本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 开始使用 Amazon Connect
<a name="amazon-connect-get-started"></a>

**提示**  
有关利用案例研究并包括动手实验的在线研讨会，请参阅 Workshop Studio 提供的 [Amazon Connect AWS 简介](https://catalog.workshops.aws/amazon-connect-introduction/en-US/introduction)。

使用以下步骤设置您的联系中心。

1. [创建 Amazon Connect 实例](amazon-connect-instances.md)。使用实例来包含与联系中心相关的所有资源和设置。您可以指定计划如何管理用户账户，您的联系中心是否接受来电和进行出站呼叫，并查看数据将存储在您的 Amazon S3 存储桶中的位置。

1. [为 Amazon Connect 实例设置联络中心电话号码](ag-overview-numbers.md)。如果您使用的是语音，请申请 AWS 提供的电话号码，或将您当前的电话号码转网到 Amazon Connect。如果您选择转网您的号码，建议您申请一个号码，以便您可以在等待您的号码转网过来时测试 Amazon Connect 并构建联系中心。

1. [在 Amazon Connect 中设置路由](connect-queues.md)。创建队列和路由配置文件，并设置操作小时数。在路由配置文件中，指定座席应使用的通道：语音、聊天、任务或这三者。您还可以指定座席可以同时管理多少聊天和任务。

1. [Amazon Connect 流](connect-contact-flows.md)。建立流来定义客户从始至终使用联系中心的体验。单个流同时适用于语音、聊天和任务，这样会使您的设计更加高效。在您构建流并配置数据块时，请指示流应如何用于语音、聊天和任务。

1. 添加用户（即您的经理和座席）并配置其设置。为每个座席分配一个路由配置文件，指定他们是使用软电话还是桌面电话，并设置他们的**联系后续工作**时间。有关说明，请参阅[将用户添加到 Amazon Connect](user-management.md)和[在 Amazon Connect 中设置您的联络中心座席](connect-agents.md)。

1. 如果您使用的是聊天，我们会提供多种工具来帮助您启用面向客户的应用程序与 Amazon Connect 聊天互动。有关更多信息，请参阅 [在 Amazon Connect 中设置客户聊天体验](enable-chat-in-app.md)。

## 后续步骤
<a name="gs-options"></a>

您可以通过多项措施来优化联系中心。以下是您可能会觉得有用的几个附加步骤：

1. [监控实时对话和记录的对话](monitoring-amazon-connect.md)。监控实时对话并查看过去的对话。这是经理可以指导座席并帮助他们改进的一种方式。对于语音对话，请在流中设置录音。对于聊天对话，请在实例级别设置录音。

   要了解如何监控对话，请参阅[在 Amazon Connect 中启用增强的多方联系监控](monitor-conversations.md)。

1. [在 Amazon Connect 中创建对话式 AI 机器人](connect-conversational-ai-bots.md)。在您的联系中心使用 Amazon Lex，以减少座席的负荷。例如，机器人可以在聊天路由到座席之前处理初始互动，也可以回答客户的常见问题。

## 参加免费的在线课程
<a name="gs-class"></a>

查看以下免费在线课程：
+  [Amazon Connect 和联系人控制面板 (CCP) 简介](https://explore.skillbuilder.aws/learn/course/external/view/elearning/12303/introduction-to-amazon-connect-and-the-connect-control-panel-ccp) 
+  [Amazon Connect：管理界面简介](https://explore.skillbuilder.aws/learn/course/external/view/elearning/12328/amazon-connect-introduction-to-the-administrative-interface) 
+  [Amazon Connect：创建和管理 Amazon Connect 实例](https://explore.skillbuilder.aws/learn/course/external/view/elearning/12304/amazon-connect-creating-and-managing-amazon-connect-instances) 
+  [Amazon Connect：在 Amazon Connect 中实施聊天](https://explore.skillbuilder.aws/learn/course/external/view/elearning/14504/amazon-connect-implementing-chat-in-connect) 
+  [Amazon Connect：在 Amazon Connect 中实施任务](https://explore.skillbuilder.aws/learn/course/external/view/elearning/14209/amazon-connect-implementing-task-on-connect) 

# 教程：Amazon Connect 简介
<a name="tutorials"></a>

此部分中的教程旨在帮助您开始使用 Amazon Connect。这些教程首先说明如何设置第一个实例，并测试示例语音和聊天体验；随后说明如何设置 IT Help Desk 联络中心以使用 Amazon Lex 中的功能。

知识工作者和开发人员都适合使用这些教程。

**先决条件**
+ 一个 AWS 账户。如果您还没有账户，请在 [aws.amazon.com](https://aws.amazon.com/) 上创建一个账户。

**打印教程**

如果要打印教程，可以选择任何页面顶部的 PDF 图标，如下图所示。

![\[Amazon Connect 文档中的页面，页面标题下方的 PDF 链接。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-print.png)


这将打开 PDF 版本的文档。按 **Ctrl\$1Home** 返回到 PDF 文档的开头，然后向下滚动到目录。选择要打印的页面。

**Topics**
+ [设置您的 Amazon Connect 实例](tutorial1-set-up-your-instance.md)
+ [在中测试语音和聊天体验示例 Amazon Connect](tutorial1-explore-voice-and-chat.md)
+ [在中创建 IT 帮助台 Amazon Connect](tutorial1-create-helpdesk.md)

# 设置您的 Amazon Connect 实例
<a name="tutorial1-set-up-your-instance"></a>

您可以有多个 Amazon Connect 实例。每个实例均包含与联络中心相关的所有资源，例如电话号码、座席账户和队列。

在本教程中，您将打开 Amazon Connect，创建一个 Amazon Connect 实例并申请可用于测试的电话号码。

**Topics**
+ [第 1 步：启动 Amazon Connect](#tutorial1-login-aws)
+ [第 2 步：创建实例](#tutorial1-create-instance)
+ [步骤 3：为您的实例申请电话号码](#tutorial1-claim-phone-number)

## 第 1 步：启动 Amazon Connect
<a name="tutorial1-login-aws"></a>

此步骤将引导你在 AWS 控制台中找到 Amazon Connect，然后打开 Amazon Connect 控制台。

1. 使用您的 AWS 帐户登录[AWS 管理控制台](https://console.aws.amazon.com/console) (https://console.aws.amazon.com/console)。

1. 在 AWS 管理控制台的页面顶部，选择**服务**下拉菜单。  
![\[AWS 管理控制台，服务下拉菜单。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-access-services.png)

1. 在搜索框中，键入 **Amazon Connect**。  
![\[搜索框，搜索结果下拉列表中的 Amazon Connect。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-access-services2.png)

1. 选择 **Amazon Connect**。

   如果这是您首次登录 Amazon Connect 控制台，则将看到以下欢迎页面。  
![\[Amazon Connect 欢迎页面，“开始使用”按钮。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-amazon-connect-getting-started.png)

1. 选择**开始**。

**恭喜您！**您找到并访问了 Amazon Connect。您可以使用相同的步骤来搜索和启动任何 AWS 服务。

转到 [第 2 步：创建实例](#tutorial1-create-instance)。

## 第 2 步：创建实例
<a name="tutorial1-create-instance"></a>

1. 在 **Amazon Connect 虚拟联络中心实例**页面上，选择**添加实例**。

1. 在**设置身份**页面的**访问 URL** 框中，为您的实例键入一个唯一的名称。例如，下图显示 **mytest10089** 作为名称。为您的实例选择其他名称。然后选择**下一步**。  
![\[“设置身份”页面，“访问 URL”框。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-name-instance.png)

1. 在**添加管理员**页面上，为 Amazon Connect 添加新的管理员账户。稍后，使用此账户通过唯一访问 URL 登录到您的实例。选择**下一步**。  
![\[“添加管理员”页面，“用户名和密码”框。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-create-admin.png)

   1. 用户名将是您的 Amazon Connect 登录名。区分大小写。

   1. 该密码必须在 8-64 个字符之间，至少包含一个大写字母、一个小写字母和一个数字。

1. 在**设置电话**页面上，接受默认设置以允许来电和去电。选择**下一步**。  
![\[“设置电话”页面，“电话选项”部分。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-telephony-defaults.png)

1. 在**数据存储**页面上，接受默认设置并选择**下一步**。  
![\[存储数据和流日志的默认设置，“启用 Customer Profiles”选项。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-data-storage.png)

1. 在**审核和创建**页面上，选择**创建实例**。  
![\[“审核和创建”页面，“创建实例”按钮。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-review-create-instance.png)

1. 创建实例后，选择**开始使用**。  
![\[Amazon Connect 实例页面，右上角的“开始使用”按钮。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-done-created-instance.png)

1. 在**欢迎使用 Amazon Connect** 页面上，选择**现在跳过**。  
![\[“欢迎使用 Amazon Connect”页面，“现在跳过”链接。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-skip-for-now.png)

1. 您现在进入了 Amazon Connect 控制面板。您的实例名称（也称为**别名**）显示在 URL 中。左侧为导航菜单。  
![\[Amazon Connect 控制面板页面。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-dashboard.png)

   1. 您的实例别名位于 URL 的第一部分。

   1. 导航菜单。

恭喜您！您的实例已设置，并且您现已位于 Amazon Connect 控制面板上。转到 [步骤 3：为您的实例申请电话号码](#tutorial1-claim-phone-number)。

## 步骤 3：为您的实例申请电话号码
<a name="tutorial1-claim-phone-number"></a>

在此步骤中，您将设置一个电话号码，以便试用 Amazon Connect。

1. 在 Amazon Connect 导航菜单上，选择**渠道**、**电话号码**。  
![\[Amazon Connect 导航菜单，“渠道”按钮、“电话号码”选项。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-routing-phone-numbers.png)

1. 在**管理电话号码**页面的右侧，选择**申领号码**。  
![\[“管理电话号码”页面，“申领号码”按钮。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-claim-a-number-button.png)

1. 选择 **DID（直接内部拨号）**选项卡。使用下拉箭头选择您的国家/地区。如果您在美国，则可以为号码指定所需的区号，这样只会显示带有该区号的可用号码。当返回多个电话号码时，选择其中一个电话号码。  
![\[“申请电话号码”页面，“DID（直拨内线）”选项卡。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-claim-number.png)

1. 记下此电话号码。在本教程的后面，您将拨打此电话号码。

1. 在**描述**框中，键入以下注释：**此号码供测试之用**。  
![\[“描述”框，“流 IVR”下拉菜单。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-claim-number2.png)

1. 在**流 / IVR** 框中，选择下拉箭头，然后选择**示例入站流（第一个联系体验）**。

1. 选择**保存**。

**恭喜您！**您已设置实例并申领了电话号码。现在，您可以体验 Amazon Connect 中的聊天和语音工作方式了。转到 [在中测试语音和聊天体验示例 Amazon Connect](tutorial1-explore-voice-and-chat.md)。

# 在中测试语音和聊天体验示例 Amazon Connect
<a name="tutorial1-explore-voice-and-chat"></a>

为了更好地了解座席和客户的语音和聊天体验，您可以在不进行任何开发的情况下测试这些体验。

本教程介绍了如何访问和使用[联系人控制面板 (CCP)](agent-user-guide.md)。CCP 是一个网页，可供座席用来接受和管理语音和聊天联系。

**先决条件**

本教程是系列教程的一部分。如果您已执行教程 1，则可执行本教程；否则，您将需要：
+ 一个 AWS 账户
+ 已配置的 Amazon Connect 实例
+ 一个 Amazon Connect 管理员账户
+ 已申领的电话号码

**Topics**
+ [第 1 步：处理语音联系](#tutorial1-explore-voice)
+ [第 2 步：使用 CCP 处理聊天联系](#tutorial1-test-2)

## 第 1 步：处理语音联系
<a name="tutorial1-explore-voice"></a>

1. 在 Amazon Connect 导航菜单上，选择**控制面板**。  
![\[导航菜单上的“控制面板”图标。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-dashboard-menu.png)

1. 在**控制面板**页面上，选择**测试聊天**。  
![\[“控制面板”页面，文字聊天链接。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-test-chat.png)

1. 在**测试聊天**页面上，选择**激活联系人控制面板**。  
![\[“测试聊天”页面，“激活联系人控制面板”链接。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-activate-ccp.png)

1. 如果浏览器提示您授予麦克风访问权限，请选择**允许**。  
![\[浏览器会提示允许您的实例访问麦克风。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-allow-microphone.png)

1. 如果浏览器提示您允许通知，请选择**允许**。  
![\[浏览器会提示允许通知。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-allow-notifications.png)

1. 在测试 CCP 中，将您的状态设置为**可用**。  
![\[CCP，“可用”状态设置。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-testccp-available.png)

1. 用手机拨打您之前申领到的电话号码。如果您未记下此电话号码，可以转至**渠道**、**电话号码**来查找它。

1. 当您的呼叫加入 Amazon Connect 时，您会听见“按 1 排队等候座席，按 2...”，这是 Amazon Connect 默认运行的 [入站流示例](sample-inbound-flow.md)。在本教程的后面，您将更改此设置。

1. 可以在示例入站流中试用各种选项。要连接到座席，请依次按 **1**、**1**、**1**。

1. 在 CCP 中，选择**接受呼叫**。  
![\[CCP，一个来电。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-accept-call.png)

1. 当座席连接到客户时，您将看到的 CCP 的样子。  
![\[CCP，一个已连接的通话。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-first-call.png)

1. 选择 **End call (结束呼叫)**。

   现在，联系人处于“联系后续工作 (ACW)”状态。此时，座席可以输入一些有关联系人的说明。  
![\[CCP、联系后续工作，“关闭联系人”按钮。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-acw.png)

1. 选择**关闭联系人**。这会让座席结束当前联系人来电，并接听另一个联系人来电。

做得很好！您已处理第一个语音联系！

**提示**  
作为管理员，您可以通过选择页面顶部的电话图标从 Amazon Connect 控制台上的任意位置启动 CCP。  

![\[启动 CCP 的 Amazon Connect 控制台顶部的电话图标。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-phone-icon.png)


### 后续步骤
<a name="tutorial1-test-voice-next-step"></a>

转至 [第 2 步：使用 CCP 处理聊天联系](#tutorial1-test-2) 以体验如何处理聊天联系。

## 第 2 步：使用 CCP 处理聊天联系
<a name="tutorial1-test-2"></a>

在第 1 步中，您已使用联系人控制面板（CCP）管理语音联系。在此步骤中，您将体验如何使用 CCP 管理聊天联系。

1. 此流程假设您已完成了 [第 1 步：处理语音联系](#tutorial1-explore-voice)。如果您还没有完成教程 1，请先完成教程 1。

1. 在**测试聊天**页面上，选择聊天气泡开始聊天。  
![\[“测试聊天”页面，聊天气泡。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-chat-bubble.png)

1. 示例入站流自动向您传输一个队列。此时，您可以客户身份键入消息，座席将接收该消息。例如，*我需要帮助重置我的密码*。  
![\[CCP 中的聊天对话，显示来自流和客户的消息。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-start-chat.png)

1. 在 CCP 中，接受传入聊天。  
![\[CCP，传入聊天，“接受聊天”按钮。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-accept-chat.png)

1. 使用 CCP 向客户发送聊天消息。

1. 完成聊天后，选择**结束聊天**。然后在 CCP 中，选择**关闭联系人**。

恭喜您！您已体验使用 Amazon Connect 进行聊天的感觉。

接下来，尝试教程 3 以设置 IT Help Desk。它将说明如何设置路由、创建流，然后测试自定义语音和聊天体验。转到 [在中创建 IT 帮助台 Amazon Connect](tutorial1-create-helpdesk.md)。

# 在中创建 IT 帮助台 Amazon Connect
<a name="tutorial1-create-helpdesk"></a>

本教程介绍如何创建 IT 帮助台。它说明了如何创建 Amazon Lex 自动程序来查明客户来电的原因。接下来，可以创建一个流，以使用客户的输入将其路由到正确的队列。

**先决条件**

本教程是系列教程的一部分。如果您已执行教程 1，则可执行本教程；否则，您将需要：
+ 一个 AWS 账户
+ 已配置的 Amazon Connect 实例
+ 一个 Amazon Connect 管理员账户
+ 已申领的电话号码

**Topics**
+ [第 1 步：创建 Amazon Lex 自动程序](#tutorial1-create-amazon-lex-bot)
+ [步骤 2：向 Amazon Lex 自动程序添加权限](#tutorial1-add-permissions-for-bot)
+ [第 3 步：设置路由](#tutorial1-set-up-routing)
+ [第 4 步：创建联系流](#tutorial1-create-contact-flow)
+ [第 5 步：将联系流分配给电话号码](#tutorial1-assign-contact-flow-to-number)
+ [第 6 步：测试自定义语音和聊天体验](#tutorial1-try-it)

## 第 1 步：创建 Amazon Lex 自动程序
<a name="tutorial1-create-amazon-lex-bot"></a>

利用自动程序，可以高效地卸载座席的重复性任务。本教程说明如何使用自动程序查明客户致电 IT 帮助台的原因。稍后，我们使用客户的回复将其路由到正确的队列。

在前面的教程中，您已使用 Amazon Connect 控制台。在本教程中，可以使用 Amazon Lex 控制台设置自动程序。

此步骤包括五个部分。

**Topics**
+ [第 1 部分：创建 Amazon Lex 自动程序](#tutorial1-create-amazon-lex-bot-step1)
+ [第 2 部分：添加意图](#tutorial-lex-bot-intents)
+ [第 3 部分：构建和测试](#tutorial-lex-bot-build)

### 第 1 部分：创建 Amazon Lex 自动程序
<a name="tutorial1-create-amazon-lex-bot-step1"></a>

此步骤假定这是您首次打开 Amazon Lex 控制台。如果您之前已创建 Amazon Lex 自动程序，则您的步骤与此部分中的步骤会略微不同。

1. 选择以下链接打开 Amazon Lex 控制台，或者在网络浏览器中输入网址：**[https://console.aws.amazon.com/lex/](https://console.aws.amazon.com/lex/)**。

1. 如果这是您首次创建 Amazon Lex 自动程序，请选择**开始使用**。如果不是，您就已经进入 Amazon Lex 控制面板了。  
![\[Amazon Lex 控制台，“自动程序”页面，“创建自动程序”按钮。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-lex-console1.png)

1. 选择**创建空白自动程序**。  
![\[“配置自动程序设置”页面，“创建空白自动程序”选项。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-lex-custom-bot.png)

1. 输入以下信息：
   + **机器人名称**-在本教程中，为机器人命名**HelpDesk**。  
![\[“自动程序配置”部分，“自动程序名称”框，“描述”框。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-bot-config1.png)
   + IAM 权限：选择**使用基本 Amazon Lex 权限创建角色**。  
![\[“IAM 权限”部分，“使用基本 Amazon Lex 权限创建角色”选项。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-iam-permissions.png)
   + **COPPA** - 选择自动程序是否符合[儿童在线隐私保护法案](https://www.ftc.gov/enforcement/rules/rulemaking-regulatory-reform-proceedings/childrens-online-privacy-protection-rule)的要求。
   + **空闲会话超时** - 选择自动程序在结束会话之前需等待多长时间才能获得呼叫方输入。

1. 选择**下一步**。

1. 在**向自动程序添加语言**页面上，选择您的自动程序在与呼叫方通话时使用的语言和语音。Amazon Connect 的默认声音是 Joanna。  
![\[“向自动程序添加语言”页面，选择语言下拉菜单设置为英语。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-bot-config2.png)

1. 选择**完成**。

转到 [第 2 部分：将意图添加到 Amazon Lex 自动程序](#tutorial-lex-bot-intents)。

### 第 2 部分：将意图添加到 Amazon Lex 自动程序
<a name="tutorial-lex-bot-intents"></a>

意图是指用户要执行的操作。在此部分，向自动程序增加了两个意图。每个目的均表示用户呼叫帮助台的一个原因：密码重置和网络问题。

1. 在 Amazon Lex 控制台的 “**意图详情**” 部分，输入您的意图名称**PasswordReset**作为您的意图名称。  
![\[Amazon Lex 控制台，“意图”页面，“意图详细信息”部分、意图名称。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-lex-custom-bot4.png)

