本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 管理您添加的用户 Amazon Connect
作为管理员,您的主要职责之一是管理用户、向其添加用户 Amazon Connect、向他们提供凭证并分配适当的权限,以便他们能够访问完成工作所需的功能。
本节中的主题说明了如何使用 Amazon Connect 管理员网站添加用户。要以编程方式管理用户,请参阅《Amazon Connect API 参考指南》**中的[用户管理操作](https://docs.aws.amazon.com/connect/latest/APIReference/users-api.html)。
**Topics**
+ [添加用户](user-management.md)
+ [批量编辑用户](edit-users-in-bulk.md)
+ [查看历史更改](view-historical-changes-user-records.md)
+ [下载用户](download-user-records.md)
+ [删除用户](delete-users.md)
+ [重置密码](password-reset.md)
+ [安全配置文件](connect-security-profiles.md)
# 将用户添加到 Amazon Connect
当您将用户添加到 Amazon Connect 时,您可以为他们配置适合其角色的信息。例如,您可以指定他们的[安全配置文件](connect-security-profiles.md),这表明他们可以在 Amazon Connect 管理网站上执行的任务。对于座席,您可以指定他们的[路由配置文件](routing-profiles.md),以指示可以路由给他们的联系人。
本主题介绍如何使用 Amazon Connect 管理网站添加用户。要以编程方式添加用户,请参阅 *Amazon Connect API 参考指南[CreateUser](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateUser.html)*中的。要使用 CLI,请参阅 [create-user](https://docs.aws.amazon.com/cli/latest/reference/connect/create-user.html)。
## 单独添加用户
1. 登录 Amazon Connect 管理员网站 https://*instance name*.my.connect.aws/。使用**管理员**账户或分配了具有**用户 - 创建**权限的安全配置文件的账户。
1. 在 Amazon Connect 的左侧导航菜单中,依次选择**用户**、**用户管理**。
1. 选择**添加新用户**。
1. 选择**创建并设置新用户**,然后选择**下一步**。
1. 输入用户的姓名、电子邮件地址、辅助电子邮件地址、手机号码和密码。
**注意**
SAML 用户没有主电子邮件地址,他们使用用户名登录。用户名登录通常用电子邮件地址,但并非一定如此。对于这些用户,Amazon Connect 中的**电子邮件地址**字段标签为空。向 SAML 用户发送电子邮件通知时,他们必须配置有辅助电子邮件才能收到通知。如果未配置辅助电子邮件,则用户将收不到该电子邮件。
**提示**
Amazon Connect目前不支持使用手机号码。
1. 选择一个路由配置文件和安全配置文件。
1. 可以选择添加标签以识别、组织、搜索、筛选和控制谁可以访问这段时间的操作记录。有关更多信息,请参阅 [为 Amazon Connect 中的资源添加标签](tagging.md)。
1. 选择 **Save**。如果 “保存” 按钮未激活,则表示您使用不具备所需安全配置文件权限的 Amazon Connect 帐户登录。
要修复此问题,请使用分配给 Amazon Connect 管理员安全配置文件的帐户登录。或者,请求其他管理员提供帮助。
1. 有关添加座席的更多信息,请参阅[在 Amazon Connect 中配置代理设置](configure-agents.md)。
## 从 .csv 文件批量添加用户
您可以使用 .csv 文件一次添加多达 1000 个用户。
**注意**
避免在 .csv 文件中添加过多的唯一资源。例如,添加的不同路由配置文件不要超过 100 个。这可能会导致验证过程超时或失败。
批量上传用于添加新记录,不能用于编辑现有记录。要批量编辑用户记录,请参阅[在 Amazon Connect 中批量编辑用户](edit-users-in-bulk.md)。
按照以下步骤,从 .csv 文件(如 Excel 电子表格)中添加多个用户。
1. Amazon Connect 使用**管理员**帐户或分配给具有 “**用户-创建**” 权限的安全配置文件的帐户登录。
1. 在 Amazon Connect 的左侧导航菜单中,依次选择**用户**、**用户管理**。
1. 选择**添加新用户**。
1. 选择**使用 .csv 模板导入用户**,然后选择 **.csv** 模板。
.csv 模板的第一行中有以下几列:
+ 名字
+ 姓氏
+ 用户登录
+ 座席层次结构
+ 路由配置文件名称
+ security\$1profile\$1name\$11\$1security\$1profile\$1name\$12
+ user\$1hierarchy\$11\$1user\$1hierarchy\$12
+ 电话类型(软电话/座机)
+ 电话号码
+ 标签
+ 持续连接
+ 音频增强(none/isolate voice/suppress噪音)
下图显示了 Excel 电子表格中 .csv 模板的示例。电子表格中的第一行包含列标题,第二行包含用户数据示例。
