seguido por um caractere curinga (\$1).
O exemplo de política a seguir nega todas as ações de conexão para a instância com instanceId 00fbeee1-123e-111e-93e3-11111bfbfcc1.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "connect:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"connect:instanceId": "00fbeee1-123e-111e-93e3-11111bfbfcc1"
}
}
}
]
}
```
------
Você também pode negar todas as ações especificando o ARN da instância seguido por um caractere curinga (\$1). O exemplo de política a seguir nega todas as ações de conexão para a instância com o ARN de instância `arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"connect:*"
],
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1*"
}
]
}
```
------
## Negar as ações “Excluir” e “Atualizar”
Esta política de exemplo nega as ações “excluir” e “atualizar” para usuários em uma instância do Amazon Connect. Ela usa um curinga no final do ARN do usuário do Amazon Connect para que as ações “excluir usuário” e “atualizar usuário” sejam negadas no ARN completo do usuário (ou seja, todos os usuários do Amazon Connect na instância fornecida, como arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/00dtcddd1-123e-111e-93e3-11111bfbfcc1).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"connect:DeleteUser",
"connect:UpdateUser*"
],
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/*"
}
]
}
```
------
## Permitir ações para integrações com nomes específicos
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllAppIntegrationsActions",
"Effect": "Allow",
"Action": [
"app-integrations:ListEventIntegrations",
"app-integrations:CreateEventIntegration",
"app-integrations:GetEventIntegration",
"app-integrations:UpdateEventIntegration",
"app-integrations:DeleteEventIntegration"
],
"Resource":"arn:aws:app-integrations:*:*:event-integration/MyNamePrefix-*"
}
]
}
```
------
## Permitir “Criar usuários”, mas negar se você for atribuído a um perfil de segurança específico
O exemplo de política a seguir permite “criar usuários”, mas nega explicitamente o uso de arn:aws:connect:us-west- 2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17 como parâmetro para perfil de segurança na solicitação. [CreateUser](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateUser.html#API_CreateUser_RequestBody)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"connect:CreateUser"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"connect:CreateUser"
],
"Resource": "arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc17/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17"
}
]
}
```
------
## Permitir ações de gravação em um contato
O exemplo de política a seguir permite “iniciar a gravação de contato” em um contato em uma instância específica. Como o ContactID é dinâmico, usa-se \$1.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"connect:StartContactRecording"
],
"Resource": "arn:aws:connect:us-west-2:111122223333:instance/instanceId/contact/*",
"Effect": "Allow"
}
]
}
```
------
Configurar um relacionamento confiável com *accountID.*
As seguintes ações são definidas para a gravação APIs:
+ “conectar:StartContactRecording”
+ “conectar:StopContactRecording”
+ “conectar:SuspendContactRecording”
+ “conectar:ResumeContactRecording”
### Permitir mais ações de contato na mesma função
Se a mesma função for usada para chamar outro contato APIs, você poderá listar as seguintes ações de contato:
+ GetContactAttributes
+ ListContactFlows
+ StartChatContact
+ StartOutboundVoiceContact
+ StopContact
+ UpdateContactAttributes
Ou use um curinga para permitir todas as ações de contato; por exemplo, "connect:\$1".
### Permita mais recursos
Você também pode usar um caractere curinga para permitir mais recursos. Por exemplo, veja como permitir todas as ações de conexão em todos os recursos de contato:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"connect:*"
],
"Resource": "arn:aws:connect:us-west-2:111122223333:instance/*/contact/*",
"Effect": "Allow"
}
]
}
```
------
## Permitir ou negar ações de fila da API para números de telefone em uma região de réplica
O [CreateQueue](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateQueue.html)e [UpdateQueueOutboundCallerConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateQueueOutboundCallerConfig.html) APIs contém um campo de entrada chamado`OutboundCallerIdNumberId`. Esse campo representa um recurso de número de telefone que pode ser solicitado para um grupo de distribuição de tráfego. [Ele suporta tanto o formato ARN do número de telefone V1 que é retornado [ListPhoneNumbers](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListPhoneNumbers.html)por quanto o formato ARN V2 que é retornado pela V2. ListPhoneNumbers](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListPhoneNumbersV2.html)
Veja o seguintes formatos de ARN V1 e V2 compatíveis com `OutboundCallerIdNumberId`:
+ **Formato de ARN V1**: `arn:aws:connect:your-region:your-account_id:instance/instance_id/phone-number/resource_id`
+ **Formato de ARN V2**: `arn:aws:connect:your-region:your-account_id:phone-number/resource_id`
**nota**
Recomendamos usar o formato de ARN V2. O formato de ARN V1 =será descontinuado no futuro.
### Fornecer os dois formatos de ARN para recursos de número de telefone na região da réplica
Se o número de telefone for reivindicado para um grupo de distribuição de tráfego, para allow/deny acessar corretamente as ações da API de fila para recursos de número de telefone enquanto opera na região de réplica, **você deve fornecer o recurso de número de telefone nos formatos ARN V1 e V2**. Se você fornecer o recurso de número de telefone em apenas um formato ARN, isso não resultará no allow/deny comportamento correto ao operar na região da réplica.