1. 滚动至**示例话语**部分。  
![\[“示例话语”部分，“添加话语”框，“添加话语”按钮。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-utterances.png)

1. 键入**我忘记了密码**，然后选择**添加话语**。然后添加**重置我的密码**，然后再次选择**添加话语**。

1. 选择**保存意图**。

1. 在左侧导航菜单上，选择**所有意图列表**。

1. 在左侧导航菜单上，选择**返回到意图列表**。  
![\[Amazon Lex 导航菜单，“返回到意图列表”链接。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-bot-config3.png)

1. 选择 “**添加意图**”、“**添加空意图**”，然后指定名称**NetworkIssue**。向下滚动页面并添加以下示例话语：
   + **我无法访问网络**
   + **我的电子邮件已停用**

完成后，请转到 [第 3 部分：构建和测试 Amazon Lex 自动程序](#tutorial-lex-bot-build)。

### 第 3 部分：构建和测试 Amazon Lex 自动程序
<a name="tutorial-lex-bot-build"></a>

构建和测试您的自动程序，确保它在您发布前能够按预期正常工作。

1. 在 Amazon Lex 控制台中，选择**构建**。构建过程可能需要一两分钟才能完成。  
![\[Amazon Lex 控制台，“构建”按钮。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-lex-custom-bot11.png)

1. 构建完成后，选择**测试**。

1. 测试**PasswordReset**意图。在**测试草稿版本**窗格中，键入**我忘记了密码**，然后按 **Enter**。  
![\[“测试草稿版本”页面，用于输入意图的框，例如“我忘记了密码”。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-lex-custom-bot12.png)

1. 验证与下图所示的内容类似。  
![\[来自 Amazon Lex 的验证消息，意图 PasswordReset已填写。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-lex-custom-bot13.png)

1. 要确认**NetworkIssue**意图是否有效，请键入**我的电子邮件已关闭**。验证与下图所示的内容类似。  
![\[来自 Amazon Lex 的验证消息，意图 NetworkIssue 已填写。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-lex-custom-bot14.png)

转到 [步骤 2：向 Amazon Lex 自动程序添加权限](#tutorial1-add-permissions-for-bot)。

## 步骤 2：向 Amazon Lex 自动程序添加权限
<a name="tutorial1-add-permissions-for-bot"></a>

要在流中使用自动程序，请将自动程序添加到 Amazon Connect 实例中。

1. 打开 [Amazon Connect 控制台 (https://console.aws.amazon.com/connect/)。](https://console.aws.amazon.com/connect/)

1. 选择您创建的实例的名称。  
![\[“Amazon Connect 虚拟联系中心实例”页面, 实例别名。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-lex-custom-bot18.png)

1. 请勿登录名称页面（此登录方法仅用于紧急访问）。相反，选择**流**。  
![\[Amazon Connect 左侧导航窗格，“流”选项。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-lex-custom-bot19.png)

1. 在 **Amazon Lex** 下，使用下拉箭头进行选择**HelpDesk**。在 “**别名**” 下，选择 **TestBotAlias**，然后选择 **\$1 添加 Lex Bot**，然后选择**添加 Amazon Lex Bot**。  
![\[“流”页面，Amazon Lex 部分。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-lex-custom-bot20.png)

1. 完成操作后，选择 Amazon Connect 以返回实例页面。  
![\[“联系流”页面顶部的页面导览痕迹中的实例名称。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial-connect-instances2.png)

1. 选择实例的访问 URL。  
![\[Amazon Connect 控制台，“账户概述”页面，“访问信息”部分，“访问 URL”。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-instance-url.png)

   **访问 URL** 会将您带回 Amazon Connect 控制面板。

## 第 3 步：设置路由
<a name="tutorial1-set-up-routing"></a>

在此步骤中，您将从实例的 Amazon Connect 控制台开始操作。此步骤说明如何设置队列、创建路由配置文件，然后将用户账户分配到配置文件。

1. 在导航菜单上，转至**路由**、**队列**。  
![\[Amazon Connect 导航菜单，“路由”图标，“队列”选项。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-routing-queues.png)

1. 选择**添加队列**。  
![\[“队列”页面，“添加队列”按钮。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-add-new-queue-button.png)

1. 完成**添加队列**页面（如下图所示），添加名为的队列**PasswordReset**。完成后，选择**保存**。  
![\[“添加队列”页面、“队列详细信息”部分和“操作时间”部分。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-create-queue.png)

   下图显示了**添加队列**页面的**设置**部分。添加您的默认呼叫方 ID 名称和出站呼叫方 ID 号码。  
![\[“添加队列”页面，“设置”部分。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-create-queue1.png)

   出于教程目的，请将以下内容留空：出站私密消息流、快速连接和队列中的最大联系人数。

1. 添加名为的队列**NetworkIssue**。像**处理队列一样完成 “添加**队**PasswordReset**列” 页面。

   完成后，您将有三个队列。  
![\[“队列”页面，“基本”队列、“网络问题”队列和“密码重置”队列。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-queues.png)

1. 在导航菜单上，转至**用户**、**路由配置文件**。  
![\[Amazon Connect 导航菜单，“用户”图标，“路由配置文件”选项。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-routing-profiles.png)

1. 选择**添加路由配置文件**。  
![\[“路由配置文件”页面，“添加路由配置文件”按钮。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-add-new-profile.png)

1. 为新配置文件分配名称（例如，**测试路由配置文件**）。输入描述，选择**语音**、**聊天**，然后将**最大聊天数**设置为 **1**。  
![\[“路由配置文件详细信息”部分和“设置”部分。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-add-profiles1.png)

1. 在**队列**部分，使用下拉箭头搜索您刚刚创建的队列。选择 **NetworkIssue**，选择 “**语音**和**聊天**”。选择**添加队列**。  
![\[“队列”部分，“添加队列”按钮。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-add-queue-button.png)

1. 添加队**PasswordReset**列。选择**语音**和**聊天**，然后选择**保存**。

1. 在**默认出站队列**下，使用下拉箭头进行选择**BasicQueue**。  
![\[“默认出站队列”部分。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-outbound-queue.png)

1. 完成后，滚动到页面顶部，然后选择**保存**以保存配置文件。

1. 在导航菜单上，转到**用户**、**用户管理**。  
![\[Amazon Connect 导航菜单，“用户”图标，“用户管理”选项。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-user-management.png)

1. 在**用户管理**页面上，选择您的登录名。

1. 在**编辑**页面**设置**部分的**路由配置文件**下拉菜单中，选择您创建的路由配置文件，例如**测试路由配置文件**。选择**保存**。  
![\[“设置”部分，“路由配置文件”下拉菜单。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-edit-user2.png)

路由已准备就绪，可供使用。

## 第 4 步：创建联系流
<a name="tutorial1-create-contact-flow"></a>

虽然 Amazon Connect 附带了一组[内置流](contact-flow-default.md)，但您也可以创建自己的流以确定客户体验您的联络中心的方式。流包含客户能够听到或看到的提示，以及将客户转接到正确的队列或座席等。

在此步骤中，创建特定于您正在创建的 IT Help Desk 体验的流。

1. 在 Amazon Connect 导航菜单上，转至**路由**、**流**。  
![\[导航菜单，“路由”图标，“流”选项。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-routing-contact-flows.png)

1. 选择**创建流**。  
![\[在流和流模块页面上的“创建流”按钮。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-create-contact-flow.png)

1. 这将打开流设计器。输入流的名称，例如**测试流**。  
![\[流设计器，用于编辑流名称的选项。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-name-contact-flow.png)

1. 使用搜索框搜索以下数据块，然后将它们拖到网格上：[设置日志记录行为](set-logging-behavior.md)、[设置语音](set-voice.md)和[播放提示](play.md)。  
![\[流设计器，“设置日志记录行为”数据块，“设置语音”数据块，“播放提示”数据块。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-add-blocks1.png)

1. 使用鼠标将箭头从**入口**数据块拖至**设置日志记录行为**数据块。  
![\[流设计器，“设置日志记录行为”数据块。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-connect-blocks1.png)

1. 连接剩余的数据块，如下图所示。  
![\[流设计器，“设置日志记录行为”数据块，“设置语音”数据块，“播放提示”数据块已全部连接。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-connect-blocks2.png)

1. 选择**播放提示**标题以打开其属性页面。  
![\[流设计器，“播放提示”数据块。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-play-prompt-title.png)

1. 配置**播放提示**数据块（如下图所示），然后选择**保存**。选择**Text-to-speech 或聊天文本**，选择 “**手动设置**”，输入 “*欢迎来到 IT 帮助台”*。  
![\[手动设置的播放提示块、属性页面 text-to-speech或聊天文本，欢迎来到 IT 帮助台。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-play-prompt1.png)

1. 添加 [获取客户输入](get-customer-input.md) 数据块并连接到**播放提示**数据块。  
![\[播放提示成功分支连接到“获取客户输入”数据块。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-add-get-customer-input3.png)

1. 选择 [获取客户输入](get-customer-input.md) 数据块的标题以打开属性页面。  
![\[“获取客户输入”数据块。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-add-get-customer-input.png)

1.  配置**获取客户输入**数据块，如下图所示。选择**Text-to-speech 或聊天文本**，**手动设置**，然后在文本框中输入 “*我能提供什么帮助*”。将**解释为**下拉框设置为**文本**。  
![\[“获取客户输入”数据块的“属性”页面。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-configure-get-customer-input1.png)

   下图显示了 Amazon Lex 选项卡。从下拉列表中选择 Amazon Lex 自动程序的名称。在**别名**中，输入 **\$1LATEST**。  
![\[Amazon Lex 选项卡，自动程序的名称和别名。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-configure-get-customer-input2.png)

1. 当仍在**获取客户输入**数据块中时，选择**添加意图**。  
![\[“意图”部分，“添加意图”选项。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-configure-get-customer-input4.png)

1. 输入您在 Amazon Lex 机器人中创建的意图的名称，例如 PasswordReset 和 NetworkIssue。它们区分大小写！  
![\[意图部分， PasswordReset 意图和 NetworkIssue意图。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-configure-get-customer-input3.png)

1. 选择**保存**。

1. 添加 **Play 提示**块并将其连接到分**PasswordReset**支。

1. 选择**播放提示**标题以打开其属性页面。为**播放提示**数据块配置消息*我们正在将您放入队列中以帮助您重置密码*。选择**保存**。

1. 添加第二个 **Play 提示**块并将其连接到分**NetworkIssue**支。

1. 选择**播放提示**标题以打开其属性页面。为**播放提示**数据块配置消息*我们正在将您放入队列中以帮助解决网络问题*。选择**保存**。

1. 在网格中添加一个[断开/挂断](disconnect-hang-up.md)数据块。将**默认**分支和**错误**分支连接到它。

1. 在网格中添加一个[设置工作队列](set-working-queue.md)数据块。连接 P **lay 提示**块 PasswordReset。  
![\[带有 Play 提示符的流程设计器已连接到 PasswordReset 队列。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-set-working-queue1b.png)

1. 选择**设置工作队列**标题以打开其属性页面。使用下拉箭头选择**队列来配置 “设置工作**PasswordReset****队列” 模块。选择**保存**  
![\[在选定队列的情况下设置工作 PasswordReset 队列属性。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-set-working-queue2.png)

1. 为添加一个 **Set 工作队列**块 NetworkIssue，然后使用 NetworkIssue 队列对其进行配置。  
![\[带有 Play 提示符的流程设计器已连接到 NetworkIssue 队列。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-set-working-queue3.png)

1. 将两个**转接到队列**数据块（从**终止/转接**组中）拖至网格上。

1. 将每个**设置工作队列**数据块连接到**转接到队列**数据块。

1. 将另一个**断开/挂断**数据块拖至网格上。将所有剩余的**错误**和**容量饱和**分支连接到该数据块。

1. 完成的流与下图类似。  
![\[使用入口点、提示、客户输入分支和队列转接完成流。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-contact-flow-finisheda.png)

1. 选择**保存**，然后选择**发布**。  
![\[流设计器上的“发布”和“保存”按钮。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-save-publish.png)
**提示**  
任何未正确连接或配置的数据块都会产生错误。如果发生此情况，请仔细检查所有分支是否已连接。

1. 当流发布时，它会显示已成功保存的消息。  
![\[“流已成功保存”的消息。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-contact-flow-published.png)

   如果流未保存，请仔细检查所有分支是否连接到数据块。这是流不发布的最常见原因。

## 第 5 步：将联系流分配给电话号码
<a name="tutorial1-assign-contact-flow-to-number"></a>

1. 在导航菜单上，转至**渠道**、**电话号码**。

1. 在**管理电话号码**页面上，选择您的电话号码。  
![\[“管理电话号码”页面，您的电话号码。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-click-on-phone-number.png)

1. 使用下拉框选择您刚刚创建的流，然后选择**保存**。  
![\[“编辑电话号码”页面，“流”下拉框，您创建的流。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-assign-contact-flow-to-phone-number.png)

一切已准备就绪！现在，您已准备好测试您的 IT 帮助台。继续执行 [第 6 步：测试自定义语音和聊天体验](#tutorial1-try-it)。

## 第 6 步：测试自定义语音和聊天体验
<a name="tutorial1-try-it"></a>

您已准备好试用 Amazon Lex 自动程序、路由和流。第一步是将要测试的流告知 Amazon Connect。

1. 在导航菜单上，转到**控制面板**，然后选择**测试聊天**。

1. 选择**测试设置**。  
![\[“测试聊天”页面，“测试设置”选项。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-test-settings1.png)

1. 使用下拉框选择您创建的流，例如**测试流**。选择**应用**。  
![\[“系统设置”部分，“流”下拉菜单，您的流。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-test-settings2.png)

### 测试自定义聊天体验
<a name="tutorial1-try-it-chat"></a>

1. 如果需要，可以选择聊天气泡开始聊天。  
![\[“测试聊天”页面，聊天气泡。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-chat-bubble.png)

1. Amazon Connect 会自动检测联系人并运行您创建的流。它会显示来自流的消息。  
![\[聊天小部件，显示来自机器人的自动消息。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-test-chat2.png)

1. 输入表示您需要获得密码重置帮助的文本。然后接受传入聊天。下图显示了聊天和座席界面在试用时的外观。  
![\[带有密码重置请求和座席 CCP 视图的聊天小部件。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tutorial1-test-chat3.png)

1. 在右侧的客户窗格中，选择**结束聊天**以关闭聊天窗口。

1. 在测试 CCP 中，选择**关闭联系人**以结束联系后续工作 (ACW)。

### 测试自定义语音体验
<a name="tutorial1-try-it-voice"></a>



1. 如果测试聊天窗口仍处于打开状态，请选择**结束聊天**以关闭该窗口。然后，您可以试用语音体验。

1. 拨打您的电话号码。

1. 出现提示时，请说*我在访问互联网时遇到问题*。你应该会听到你正在被转移到 NetworkIssue 队列的消息。
**提示**  
转接完成后，您将听到以下语音消息：  
*感谢您的来电。我们非常重视您的来电，并会按照收到的顺序接听您的电话。*  
此消息由名为[默认客户队列](default-customer-queue.md)的[默认流](contact-flow-default.md)生成。

1. 切换至测试 CCP 并接受来电。

1. 在你接听电话之后，但在你与客户建立联系之前，你会听到一声入站耳语，说明联系人处于哪个队列，例如， NetworkIssue。这有助于您了解客户的来电内容。

   入站私密消息是由名为[默认座席私密消息](default-agent-whisper.md)的[默认流](contact-flow-default.md)生成的。

1. 完成后，结束呼叫。

1. 在 CCP 中，选择**清除联系人**以结束联系后续工作 (ACW)。

**恭喜您！**您构建并测试了一个全渠道 IT Help Desk，以充分利用 Amazon Lex 并为客户提供聊天和语音。

**提示**  
如果您不想保留申请的用于测试的电话号码，可以将其释放回库存中。有关说明，请参阅[将一个电话号码从 Amazon Connect 释放回库存](release-phone-number.md)。

# Amazon Connect 的架构指导
<a name="architecture-guidance"></a>

本主题为您的 Amazon Connect 联络中心工作负载提供设计和构建可靠、安全、有效且经济高效的系统的指导和最佳实践。使用本指导可以帮助您构建稳定、高效的工作负载，从而使您能够专注于创新、降低成本并改善客户体验。

本内容面向首席技术官 (CTOs)、架构师、开发人员和运营团队成员。

**Topics**
+ [与 Amazon Connect 结合使用的服务](related-services-amazon-connect.md)
+ [Amazon Connect 工作负载层](workload-layers.md)
+ [场景和部署方法](scenario-deployment-approaches.md)
+ [单实例还是多个实例？](single-instance-multiple-instances.md)
+ [卓越运营](operational-excellence.md)
+ [联络中心的安全性](security-bp.md)
+ [负载和渗透/安全测试](load-and-penetration-testing.md)
+ [Amazon Connect 的可靠性](reliability-bp.md)
+ [Amazon Connect 工作负载的性能效率](performance-efficiency-bp.md)
+ [Amazon Connect 工作负载的成本优化](cost-optimization-bp.md)

# AWS 使用 Amazon Connect 的力量
<a name="related-services-amazon-connect"></a>

**本主题适用于有兴趣了解哪些其他 AWS 服务可以与 Amazon Connect 集成的开发人员和管理员。**

下图显示了您可以在 Amazon Connect 上使用的其他一些 AWS 服务。

![\[您可以与 Amazon Connect 结合使用的所有服务的图标。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/connect-overview2.png)


## 开发
<a name="development-services"></a>

您可以使用 AWS Lambda 函数来查找数据，也可以将数据发布到 Amazon Connect 以外的来源。例如，您可以根据客户的电话号码在 Salesforce 上查找入站呼叫方。此函数可能会将此类结果返回为客户姓名、会员级别（例如飞行常客）、最后订单和订单状态。然后，根据该信息，呼叫会被路由到 Amazon Lex 自动程序或座席。

您还可以将 Lambda 与 DynamoDB 等 AWS 数据库配合使用，以创建动态路由功能。例如，您可以根据客户的输入，以特定语言检索提示。

API Gateway 和阶跃函数进一步增强 Lambda 的功能。

有关更多信息，请参阅:
+ [授予 Amazon Connect 访问您的 AWS Lambda 功能的权限](connect-lambda-functions.md)

## 仓储服务
<a name="storage-services"></a>

Amazon Connect 使用 Amazon Simple Storage Service (Amazon S3) 存储记录的对话和导出的报告。当您设置 Amazon Connect 时，它会为这些要求创建默认存储桶，也可以将其指向现有的 Amazon S3 基础结构。有关更多信息，请参阅[创建 Amazon Connect 实例](amazon-connect-instances.md)中的[第 4 步：数据存储](amazon-connect-instances.md#get-started-data-storage)。

不支持 VPC 端点。

您还可以管理将数据移到 Amazon Glacier 的 Amazon S3 策略，以实现成本较低的长期存储。但是，它会断开 Amazon Connect 的联系记录中的链接。要解决此问题，请使用 Lambda 函数重命名 Amazon Glacier 对象以匹配联系记录中的数据。

## 数据库
<a name="database-services"></a>

您可以出于多种原因在 Amazon Connect 中使用 AWS 数据库。例如，使用 DynamoDB，您可以创建快速数据表。

您还可以创建动态信息表以进行呼叫路由。例如，Lambda 函数可以向 DynamoDB 表写入入站呼叫，然后查询表以查看电话号码是否有其他匹配项。如果是这样，则可以决定将呼叫方发送到与之前相同的队列，或者将其标记为重复呼叫方。

有关更多信息，请参阅:
+ 博客文章：[在 Amazon Connect 中创建动态、个性化的体验](https://aws.amazon.com/blogs/contact-center/creating-dynamic-personalized-experiences-in-amazon-connect/)