![\[Excel 电子表格中的 csv 模板。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/add-bulk-users-2.png)
1. 将您的用户添加到模板并将其上传到 Amazon Connect。选择**上传文件并验证**。
1. Amazon Connect 会验证文件中的数据。选择**保存**以创建新的用户记录。
![\[已上传的用户和“保存”按钮。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/save-bulk-users.png)
如果您收到一条验证错误消息,则通常表明所需列之一缺少信息,或者其中一个单元格中有拼写错误。
下图显示了一个验证错误消息的示例。在这种情况下,安全配置文件拼写错误,密码不符合要求。
![\[csv 文件无效时的错误消息示例。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/error-message-uploaded-csv-file.png)
1. 要仅上传经过验证的用户记录,请选择**保存**。对话框提示您进行确认。
![\[用于创建用户的对话框。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/user-management-save-1.png)
1. 横幅显示上传状态并在上传完成时进行确认。
**提示**
在处理一批新增记录的同时,您可以继续在**用户管理**页面上工作,选择另一批用户记录进行批量或单独创建、编辑或删除。这对于快速更新设置(例如座席组的路由配置文件)非常有用。
Amazon Connect 按顺序批量处理记录。
1. 选择**刷新**,使用已创建的用户更新**用户管理**页面。
![\[用户已创建的横幅。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/save-bulk-users-banner.png)
## 添加用户的必要权限
在向中添加用户之前 Amazon Connect,您需要为安全配置文件分配以下权限:**用户-创建**。下图显示此安全配置文件权限位于**添加/编辑安全配置文件**页面的**用户和权限**部分。
![\[“安全配置文件”页面的“用户和权限”部分。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/security-profile-create-user-accounts.png)
默认情况下, Amazon Connect **管理员**安全配置文件具有这些权限。
有关如何为现有安全配置文件添加更多权限的信息,请参阅[在 Amazon Connect 中更新安全配置文件](update-security-profiles.md)。
# 在 Amazon Connect 中批量编辑用户
批量编辑模式使您可以快速编辑用户记录中常见的属性,例如路由配置文件、安全配置文件和标签。
**提示**
在处理一批批量编辑时,您可以继续在**用户管理**页面上工作,例如批量或单独选择更多要编辑或删除的记录。这对于快速更新设置(例如座席组的路由配置文件)非常有用。
1. Amazon Connect 使用管理员帐户或分配给具有 “**用户-编辑”** 权限的安全配置文件的帐户登录。
1. 在 Amazon Connect 的左侧导航菜单中,依次选择**用户**、**用户管理**。
1. 如果需要,请选择**添加过滤条件**以指定用户子集,例如具有特定**路由配置文件**的用户。此选项如下图所示。
![\[“添加过滤条件”选项。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/user-management-filter.png)
1. 要快速更新大量用户,请在表格底部选择每页显示 **100** 行,如下图所示。
![\[“每页行数”下拉框。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/user-management-rows-per-page.png)
1. 要编辑页面上的所有记录,请选择顶部的框。否则,请同时选择要编辑的一条或多条记录。选择**编辑**。
![\[用户管理页面,突出显示选择所有用户记录的顶部方框。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/user-management-edit-select.png)
1. 在**批量编辑**页面的**设置**部分,您可以为所有选定的用户选择以下设置:
+ 安全配置文件
+ 路由配置文件
+ 电话类型
+ 每个频道自动接受
+ 每个频道的通话后工作 (ACW) 超时
+ 座席层次结构(如果已设置)
+ 标签
1. 选择**保存**,将您所做的更改应用于所选记录。
1. 在更新该批用户记录的同时,您可以继续在**用户管理**页面上工作,对用户记录执行其他创建、编辑和删除任务。
## 在处理一批批量编辑的同时执行其他编辑任务
保存一组用户的更新后,您可以在**批量编辑**页面上进行其他更改(例如,[编辑其他用户详细信息](#edit-other-user-details),比如联系信息),也可以选择不同的用户记录进行编辑。
**重要**
只要您停留在**用户管理**页面上,您的更新请求就会继续得到处理。查看页面顶部的消息,以了解更新状态。
下图显示了**用户管理**页面顶部的消息示例,该消息称“Amazon Connect 正在更新一批用户记录”。
![\[横幅显示 Amazon Connect 正在更新一批用户记录。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/user-management-bulk-edit-banner3.png)