### Exemplo 1: negar acesso a CreateQueue
Por exemplo, você está operando da região de réplica us-west-2 com a conta ` 123456789012` e a instância `aaaaaaaa-bbbb-cccc-dddd-0123456789012`. Você quer negar acesso à [CreateQueue](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateQueue.html)API quando o `OutboundCallerIdNumberId` valor é um número de telefone reivindicado para um grupo de distribuição de tráfego com ID de recurso`aaaaaaaa-eeee-ffff-gggg-0123456789012`. Nesse cenário, você deve usar a seguinte política de bucket:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyCreateQueueForSpecificNumber",
"Effect": "Deny",
"Action": "connect:CreateQueue",
"Resource": [
"arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
"arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
]
}
]
}
```
------
us-west-2 é a região em que a solicitação está sendo feita.
### Exemplo 2: permitir somente o acesso a UpdateQueueOutboundCallerConfig
Por exemplo, você está operando da região de réplica us-west-2 com a conta `123456789012` e a instância `aaaaaaaa-bbbb-cccc-dddd-0123456789012`. Você só quer permitir o acesso à [UpdateQueueOutboundCallerConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateQueueOutboundCallerConfig.html)API quando o `OutboundCallerIdNumberId` valor for um número de telefone reivindicado para um grupo de distribuição de tráfego com ID de recurso`aaaaaaaa-eeee-ffff-gggg-0123456789012`. Nesse cenário, você deve usar a seguinte política de bucket:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OnlyAllowUpdateQueueOutboundCallerConfigForSpecificNumber",
"Effect": "Allow",
"Action": "connect:UpdateQueueOutboundCallerConfig",
"Resource": [
"arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
"arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
]
}
]
}
```
------
## Veja AppIntegrations recursos específicos da Amazon
O exemplo de política a seguir permite buscar integrações de eventos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"app-integrations:GetEventIntegration"
],
"Resource": "arn:aws:app-integrations:us-west-2:111122223333:event-integration/Name"
}
]
}
```
------
## Conceder acesso ao Amazon Connect Customer Profiles
O Amazon Connect Customer Profiles usa `profile` como prefixo para ações em vez de `connect`. A política a seguir concede acesso completo a um domínio específico no Amazon Connect Customer Profiles.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"profile:*"
],
"Resource": "arn:aws:profile:us-west-2:111122223333:domains/domainName",
"Effect": "Allow"
}
]
}
```
------
Configure um relacionamento confiável entre accountID e o domínio domainName.
## Conceder acesso somente leitura aos dados do Customer Profiles
Veja a seguir um exemplo de concessão de acesso de leitura aos dados no Amazon Connect Customer Profiles.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"profile:SearchProfiles"
],
"Resource": "arn:aws:profile:us-east-1:111122223333:domains/domainName",
"Effect": "Allow"
}
]
}
```
------
## Consulte os agentes do Connect AI somente para um Assistente específico
O exemplo de política a seguir permite consultar somente um assistente específico.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wisdom:QueryAssistant"
],
"Resource": "arn:aws:wisdom:us-east-1:111122223333:assistant/assistantID"
}
]
}
```
------
## Conceder acesso total ao Amazon Connect Voice ID
O Amazon Connect Voice ID usa `voiceid` como prefixo para ações em vez de connect. A política a seguir concede acesso completo a um domínio específico no Amazon Connect Voice ID.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"voiceid:*"
],
"Resource": "arn:aws:voiceid:us-west-2:111122223333:domain/domainName",
"Effect": "Allow"
}
]
}
```
------
Configure um relacionamento confiável entre accountID e o domínio domainName.
## Conceder acesso aos recursos de Campanhas Externas do Amazon Connect
As campanhas externas usam `connect-campaign` como prefixo para ações em vez de `connect`. A política a seguir concede acesso completo a uma campanha externa específica.
```
{
"Sid": "AllowConnectCampaignsOperations",
"Effect": "Allow",
"Action": [
"connect-campaigns:DeleteCampaign",
"connect-campaigns:DescribeCampaign",
"connect-campaigns:UpdateCampaignName",
"connect-campaigns:GetCampaignState"
"connect-campaigns:UpdateOutboundCallConfig",
"connect-campaigns:UpdateDialerConfig",
"connect-campaigns:PauseCampaign",
"connect-campaigns:ResumeCampaign",
"connect-campaigns:StopCampaign"
],
"Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId",
}
```
## Restringir a capacidade de pesquisar transcrições analisadas pelo Amazon Connect Contact Lens
A política a seguir permite a pesquisa e a descrição de contatos, mas nega a pesquisa de um contato usando transcrições analisadas pelo Amazon Connect Contact Lens.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"connect:DescribeContact"
],
"Resource": "arn:aws:connect:us-east-1:111122223333:instance/instance-id/contact/*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"connect:SearchContacts"
],
"Resource": "arn:aws:connect:us-east-1:111122223333:instance/instance-id"
},
{
"Sid": "VisualEditor2",
"Effect": "Deny",
"Action": [
"connect:SearchContacts"
],
"Resource": "arn:aws:connect:us-east-1:111122223333:instance/instance-id",
"Condition": {
"ForAnyValue:StringEquals": {
"connect:SearchContactsByContactAnalysis": [
"Transcript"
]
}
}
}
]
}
```
------