## 分析
<a name="analytics-services"></a>

Amazon Connect 使用[联系记录](about-contact-states.md#ctr-events)跟踪所有交互。联系记录用于实时和历史指标报告。你也可以使用 Amazon Kinesis 将它们流式传输到像 Amazon Redshift 或 Amazon Athena 这样的 AWS 数据库进行商业智能分析（Quick，或者像 Tableau 这样的第三方）。有可用于为 Amazon RedShift 和 Athena 设置此功能的 AWS CloudFormation 模板。

要对您的流日志进行分析，您可以设置 Amazon Kinesis 流，将您的流日志数据从 CloudWatch 流式传输到数据仓库服务，例如 Amazon Redshift。您可以将流日志数据与您数据仓库中的其他 Amazon Connect 数据组合，或者运行查询以确定流的趋势或常见问题。

有关更多信息，请参阅:
+ [在 Amazon Connect 中开发实时媒体流式传输](access-media-stream-data.md)
+ 博客文章：[使用 Amazon Connect 恢复丢弃的呼叫](https://aws.amazon.com/blogs/contact-center/recovering-abandoned-calls-with-amazon-connect/)

## 机器学习（ML）和人工智能（AI）
<a name="ai-services"></a>

Amazon Connect 对 ML/AI 使用以下服务：
+ Amazon Lex - 可让您创建聊天自动程序以用作交互式语音响应 (IVR)。有关更多信息，请参阅 [将 Amazon Lex 自动程序添加到 Amazon Connect](amazon-lex.md)。
+ Amazon Polly — 在所有流程 text-to-speech中提供。有关更多信息，请参阅[在 Amazon Polly 的流程块中添加 text-to-speech提示](text-to-speech.md)和[Amazon Connect 支持的 SSML 标签](supported-ssml-tags.md)。
+ Amazon Transcribe - 从 Amazon S3 中获取对话录音，并将其转录为文本，以便您查看它们。
+ Amazon Comprehend - 获取录音记录，并将语音分析机器学习应用于呼叫，以识别情绪和关键词并遵守公司政策等。

## 消息收发服务
<a name="messaging-services"></a>

Amazon Connect 使用以下服务进行消息传递：
+ Amazon Pinpoint - 用作事件的出站消息收发触发器；例如，批量消息收发（例如，出站营销活动）。有关更多信息，请参阅此博客文章：[使用 Amazon Pinpoint 在 Amazon Connect 中发送短信](https://aws.amazon.com/blogs/contact-center/using-amazon-pinpoint-to-send-text-messages-in-amazon-connect/)。
+ Amazon Simple Notification Service (Amazon SNS) - 用于收发短信和其他渠道的通知。Amazon SNS 在发送警报和验证时特别有用。
+ Amazon Simple Email Service (Amazon SES) - 用于发送验证电子邮件，例如，发送交易确认的密码重置自动程序。

## 安全性
<a name="security-services"></a>

Amazon Connect 使用以下服务来增加安全性：
+ AWS Identity and Access Management (IAM)-用于管理用户的权限。Amazon Connect 用户需要获得服务许可。有关更多信息，请参阅 [适用于 Amazon Connect 的 Identity and Access Management](security-iam.md)。
+ Directory Service- Amazon Connect 支持通过内部目录（在 Amazon Connect 实例中创建）、使用 Active Directory 集成（MAD、ADFS）或 SAML 2.0 进行用户联合身份验证。

  有关更多信息，请参阅:
  +  [计划在 Amazon Connect 中的身份管理](connect-identity-management.md)
  + 博客文章：[通过 AWS 单点登录和 Amazon Connect 启用联合](https://aws.amazon.com/blogs/contact-center/enabling-federation-with-aws-single-sign-on-and-amazon-connect/)

## 管理
<a name="management-services"></a>

Amazon Connect 使用以下服务来监控使用情况：
+ 亚马逊 CloudWatch-收集 Amazon Connect 的日志、服务指标和性能指标。有关更多信息，请参阅 [使用监控您的 Amazon Connect 实例 CloudWatch](monitoring-cloudwatch.md)。
+ AWS CloudTrail- 提供 Amazon Connect API 调用的记录。

  有关 Amazon Connect 和的更多信息 AWS CloudTrail，请参阅[使用记录 Amazon Connect API 调用 AWS CloudTrail](logging-using-cloudtrail.md)。
+ CloudFormation—Amazon Connect 支持在启用所有支持的渠道的情况下使用 CloudFormation 启动实例。有关更多信息，请参阅 [AWS::Connect::Instance](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-connect-instance.html)。

# Amazon Connect 工作负载层
<a name="workload-layers"></a>

您可以将 Amazon Connect 工作负载分为以下几层：电话、Amazon Connect interface/API, flows/IVR、代理工作站以及指标和报告。

## 通话
<a name="workload-layers-telephony"></a>

![\[此图显示了 Amazon Connect 的通话工作原理。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/telephony.png)


**重要**  
连接多家运营商的 TFN 仅在美国可用。

 Amazon Connect 与多个电话提供商集成，这些提供商的冗余专用网络路径可通往当今提供服务的每个区域中的三个或更多可用区。容量、平台弹性和扩展作为托管式服务的一部分进行处理，使您可以高效地从 10 个座席增加到 10,000 多个座席，而不必担心底层平台和电话基础设施的管理或配置情况。工作负载在电话媒体服务器队列中实现负载均衡，允许将新的更新和功能交付给您，而无需停机进行维护或升级。如果特定组件、数据中心或整个可用区出现故障，则受影响的端点将退出轮换，这使您可以继续为客户提供一致的优质体验。

![\[此图显示了 Amazon Connect 的通话工作原理。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/telephony2.png)


当向 Amazon Connect 实例拨打语音通话时，电话层负责控制您的客户通过其运营商、PSTN 和 Amazon Connect 呼叫的端点。该层表示 Amazon Connect 与客户之间建立的音频路径。通过 Amazon Connect 接口层，您可以配置诸如出站来电者 ID、分配 flow/IVRs 电话号码、启用直播媒体流、启用通话录音以及无需任何传统电话知识或经验即可声明电话号码等内容。此外，在将工作负载迁移到 Amazon Connect 时，您可以选择通过在 AWS 管理控制台中打开支持案例来移植现有电话号码。在完全迁移之前，您还可以将现有电话号码转发到您在 Amazon Connect 实例中申请的号码。

## Amazon Connect 接口/API
<a name="connectinterface-api"></a>

Amazon Connect 接口层是您的座席、联络中心主管和管理员用来访问 Amazon Connect 组件 [如报告和指标、用户配置、通话录音和联系人控制面板 (CCP)] 的接入点。它也是负责以下内容的层：
+ 单点登录 (SSO) 集成用户身份验证
+ 使用 [Amazon Connect Streams](https://github.com/aws/amazon-connect-streams) API 创建的自定义桌面应用程序，这些应用程序可以提供其他功能和/或与现有客户关系管理 (CRM) 系统（包括 [Amazon Connect Salesforce CTI Adapter](salesforce-integration.md)）集成。
+ Amazon Connect 面向联系人的聊天界面
+ 托管 Amazon Connect Chat API 的聊天 Web 服务器
+ 将聊天联系人路由到 Amazon Connect 所需的任何 Amazon API Gateway 终端节点和相应 AWS Lambda 功能。

您的座席、经理、主管或联系人用于通过 Web 浏览器或 API 访问、配置或管理 Amazon Connect 组件的任何内容都均被视为 Amazon Connect 接口层。

![\[此图显示了 Amazon Connect 接口和 API。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/connectinterface.png)


### 流/IVR
<a name="contactflowivr"></a>

该 Flow/IVR 层是 Amazon Connect 的主要架构载体，是客户联系您的联络中心的切入点和第一条沟通渠道。客户联系您的 Amazon Connect 实例后，流会控制 Amazon Connect、联系人和座席之间的互动，从而允许您执行以下操作：
+ 动态调用 AWS Lambda 函数进行 API 调用。
+ 通过 Amazon Kinesis 向第三方端点发送实时 IVR 和语音数据。
+ 访问您的 VPC 内部和 VPN 背后的资源。
+ 致电 Amazon Pinpoint 等其他 AWS 服务，从 IVR 发送短信。
+ 对诸如 Amazon DynamoDB 之类的数据库执行数据查询，以便为您的联系人提供服务。
+ 直接从流程中调用 Amazon Lex，以调用 Lex 机器人进行自然语言理解（NLU） 和自动语音识别 (ASR)。
+  Text-to-Speech通过 Amazon Polly 播放动态和自然的声音，并使用 SSML 和 Neural Text-to-Speech (NTTS) 实现最自然、最像人的声音。 text-to-speech

流使您能够动态提示联系人，收集和存储联系属性，并进行适当的路由。您可以将流分配给多个电话号码，并通过 Amazon Connect 对其进行管理和配置。

![\[此图显示了流和 IVR。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/contactflowivr.png)


## 座席工作站
<a name="workload-layers-agent-workstation"></a>

代理工作站层不由管理 AWS。它由任何物理设备和第三方技术、服务和端点组成，可方便您的座席进行语音、数据传输和访问 Amazon Connect 接口层。座席工作站层中的组件包括：
+ 联系人控制面板 (CCP) 座席硬件
+ 网络路径
+ 座席耳机或电话听筒
+ VDI 环境
+ 操作系统和 Web 浏览器
+ 端点安全
+ 所有联网组件和基础设施
+ 互联网服务提供商 (ISP) 或 Direct Connect 专用网络路径 AWS。
+ 座席操作环境的所有其他方面，包括电力、设施、安全和环境噪音。

![\[图形座席工作站。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/agentworkstation.png)


## 指标和报告
<a name="workload-layers-metric-reporting"></a>

指标和报告层包括负责交付、使用、监控、警报或处理座席、联系人和联络中心的实时和历史指标的组件。这包括负责促进实时或历史联络中心指标、活动审核和监控数据的处理、传输、存储、检索和可视化的所有本机和第三方组件。例如：
+ 存储在 Amazon Simple Storage Service (Amazon S3) 中的通话录音和计划报告。
+ 您可以使用 Amazon Kinesis 将这些联系人记录导出到诸如 Amazon Redshift 之类的 AWS 数据库服务或您自己的本地数据仓库。
+ 您使用亚马逊 OpenSearch 服务和 Kibana 创建的实时控制面板。
+ 生成的 Amazon CloudWatch 指标可用于根据静态阈值设置警报，设置 Amazon SNS 通知以提醒您的管理员和主管，或者启动响应事件的 AWS Lambda 功能。

![\[图形指标和报告。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/metricandreporting.png)


# Amazon Connect 中的场景和部署方法
<a name="scenario-deployment-approaches"></a>

Amazon Connect 提供自助配置，支持任何规模的动态、个人和自然的客户互动，并提供各种迁移和集成选项。在此部分，我们将介绍在为 Amazon Connect 设计工作负载时需要考虑的以下场景和部署方法：
+ 传统联系中心
+ 入站
+ 出站
+ 混合联络中心
+ 传统联系中心迁移
+ 虚拟桌面基础架构 (VDI)

## 传统联系中心
<a name="traditional-contact-center"></a>

传统的联络中心需要大量的电话、媒体、联网、数据库和计算基础架构足迹，它们可以跨越多个供应商和数据中心位置来为联系人提供服务。每个单独的解决方案和供应商都有独特的硬件、软件、联网和架构要求，在解决版本控制、兼容性和许可冲突时必须满足这些要求。

对于本地和远程代理硬件和 VPN 连接 Text-To-Speech (TTS)、自动呼叫分配 (ACD)、交互式语音应答 (IVR)、语音音频和数据、物理桌面电话、录音、语音转录、聊天、报告、数据库、计算机电话集成 (CTI)、自动语音识别 (ASR) 和自然语言理解 (NLP)，通常会有不同的供应商和基础设施要求。当您考虑多阶段开发、质量保证和测试环境时，您的联络中心架构和基础架构会变得更加复杂。

![\[传统联络中心。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/traditionalcontactcenter.png)


典型的 Amazon Connect 部署可以解决或减少与版本控制、兼容性、许可、联络中心电话基础设施和维护相关的许多挑战。它使您能够在几分钟内在新位置灵活地创建实例，并单独或并行迁移组件，以最大程度地满足您的个人业务目标需求。您可以将流用于 IVR/ACD，通过支持的 Web 浏览器将语音和数据传输到座席的软电话，转网现有电话号码，将软电话音频重定向到现有桌面电话，在流中本地调用 Amazon Lex 机器人以用于 ASR 和 NLP，并将相同的流用于聊天和语音。您可以使用 Amazon Connect Contact Lens 自动生成语音转录、执行关键词识别和情绪分析以及对联系人进行分类。对于座席 CTI 数据和实时语音流式传输，您可以使用 Amazon Connect Agent Event Streams 和 Kinesis Video Streams。您还可以创建多阶段开发、质量保证和测试环境，无需支付额外费用，只需按实际用量付费。

## 入站
<a name="inbound"></a>

入站是联络中心的一个术语，用于描述联系人向中心发起的通信请求。联系人可以访问您的 Amazon Connect 实例以进行入站自助服务，也可以通过多种方式（包括语音和聊天）与实时座席通话。语音联系会经过 PSTN，并通过您的实例中申请的电话号码路由到 Amazon Connect 实例电话入口点。您可以直接通过 Amazon Connect 预留电话号码、转网现有电话号码或将语音联系转发到 Amazon Connect。Amazon Connect 可以在支持相应服务的所有区域提供本地和免费电话号码。

![\[此图显示了联系人向中心发起的入站请求。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/inbound.png)


当向 Amazon Connect 实例中申请或转网到的号码拨打电话时，将调用与被叫号码关联的流。您可以使用无需编码知识即可配置的流数据块来定义流。流可确定应如何处理和路由联系人，可以选择提示联系人提供其他信息以协助路由决策，将这些属性存储到联系详细信息中，并在必要时将该联系人路由到座席，并附上在整个过程中收集的所有叫详细信息和转录。通过该流程，您可以调用 AWS Lambda 函数来查询客户信息，调用 Amazon Pinpoint 等其他 AWS 服务发送短信，以及使用原生 AWS 服务集成（包括 Amazon Lex for 和 Kinesis Video Streams）来实时直播语音通话。 NLU/NLP 

如果入站联系人需要联系座席，则根据您的路由配置，当该联系人将其状态更改为“可用”时，该联系人将被放入队列中并路由到座席。当手动或通过自动接受配置接受可用座席的联系人时，Amazon Connect 会将联系人与座席连接。

![\[此图显示了队列中入站联系人。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/inbound2.png)


 当入站联系人来自浏览器或移动应用程序的聊天会话请求时，该请求将被路由到 Web 服务或 Amazon API Gateway 端点，该端点会调用 Amazon Connect 聊天 API，以来调用您的请求中配置的流。您可以对聊天和语音使用相同的流，其中体验是根据流中定义的逻辑动态管理和路由的。

## 出站
<a name="outbound"></a>

Amazon Connect 允许您以编程方式尝试向本地和国际端点进行出站联系，缩短不同联系之间的座席设置时间，并提高座席的工作效率。通过使用 [Amazon Connect Streams](https://github.com/aws/amazon-connect-streams) API 和 [StartOutboundVoiceContact](https://docs.aws.amazon.com/connect/latest/APIReference/API_StartOutboundVoiceContact.html)，您可以开发自己的出站解决方案，或者利用与您的 CRM 数据配合使用的现有合作伙伴集成，为您的联系人创建动态的个性化体验，并为您的代理提供为这些联系人提供服务所需的工具和资源。

出站活动通常由从联系人列表导出 CRMs 并分离到联系人列表中的联系人数据驱动。这些联系人将进行优先级排序，并交付给座席以在一段时间的预览后启动，或者使用 Amazon Connect 出站 API 以编程方式联系，由您的流逻辑驱动，并根据需要连接到座席。典型的出站联络中心使用案例包括欺诈和服务提醒、收集和预约确认。

## Hybrid
<a name="hybrid"></a>

如果您需要在 Amazon Connect 和传统联络中心技术之间转接联系人，则可以使用混合模型架构在转接时传递联系人数据。例如，传统联络中心平台上的销售业务部门可能需要将呼叫转接到已迁移到 Amazon Connect 的服务业务部门。如果没有混合架构，呼叫详细信息将丢失，可能需要联系人重复信息。这可能会增加处理时间，并可能导致出于相同目的再次呼叫联系人。

混合架构要求您申请与预期最大并发联系数量一样多的电话号码，以及 Amazon Connect 和传统联络中心平台均可访问的中间状态数据库。当需要转接到另一个平台时，您将使用其中一个电话号码作为唯一标识符，在中间数据库中将其标记为正在使用中，插入您的联系详细信息，并在转接联系人时使用该号码作为您的 ANI 或 DNIS。当其他联络中心平台接到联系人时，您将根据您使用的唯一 ANI 或 DNIS 向中间数据库查询联系详细信息。由于额外成本和相关复杂性，混合架构通常用作临时迁移步骤。

### 仅限 IVR
<a name="ivr-only"></a>

您可以选择使用 Amazon Connect 来提升联系人的 IVR 体验，同时您的座席群体仍保留在传统联系中心平台上。通过这种方法，您可以使用 Amazon Connect 流来推动自助服务和路由逻辑，并在必要时将联系人转接到传统联络中心平台上的目标座席或座席队列。

![\[此图显示了客户互动语音应答体验。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/hybridivr.png)


在此图中，联系人拨打您的 Amazon Connect 实例中申请的电话号码以获取服务。如果需要将其转移到旧版联络中心平台上的客服人员，则会调用一个 AWS Lambda 函数来查询可用的唯一电话号码，将其标记为正在使用中，并将相关的联系方式写入中间数据库。然后，使用从 Lambda 函数返回的电话号码将联系人转接到传统联络中心平台。然后，传统联络中心将在中间数据库中执行联系详细信息的查询，相应地进行路由，并重置中间数据库中的联系人数据，从而允许再次使用相应电话号码。

### 仅座席
<a name="agent-only"></a>

通过这种方法，您的传统联系中心 IVR 可以驱动联系人的 IVR 自助服务和路由逻辑，并在必要时将联系人转接到 Amazon Connect 以路由到您的座席群体。

![\[此图显示了仅限座席体验。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/hybridagentonly.png)


在此图中，联系人拨打的是您在传统联络中心平台上申请的电话号码。如果需要将其转接给 Amazon Connect 上的座席，传统联络中心平台将查询可用的唯一电话号码，将其标记为正在使用中，并将相关联系详细信息写入到中间数据库。然后，该联系人将使用由传统联络中心查询返回的电话号码转接到 Amazon Connect。然后，Amazon Connect 将使用 AWS Lambda中介数据库查询联系人详情，进行相应的路由，然后重置中间数据库中的联系人数据，从而允许再次使用该电话号码。

### 混合
<a name="mixed"></a>

在这种情况下，您的 IVR 和代理可能会在 Amazon Connect 和旧的联络中心平台上并行运行，以便进行站点、座席组或 line-of-business迁移。

![\[此图显示了仅限混合座席和客户互动语音应答体验。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/hybridmixed.png)


## 传统联系中心迁移
<a name="legacy-contact-center-migration"></a>

在评估 Amazon Connect 是否适用于新的或现有的工作负载时，您可以考虑多种策略。对于在 Amazon Connect 和您的传统联络中心解决方案之间转接联系人时需要包含联系详细信息的情况，在迁移完成之前，将需要采用混合模型架构。此部分中所述的方法允许您分阶段转移特定的业务线，管理培训和支持，并降低与变更相关的风险。

### 新工作负载
<a name="new-workload"></a>

通过在 Amazon Connect 上采用全新的工作负载，您可以降低与现有业务部门变更相关的风险，提高灵活性和数字创新潜力。不需要混合模型架构的全新工作负载不那么复杂，不受业务流程或座席例程变化的影响，并且面市时间更短。采用全新的工作负载可以让您充分利用基于使用量的定价。 pay-as-you-go您的联络中心资源可用于为其最终用户创造全新的体验，对其进行测试和实施以评估平台，获得信心，并构建技能和运营机制，为跨现有工作负载进行更大规模的迁移做好准备。

