本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用 Amazon Connect 的服务相关角色和角色权限 ## 什么是服务相关角色 (SLR) 以及为什么它们非常重要? Amazon Connect 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种独特类型的 IAM 角色,它与 Amazon Connect 实例直接相关。 服务相关角色由 Amazon Connect 预定义,包括 Amazon Connect 代表您调用其他 AWS 服务所需[的所有权限](#slr-permissions)。 您需要启用服务相关角色才能使用 Amazon Connect 中的新功能,例如标签支持、用户**管理和**路由配置文件**中的新用户**界面以及支持队列。 CloudTrail 有关支持服务相关角色的其他服务的信息,请参阅[与 IAM 配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),并查找 **Service-Linked Role**(服务相关角色)列中显示为 **Yes**(是)的服务。选择**是**和链接,查看该服务的服务关联角色文档。 ## Amazon Connect 的服务相关角色权限 Amazon Connect 使用前缀为 **AWSServiceRoleForAmazonConnect**\_ 的服务相关角色 {{unique-id}} — 授予 Amazon Connect 代表您访问 AWS 资源的权限。 带 AWSServiceRoleForAmazonConnect 前缀的服务相关角色信任以下服务来代入该角色: + `connect.amazonaws.com` [AmazonConnectServiceLinkedRolePolicy](https://docs.aws.amazon.com/connect/latest/adminguide/security_iam_awsmanpol.html#amazonconnectservicelinkedrolepolicy)角色权限策略允许 Amazon Connect 对指定资源完成以下操作: + 操作:对所有 Amazon Connect 资源执行的所有 Amazon Connect 操作,即 `connect:*`。 + 操作:IAM `iam:DeleteRole` 允许删除服务相关角色。 + 操作:Amazon S3 `s3:GetObject`、`s3:DeleteObject`、`s3:GetBucketLocation` 和 `GetBucketAcl`,适用于为记录的对话指定的 S3 存储桶。 对于为导出报告指定的存储桶,它还授予 `s3:PutObject`、`s3:PutObjectAcl` 和 `s3:GetObjectAcl`。 + 操作:Amazon CloudWatch Logs `logs:CreateLogStream``logs:DescribeLogStreams`,然后发送`logs:PutLogEvents`到为流 CloudWatch 日志指定的日志组。 + 操作:Amazon Lex `lex:ListBots`、`lex:ListBotAliases`,适用于在跨所有区域的账户中创建的所有自动程序。 + 操作:Amazon Connect Customer Profiles + `profile:SearchProfiles` + `profile:CreateProfile` + `profile:UpdateProfile` + `profile:AddProfileKey` + `profile:ListProfileObjects` + `profile:ListAccountIntegrations` + `profile:ListProfileObjectTypeTemplates` + `profile:GetProfileObjectTypeTemplate` + `profile:ListProfileObjectTypes` + `profile:GetProfileObjectType` + `profile:ListCalculatedAttributeDefinitions` + `profile:GetCalculatedAttributeForProfile` + `profile:ListCalculatedAttributesForProfile` + `profile:GetDomain` + `profile:ListIntegrations` + `profile:GetIntegration` + `profile:PutIntegration` + `profile:DeleteIntegration` + `profile:CreateEventTrigger` + `profile:GetEventTrigger` + `profile:ListEventTriggers` + `profile:UpdateEventTrigger` + `profile:DeleteEventTrigger` + `profile:CreateCalculatedAttributeDefinition` + `profile:DeleteCalculatedAttributeDefinition` + `profile:GetCalculatedAttributeDefinition` + `profile:UpdateCalculatedAttributeDefinition` + `profile:PutProfileObject` + `profile:ListObjectTypeAttributes` + `profile:ListProfileAttributeValues` + `profile:BatchGetProfile` + `profile:BatchGetCalculatedAttributeForProfile` + `profile:ListSegmentDefinitions` + `profile:CreateSegmentDefinition` + `profile:GetSegmentDefinition` + `profile:DeleteSegmentDefinition` + `profile:CreateSegmentEstimate` + `profile:GetSegmentEstimate` + `profile:CreateSegmentSnapshot` + `profile:GetSegmentSnapshot` + `profile:GetSegmentMembership` + `profile:CreateDomainLayout` + `profile:UpdateDomainLayout` + `profile:DeleteDomainLayout` + `profile:GetDomainLayout` + `profile:ListDomainLayouts` + `profile:GetSimilarProfiles` + `profile:GetUploadJob` + `profile:GetUploadJobPath` + `profile:StartUploadJob` + `profile:StopUploadJob` + `profile:CreateUploadJob` + `profile:ListUploadJobs` + `profile:DetectProfileObjectType` 将您的默认 Customer Profiles 域(包括域中的配置文件和所有对象类型)与 Amazon Connect 流和座席体验应用程序配合使用。 **注意** 每个 Amazon Connect 实例一次只能与一个域关联。但是,您可以将任何域链接到 Amazon Connect 实例。在同一 AWS 帐户和区域内,以 `amazon-connect-` 前缀开头的所有域都会自动启用跨域访问。要限制跨域访问,您可以使用单独的 Amazon Connect 实例对数据进行逻辑分区,或者在同一实例中使用不以 `amazon-connect-` 前缀开头的 Customer Profiles 域名,从而防止跨域访问。 + 操作:Connect 人工智能代理 + `wisdom:CreateContent` + `wisdom:DeleteContent` + `wisdom:CreateKnowledgeBase` + `wisdom:GetAssistant` + `wisdom:GetKnowledgeBase` + `wisdom:GetContent` + `wisdom:GetRecommendations` + `wisdom:GetSession` + `wisdom:NotifyRecommendationsReceived` + `wisdom:QueryAssistant` + `wisdom:StartContentUpload` + `wisdom:UntagResource` + `wisdom:TagResource` + `wisdom:CreateSession` + `wisdom:CreateQuickResponse` + `wisdom:GetQuickResponse` + `wisdom:SearchQuickResponses` + `wisdom:StartImportJob` + `wisdom:GetImportJob` + `wisdom:ListImportJobs` + `wisdom:ListQuickResponses` + `wisdom:UpdateQuickResponse` + `wisdom:DeleteQuickResponse` + `wisdom:PutFeedback` + `wisdom:ListContentAssociations` + `wisdom:CreateMessageTemplate` + `wisdom:UpdateMessageTemplate` + `wisdom:UpdateMessageTemplateMetadata` + `wisdom:GetMessageTemplate` + `wisdom:DeleteMessageTemplate` + `wisdom:ListMessageTemplates` + `wisdom:SearchMessageTemplates` + `wisdom:ActivateMessageTemplate` + `wisdom:DeactivateMessageTemplate` + `wisdom:CreateMessageTemplateVersion` + `wisdom:ListMessageTemplateVersions` + `wisdom:CreateMessageTemplateAttachment` + `wisdom:DeleteMessageTemplateAttachment` + `wisdom:RenderMessageTemplate` + `wisdom:CreateAIAgent` + `wisdom:CreateAIAgentVersion` + `wisdom:DeleteAIAgent` + `wisdom:DeleteAIAgentVersion` + `wisdom:UpdateAIAgent` + `wisdom:UpdateAssistantAIAgent` + `wisdom:RemoveAssistantAIAgent` + `wisdom:GetAIAgent` + `wisdom:ListAIAgents` + `wisdom:ListAIAgentVersions` + `wisdom:CreateAIPrompt` + `wisdom:CreateAIPromptVersion` + `wisdom:DeleteAIPrompt` + `wisdom:DeleteAIPromptVersion` + `wisdom:UpdateAIPrompt` + `wisdom:GetAIPrompt` + `wisdom:ListAIPrompts` + `wisdom:ListAIPromptVersions` + `wisdom:CreateAIGuardrail` + `wisdom:CreateAIGuardrailVersion` + `wisdom:DeleteAIGuardrail` + `wisdom:DeleteAIGuardrailVersion` + `wisdom:UpdateAIGuardrail` + `wisdom:GetAIGuardrail` + `wisdom:ListAIGuardrails` + `wisdom:ListAIGuardrailVersions` + `wisdom:CreateAssistant` + `wisdom:ListTagsForResource` + `wisdom:SendMessage` + `wisdom:GetNextMessage` + `wisdom:ListMessages` + `wisdom:Retrieve` + `wisdom:ListAssistantAssociations` `'AmazonConnectEnabled':'True'`在与您的 Amazon Connect 实例关联的所有 Amazon Connect 人工智能代理资源上使用资源标签。 + `wisdom:ListAssistants` + `wisdom:KnowledgeBases` 在所有 Connect 人工智能代理资源上。 + 操作:用于将实例的 A CloudWatch mazon Connect 使用指标发布到您的账户的亚马逊指标。`cloudwatch:PutMetricData` + 操作:Amazon Pinpoint 短信和语音 `sms-voice:DescribePhoneNumbers` 和 `sms-voice:SendTextMessage`,支持 Amazon Connect 发送短信。 + 操作:Amazon Pinpoint `mobiletargeting:SendMessages`,支持 Amazon Connect 发送推送通知。 + 操作:Amazon Cognito 用户池 `cognito-idp:DescribeUserPool` 和 `cognito-idp:ListUserPoolClients`,并允许 Amazon Connect 对带有 `AmazonConnectEnabled` 资源标签的 Amazon Cognito 用户池资源进行选择读取操作。 + 操作:Amazon Chime SDK Voice Connector `chime:GetVoiceConnector` 允许 Amazon Connect 读取所有带有 `'AmazonConnectEnabled':'True'` 资源标签的 Amazon Chime SDK Voice Connector 资源。 + 操作:所有区域账户中创建的所有 Amazon Chime SDK Voice Connector 的 Amazon Chime SDK Voice Connector `chime:ListVoiceConnectors`。 + 操作:Amazon Connect 消息 WhatsApp 集成。向以下 AWS 最终用户消息社交授予 Amazon Connect 权限 APIs: + `social-messaging:SendWhatsAppMessage` + `social-messaging:PostWhatsAppMessageMedia` + `social-messaging:GetWhatsAppMessageMedia` + `social-messaging:GetLinkedWhatsAppBusinessAccountPhoneNumber` 社交仅限于 APIs 您启用了 Amazon Connect 的电话号码资源。当电话号码导入到 Amazon Connect 实例中时,会标记为 `AmazonConnectEnabled : True`。 + 操作:Amazon Connect WhatsApp 消息模板集成。授予 Amazon Connect 的通话权限 AWS 终端用户消息收发社交服务 APIs。可能会列出 AWS 账户的 WhatsApp 企业账户。此外,只要对 WhatsApp 企业账户进行了标记,就可以列出 WhatsApp 企业账户的模板并检索模板的详细信息`AmazonConnectEnabled: True`。 + `social-messaging:ListLinkedWhatsAppBusinessAccounts` + `social-messaging:GetWhatsAppMessageTemplate` + `social-messaging:ListWhatsAppMessageTemplates` + 操作:Amazon SES + `ses:DescribeReceiptRule` + `ses:UpdateReceiptRule` 对所有 Amazon SES 接收规则执行。用于发送和接收电子邮件。 + `ses:DeleteEmailIdentity`用于 {{{instance-alias}}} .email.connect.aws SES 域身份。用于由 Amazon Connect 提供的电子邮件域管理。 + `ses:SendRawEmail`用于发送包含 Amazon Connect 提供的 SES 配置集的电子邮件(configuration-set-for-connect-DO-NOT-DELETE)。 + `iam:PassRole` 表示由 Amazon SES 使用的 `AmazonConnectEmailSESAccessRole` 服务角色。对于 Amazon SES 接收规则管理,Amazon SES 要求传递一个由它代入的角色。 + 操作:Amazon Polly + `polly:ListLexicons` + `polly:DescribeVoices` + `polly:SynthesizeSpeech` 在 Amazon Connect 中启用其他功能时,会为服务相关角色添加以下权限,以便使用内联策略访问与这些功能关联的资源: + 操作:Amazon Data Firehose `firehose:DescribeDeliveryStream` 和 `firehose:PutRecord` 以及 `firehose:PutRecordBatch`,适用于为座席事件流和联系记录定义的传输流。 + 操作:Amazon Kinesis Data Streams `kinesis:PutRecord`、`kinesis:PutRecords` 和 `kinesis:DescribeStream`,适用于为座席事件流和联系记录定义的流。 + 操作:Amazon Lex `lex:PostContent`,适用于添加到实例中的自动程序。 + 操作:Amazon Connect Voice-ID `voiceid:*`,适用于与您的实例相关联的 Voice ID 域。 + 操作: EventBridge `events:PutRule`以及`events:PutTargets`用于发布关联语音 ID 域的点击率记录的 Amazon Connect 托管 EventBridge 规则。 + 操作:出站活动 + `connect-campaigns:CreateCampaign` + `connect-campaigns:DeleteCampaign` + `connect-campaigns:DescribeCampaign` + `connect-campaigns:UpdateCampaignName` + `connect-campaigns:GetCampaignState` + `connect-campaigns:GetCampaignStateBatch` + `connect-campaigns:ListCampaigns` + `connect-campaigns:UpdateOutboundCallConfig` + `connect-campaigns:UpdateDialerConfig` + `connect-campaigns:PauseCampaign` + `connect-campaigns:ResumeCampaign` + `connect-campaigns:StopCampaign` 用于与出站活动相关的所有操作。 您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。 ## 创建适用于 Amazon Connect 的服务相关角色 您无需手动创建服务关联角色。当您在的 Amazon Connect 中创建新实例时 AWS 管理控制台,Amazon Connect 会为您创建与服务相关的角色。 如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您在 Amazon Connect 中创建新实例时,Amazon Connect 将再次为您创建服务相关角色。 您也可以使用 IAM 控制台为 **Amazon Connect – 完全访问权限**应用场景创建服务相关角色。在 IAM CLI 或 IAM API 中,用 `connect.amazonaws.com` 服务名称创建一个服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。 ## 适用于 2018 年 10 月之前创建的实例 **提示** 登录管理 AWS 账户时遇到问题? 不知道谁在管理您的 AWS 账户? 如需帮助,请参阅[解决 AWS 账户登录问题](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html)。 如果您的 Amazon Connect 实例是在 2018 年 10 月之前创建的,则您尚未设置服务相关角色。要创建服务相关角色,请在**账户概览**页面上,选择**创建服务相关角色**,如下图所示。 ![“账户概览”页面上的“创建服务相关角色”按钮。](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/slr-create-slr.png) 有关创建服务相关角色所需的 IAM 权限的列表,请参阅[使用自定义 IAM 策略管理对 Amazon Connect 控制台的访问权限所需的权限](security-iam-amazon-connect-permissions.md)主题中的[“概述”页面](security-iam-amazon-connect-permissions.md#overview-page)。 ## 对于在 2025 年 1 月 31 日之前创建并配置了用于加密数据的客户 KMS 密钥的客户配置文件域,您需要向 Amazon Connect 实例授予额外的 KMS 权限。 如果关联的客户配置文件域是在 2025 年 1 月 31 日之前创建的,并且该域使用客户自主管理型 KMS 密钥(CMK)进行加密,则要启用 Connect 实例强制执行 CMK,请采取以下措施: 1. 导航到 AWS 管理控制台中的客户资料页面,然后选择**更新** KM Connect Customer S 权限,从而提供 Connect Customer 实例的服务相关角色 (SLR) 权限,以使用您的客户档案域的 AWS KMS 密钥。 ![选择“更新 KMS 权限”按钮,来为 Amazon Connect 实例的服务相关角色授予 KMS 权限。](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/kms-permissions-slr-1.png) 1. 与 Amazon Connect Customer Profiles 团队一起创建[支持工单](https://support.console.aws.amazon.com/support),以请求为您的账户强制实施 CMK 权限。 有关更新您的 Connect Customer 实例的 IAM 权限列表,请参阅自定义 IAM 策略所需的权限[“客户资料”页面](security-iam-amazon-connect-permissions.md#customer-profiles-page)。 ## 编辑适用于 Amazon Connect 的服务相关角色 Amazon Connect 不允许您编辑带有 AWSServiceRoleForAmazonConnect 前缀的服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。 ## 检查服务相关角色对 Amazon Lex 是否具有权限 1. 在 IAM 控制台的导航窗格中,选择**角色**。 1. 以下代码示例显示如何将 IAM 策略附加到用户。 ## 删除适用于 Amazon Connect 的服务相关角色 您无需手动删除带 AWSServiceRoleForAmazonConnect 前缀的角色。当您在中删除您的 Amazon Connect 实例时 AWS 管理控制台,Amazon Connect 会为您清理资源并删除服务相关角色。 ## Amazon Connect 服务相关角色支持的区域 Amazon Connect 支持在已推出该服务的所有区域中使用服务相关角色。有关更多信息,请参阅[AWS 区域和端点](https://docs.aws.amazon.com/general/latest/gr/rande.html#connect_region)。