### 优先采用 IVR
<a name="ivr-first"></a>

您可以选择使用 Amazon Connect 来提升联系人的 IVR 体验，同时您的座席群体仍保留在传统联系中心平台上。通过这种方法，您可以使用 Amazon Connect 流来推动自助服务和路由逻辑，并在必要时将联系人转接到传统联络中心平台上的目标座席或座席队列。

### 最后采用 IVR
<a name="ivr-last"></a>

通过这种方法，您的传统联系中心 IVR 可以驱动联系人的 IVR 自助服务和路由逻辑，并在必要时将联系人转接到 Amazon Connect 以路由到您的座席群体。

### 业务线细分
<a name="lob-segmentation"></a>

如果您的业务部门有单独的联系人 IVRs 或不需要将联系人转移到传统的联络中心平台，则可能需要考虑采用业务线迁移方法。例如，选择您的内部支持服务台作为要迁移的首个业务线。将服务台 IVR 和座席群体迁移到 Amazon Connect 后，您可以选择将现有联系人转发到 Amazon Connect，在测试和企业信息验证完成后转网端点。

### 站点或座席组细分
<a name="agent-segmentation"></a>

如果您的联络中心遍布全球，为来自多个国家/地区的联系人提供服务，或者由各自的地理位置或位置独立管理，则您可能需要考虑采用基于座席的物理站点或地理位置的迁移方法。每个代理人群 and/or 的地理位置可能有其独特的要求和注意事项，这些要求和注意事项可能不适用于全球。以这种方式进行迁移将使每个站点或座席组都能获得在进入下一步之前继续独立运行所需的技能。

## 虚拟桌面基础架构 (VDI)
<a name="vdi"></a>

虽然您可以在虚拟桌面基础架构 (VDI) 环境中使用 Amazon Connect 联系人控制面板 (CCP)，但它会让您的解决方案变得更加复杂，需要单独进行 POC 工作和性能测试，以优化解决方案。最好configuration/support/optimization由您的 VDI 支持团队处理，以下部署模型是最常实现的。

### 具有本地浏览器访问权限的 VDI 客户端
<a name="vdi-with-browser"></a>

您可以使用 [Amazon Connect Streams](https://github.com/aws/amazon-connect-streams) API 创建一个不含呼叫信令的媒体的 CCP，从而构建自定义 CCP。这样，会在本地桌面上使用标准 CCP 处理媒体，并使用不含媒体的 CCP 通过远程连接处理信号发送和呼叫控制。下图描述了这种方法。

![\[具有本地浏览器访问权限的 VDI 客户端。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/vdi.png)


### Citrix VDI 与 Amazon Connect 音频优化
<a name="vdi-citrix"></a>

如果您使用 Citrix 虚拟桌面基础设施 (VDI) 环境，则可以使用 Amazon Connect RTC JavaScript 库构建自定义 CCP，该库与 Citrix 联合通信软件开发工具包 (ucsdk) 集成，并自动将媒体从本地桌面重定向到 Amazon Connect。这使您的代理能够使用 Citrix VDI 客户端应用程序（例如 Citrix Workspaces）连接到其自定义代理应用程序或自定义代理应用程序。 CCPs这样就无需为其 Citrix 环境的音频媒体重定向开发和管理单独的代理应用程序（例如 dual-CCPs）。下图描述了这种方法：

![\[适用于 Citrix VDI 环境的 Amazon Connect 媒体工作流。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/vdi-citrix.png)


**注意**  
此解决方案要求您允许 WebRTC 在您的 VDI 服务器和 Amazon Connect 之间传输信令流量，以及允许在座席的桌面和 Amazon Connect 之间建立媒体连接。有关更多信息，请参阅[设置网络以使用 Amazon Connect 联系人控制面板 (CCP)](ccp-networking.md) 文档。

### 带有 Amazon WorkSpaces Connect 音频优化的亚马逊 VDI
<a name="vdi-amazon-workspaces"></a>

通过使用虚拟桌面基础架构 (VDI) 环境，您可以利用 Amazon WorkSpaces Connect 实时通信 (RTC) 库创建自定义的联系人控制面板 (CCP) JavaScript 。该库与 Amazon WorkSpaces SDK 无缝集成，可自动将媒体从本地桌面重定向到 Amazon Connect。这样就无需开发和管理专门用于其 WorkSpaces 环境中的音频媒体重定向的单独代理应用程序（例如 dual-CCPs）。下图阐释了这种方法。

![\[Amazon Connect 和 Workspaces 环境。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/vdi-connect.png)


### Omnissa VDI 与 Amazon Connect 音频优化
<a name="vdi-omnissa"></a>

Omnissa 虚拟桌面基础架构（VDI）解决方案通过实施自定义联系人控制面板（CCP），实现了与 Amazon Connect 的简化集成。

 通过将Amazon Connect RTC JavaScript 库与Omnissa的Horizon WebRTC软件开发工具包结合使用，通过将媒体流直接从代理的本地终端节点重定向到Amazon Connect来优化音频处理。这种架构消除了通过虚拟桌面进行音频路由的传统挑战，为座席在使用其 Omnissa VDI 环境时提供了卓越的语音体验。该解决方案消除了管理单独音频重定向应用程序的复杂性，为座席互动提供了一个统一的界面。下图阐释了此架构方法。

![\[Amazon Connect 和 Omnissa 环境。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/omnissa-6.png)


### 不具有本地浏览器访问权限的 VDI 客户端
<a name="vdi-without-browser"></a>

有时 VDI 客户端无法访问本地浏览器。在这种情况下，您可以使用从 VDI 服务器运行的媒体创建单个 CCP 实例，从而允许访问企业资源。对于此部署模型，通常在 VDI 操作系统上启用 UDP 音频。此部署模型需要进行大量测试，以校准不同的 VDI 服务器参数，从而优化体验质量：

![\[不具有本地浏览器访问权限的 VDI 客户端。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/vdinobrowser.png)


# Amazon Connect：单实例还是多个实例？
<a name="single-instance-multiple-instances"></a>

## Amazon Connect 的单个实例（包括单个 ACGR 对）
<a name="single-instance-connect"></a>

### 适用场景
<a name="single-instance-best-for"></a>

通过共享基础设施和统一的客户体验实现集中式联络中心运营。

### 优点
<a name="single-instance-pros"></a>
+ **降低操作开销** — Manage/maintain 单一系统，减少设置/配置的重复。
+ **集中管理** — 统一的指标、报告、队列、路由配置文件、用户等。
+ **一致的客户体验** — 跨团队通用 IVR、流程和设置。

### 缺点
<a name="single-instance-cons"></a>
+ **数据/租户隔离设计** — 必须设计跨业务部门、品牌或地区的数据隔离。
+ **单一地理位置**-在远离实例的区域，延迟可能很高。
+ **服务配额管理** — 由于难以预测多个业务部门的使用量和增长，因此服务配额管理可能更具挑战性。

## 多个 Amazon Connect 实例
<a name="multiple-instances-connect"></a>

### 适用场景
<a name="multiple-instances-best-for"></a>

具有地理、监管或安全要求无法在单一区域实施的企业（电话、数据隔离、物理距离导致的延迟等）。

### 优点
<a name="multiple-instances-pros"></a>
+ **高度隔离** — 每个 BU 或区域可以有自己的代理、路由、报告。在印度、韩国和南非，需要对特工进行隔离。
+ **量身定制的配置** — 可以按实例自定义流程、提示和集成。
+ **更简单的数据驻留**-对于跨国组织的合规性可能很有用。
+ **缩小爆炸半径** — 一个实例中的问题不会影响其他问题。
+ **地理位置**-可以选择区域以保持本地电话流量本地化。

### 缺点
<a name="multiple-instances-cons"></a>
+ **更高的管理开销**-需要维护和更新多个环境。
+ **分散的报告**-目前需要建立多区域报告。
+ **成本增加** — 每个实例可能需要重复的资源（Lambda、Amazon Lex、API）。
+ **用户体验不一致** — 除非严格管理，否则每个实例都可能在流程设计、客户体验、客户安全模型等方面有所不同。

## Summary
<a name="single-multiple-instances-summary"></a>

单实例架构还是多实例架构的决定是细致入微的，并且高度取决于客户需求的性质。考虑到 Amazon Connect 的可扩展性、可定制性、可编程性和安全性，在没有需要多个区域的迫切要求的情况下，我们通常建议使用单实例 Amazon Connect 架构（包括单个 Amazon Connect 全球弹性对）。

# Amazon Connect 工作负载的卓越运营
<a name="operational-excellence"></a>

卓越运营包括运行和监控系统以交付商业价值和持续改善支持流程和程序的能力。本部分包含设计原则、最佳实践以及围绕 Amazon Connect 工作负载卓越运营的问题。

## 准备
<a name="prepare"></a>

要为 Amazon Connect 工作负载做准备，请考虑以下几个方面。

### AWS 账户
<a name="awsaccount"></a>

使用 AWS Organizations，您可以为开发、暂存和质量保证环境的每个级别设置多个 AWS 帐户。这样，当您在 AWS上增长和扩展工作负载时，就可以集中管理您的环境。无论您是成长中的初创公司还是大型企业，Organizations 都能帮助您集中管理账单；控制访问权限、合规性和安全；并在您的 AWS 账户之间共享资源。这是消费 AWS 服务和云采用框架的起点。

### 区域选择
<a name="regionselection"></a>

Amazon Connect 区域选择取决于数据监管要求、使用案例、每个区域的可用服务、每个区域的电话成本，以及与您的座席、联系人和外部转接端点的地理位置相关的延迟。

### 通话
<a name="telephony-bp"></a>
+ **电话号码转网** 尽可能在待定上线日期之前提交携号转网请求。

  在为关键工作负载移植电话号码时，请在上线日期前几个月将所有要求和用例信息包含在您的 claim/port 号码中。这包括对实时割接支持的请求，割接之前、期间和之后的通信、监控全球，以及任何特定于您的使用案例的其他请求。

  有关转网号码的详细信息，请参阅[将当前的电话号码转网到 Amazon Connect](port-phone-number.md)。
+ **运营商多元化** 在美国，您应该使用 Amazon Connect 电话服务获得美国免费号码，这样您就能够以双活的方式在多个供应商之间路由免费流量，而没有额外费用。如果您要将入站流量转发到 Amazon Connect 电话号码，则应在多个电话提供商之间请求冗余的 DID 或免费电话号码。如果您要在美国境外申请或转网多个 DID 或免费电话号码，则应请求将这些号码申请或转网到各种电话提供商，以提高弹性。
+ **国际免费电话和高并发性 DIDs**如果您使用现有的免费全国电话服务将入站流量重定向到 DIDs，则应在多个电话提供商之间申请 DID 电话号码。此配置的常规建议是每个 DID 100 个会话，您的 AWS 解决方案架构师可以帮助进行容量计算和设置。
+ **测试** 彻底测试所有使用案例场景，最好使用与您的座席和客户相同或相似的环境。确保测试多个入站和出站场景的体验质量、呼叫方 ID 功能，并测量延迟，以确保延迟在您的使用案例可接受的范围内。与目标座席和客户环境的任何偏差都需要进行测量和考虑在内。有关更多信息（包括使用案例测试说明和标准），请参阅[排查联系人控制面板 (CCP) 问题](troubleshooting.md)。

### 座席工作站
<a name="agent-ws"></a>

Amazon Connect 呼叫控制面板 (CCP) 具有特定的网络和硬件要求，必须满足这些要求才能确保为您的座席和联系人提供最高质量的服务：
+ 针对 CCP 使用来设置您的网络，并确保您的座席硬件满足最低要求。
+ 确保您已在与座席相同的网络分段上使用了 Amazon Connect Check Amazon 连接工具，以验证是否已针对 CCP 使用正确配置了您的网络和环境。
+ 计算要求座席和联系人位于地理上偏远的位置的使用案例的 PSTN 延迟
+ 查看[排查联系人控制面板 (CCP) 问题](troubleshooting.md)部分以创建运行手册和行动手册，以供您的座席和主管在遇到问题时遵循。
+ 为您的座席工作站设置监控，并考虑采用合作伙伴解决方案来监控通话质量。您监控座席工作站的目标应该是，能够识别任何潜在网络和资源争用的根源。例如，考虑典型座席指向 Amazon Connect 的软电话网络连接路径：  
![\[座席工作站监控。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/agentworkstation-oe.png)

  如果不在本地 LAN/WAN、路径和座席工作站级别设置监控，就很难而且通常不可能确定语音质量问题是否源于您的代理的工作站、他们的专用 LAN/WAN AWS、ISP 或联系人本身。 AWS主动设置日志记录和警报机制对于确定根本原因和优化语音质量环境具有至关重要的意义。

### 配置您的现有目录
<a name="configure-directory"></a>

如果您已经在使用 Directory Service 目录来管理用户，则可以使用同一个目录来管理 Amazon Connect 中的用户账户。这必须在创建 Amazon Connect 实例时确定和配置。在创建实例后，您不能更改您选择的身份选项。例如，如果您决定更改所选目录以便为实例启用单点登录 (SSO)，则可以删除该实例并创建一个新实例。删除实例后，将失去该实例的所有配置设置和指标数据。

### 服务配额
<a name="service-quotas-bp"></a>

查看您的工作负载中涉及的每项服务的默认服务限额以及 Amazon Connect 的默认服务限额，并在适用时请求增加服务限额。当请求增加 Amazon Connect 的服务限额时，请务必使用预期值，而不针对波动使用额外的填充。当您提出请求时，系统会自动考虑波动。

### AWS 企业支持
<a name="enterprise-support-bp"></a>

AWS 建议将 Enterprise Support 用于上的业务 and/or 关键型工作负载。 AWS企业支持和 AWS 解决方案架构师的架构完善的审查都需要符合 Amazon Connect 服务等级协议的资格。

### AWS 精心设计的评论
<a name="well-architected-review-bp"></a>

在迁移或实施到 Amazon Connect 之前，请使用 Well-Architecte AWS d 框架 “卓越运营”，遵循我们的最佳实践。该框架为您提供了一种一致的方法来评估架构和实施设计，这些设计基于五大支柱（卓越运营、安全性、可靠性、性能效率和成本优化），将会随时间推移而扩展。我们还建议将 E AWS nterprise Support 用于中的业务和任务关键型工作负载。 AWS企业支持和解决方案架构师的 Well-Architected 审核都必须符合获得 Amazon Connect 服务等级协议的资格。 AWS 

## 运营
<a name="operate-bp"></a>

要运行 Amazon Connect 工作负载，请考虑以下几个方面。

### 日志记录和监控
<a name="logging-monitoring-bp"></a>

请参阅[使用监控您的 Amazon Connect 实例 CloudWatch](monitoring-cloudwatch.md)和[使用记录 Amazon Connect API 调用 AWS CloudTrail](logging-using-cloudtrail.md)。

### 联系属性
<a name="contactattributes-bp"></a>

Amazon Connect 允许您在流程中动态设置和引用联系人属性，为您的联系人创建动态和个性化的体验，创建强大的数据驱动型自助服务应用程序 IVRs，与其他 AWS 服务集成，简化电话号码管理，并允许自定义实时和历史报告和分析。以下是您可以遵循的最佳做法和注意事项，以降低复杂性、防止数据丢失并确保联系人获得一致的体验质量。

请注意以下注意事项：
+ 数据大小 – 为阻止截断，您可以在“设置联系属性”数据块中设置的联系属性的大小限制会因字符集、编码和使用的语言不同而异。虽然这些数据通常足以为联系人播放一个短篇故事，但也有可能超过这一限制，截断超过 32KB 的任何属性集。
+ 数据敏感度 – 请注意所设置、查询和引用的任何属性是否为敏感属性或属于任何监管准则的范围，并确保针对您的使用案例对数据进行适当处理。
+ 数据持久性 – 使用“设置联系属性”数据块设置的任何属性都将包含在联系人的联系记录中，并可用于使用 Streams API 向任何自定义座席桌面弹出屏幕。每当您的流程中引用该属性并启用流程日志记录时，该属性的名称和值都将记录到 Amazon CloudWatch。

**最佳实践**
+ 监控使用情况 – 在实施新功能、加入新业务部门和迭代现有流时，请在联系人搜索中查找当前的属性使用情况，将属性复制到文本编辑器，添加新属性，并确保不超过 32KB 的大小限制。请务必考虑可变长度字段，例如 firstName 和 lastName，并确保即使字段中使用了最大空间，也要仍低于 32KB 的限制。
+ 清理 – 如果不需要数据持久性，则可以设置具有相同名称和空值的属性，以防止数据存储到联系记录中或使用 [Amazon Connect Streams](https://github.com/aws/amazon-connect-streams) API 在屏幕弹出窗口中传递给座席，同时释放数据本应在联系记录中使用的字节。
+ 敏感数据 – 使用**存储客户输入**数据块从联系人那里收集敏感的 DTMF 输入，并使用信封加密来保护原始数据和用于加密这些数据的数据密钥。将敏感数据存储在需要持久性的单独数据库中，使用**设置日志记录行为**流数据块在每次引用敏感信息时禁用日志记录，并使用前面概述的**设置联系属性**数据块清理方法删除、清理或模糊处理敏感数据。有关更多信息，请参阅 [Amazon Connect 中的合规性验证](compliance-validation.md)。

### 通话
<a name="telephony-bp"></a>

在美国，请尽可能使用免费电话号码在多个运营商之间进行负载均衡，以获得额外的路线和运营商冗余。与必须由单个运营商管理的 DID 电话号码相比，这样也有助于缩短解决时间。在您使用的情况下 DIDs，尽可能在来自多个运营商的号码之间进行负载平衡，以提高可靠性。确保正确处理流中的所有错误路径，并实施[排查联系人控制面板 (CCP) 问题](troubleshooting.md)中提供的最佳实践、要求和建议。

如果您要将现有电话提供商的电话号码转发到 Amazon Connect，请确保您的运营团队定义并充分理解将转发目标更改为备用 DID/免费电话号码或以其他方式删除转发的流程。确保您拥有专门用于生产就绪性评估、电话号码转网和转发过程以及排查从现有电话提供商转接电话时可能出现的音频问题的运行手册和行动手册。您还需要一个可重复的流程，您的运营团队可以按照该流程来确定这些音频问题的根源是 Amazon Connect 还是您现有的电话提供商。

### Amazon Connect APIs
<a name="apis-bp"></a>

Amazon Connect 限制限额是按账户设置的，而不是按实例设置的。在使用 Amazon Connect 时，您应该考虑以下最佳实践 APIs：

#### 实施 caching/queuing 解决方案
<a name="queuingsolution"></a>

为了降低 API 数据查询开销并避免限制，您可以使用像 Amazon DynamoDB 这样的中间数据库来存储 API 调用结果，而不是从对 API 数据感兴趣的所有端点调用 API。例如，下图表示从需要使用此信息的多个源使用 Amazon Connect 指标 API：

![\[实施缓存和队列解决方案。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/amazonconnectapis-oe.png)


您可以让一个 AWS Lambda 函数将所有感兴趣的数据写入 Amazon DynamoDB，而不必使用单独的函数，每个 AWS Lambda 函数都有自己的轮询要求。它们不是让每个端点直接转到 API 来检索数据，而是指向 DynamoDB，如下图所示：

![\[此图显示了端点指向 DynamoDB 而不是从 API 检索数据。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/amazonconnectapis2-oe.png)


此架构允许您根据需要更改轮询间隔并添加端点，而不必担心超出服务限额，从而使您能够扩展到数据库解决方案支持的任意数量的并发连接。您可以使用这一相同的概念来查询来自 Amazon Connect 的任何实时数据源。对于需要执行 API 操作（例如出站 API 调用）的情况，您可以将相同的概念与 Amazon Simple Queue Service 结合使用，将 API 请求 AWS Lambda 与 SQS 结合使用来排队 API 请求。

#### 指数回退和重试策略
<a name="retrystrategies"></a>

您可能会遇到超出 API 节流限制的情况。当 API 调用失败，在没有实施缓存或队列解决方案的情况下，重复重试 API 调用或直接从多个并发端点进行 API 调用时，可能会发生这种情况。为避免超出服务配额并影响下游进程，应考虑在 AWS Lambda 函数中使用指数级退出和重试策略，同时使用缓存和队列。

### 变更管理
<a name="changemanagement"></a>

将工作负载迁移到 Amazon Connect 的两个主要驱动因素是灵活性和上市速度。为了在不牺牲敏捷性的前提下确保卓越运营，请遵循以下最佳实践：
+ **模块化流**：Amazon Connect 中的流与现代应用程序构建类似，在此情况下，与单体式替代方案相比，较小的专用组件具有更大的灵活性、控制性和易管理性。您可以通过**转移到流程块将模块化流程组合成一种 end-to-end体验，从而使您的流程**变得小巧且可重复使用。这种方法允许您在变更实施期间降低风险，允许您测试单个较小的更改，而不是对整个体验进行回归测试，并且可以更轻松地在测试期间识别和解决流中的问题。
+ **存储库**：在更改管理流程中，使用联系流导入/导出将所有流的所有版本备份到您所选择的存储库中。
+ **按百分比分配**：为了降低更改管理过程中遇到的风险，并为您的联系人尝试新的体验，您可以使用**按百分比分配**数据块将一部分流量路由到新的流，同时将其他流量留在原始体验上。
+ **衡量结果**：数据驱动型决策是成功推动业务实现有意义变革的关键。用一个关键指标来衡量您的更改是绝对必要的。对于您所做的所有更改，您需要计划如何衡量成功。例如，如果您正在对联系人实施自助服务功能，那么您希望自助服务的联系人中有多少百分比的联系人认为工作负载成功，或者您正在衡量哪些其他指标来确定成功？ 
+ **回滚**：确保有一个清晰、明确定义且易于理解的流程来将任何更改退回到先前的状态，具体取决于所执行的更改。例如，如果您发布新的流版本，请确保更改说明中包含有关如何回滚到流的早期版本的文档。

### 路由配置文件
<a name="routingprofiles"></a>

了解优先级、延迟和溢出路由在 Amazon Connect 中的工作原理，对于最大限度地提高座席的工作效率、减少联系人等待时间和确保联系人获得最佳体验质量具有至关重要的意义。

### 在 Amazon Connect 中路由
<a name="routing-bp"></a>

联系人在 Amazon Connect 中路由是通过一组队列和路由配置（称为路由配置文件）完成的。队列等同于座席为该队列的联系人提供服务所需掌握的技能或熟练程度。路由配置文件可以被视为一组技能，您可以将其与联系人的需求相匹配

在您的流中，您可以提示提供其他信息，如果这些信息需要到达座席，您可以使用流配置将它们放置在适当的队列中。在以下示例中，“储蓄”、“支票”和“贷款”是单独的队列或技能，三个路由配置文件是唯一的技能集或技能组：

![\[按队列组进行路由。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/routingprofile1.png)


每个座席根据其技能集仅分配到一个路由配置文件，并且具有相似技能集的许多座席可以共享相同的路由配置文件：

![\[按技能集进行路由。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/routingprofile2.png)


每个电话号码或聊天端点将与一个流相关联。该流会执行其逻辑，其中可能包括提示客户提供信息，以确定联系人的需求，并最终将联系人路由到适当的队列中。下图描述了路由配置文件、队列和流如何协同工作为联系人提供服务：

![\[路由图显示了路由配置文件、队列和流如何共同为联系人提供服务。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/routingprofile3.png)


为了说明如何可以确定各种队列、路由配置文件和路由配置文件的座席分配，请考虑下表：

![\[按队列组进行路由。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/routingprofile4.png)


在第一行，您已经确定了自己的技能或队列。在左列中，您有座席列表，在中间，您已经检查了每个座席支持的技能。您可以对矩阵进行排序，该矩阵按我们座席群体中的一组常见技能要求进行分组。这样有助于将路由配置文件识别为绿色框中标记的一个路由配置文件（由两个队列组成），您可以为其分配座席。通过该练习，您已经确定了四个路由配置文件，并相应地为它们分配了 13 个座席。

根据上表，来自需要储蓄技能的联系人的传入呼叫可以由三个路由配置文件 1、2 和 4 中的三组座席接听，如下图所示：

![\[按队列组进行路由。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/routingprofile5.png)


### 优先级和延迟
<a name="prioritydelay-bp"></a>

在不同的路由配置文件中结合使用优先级和延迟，您可以创建灵活的路由策略。

![\[此图显示了路由配置文件中用于创建路由策略的优先级和延迟。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/priorityandelay.png)


上述路由配置文件示例显示了一组队列，以及它们各自的优先级和延迟。数字越小，优先级越高。必须先处理所有优先级较高的呼叫，然后才能处理优先级较低的呼叫。这与最终会根据加权系数处理优先级较低的呼叫的系统有所不同。

您还可以为每个路由配置文件中的每个队列添加延迟。任何进入队列的呼叫都将在分配给指定队列的指定延迟期内处于接听状态。即使座席有空，呼叫也将在延迟期内处于接听状态。如果您有一组代理负责帮助您满足服务级别协议（SLAs），但被分配到其他任务或队列中，则可以使用此功能。如果呼叫在指定时间段内没有得到应答，则这些座席将有资格接听来自指定队列的呼叫。例如，考虑以下图表：

![\[此图显示了 Savings 队列将通话路由至可用座席。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/priorityandelay2.png)


此图显示了 30 秒的 SLA。储蓄队列中有呼叫拨打进来。由于队列的配置文件中配置了 0 延迟，因此储蓄队列会立即在“储蓄”路由配置文件中查找座席。由于高级座席配置了 15 秒延迟，因此他们在 15 秒内将没有资格接听储蓄联系人。15 秒后，高级座席可接听联系人，Amazon Connect 会在两个路由配置文件中查找空闲时间最长的座席。

### 提供服务的途径
<a name="pathtoservice-bp"></a>

当您在 Amazon Connect 中设计客户体验时，请进行计划以确保提供服务的途径。有许多计划内和计划外事件可能会影响客户在遍历 Amazon Connect 流时的体验。以下示例客户体验显示了一些建议的检查，以确保联系人获得一致的质量体验：

![\[此图显示了应对可能影响客户服务的意外事件的服务路径。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/pathtoservice.png)


此示例客户体验将计划内事件（如节假日和营业时间）以及计划外事件（如在工作时间内未配备座席）考虑在内。有了这个逻辑，您还可以考虑紧急情况，例如由于恶劣天气或服务中断而导致的联络中心关闭。请考虑下图所示的以下概念：
+ **自助服务**：在典型的 IVR 中，您可以预先包含任何问候语和免责声明消息，例如通话录音公告，然后可以选择自助服务选项。自助服务可优化您的联络中心的成本和绩效，使您的组织能够全天候为客户提供服务，无论节假日、工作时间或座席空闲时间如何均可。请始终包含服务途径，以防客户无法进行自助服务并需要人工帮助。例如，如果您使用 Amazon Lex 机器人进行自助服务，则可以利用回退意图升级对话以获得人工帮助。
+ **节假日**：许多企业客户都有一个用于存放公司假日的中央存储库。您可以使用 AWS Lambda 函数对该存储库进行数据提取并为客户提供假日待遇。此外，您还可以在 DynamoDB 中存储公司节假日以及每个假期的自定义消息。例如，如果您的企业将 12 月 25 日定为圣诞节，则可能会有节假日提示或文本到语音转换：“我们目前因圣诞节而关闭。请于 12 月 26 日回电，届时我们的正常工作时间将恢复。”  
![\[该图显示了 Amazon Connect 如何使用 AWS Lambda 和 DynamoDB 向客户播放消息。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/holidays.png)
+ **工作时间**：节假日通过验证后，您可以查看工作时间，如果在工作时间之外，则可以动态更改联系人的体验。如果联系发生在工作时间内，则可以识别客户的呼叫意图并映射到联络中心的某些队列，从而增加找到正确座席的可能性，并缩短联系人访问服务所需的时间。强烈建议您映射默认值，因为客户可能出于您尚未说明的原因致电，或者可能以您意想不到的方式回复。
+ **紧急消息**：确定客户的呼叫意图后，建议实施紧急检查处理。如果出现影响联络中心的紧急情况，您可以在 DynamoDB 等中间数据库中存储紧急 True/False 标志。要允许您的主管和管理员在不使用代码的情况下动态设置此标志，您可以构建一个单独的 IVR，该 IVR 根据 ANI 和 PIN 号码验证对您的 Amazon Connect 管理员进行身份验证，以仅供内部使用。在紧急情况下，您的主管可以通过电话呼叫该专线，在进行身份验证后，将紧急标志设置为 true，以应对因恶劣天气导致联络中心关闭或联络中心实际位置的 ISP 中断等情况。
+ **紧急消息 API**：您也可以考虑在后端构建一个 AWS API 网关，以便在数据库中 true/false 安全地设置紧急标志。 AWS Lambda 您的主管可以通过 Web 安全地访问该 API，以切换灾难模式或动态切换它以响应外部事件。在您的 Amazon Connect 实例中，通过流程进入的每个联系人都将使用 AWS Lambda 来检查紧急标志，在灾难模式下，您可以动态发布公告并为客户提供服务途径。这样将进一步确保业务连续性，并减轻此类情况对客户的影响。
+ **检查座席配置**：在转到流程中的队列之前，您可以检查座席配置，以确保座席已登录，可为联系人提供服务。例如，您的座席可能正在忙着为另一位可能在接下来的五分钟内有空的联系人提供服务，或者可能根本没有任何人员登录系统。在这些实例期间，您会更喜欢不同的客户体验，而不是让他们在队列中等待座席可用。
+ **服务路由**：当您将呼叫转接到队列时，您可以使用 Amazon Connect 路由配置文件提供排队回拨、队列溢出或分层路由，以便为满足您的服务等级要求的呼叫方提供一致、高质量的体验。

## 资源
<a name="operational-resources-bp"></a>

**文档**
+ [DevOps 和 AWS](https://aws.amazon.com/devops/)
+ [Amazon Connect Service API 文档](https://docs.aws.amazon.com/connect/latest/APIReference/welcome.html)

**博客**
+ [如何使用 Amazon Connect 处理意外联系高峰](https://aws.amazon.com/blogs/contact-center/how-to-handle-unexpected-contact-spikes-with-amazon-connect/)

**视频**
+ [DevOps 在亚马逊](https://www.youtube.com/watch?v=esEFaY0FDKc.pdf) 

# 在 Amazon Connect 中开发安全联络中心的设计原则
<a name="security-bp"></a>

安全性包含以下能力：通过风险评估和缓解策略在提供商业价值的同时保护信息、系统和资产。本节概述了与 Amazon Connect 工作负载安全相关的设计原则、最佳实践和问题。

## Amazon Connect 安全之旅
<a name="amazon-connect-security-journey"></a>

在您决定将工作负载移至 Amazon Connect 后，除了查看[Amazon Connect 中的安全性](security.md)和[Amazon Connect 的安全最佳实践](security-best-practices.md)之外，还要遵循以下准则和步骤来了解和实施与以下核心安全领域相关的安全要求：

![\[此图显示了要在 Amazon Connect 中实施的核心安全区域。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/securityjourney.png)


### 了解 AWS 安全模型
<a name="understanding-security-model"></a>

当您将计算机系统和数据迁移到云端时，安全责任将由您和分担 AWS。 AWS 负责保护支持云的底层基础架构，并且您对放在云端或连接到云中的任何内容负责。

![\[了解 AWS 安全模型。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/shareresponsibilitymodel.png)


您使用的 AWS 服务将决定您作为安全责任的一部分必须执行多少配置工作。当您使用 Amazon Connect 时，共享模型会更高层次地反映 AWS 客户责任，如下图所示。

![\[AWS Amazon Connect 的分担责任模型。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/shareresponsibilitymodelforamazonconnect.png)


### 合规性基础
<a name="compliance-foundations"></a>

作为多项合规计划的一部分，第三方审计机构评估 Amazon Connect 的安全与 AWS 合规性。这包括 [SOC](https://aws.amazon.com/compliance/soc-faqs/)、[PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)、[HIPAA](https://aws.amazon.com/compliance/hipaa-compliance/)、[C5 (Frankfurt)](https://aws.amazon.com/compliance/bsi-c5/) 和 [HITRUST CSF](https://aws.amazon.com/compliance/hitrust/)。

有关特定合规计划范围内的 AWS 服务列表，请参阅[按合规计划划分的范围内的AWS 服务](https://aws.amazon.com/compliance/services-in-scope/)。有关一般信息，请参阅 [AWS Services合规性计划](https://aws.amazon.com/compliance/programs/)。

### 区域选择
<a name="regionselection"></a>

托管 Amazon Connect 实例的区域选择取决于数据主权限制以及联系人和座席所处的位置。做出决定后，请查看 Amazon Connect 的网络要求以及您需要允许的端口和协议。此外，要缩小影响范围，请使用您的 Amazon Connect 实例的域允许列表或允许的 IP 地址范围。

有关更多信息，请参阅 [设置网络以使用 Amazon Connect 联系人控制面板 (CCP)](ccp-networking.md)。

### AWS 服务集成
<a name="servicesintegration"></a>

我们建议根据贵组织的安全要求审查解决方案中的每项 AWS 服务。请参阅以下资源：
+ [AWS Lambda中的安全性](https://docs.aws.amazon.com/lambda/latest/dg/lambda-security.html) 
+ [DynamoDB 中的安全性和合规性](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/security.html) 
+ [Amazon Lex 中的安全性](https://docs.aws.amazon.com/lex/latest/dg/security.html) 

## Amazon Connect 中的数据安全性
<a name="datasecurity-bp"></a>

在您的安全之旅中，您的安全团队可能需要更深入地了解 Amazon Connect 中的数据处理方式。请参阅以下资源：
+ [Amazon Connect 的详细网络路径](detailed-network-paths.md)
+ [Amazon Connect 中的基础设施安全性](infrastructure-security.md)
+ [Amazon Connect 中的合规性验证](compliance-validation.md)

### 工作负载图
<a name="workload-diagram"></a>

查看您的工作负载图，并在 AWS上架构最佳解决方案。这包括分析和决定您的解决方案中应包含哪些其他 AWS 服务以及需要集成的任何第三方和本地应用程序。

## AWS Identity and Access Management (IAM)
<a name="iam-bp"></a>

### Amazon Connect 角色的类型
<a name="typesofpersonas"></a>

根据正在执行的活动，Amazon Connect 角色有四种类型。

![\[Amazon Connect 角色的类型。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/amazonconnectpersonas.png)


1. AWS 管理员 — AWS 管理员创建或修改 Amazon Connect 资源，还可以使用 AWS Identity and Access Management (IAM) 服务将管理访问权限委托给其他委托人。该角色的范围集中在创建和管理您的 Amazon Connect 实例上。

1. Amazon Connect 管理员 — 服务管理员决定员工应在管理网站中访问哪些 Amazon Connect 功能和资源。 Amazon Connect 服务管理员分配安全配置文件以确定谁可以访问 Amazon Connect 管理网站以及他们可以执行哪些任务。该角色的范围集中在创建和管理您的 Amazon Connect 联络中心上。

1. Amazon Connect 座席 – 座席与 Amazon Connect 互动以履行其工作职责。服务用户可能是联络中心座席或主管。

1. Amazon Connect 服务联系人 – 与您的 Amazon Connect 联络中心互动的客户。

### IAM 管理员最佳实践
<a name="iambp"></a>

IAM 管理访问权限应仅限于组织内经批准的人员。IAM 管理员还应了解哪些 IAM 功能可用于与 Amazon Connect 结合使用。有关 IAM 最佳实践，请参阅《IAM 用户指南**》中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。另请参阅 [Amazon Connect 基于身份的策略示例](security_iam_id-based-policy-examples.md) 

### Amazon Connect 服务管理员最佳实践
<a name="iambp"></a>

服务管理员负责管理 Amazon Connect 用户，包括将用户添加到 Amazon Connect，为他们提供凭证，并分配相应的权限，以便他们能够访问完成其工作所需的功能。管理员最开始只应授予最低权限，然后根据需要授予其它权限。

[Amazon Connect 和联系人控制面板 (CCP) 访问的安全配置文件](connect-security-profiles.md)可帮助您管理哪些人可以访问 Amazon Connect 控制面板和联系人控制面板，哪些人可以执行特定任务。查看在本地可用的默认安全配置文件中授予的精细权限。可以设置自定义安全配置文件以满足特定要求。例如，可以接听电话但也可以访问报告的权力座席。最终确定此内容后，应将用户分配给正确的安全配置文件。

### 多重身份验证
<a name="mfa"></a>

为了提高安全性，建议您要求账户中的所有 IAM 用户进行多重身份验证 (MFA)。可以[通过 AWS IAM 或您的 SAML 2.0 身份提供商或 Radius 服务器设置](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) MFA（如果这更适合您的用例）。设置 MFA 后，Amazon Connect 登录页面上会显示第三个文本框以提供第二个因素。

### 联合身份验证
<a name="identityfederation"></a>

除了在 Amazon Connect 中存储用户外，您还可以通过使用身份联合验证[启用对 Amazon Connect 的单点登录 (SSO)](configure-saml.md)。建议采用联合身份验证的做法，以允许员工生命周期事件在源身份提供商中创建时反映在 Amazon Connect 中。

### 对集成应用程序的访问权限
<a name="accessintegratedapps"></a>

流中的步骤可能需要凭证才能访问外部应用程序和系统中的信息。要提供以安全方式访问其他 AWS 服务的证书，请使用 IAM 角色。IAM 角色是指自身拥有一组权限的实体，但不是指用户或组。角色也没有自己的一组永久凭证，并且会自动轮换。

诸如 API 密钥之类的凭证应存储在流应用程序代码之外，以便能够以编程方式检索它们。为此，您可以使用 AWS Secrets Manager 或现有的第三方解决方案。Secrets Manager 允许您将代码中的硬编码凭证（包括密码）替换为对 Secrets Manager 的 API 调用，以便以编程方式检索密钥。

## 侦测性控制
<a name="detectivecontrols"></a>

日志记录和监控对于联络中心的可用性、可靠性和性能非常重要。您应该将相关信息从 Amazon Connect Flow CloudWatch s 记录到亚马逊，并基于这些信息创建提醒和通知。

您应尽早定义日志保留要求和生命周期策略，并计划尽快将日志文件移至经济高效的存储位置。Amazon Connect 公共 APIs 登录到 AWS CloudTrail。您应该查看并自动执行基于 CloudTrail 日志设置的操作。

Amazon S3 是对日志数据进行长期保留和存档的最佳选择，特别是对于具有合规性计划的组织更是如此，这些组织要求以本机格式对日志数据进行审计。将日志数据存入 S3 存储桶后，定义生命周期规则以自动强制执行保留策略，并将这些对象移至其他经济高效的存储类，例如 Amazon S3 Standard - 不频繁访问（标准：IA）或 Amazon Glacier。

 AWS 云提供了灵活的基础架构和工具，既支持与产品配合使用的复杂基础架构，也支持自我管理的集中式日志解决方案。这包括诸如亚马逊 OpenSearch 服务和亚马逊 CloudWatch 日志之类的解决方案。

可以通过根据客户要求自定义 Amazon Connect 流来实施对传入联系人的欺诈检测和预防。例如，客户可以在 DynamoDB 中对照之前的联系人活动来检查传入联系人，然后采取措施，例如断开联系人的连接，因为他们是被阻止的联系人。

## 基础设施保护
<a name="infrastructureprotection"></a>

尽管 Amazon Connect 中没有基础设施可供管理，但在某些情况下，您的 Amazon Connect 实例可能需要与部署在本地驻留基础设施中的其他组件或应用程序进行交互。因此，必须确保在此假设下考虑联网边界。查看并实施特定的 Amazon Connect 基础设施安全注意事项。此外，出于安全考虑，请查看联络中心座席和主管桌面或 VDI 解决方案。

您可以配置 Lambda 函数来连接到您账户中虚拟私有云（VPC）的私有子网。使用 Amazon Virtual Private Cloud 为资源（如数据库、缓存实例或内部服务）创建私有网络。Amazon Connect 将您的函数连接到 VPC 来在执行期间访问私有资源。

## 数据保护
<a name="dataprotection"></a>

客户应分析遍历联络中心解决方案并与之交互的数据。
+ 第三方和外部数据
+ 混合 Amazon Connect 架构中的本地数据

在分析了数据的范围之后，在执行数据分类时应注意识别敏感数据。Amazon Connect 符合责任 AWS 共担模式。 [Amazon Connect 中的数据保护](data-protection.md)包括使用 MFA 和 TLS 以及使用其他 AWS 服务（包括 Amazon Macie）等最佳实践。

Amazon Connect [处理与联络中心相关的各种数据](data-handled-by-connect.md)。这包括电话呼叫媒体、通话录音、聊天转录、联系人元数据以及流、路由配置文件和队列。Amazon Connect 通过按账户 ID 和实例 ID 分隔数据来处理静态数据。与 Amazon Connect 交换的所有数据在用户的 Web 浏览器与 Amazon Connect 之间传输时均使用开放标准 TLS 加密进行保护。

您可以指定用于加密的 AWS KMS 密钥，包括自带密钥 (BYOK)。此外，您还可以在 Amazon S3 中使用密钥管理选项。

### 使用客户端加密保护数据
<a name="protectingdata"></a>

您的使用案例可能需要对流收集的敏感数据进行加密。例如，收集适当的个人信息，以自定义客户在与您的 IVR 互动时的体验。为此，您可以在 [AWS 加密开发工具包](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)中使用公有密钥密码术。 AWS Encryption SDK 是一个客户端加密库，旨在让每个人都能使用开放标准和最佳实践高效地加密和解密数据。

### 输入验证
<a name="inputvalidation"></a>

执行输入验证，以确保只有格式正确的数据才会进入流。这一情况应该在流中尽早发生。例如，当系统提示客户说出或输入电话号码时，他们可能包含国家/地区代码，也可能不包含国家/地区代码。

## Amazon Connect 安全向量
<a name="securityvectors"></a>

Amazon Connect 安全可分为三个逻辑层，如下图所示：

![\[Amazon Connect 安全向量。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/securityvectors.png)


1. **座席工作站**。代理工作站层不由任何物理设备 AWS 和第三方技术、服务和终端节点管理，这些设备和终端节点可为代理提供语音、数据和访问 Amazon Connect 接口层。

   请遵循该层的安全最佳实践，并特别注意以下几点：
   + 计划身份管理时要牢记[Amazon Connect 的安全最佳实践](security-best-practices.md)中提到的最佳实践。
   + 通过创建安全的 IVR 解决方案，使您能够绕过座席对敏感信息的访问，从而降低与处理敏感信息的工作负载相关的内部威胁和合规风险。通过对流中的联系人输入进行加密，您能够安全地捕获信息，而无需将其泄露给您的座席、其工作站或其操作环境。有关更多信息，请参阅 [在 Amazon Connect 中加密客户输入的敏感信息](encrypt-data.md)。
   + 您负责维护使用 Amazon Connect 所需 AWS 的 IP 地址、端口和协议的许可名单。

1. **AWS**: 该 AWS 层包括 Amazon Connect 和 AWS 集成 AWS Lambda，包括亚马逊 DynamoDB、亚马逊 API Gateway、Amazon S3 和其他服务。遵循安全支柱 AWS 服务准则，特别注意以下几点：
   + 计划身份管理时，要牢记[Amazon Connect 的安全最佳实践](security-best-practices.md)中提到的最佳实践。
   + 与其他 AWS 服务的集成：确定用例中的每项 AWS 服务以及适用于此用例的任何第三方集成点。
   + Amazon Connect 可以通过 [Lambda 的 VPC 终端节点与在客户 VPC 内部运行的 AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html)功能集成。

   

1. **外部**：外部层包括联系点，包括聊天、 click-to-call端点和用于语音通话的 PSTN、混合联络中心架构中可能与传统联络中心解决方案的集成，以及您可能与其他第三方解决方案的集成。您的工作负载中第三方的任何入口点或出口点均被视为外部层。

   该层还涵盖了客户可能与其他第三方解决方案和应用程序 [例如 CRM 系统、人力资源管理 (WFM) 以及报告、可视化工具和应用程序（例如 Tableau 和 Kibana）] 的集成。在保护外部层时，您应考虑以下事项：
   + 您可以使用在流程中向 DynamoDB 写入联系[人详细信息（包括 ANI、聊天终端节点的 IP 地址以及任何其他识别信息）来 click-to-dial为重复和欺诈性联系人创建联系人过滤器](https://aws.amazon.com/blogs/contact-center/how-to-protect-against-spam-calls-for-click-to-dial/)，以跟踪在给定时间段内发生了多少联系人请求。 AWS Lambda 这种方法允许您查询联系人并将其添加到拒绝列表中，如果联系人超过合理级别，则自动断开其连接。
   + 采用 [Amazon Connect 电话元数据](connect-attrib-list.md#telephony-call-metadata-attributes)的 ANI 欺诈检测解决方案和[合作伙伴解决方案](https://aws.amazon.com/connect/partners/)可用于防范呼叫方 ID 欺骗。
   + [Amazon Connect Voice ID](voice-id.md) 和其他语音生物识别合作伙伴解决方案可用于增强和简化身份验证流程。主动语音生物识别身份验证允许联系人选择说出特定的短语，并使用这些短语进行语音签名身份验证。被动语音生物识别允许联系人注册其唯一声纹，并使用其声纹对任何符合身份验证的足够长度要求的语音输入进行身份验证。
   + 在 Amazon Connect 控制台中维护[应用程序集成](app-integration.md)分区，以便将任何第三方应用程序或集成点添加到您的允许列表中，并删除未使用的端点。
   + 仅将满足最低要求所需的数据发送到处理敏感数据的外部系统。例如，如果您只有一个业务部门使用您的通话录音分析解决方案，则可以在 S3 存储桶中设置 AWS Lambda 触发器来处理联系记录，在联系记录数据中检查该业务部门的特定队列，如果是属于该部门的队列，则仅将该通话录音发送到外部解决方案。使用这种方法，您只需发送必要的数据，从而可避免与处理不必要的录音相关的成本和开销。

     有关使 Amazon Connect 能够与 Amazon Kinesis 和 Amazon RedShift 通信以启用联系记录流式处理的集成，请参阅 [Amazon Connect 集成：数据流式处理](https://aws.amazon.com/quickstart/connect/data-streaming/)。

## 资源
<a name="securityvectors-resources-bp"></a>

**文档**
+ [AWS 云安全](https://aws.amazon.com/security/) 
+ [Amazon Connect 中的安全性](security.md)
+ [IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [AWS 合规](https://aws.amazon.com/compliance/)
+ [AWS 安全博客](https://aws.amazon.com/blogs/security/)

**文章**
+ [安全支柱](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) 
+ [AWS 安全简介](https://docs.aws.amazon.com/whitepapers/latest/introduction-aws-security/introduction-aws-security.pdf)
+ [AWS 安全最佳实践](https://aws.amazon.com/architecture/security-identity-compliance/) 

**视频**
+ [AWS 国情安全国情咨文](https://www.youtube.com/watch?v=Wvyc-VEUOns) 
+  [AWS 合规——责任共担模型](https://www.youtube.com/watch?v=U632-ND7dKQ) 

# Amazon Connect 的负载和渗透/安全测试策略
<a name="load-and-penetration-testing"></a>

Amazon Connect 定期执行严格的测试，以确保我们的服务能够提供支持各种规模的世界级联络中心所需的安全性、可靠性和可用性。

Amazon Connect 制定了相关策略和要求，规定了您是否能够进行自己的安全评估（例如渗透测试）和负载测试，以验证您的环境并确保它们已达到生产就绪状态。本主题介绍了相关策略和要求。

## 安全和渗透测试
<a name="securityandpenetrationtesting"></a>

由于安全测试存在固有的损坏风险，Amazon Connect 不支持任何客户安全或渗透测试，如 AWS 云安全页面：[渗透测试](https://aws.amazon.com/security/penetration-testing)中所述。根据**渗透测试客户服务策略**，它未被列为允许的服务。

Amazon Connect 具有严格的安全和渗透测试例程。如果您有与安全相关的要求，请向您的 AWS 客户团队（技术客户经理或解决方案架构师）寻求帮助。

## 负载测试
<a name="loadtesting"></a>

Amazon Connect 将负载测试视为符合以下条件的任何测试：
+ 目标特定端点
+ 生成针对集中来源的合成流量
+ 保持高于正常水平的持续流量
+ 可能会意外超出预期限制

这些差异带来了对外部端点、其他客户或 AWS 服务造成意外影响的潜在风险。对于任何符合此标准的计划，您都必须遵循我们的负载测试策略。

我们的负载测试策略要求客户：
+ 仅在非工作时段进行测试：受测试 AWS 区域本地时区下午 6 点至早上 6 点。
+ 确定负载测试期间可以联系到的紧急联系人。
+ 提供计划负载测试的文档和详细视图。

**重要**  
**您必须在测试日期前至少两周获得负载测试的批准。 AWS **

**提交负载测试请求**

1. 发送电子邮件至 **amazon-connect-load-test-requests@amazon.com** **并复制您的 AWS 账户团队（技术客户经理或解决方案架构师）。**

1. 收到电子邮件后，Amazon Connect 团队将向您提供负载测试请求接收表单。

   Amazon Connect 负载测试团队会在 48 个工作小时内回复电子邮件。如果您在这段时间内未收到回复，请进行跟进。

Amazon Connect 团队将审核您的请求。我们将：
+ 确定是否存在任何风险。
+ 验证负载测试是否有任何注意事项，可以被检测为 and/or 滥用行为。
+ 根据测试的设计地点，确定它是否会无意中对其他实体 and/or 产生滥用影响。
+ 确定您是否对实例采用了缓解措施，这样可能会影响您的测试和生产工作负载。

如果我们确定不太可能产生影响，我们将提供**书面批准**以继续进行。

对于可能产生影响的测试，我们会要求您采取其他措施，例如：
+ 运行实例会生成来自单独 AWS 账户或地区的流量。
+ 调整测试以最大限度地降低风险，或者 AWS 密切合作以了解场景和流程。

**重要**  
即使获得批准 AWS，您仍有责任：  
您的测试活动对 AWS其他 AWS 客户或外部实体造成的任何损失。
遵守您所在司法管辖区的适用法律，包括旨在监管网络安全或 IT 系统滥用的法律和法规。
任何未经批准的负载测试都 AWS 将导致对 AWS 账户采取缓解措施，直至服务暂停。未经授权的测试也可能被视为违法行为，将受到刑事起诉。

# Amazon Connect 的可靠性
<a name="reliability-bp"></a>

可靠性包括系统能够从基础设施故障或服务中断恢复、动态获取计算资源以满足需求以及减少中断（如错误配置或暂时性网络问题）的能力。由于弹性是作为服务的一部分进行处理的，因此除了[Amazon Connect 工作负载的卓越运营](operational-excellence.md)中涵盖的内容之外，Amazon Connect 没有独有的可靠性做法。您可以在[可靠性支柱](https://d0.awsstatic.com/whitepapers/architecture/AWS-Reliability-Pillar.pdf)白皮书中找到有关实施的规范性指导。

## 资源
<a name="reliability-resources-bp"></a>

**文档**
+ [AWS 服务限额](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) 
+ [Amazon Connect 中的恢复能力](disaster-recovery-resiliency.md)
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) 

**白皮书**
+ [可靠性支柱](https://d0.awsstatic.com/whitepapers/architecture/AWS-Reliability-Pillar.pdf)

**视频**
+  [接受失败：故障注入和服务可靠性](https://www.youtube.com/watch?v=wrY7XoOnysg) 

**产品**
+ [Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/)：一种在线工具，可为您提供实时指导，帮助您按照 AWS 最佳实践配置资源。

# Amazon Connect 工作负载的性能效率
<a name="performance-efficiency-bp"></a>

性能效率包括有效使用计算资源以满足系统需求的能力，以及随着需求变化和技术改进而保持这种效率的能力。本节概述了与 Amazon Connect 工作负载的性能效率相关的设计原则、最佳实践和问题。您可以在[性能效率支柱](                 https://d0.awsstatic.com/whitepapers/architecture/AWS-Performance-Efficiency-Pillar.pdf)白皮书中找到有关实施的规范性指导。

## 架构设计
<a name="performance-efficiency-architecturaldesignbp"></a>

在为联络中心设计体验时，需要考虑两个基本的架构设计准则：
+ 还原论是一种哲学信条，它指出，通过分析一个系统的最终组件部分，您可以在更深的层面上阐释它。
+ 相比之下，整体论指出，通过考虑整体情况，人们可以更深入、更全面地了解情况，而不是将其分析为各个组件部分 

还原法专注于每个单独的组件（IVR、ACD、语音识别）本身，通常会导致客户体验脱节，如果单独进行评估，则可能满足使用案例的性能要求。但是，经过评估 end-to-end，可能会导致您的联系人体验质量下降，同时将开发工作集中到运营孤岛中。这种方法会使回归测试复杂化，增加面市时间，并限制对实现联络中心成功至关重要的跨学科运营资源的开发。

下图显示了联络中心的整体视图：

![\[联络中心的整体视图。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/architecturaldesign.png)


整体法的结果专注于为客户提供更完整、更内聚的体验，而不是哪种技术将提供该体验的哪一部分。

让客户及其需求来定义和指导您的工作。您为联系人创建的体验不应为静态或结束状态，而应作为起点，根据客户反馈不断进行迭代。定期收集和审查有关您的联系人在其整个旅程中的互动和导航方式的运营和调整数据，这样应该会推动这种迭代。您的目标应该是为联系您公司的联系人提供动态和个性化的体验。这一目标可以通过动态数据驱动的联系人设计和路由来实现，从而获得符合您的联系人及其个人需求的体验。

您可以从默认体验开始，构建您的流，但要将您的单个流重构为两个以实现未来细分：

![\[将您的单个流重构为两个。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/architecturaldesign2.png)


在下一次迭代中，确定需要计划的其他体验，并构建路由，必要时还要为每种体验构建流。例如，您可能要对账单过期的联系人或出于相同目的多次尝试联系的联系人播放不同的提示。通过这种方法，您将努力打造个性化、动态的体验，这些体验与您的联系人及其联系您的原因有关。除了提高联系人的体验质量和缩短处理时间外，您还通过提供更智能、更灵活的体验来鼓励联系人自助服务。您的下一次迭代可能如下图所示：

![\[流的下一次迭代。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/architecturaldesign3.png)


## 流设计
<a name="contactflowdesign-bp"></a>

流从始至终定义联络中心的客户体验。您的流配置会直接影响性能、运营效率和易维护性。

许多大型企业均支持多个电话号码、业务部门、提示、队列和其他 Amazon Connect 资源。虽然可以为每个电话号码和业务线设置独特的流程，但它可以生成电话号码和流程的 one-to-one映射。这样会导致不必要的服务限额请求以及需要支持和维护的大量流。DNIS 和 Flow 实现的 one-to-one映射如下图所示：

![\[流程设计示例显示了 DNIS 和 Flow 实现的 one-to-one映射。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/contactflowdesign.png)


或者，您应该考虑一种通过利用 Amazon Connect 流的动态性质为一个或几个流生成多个 DNI 的方法。使用此方法，您可以在 NoSQL 数据库 DynamoDB 中存储配置信息，如提示、队列、工作时间、私密消息提示/流、队列、队列处理和等候消息等。在 Amazon Connect 中，您可以将多个电话号码关联到同一个流，然后使用 Lambda 函数查找该电话号码的配置。这使您可以根据从 DynamoDB 返回的属性来动态定义联系人的体验。

例如，您可以根据 DynamoDB 中的查找情况播放提示或使用 Text-to-Speech (TTS) 向来电者打招呼，或者使用流程块中支持的动态属性关联队列。采用这种方法的结果是实现可以有效地构建、维护和支持的流实施：

![\[使用提示和向来电者打招呼 Text-to-Speech的流程设计示例。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/contactflowdesign2.png)


## 负载测试
<a name="loadtesting-bp"></a>

如果您需要运行负载或规模测试，则可以聘请第三方或合作伙伴解决方案来运行负载测试，或者使用 Amazon Connect [StartOutboundVoiceContact](https://docs.aws.amazon.com/connect/latest/APIReference/API_StartOutboundVoiceContact.html)API 开发自己的自定义解决方案，生成与浏览器自动化脚本相结合的调用，以模拟代理行为。在执行负载测试之前，请查看并遵循[Amazon Connect 的负载和渗透/安全测试策略](load-and-penetration-testing.md)。

## 座席启用
<a name="agentenablement-bp"></a>

Amazon Connect 提供了一个基于浏览器的随时可用的联系人控制面板 (CCP)，供座席与客户联系人互动。您的座席使用 CCP 来接受联系人、与联系人聊天、将他们转接到其他座席、将联系人置于保持状态以及执行其他关键任务。通过使用 [Amazon Connect Streams](https://github.com/aws/amazon-connect-streams) API 创建自定义座席桌面解决方案，您可以实现显著的性能效率提升。请考虑使用 Streams API 来提高以下领域的性能效率：
+ CRM 集成 – Streams API 允许您将 CCP 嵌入到 CRM 应用程序中，创建您自己的界面，或者与其他 AWS 服务和合作伙伴解决方案集成，从而为您的座席提供为联系人提供服务所需的工具和资源。借助自定义桌面（例如 Amazon Connect 与 [Salesforce 集成](salesforce-integration.md)），您的座席可以在单个界面中全面了解客户和联系人，而无需管理多个屏幕和界面。
+ 身份验证 – 您可以在 Amazon Connect 中配置 SAML 以进行身份管理，并利用 IAM Identity Center (SSO) 允许您的座席使用与用于访问其他系统相同的证书，从而无需多次输入这些证书。
+ 座席自动化 – 除了简化座席体验外，您还可以自动执行常见的、可重复的任务。例如，自动创建案例或预先填写 Web 表单，并在提供联系人时提供包含相关信息的屏幕弹出窗口。这样可以缩短处理时间，并提高您的座席和联系人的体验质量。
+ 增强功能-您还可以 enhance/extend 使用 CCP 功能，包括实时[转录、翻译、建议操作和知识库](https://aws.amazon.com/solutions/implementations/ai-powered-speech-analytics-for-amazon-connect/)集成。将增强的功能与您的座席桌面集成，可以让技能熟练的座席更高效地为联系人提供服务，而让技能不熟练的座席在没有技能熟练的座席可用时提供服务。例如，您可以使用此方法自动翻译不懂相应语言的技能不熟练的座席的聊天联系内容。当您的座席回复时，您可以自动将文本翻译成联系人的语言，从而实现实时的双语交流。

## 使用其他 AWS 服务
<a name="leveragingotherservices-bp"></a>

本节讨论了可用于提高绩效、确定机会领域和获取有关联系人数据的宝贵见解的 AWS 服务。

### AWS Lambda
<a name="lambda-bp"></a>

您可以 AWS Lambda 在 Amazon Connect Flows 中使用数据删除客户信息、发送短信，并使用其他服务（例如 Amazon S3）来自动分发计划的报告。有关更多信息，请参阅[使用 AWS Lambda 函数的最佳实践](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html)。

### Direct Connect
<a name="directconnect-bp"></a>

Direct Connect 是一种云服务解决方案，可以更有效地建立从您的场所到的专用网络连接 AWS。它提供持久、一致的连接，而不必依靠您的 ISP 将请求动态路由到 AWS 资源。它允许您将边缘路由器配置为通过专用光纤重定向 AWS 流量，而不是通过公共广域网，并在数据中心、办公室或托管环境之间 AWS 建立私有连接。在很多情况下，这样可以降低网络成本，增加带宽吞吐量，并提供比基于互联网的连接更一致的网络体验。

虽然 Direct Connect 不能解决边缘路由器的私有 LAN/WAN 穿越所特有的问题，但它可以帮助解决边缘路由器与资源之间的延迟和 AWS 连接问题。它还可以解决边缘路由器与 AWS 资源之间的延迟和通话质量差的问题。

根据您的 VDI 环境，您可能无法利用这一优势， Direct Connect 因为它要求您将边缘路由器配置为通过专用光纤重定向 AWS 流量，而不是穿过公共 WAN。如果 VDI 环境托管在支持 DXC 的本地网络之外，则可能无法充分利用 Direct Connect。

请勿用 Direct Connect 于 “QoS” 或 “提高安全性”。 Direct Connect 如果代理工作站的延迟高于 ISP 到 Amazon Connect 实例的路径，则可能会导致性能下降。 Direct Connect 由于Amazon Connect的语音和数据已经加密，因此与互联网服务提供商相比，它无法提供额外的安全性。

### Amazon Polly
<a name="amazonpolly-bp"></a>

Amazon Connect 提供了与 Amazon Polly 的原生集成，允许你播放动态和自然 Text-to-Speech (TTS)，使用语音合成标记语言 (SSML)，并利用神经 Text-to-Speech (NTTS) 来获得尽可能自然和最像人类的声音。 text-to-speech

### Amazon Lex
<a name="amazonlex-bp"></a>

您的联系人的服务之路可能是一次具有挑战性的经历，但并非总能满足其期望。您的联系人可能要等待，重复信息，需要转接，最终会花费太多时间来获取他们所需的内容。人工智能在改善呼叫中心的客户体验方面发挥着作用，包括通过聊天机器人（智能、自然语言虚拟助理）进行互动。这些聊天机器人能够识别人类的语音并理解呼叫方的意图，而无需呼叫方用特定的短语说话。联系人可以执行更改密码、请求提供帐户余额信息或安排预约等任务，而无需与座席交谈。

Amazon Lex 是一项允许您创建智能对话聊天机器人的服务。它允许您将您的 Amazon Connect 联络中心流转化为自然对话，从而为您的呼叫方提供个性化体验。使用支持 Amazon Alexa 的相同技术，可以将 Amazon Lex 聊天机器人附加到您的 Amazon Connect 流，以识别呼叫方的意图、提出后续问题并提供答案。Amazon Lex 会维护上下文信息并管理对话，根据对话动态调整响应，这样您的联络中心就可以为呼叫方执行常见任务，通过自助交互解决许多客户查询。此外，Amazon Lex 聊天机器人支持最佳 (8 kHz) 电话音频采样率，可提高联络中心语音交互的语音识别精度和保真度。

构建有效的 Amazon Lex 机器人需要向机器人提供简单而真实的言语作为训练集，定期检查机器人的性能，更新您的言语集，并根据此类检查修改机器人。有关更多信息，请参阅以下资源：
+ [在 Amazon Lex 中监控](https://docs.aws.amazon.com/lex/latest/dg/monitoring-aws-lex.html)
+ [使用 Amazon Lex 构建更好的机器人](https://aws.amazon.com/blogs/machine-learning/building-better-bots/)

### Amazon Kinesis
<a name="amazonkinesis-bp"></a>

如果您需要从 Amazon Connect 的联系指标和实时数据中获得更多见解，则可以：
+ 使用 Amazon Kinesis 将您的联系记录数据导出到 Amazon RedShift。
+ 使用 Amazon Kinesis 视频流 (KVS)，使用 Amazon Transcribe 实时转录通话录音或语音通话，并将生成的文本发送到亚马逊 Comprehend 进行情绪分析。 AWS Lambda 
+ 利用 [Amazon Connect Agent Event Kinesis Stream](agent-event-streams.md) 获取实时座席 CTI 和计划遵循情况数据。

### 亚马逊 OpenSearch 服务和 Kibana
<a name="kibana-bp"></a>

使用亚马逊 OpenSearch 服务和 Kibana 处理实时 Amazon Connect 数据，除了本地报告功能之外，您还可以灵活地查询和可视化 Amazon Connect 的实时和历史数据。

### Amazon Connect Contact Lens
<a name="contactlens-bp"></a>

Contact Lens 是一组集成到 Amazon Connect 中的机器学习（ML）功能，可让联络中心主管更好地了解客户对话中的情绪、趋势和合规风险，从而有效地训练座席，复制成功的互动，并识别关键公司和产品反馈。Contact Lens 可转录联络中心的呼叫，以创建完全可搜索的存档，并显示宝贵的客户见解。

## 资源
<a name="performance-resources-bp"></a>

**文档**
+ [最佳实践设计模式：优化 Amazon S3 性能](https://docs.aws.amazon.com/AmazonS3/latest/userguide/optimizing-performance.html) 
+ [Linux 实例上的 Amazon EBS 卷性能](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSPerformance.html)

**白皮书**
+ [性能效率支柱](                         https://d0.awsstatic.com/whitepapers/architecture/AWS-Performance-Efficiency-Pillar.pdf)

**视频**
+ [AWS re: Invent 2016：扩大到你的前 1000 万用户 () ARC201](https://www.youtube.com/watch?v=n28lDDdlnVg) 
+ [AWS re: Invent 2017：深入探讨亚马逊 EC2 实例](https://www.youtube.com/watch?v=mZy6E2I5Rek) 

# Amazon Connect 工作负载的成本优化
<a name="cost-optimization-bp"></a>

成本优化包括运行系统以最低价位交付商业价值的能力。本节概述了与 Amazon Connect 工作负载成本优化相关的设计原则、最佳实践和问题。你可以在[成本优化支柱——Well-Architected Framework中找到关于实施的 AWS](https://docs.aws.amazon.com/wellarchitected/latest/cost-optimization-pillar/welcome.html)规范性指导。

请考虑 Amazon Connect 工作负载成本优化的以下几个方面。

## 区域选择
<a name="regionselection-co"></a>

Amazon Connect 区域选择是客户在针对联络中心工作负载采用 Amazon Connect 时首先做出的决策之一。虽然延迟和语音质量是区域选择的重要方面，但您也应该从成本角度评估区域选择。“每天申请的电话号码数”和“每分钟入站使用量”的电话定价可能因国家/地区不同而异，具体取决于您选择实例化 Amazon Connect 实例的 AWS 区域。您可以在 [Amazon Connect 定价](https://aws.amazon.com/connect/pricing/)页面上查找每个区域的电话价格。

## 回拨
<a name="callbacks-co"></a>

在呼叫量较高或等待时间较长期间，您可以在流中为呼叫方提供回拨。您可以使用回拨来降低成本并改善联系人的体验质量。当您的联系人启用回拨时，Amazon Connect 将保留在队列中的位置并允许呼叫方断开连接。当座席可以为您的联系人提供服务时，Amazon Connect 将向配置为将联系人连接到您的座席的号码进行出站呼叫。创建时，每个实例中都包含一个示例回拨流。您还可以使用 AWS Lambda 和 Amazon DynamoDB 来防止重复的回拨请求。

## 仓储服务
<a name="storage-co"></a>

借助 Amazon Connect，您可以配置您的实例和流，以存储呼叫方互动的通话录音和聊天转录，以实现合规、质量监控和培训目的。除非座席已连接到呼叫方，否则不会对语音联系进行录制。如果连接了多个座席，则每个座席都将有相关的通话录音或转录。Amazon Connect 根据您的 Amazon S3 生命周期策略配置，将录音存储在 Amazon S3 中。通过将通话录音存储在 Amazon S3 中，您可以使用 Amazon S3 存储层来管理保留和优化成本。例如，您可以使用 Amazon S3 生命周期管理功能转换对象，将三个月前的通话录音和转录移至 Amazon Glacier，以降低存储成本。

## 自助服务
<a name="selfservice-co"></a>

与传统的基于许可的联络中心相比，Amazon Connect 的 pay-as-you-go定价模式可以降低成本。然而，跨越自动呼叫分配 (ACD) 系统、IVR、电话和人力资源管理 (WFM) 系统的传统联络中心基础设施对联络中心运营的总体成本的贡献相对较小。联络中心成本的最大贡献因素通常来自人力资本和为座席提供运营环境所需的房地产。Amazon Connect 流程可以原生使用 Amazon Lex for NLU、NLP 和 ASR，Amazon Polly for 逼真 Text-to-Speech (TTS)，通过语音和文字打造极具吸引力的用户体验和自然的对话互动。呼叫方通过在 Amazon Connect 呼叫中心使用 Amazon Lex 聊天机器人，可以执行诸如更改密码、请求提供账户余额信息或安排预约等任务，而无需与座席交谈。这些自助服务选项可改善客户体验并降低每次联系的成本。

![\[该图显示了降低成本和改善客户体验的自助服务选项。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/architecture/selfservice.png)


## C lick-to-call
<a name="clicktocall-co"></a>

您可以 click-to-call在 Amazon Connect 中使用 [StartOutboundVoiceContact](https://docs.aws.amazon.com/connect/latest/APIReference/API_StartOutboundVoiceContact.html)API 发起语音通话，通过网络或移动应用程序进行身份验证，从而减少呼叫处理时间并提高体验质量。通过这种方法，您可以让您的联系人绕过 IVR 身份验证，将近期 web/mobile 活动和用户数据等 URLs情境信息传递到您的流程，从而创建动态的个性化体验。例如，一个联系人正在浏览您的网站以购买商品，或金融机构成员已在移动应用程序中通过身份验证，并希望与座席讨论最近的交易。

## 将语音联系重定向到聊天
<a name="redirectvoiccecontactstochat-co"></a>

借助 Amazon Connect，您可以允许座席同时处理多个聊天对话，在此情况下，他们只能处理一个语音对话。当您没有可用的语音座席时，您可以向客户发送短信，以提供用于立即与座席聊天的链接。

## 使用软电话代替座机
<a name="softphone-co"></a>

建议座席使用软电话而不是座机。由于通话和音频通过 PSTN 扩展到座席，因此使用座机会产生与之相关的成本。

## 资源
<a name="costoptimization-resources-bp"></a>

**文档**
+  [使用 Cost Explorer 分析费用](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ce-what-is.html) 
+  [AWS 云经济中心](https://aws.amazon.com/economics/) 
+ [什么是 AWS 成本和使用情况报告](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html) 

**白皮书**
+ [成本优化支柱](https://d0.awsstatic.com/whitepapers/architecture/AWS-Cost-Optimization-Pillar.pdf) 

# 计划在 Amazon Connect 中的身份管理
<a name="connect-identity-management"></a>

开始[设置 Amazon Connect 实例](amazon-connect-instances.md)之前，应确定要如何管理您的 Amazon Connect 用户。用户是指任何需要 Amazon Connect 账户的人：座席、呼叫中心经理、分析师等。

**一旦创建实例，则不能更改为身份管理选择的选项**。相反，您必须删除实例并创建一个新实例。但是，如果删除实例，您将失去该实例的所有配置设置和指标数据。

当您创建实例时，您可以从以下身份管理解决方案中选择一个：
+ **通过 Amazon Connect 存储用户** - 如果您要在 Amazon Connect 内创建和管理用户账户，则可以选择此选项。

  在 Amazon Connect 中管理用户时，每个用户的用户名和密码都特定于 Amazon Connect。用户必须记住自己的用户名和密码才能登录 Amazon Connect。
+ **链接到现有目录** - 选择此选项可使用现有的 Active Directory。用户将使用其公司凭证登录 Amazon Connect。

  如果您选择此选项，则目录必须与您的账户关联 Directory Service，并在您创建实例的同一区域中进行设置，并且处于活动状态。如果您计划选择此选项，应先准备您的目录，然后再创建 Amazon Connect 实例。有关更多信息，请参阅 [在 Amazon Connect 中使用现有目录进行身份管理](directory-service.md)。
+ **基于 SAML 2.0 的身份验证** - 如果要利用现有的网络身份提供商对用户进行联合身份验证，使其能够访问 Amazon Connect，则选择此选项。用户只能使用通过您的身份提供商配置的链接登录 Amazon Connect。如果您计划选择此选项，应先将环境配置为采用 SAML，然后再创建 Amazon Connect 实例。有关更多信息，请参阅 [使用 IAM 为 Amazon Connect 配置 SAML](configure-saml.md)。

# 在 Amazon Connect 中使用现有目录进行身份管理
<a name="directory-service"></a>

如果您已经在使用 Directory Service 目录来管理用户，则可以使用同一个目录来管理 Amazon Connect 中的用户账户。您也可以在中创建一个新目录 Directory Service 以用于 Amazon Connect。您选择的目录必须与您的 AWS 账户相关联，并且必须在您创建实例的 AWS 地区处于活动状态。一个 Directory Service 目录一次只能关联一个 Amazon Connect 实例。若要该目录关联另外的实例，必须删除与该目录已经关联的实例。

Amazon Connect 支持以下 Directory Service 目录：
+ [微软 Active Direct](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) ory —Directory Service 允许你将微软活动目录作为托管服务运行。
+ [Active Directory Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html) — AD Connector 是一个目录网关，可用来将目录请求重定向到您的本地 Microsoft Active Directory。
+ [Simple Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_simple_ad.html) — Simple AD 是由 Samba 4 Active Directory Compatible Server 提供支持的一个独立托管目录。

在创建实例后，您不能更改您选择的身份选项。如果决定更改所选择的目录，只能删除该实例，然后新建一个。删除实例后，将失去该实例的所有配置设置和指标数据。

使用 Amazon Connect 中的现有或专有目录无需额外付费。有关与使用相关的费用的信息 Directory Service，请参阅[Directory Service 定价概览](https://aws.amazon.com/directoryservice/pricing/)。

以下限制适用于使用 Directory Service创建的所有新目录：
+ 目录名称只能包含字母数字。只能使用“.”字符。
+ 目录与 Amazon Connect 实例关联后，不能解除其关联。
+ 一个 Amazon Connect 实例中只能添加一个目录。
+ 不能在多个 Amazon Connect 实例间共享目录。

# 使用 IAM 为 Amazon Connect 配置 SAML
<a name="configure-saml"></a>

Amazon Connect 支持身份联合，方法是使用 AWS IAM 配置安全断言标记语言 (SAML) 2.0，以启用从您的组织到 Amazon Connect 实例的基于 Web 的单点登录 (SSO)。这样，您的用户就可以登录组织中由 SAML 2.0 兼容身份提供商 (IdP) 托管的门户，并以单点登录体验来登录 Amazon Connect 实例，而无需为 Amazon Connect 提供单独的凭证。

## 重要提示
<a name="saml-important-notes"></a>

在开始之前，请注意以下事项：
+ 这些说明不适用于 Amazon Connect Global Resiliency 部署。有关适用于 Amazon Connect Global Resiliency 的信息，请参阅[将您的身份提供商（IdP）与 Amazon Connect Global Resiliency SAML 登录端点集成](integrate-idp.md)。
+ 选择基于 SAML 2.0 的身份验证作为 Amazon Connect 实例的身份管理方法需要配置 [AWS Identity and Access Management 联合身份验证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html)。
+ Amazon Connect 中的用户名必须与身份提供 RoleSessionName 商返回的 SAML 响应中指定的 SAML 属性相匹配。
+ Amazon Connect 不支持反向联合。也就是说，您无法直接登录 Amazon Connect。如果您尝试，则会收到*会话已过期*消息。身份验证应通过身份提供商 (IdP) 完成，而不是通过服务提供商 (SP) (Amazon Connect) 完成。
+ 默认情况下，大多数身份提供商使用全球 AWS 登录终端节点作为应用程序使用者服务 (ACS)，该服务托管在美国东部（弗吉尼亚北部）。建议覆盖此值，以使用与在其中创建实例的 AWS 区域 匹配的区域端点。
+ 所有 Amazon Connect 用户名都区分大小写，即使在使用 SAML 时也是如此。
+ 如果您拥有使用 SAML 设置的旧 Amazon Connect 实例，并且需要更新您的 Amazon Connect 域，请参阅[个人设置](update-your-connect-domain.md#new-domain-settings)。

## 将 SAML 与 Amazon Connect 结合使用的概述
<a name="saml-overview"></a>

下图显示了 SAML 请求验证用户身份并与 Amazon Connect 联合的步骤顺序。它不是威胁模型的流程图。

![\[向 Amazon Connect 提出 SAML 身份验证请求的请求流程概述。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/saml-overview.png)


SAML 请求将经历以下步骤：

1. 用户浏览到包含 Amazon Connect 登录链接的内部门户。该链接由身份提供商定义。

1. 联合身份验证服务请求从组织的身份存储进行身份验证。

1. 该身份存储将对用户进行身份验证，并将身份验证响应返回到联合身份验证服务。

1. 在身份验证成功后，联合身份验证服务会将 SAML 断言发布到用户的浏览器。

1. 用户的浏览器将 SAML 断言发布到 AWS 登录 SAML 端点 (https://signin.aws.amazon.com/saml)。 AWS 登录接收 SAML 请求，处理请求，对用户进行身份验证，并使用身份验证令牌启动浏览器重定向到 Amazon Connect 终端节点。

1. Amazon Connect 使用中的 AWS身份验证令牌对用户进行授权，并在其浏览器中打开 Amazon Connect。

## 为 Amazon Connect 启用基于 SAML 的身份验证
<a name="enable-saml"></a>

以下为启用和配置 SAML 身份验证以用于您的 Amazon Connect 实例所需的步骤：

1. 创建一个 Amazon Connect 实例，选择基于 SAML 2.0 的身份验证来进行身份管理。

1. 在您的身份提供商和 AWS之间启用 SAML 联合。

1. 将 Amazon Connect 用户添加到您的 Amazon Connect 实例。使用您在创建实例时创建的管理员账户登录实例。转至**用户管理**页面，然后添加用户。
**重要**  
**有关用户名中允许使用的字符列表**，请参阅[CreateUser](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateUser.html)操作中该`Username`属性的文档。
 由于 Amazon Connect 用户和 AWS IAM 角色之间存在关联，因此用户名必须与您的 AWS IAM 联合集成配置完全匹配，后者通常会成为您目录中的用户名。 RoleSessionName 用户名的格式应与[RoleSessionName](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)和 [Amazon Connect 用户的](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateUser.html#connect-CreateUser-request-DirectoryUserId)格式条件相匹配，如下图所示：  

![\[rolesessionname 和 Amazon Connect 用户的韦恩图。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/saml-ven-diagram.png)


1. 针对 SAML 断言、身份验证响应和中继状态配置您的身份提供商。用户登录到您的身份提供商。成功时，用户将被重定向到您的 Amazon Connect 实例。IAM 角色用于与联合 AWS，从而允许访问 Amazon Connect。

## 在创建实例期间选择基于 SAML 2.0 的身份验证
<a name="create-saml-instance"></a>

在创建 Amazon Connect 实例时，可选择基于 SAML 2.0 的身份验证选项用于身份管理。在第二步中，当您为实例创建管理员时，所指定的用户名必须完全匹配您的现有网络目录中的相应用户名。没有用来为管理员指定密码的选项，因为密码是通过您的现有目录进行管理的。管理员在 Amazon Connect 中创建并获得 **Admin** 安全配置文件。

您可以通过您的 IdP 并使用管理员账户添加其他用户，以登录您的 Amazon Connect 实例。

## 在您的身份提供商和之间启用 SAML 联合 AWS
<a name="enable-saml-federation"></a>

要为 Amazon Connect 启用基于 SAML 的身份验证，必须在 IAM 控制台中创建一个身份提供商。有关更多信息，请参阅允许 [SAML 2.0 联合用户访问 AWS 管理控制台](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html)。

为 Amazon Connect 创建身份提供商 AWS 的过程与创建身份提供商的过程相同。上述流程图中的步骤 6 说明客户端会发送到您的 Amazon Connect 实例，而不是 AWS 管理控制台。

启用 SAML 联合所需的步骤 AWS 包括：

1. 在中创建 SAML 提供商。 AWS有关更多信息，请参阅[创建 SAML 身份提供商](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html)。

1. 使用 AWS 管理控制台创建用于 SAML 2.0 联合身份验证的 IAM 角色。仅为联合身份验证创建一个角色（仅需要一个角色并用于联合身份验证）。IAM 角色决定通过您的身份提供商登录的用户在 AWS中拥有的权限。在此示例中，这些权限用来访问 Amazon Connect。使用 Amazon Connect 中的安全配置文件，可以控制访问 Amazon Connect 功能的权限。有关更多信息，请参阅[创建用于 SAML 2.0 联合身份验证的角色（控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html)。

   在步骤 5 中，选择 “**允许编程访问 AWS 和管理控制台**”。创建过程*准备创建用于 SAML 2.0 联合身份验证的角色*中的主题所描述的信任策略。然后，创建一个策略将权限分配到您的 Amazon Connect 实例。可以在*为基于 SAML 的联合身份验证创建角色*过程的步骤 9 中开始分配权限。

**创建向用于 SAML 联合身份验证的 IAM 角色分配权限的策略**

   1. 在**附加权限策略**页面上，选择**创建策略**。

   1. 在**创建策略**页面上，选择 **JSON**。

   1. 复制以下示例策略之一，将其粘贴到 JSON 策略编辑器中，以替换任何现有文本。可以使用策略来启用 SAML 联合身份验证，或根据您的特定要求对其进行自定义。

      使用该策略为特定 Amazon Connect 实例中的所有用户启用联合身份验证。要进行基于 SAML 的身份验证，可将 `Resource` 的值替换为您创建的实例的 ARN：

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
         "Statement": [
              {
                  "Sid": "Statement1",
                  "Effect": "Allow",
                  "Action": "connect:GetFederationToken",
                  "Resource": [
                      "arn:aws:connect:us-east-1:361814831152:instance/2fb42df9-78a2-2e74-d572-c8af67ed289b/user/${aws:userid}"
                  ]
              }
          ]
      }
      ```

------

      使用该策略为特定 Amazon Connect 实例启用联合身份验证。将 `connect:InstanceId` 的值替换为您的实例的实例 ID。

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Sid": "Statement2",
                  "Effect": "Allow",
                  "Action": "connect:GetFederationToken",
                  "Resource": "*",
                  "Condition": {
                      "StringEquals": {
                          "connect:InstanceId": "2fb42df9-78a2-2e74-d572-c8af67ed289b"
                      }
                  }
              }
          ]
      }
      ```

------

      使用该策略为多个实例启用联合身份验证。请注意所列实例周围的方括号 IDs。

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Sid": "Statement2",
                  "Effect": "Allow",
                  "Action": "connect:GetFederationToken",
                  "Resource": "*",
                  "Condition": {
                      "StringEquals": {
                          "connect:InstanceId": [
                          "2fb42df9-78a2-2e74-d572-c8af67ed289b", 
                          "1234567-78a2-2e74-d572-c8af67ed289b"]
                      }
                  }
              }
          ]
      }
      ```

------

   1. 创建策略后，选择**下一步：审核**。然后返回到[创建用于 SAML 2.0 联合身份验证的角色（控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html)主题中*创建用于基于 SAML 的联合身份验证的角色*过程中的步骤 10。

1. 将您的网络配置为适用于 AWS的 SAML 提供商。有关更多信息，请参阅允许 [SAML 2.0 联合用户访问 AWS 管理控制台](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html)。

1. 为身份验证响应配置 SAML 断言。有关更多信息，请参阅[为身份验证响应配置 SAML 断言](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)。

1. 对于 Amazon Connect，请将**应用程序启动 URL** 留空。

1. 覆盖身份提供商中的应用程序使用者服务 (ACS) URL，以使用与您的 Amazon Connect 实例一致 AWS 区域 的区域终端节点。有关更多信息，请参阅 [将身份提供商配置为使用区域 SAML 端点](#regionally-isolated-saml)。

1. 配置身份提供商的中继状态以指向您的 Amazon Connect 实例。用于中继状态的 URL 的构成如下：

   `https://region-id.console.aws.amazon.com/connect/federate/instance-id`

   将替换为您创建 Amazon Connect 实例的地区名称，例如美国东部（弗吉尼亚北部）的 us-east-1。*region-id*将*instance-id*替换为您的实例的实例 ID。

    GovCloud 例如，URL 是 **https://console.amazonaws-us-gov.com/**: 
   + https://console.amazonaws-us-gov.com/connect/联邦/实例 ID
**注意**  
通过在 Amazon Connect 控制台中选择实例别名，您可以找到您的实例的实例 ID。实例 ID 是**概述**页面上显示的**实例 ARN** 中“/instance”后面的数字和字母集。例如，在下列实例 ARN 中的实例 ID 为 *178c75e4-b3de-4839-a6aa-e321ab3f3770*。  
arn:aws:connect:us-east-1:450725743157:instance/*178c75e4-b3de-4839-a6aa-e321ab3f3770*

## 将身份提供商配置为使用区域 SAML 端点
<a name="regionally-isolated-saml"></a>

为了提供最高可用性，建议使用与您的 Amazon Connect 实例一致的区域 SAML 端点，而不是默认的全局端点。

以下步骤与 IdP 无关；它们适用于任何 SAML IdP（例如 Okta、Ping、、 OneLogin Shibboleth、ADFS、AzuRead 等）。

1. 更新（或覆盖）断言使用者服务 (ACS) URL。有两种方法可以做到这一点：
   + **选项 1**：下载 S AWS AML 元数据并将该`Location`属性更新为您选择的区域。将此新版本的 AWS SAML 元数据加载到您的 IdP 中。

     以下是修订的示例：

      `<AssertionConsumerService index="1" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://region-id.signin.aws.amazon.com/saml"/>`
   + **选项 2**：覆盖您的 IdP 中的 AssertionConsumerService (ACS) 网址。对于 IdPs 像 Okta 这样提供预先制作的 AWS 集成，你可以在管理员控制台中覆盖 ACS URL。 AWS 使用相同的格式覆盖您选择的区域（例如，https://*region-id*.signin.aws.amazon.com/saml）。

1. 更新关联的角色信任策略：

   1. 需要对信任给定身份提供商的每个账户中的每个角色执行此步骤。

   1. 编辑信任关系，并将单数 `SAML:aud` 条件替换为多值条件。例如：
      + 默认值：” `SAML:aud` “:” https://signin.aws.amazon.com /saml”。
      + 经过修改：” `SAML:aud` “: ["https://signin.aws.amazon.com/saml", "https://*region-id*.signin.aws.amazon.com/saml”]

   1. 请事先对信任关系进行这些更改。在事件发生期间，不应将它们作为计划的一部分来完成。

1. 为特定于区域的控制台页面配置中继状态。

   1. 如果您不执行此最后一步，则无法保证特定于区域的 SAML 登录过程会将用户转发到同一区域内的控制台登录页面。此步骤因身份提供商不同而变化最大，但有一些博客（例如，[如何使用 SAML 将联合身份验证用户自动转到特定的 AWS 管理控制台页面](https://aws.amazon.com/blogs//security/how-to-use-saml-to-automatically-direct-federated-users-to-a-specific-aws-management-console-page/)）展示了如何使用中继状态来实现深层链接。

   1. 使用 technique/parameters 适合您的 IdP 的，将中继状态设置为匹配的控制台终端节点（例如，https://*region-id*.console.aws.amazon。 com/connect/federate/*instance-id*)。

**注意**  
确保您的其他区域中未禁用 STS。
确保 “否” SCPs 会阻止 STS 操作在您的其他区域。

## 在中继状态 URL 中使用目的地
<a name="destination-relay"></a>

当您为身份提供商配置中继状态时，可以使用 URL 中的目的地参数将用户导航到 Amazon Connect 实例中的特定页面。例如，当座席登录时，使用链接直接打开 CCP。必须为用户分配一个安全配置文件，以授予用户对实例中该页面的访问权限。例如，要将座席发送到 CCP，请为中继状态使用类似于以下内容的 URL。必须将 [URL 编码](https://en.wikipedia.org/wiki/Percent-encoding)用于在 URL 中使用的目的地值：
+ `https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true`

有效 URL 的另一个示例是：
+ `https://us-east-1.console.aws.amazon.com/connect/federate/instance-id?destination=%2Fagent-app-v2`

 GovCloud 例如，URL 是 **https://console.amazonaws-us-gov.com/**。所以地址将为：
+ `https://console.amazonaws-us-gov.com/connect/federate/instance-id?destination=%2Fccp-v2%2Fchat&new_domain=true`

如果您想将目的地参数配置为 Amazon Connect 实例之外的 URL（例如您自己的自定义网站），请先将该外部域添加到账户的已批准源中。例如，按以下顺序执行这些步骤：

1. 在 Amazon Connect 控制台中，将 https://*your-custom-website*.com 添加到您批准的来源。有关说明，请参阅[使用 Amazon Connect 中的集成应用程序的允许列表](app-integration.md)。

1. 在您的身份提供商中，将中继状态配置为 ` https://your-region.console.aws.amazon.com/connect/federate/instance-id?destination=https%3A%2F%2Fyour-custom-website.com`

1. 当您的代理登录时，他们会被直接带到 https://*your-custom-website*.com。

## 将用户添加到您的 Amazon Connect 实例
<a name="saml-add-users"></a>

将用户添加到您的连接实例中，并确保用户名与您的现有目录中的用户名完全匹配。如果名称不匹配，则用户虽可以登录身份提供商，但不能登录 Amazon Connect，因为在 Amazon Connect 中不存在具有该用户名的用户账户。可以在**用户管理**页面上手动添加用户，也可以使用 CSV 模板批量上传用户。将用户添加到 Amazon Connect 后，可以分配安全配置文件和其他用户设置。

如果用户登录到身份提供商，但在 Amazon Connect 中未找到具有相同用户名的账户，则会显示如下所示的**访问遭拒**消息。

![\[用户名不在 Amazon Connect 中的用户出现拒绝访问错误。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/saml-access-denied.png)

<a name="bulk-user-upload"></a>
**使用模板批量上传用户**  
您可以通过将用户添加到 CSV 文件来导入用户。然后，您可以将 CSV 文件导入到您的实例，这会添加该文件中的所有用户。如果您通过上传 CSV 文件来添加用户，请确保您为 SAML 用户使用模板。您可以在 Amazon Connect 的**用户管理**页面上找到相关模板。基于 SAML 的身份验证使用另一个模板。如果您之前下载了该模板，则应在为实例设置了基于 SAML 的身份验证后，下载**用户管理**页面上提供的版本。该模板不应包含用于电子邮件或密码的列。

## SAML 用户登录和会话持续时间
<a name="user-sessions"></a>

当您在 Amazon Connect 中使用 SAML 时，用户必须通过您的身份提供商 (IdP) 登录到 Amazon Connect。您的 IdP 已配置为与集成。 AWS在身份验证后，为其会话创建一个令牌。然后，用户被重定向到您的 Amazon Connect 实例，并自动使用单点登录功能登录到 Amazon Connect。

按照最佳实践，还应为您的 Amazon Connect 用户定义一个当其使用完 Amazon Connect 后要注销的流程。他们应当同时从 Amazon Connect 和您的身份提供商注销。否则，下一个登录到同一台计算机的人员就可以无需密码而登录 Amazon Connect，因为之前会话的令牌在这次会话期间仍然有效。有效期为 12 小时。
<a name="session-expire"></a>
**关于会话过期**  
Amazon Connect 会话在用户登录 12 小时后过期。12 小时后，用户将自动被注销，即便他们仍在通话中。如果您的座席保持登录状态的时间超过 12 小时，则他们需要在会话令牌过期之前刷新此令牌。要创建新的会话，座席需要注销 Amazon Connect 和您的 IdP，然后重新登录。这将重置在令牌上设置的会话计时器，避免座席在接待客户期间被注销。如果在会话过期时用户仍在登录，则会显示以下消息。要再次使用 Amazon Connect，用户需要登录到您的身份提供商。

![\[当基于 SAML 的用户的会话过期时，将显示错误消息。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/saml-session-expired.png)


**注意**  
如果您在登录时看到**会话已过期**消息，则可能只需要刷新会话令牌即可。访问您的身份提供商并登录。刷新 Amazon Connect 页面。如果您仍然收到此消息，请联系您的 IT 团队。

# 使用 Amazon Connect 排查 SAML 问题
<a name="troubleshoot-saml"></a>

本文介绍如何排除和解决客户在将 SAML 与 Amazon Connect 结合使用时遇到的一些最常见问题。

如果您要对与其他身份提供商（例如 Okta、、 PingIdentify Azure AD 等）的集成进行故障排除，请参阅 A [mazon Connect SSO 设置研讨会](https://catalog.workshops.aws/workshops/33e6d0e7-f927-4531-abb1-f28a86ba0872/en-US)。

## 错误消息：访问被拒绝。您的账户已经过身份验证，但尚未登入此应用程序。
<a name="troubleshoot-saml-access-denied"></a>

![\[错误消息：访问被拒绝。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/saml-troubleshooting-access-denied.png)


### 这意味着什么？
<a name="troubleshoot-saml-access-denied-what"></a>

此错误表示用户已使用 SAML 成功向 AWS SAML 登录端点进行身份验证。但是，用户无法 matched/found 进入 Amazon Connect。此消息通常提示出现以下问题之一：
+ Amazon Connect 中的用户名与在身份提供程序返回的 SAML 响应中指定的 `RoleSessionName` SAML 属性不匹配。
+ 该用户在 Amazon Connect 中不存在。
+ 通过 SSO 为用户分配了两个单独的配置文件。

### 解决方案
<a name="troubleshoot-saml-access-denied-resolution"></a>

使用以下步骤检查身份提供商返回的 RoleSessionName SAML 响应中指定的 SAML 属性，然后检索并与 Amazon Connect 中的登录名进行比较。

1. 在 end-to-end登录过程中执行 HAR 捕获（**H** TTP **AR** chive）。这将从浏览器端捕获网络请求。使用首选文件名保存 HAR 文件，例如 **saml.har**。

   有关说明，请参阅[如何通过浏览器为 Support 案例创建 HAR 文件？ AWS](https://aws.amazon.com/premiumsupport/knowledge-center/support-case-browser-har-file/) 

1. 使用文本编辑器在 HAR 文件 SAMLResponse 中查找。或者，运行以下命令：

   `$ grep -o "SAMLResponse=.*&" azuresaml.har | sed -E 's/SAMLResponse=(.*)&/\1/' > samlresponse.txt`
   + 这会在 HAR 文件 SAMLresponse 中搜索，然后将其保存到 **samlresponse.txt** 文件中。
   + 响应采用 URL 编码，而内容采用 Base64 编码。

1. 对 URL 响应进行解码，然后使用第三方工具或简单脚本解码 Base64 内容。例如：

   `$ cat samlresponse.txt | python3 -c "import sys; from urllib.parse import unquote; print(unquote(sys.stdin.read()));" | base64 --decode > samlresponsedecoded.txt`

   此脚本使用一个简单的 python 命令 SAMLResponse 从其原始 URL 编码格式中解码。然后，它解码来自 Base64 的响应，并以纯文本格式输出 SAML 响应。

1. 检查所需属性的解码响应。例如，下图显示如何检查 `RoleSessionName`：  
![\[用于检查 rolesessionname 的 grep 命令。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/saml-troubleshooting-rolesessionname.png)

1. 检查从上一步返回的用户名是否以用户身份存在于您的 Amazon Connect 实例中：

   \$1 aws connect list-users --instance-id [INSTANCE\$1ID] \$1 grep \$1username
   + 如果最终 grep 没有返回结果，这意味着在您的 Amazon Connect 实例中不存在此用户，或者此用户是使用不同的大小写创建的。
   + 如果您的 Amazon Connect 实例有许多用户，那么 ListUsers API 调用的响应可能会被分页。使用由此 API 返回的 `NextToken` 获取其余用户。有关更多信息，请参阅 [ListUsers](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListUsers.html)。

### 示例 SAML 响应
<a name="example-samlresponse"></a>

以下是示例 SAML 响应中的图像。在这种情况下，身份提供程序 (IdP) 是 Azure Active Directory (Azure AD)。

![\[SAML 响应示例。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/saml-troubleshooting-saml-response.png)


## 错误消息：访问被拒绝，请联系您的 AWS 账户管理员寻求帮助。
<a name="troubleshoot-saml-contact-admin"></a>

![\[错误消息：访问被拒绝。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/saml-troubleshooting-access-denied-admin.png)


### 这意味着什么？
<a name="troubleshoot-saml-bad-request-what"></a>

已使用 SAML 成功对用户所代入的角色进行身份验证。但是，该角色无权调用适用于 Amazon Connect GetFederationToken 的 API。此调用是必需的，以便用户可以使用 SAML 登录到您的 Amazon Connect 实例。

### 解决方案
<a name="troubleshoot-saml-bad-request-resolution"></a>

1. 将具有 `connect:GetFederationToken` 的权限的策略附加到在错误消息中找到的角色。以下是策略示例：

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "Statement1",
               "Effect": "Allow",
               "Action": "connect:GetFederationToken",
               "Resource": [
                   "arn:aws:connect:ap-southeast-2:111122223333:instance/aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee/user/${aws:userid}"
               ]
           }
       ]
   }
   ```

------

1. 使用 IAM 控制台附加策略。或者，使用 attach-role-policy API，例如：

   `$ aws iam attach-role-policy —role-name [ASSUMED_ROLE] —policy_arn [POLICY_WITH_GETFEDERATIONTOKEN]`

## 错误消息：会话已过期
<a name="saml-sessionexpired-message"></a>

如果您在登录时看到**会话已过期**消息，则可能只需要刷新会话令牌即可。访问您的身份提供商并登录。刷新 Amazon Connect 页面。如果您仍然收到此消息，请联系您的 IT 团队。

## Amazon Connect 的其他资源
<a name="additional-resources"></a>

除了使用本指南的内容外，您还可以使用以下资源了解有关 Amazon Connect 的更多信息。

**Topics**
+ [Amazon Connect API 参考](#acp-api)
+ [Amazon Connect Streams](#streams)
+ [Amazon Connect 聊天用户界面示例](#chat-example)

### Amazon Connect API 参考
<a name="acp-api"></a>

[Amazon Connect API 参考](https://docs.aws.amazon.com/connect/latest/APIReference/)介绍了用于设置和管理您的联系中心的 API 操作。

### Amazon Connect Streams
<a name="streams"></a>

[Amazon Connect Streams](https://github.com/aws/amazon-connect-streams) 文档介绍了如何将您的现有 Web 应用程序与 Amazon Connect 集成。Streams 让您能够将联系人控制面板 (CCP) UI 组件嵌入到页面中，以及/或者直接处理座席和联系人状态事件，从而使您能够通过面向对象的事件驱动界面控制座席和联系人状态。您可以使用内置界面或从头开始构建自己的界面：Streams 为您提供了选择的权力。

### Amazon Connect 聊天用户界面示例
<a name="chat-example"></a>

[Amazon Connect 聊天功能 SDK 和示例实施](https://github.com/amazon-connect/amazon-connect-chat-ui-examples/)提供了如何使您的应用程序能够与 Amazon Connect 聊天交互的示例。

# 获取 Amazon Connect 的管理支持
<a name="get-admin-support"></a>

如果您是管理员并且需要联系 Amazon Connect 技术支持，请选择以下选项之一：
+ 如果您拥有 AWS Support 账户，请转到[支持中心](https://console.aws.amazon.com/support/home)并提交工单。
+ 否则，请打开 [AWS 管理控制台](https://console.aws.amazon.com/)并依次选择**Amazon Connect**、**支持**、**创建案例**。

提供以下信息会有帮助：
+ 您的联络中心实例 ID/ARN。要查找您的实例 ARN，请参阅 [找到您的 Amazon Connect 实例 ID 或 ARN](find-instance-arn.md)。
+ 您所在区域。
+ 问题的详细说明。