当您在**用户管理**页面上执行其他任务时,Amazon Connect 会将下一个创建、编辑或删除用户记录的请求附加到页面顶部的现有状态消息中。Amazon Connect 按顺序批量处理它们。
以下是有关 Amazon Connect 如何处理批量编辑请求的一些提示。
+ 如果您在批量创建、编辑或删除过程中选择**取消**,**只有那些尚未处理的请求才会被取消**。
+ 显示成功更新了多少用户的消息。选择**刷新**,使用更新的用户列表刷新页面。
![\[刷新 Amazon Connect 处理批量编辑请求结果的按钮。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/user-management-bulk-cancel-refresh.png)
+ 如果某些用户记录更新失败,则会显示一条类似于下图的消息:
![\[显示用户更新失败的消息。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/user-management-failed-edit.png)
您有以下选项:
+ 选择**下载 CSV** 以发现更改未更新的原因。在以下示例中,座席层次结构在用户记录保存之前被删除。
![\[显示编辑失败原因和失败字段的图表。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/user-management-failed-edit-reason.png)
+ 选择**重试**,仅重新提交失败的用户记录。其他已成功更新。
+ 选择**编辑**,定向到**批量编辑**页面,这使您可以更改失败的用户记录的输入。
![\[显示批量编辑选项的图表。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/user-management-bulk-edit-fail-input.png)
+ 选择**取消**,不对未更新的三条用户记录执行任何操作。
## 编辑其他用户详细信息
您可以翻阅选定的用户记录来更新联系信息,不必单独选择和打开每条记录。
1. 在**批量编辑**页面上,选择要编辑的用户记录。
1. 选择每个用户旁边的**编辑**(铅笔)图标进行更新。
1. 将为每个用户打开一个对话框。进行更改,然后选择**提交**。
1. 如果需要,请选择**上一条**和**下一条**以打开列表中的下一条用户记录。下图显示了单个用户在批量编辑模式下的**编辑**对话框。
![\[编辑对话框。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/user-management-bulk-single-edit.png)
## 以编程方式编辑用户设置
您可以通过编程方式在所选用户之间更改以下值。用户将更改为相同的值。
| 属性 | API | CLI |
| --- | --- | --- |
| 路由配置文件 | [UpdateUserRoutingProfile](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateUserRoutingProfile.html) | [update-user-routing-profiles](https://docs.aws.amazon.com/cli/latest/reference/connect/update-user-routing-profiles.html) |
| 安全配置文件 | [UpdateUserSecurityProfiles](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateUserSecurityProfiles.html) | [update-user-security-profiles](https://docs.aws.amazon.com/cli/latest/reference/connect/update-user-security-profiles.html) |
| 标签 | [TagResource](https://docs.aws.amazon.com/connect/latest/APIReference/API_TagResource.html) [UntagResource](https://docs.aws.amazon.com/connect/latest/APIReference/API_UntagResource.html) | [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/connect/tag-resource.html) [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/connect/untag-resource.html) |
| 用户层次结构 | [UpdateUserHierarchy](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateUserHierarchy.html) | [update-user-hierarchy](https://docs.aws.amazon.com/cli/latest/reference/connect/update-user-hierarchy.html) |
| 用户配置 | [UpdateUserConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateUserConfig.html) | [update-user-config](https://docs.aws.amazon.com/cli/latest/reference/connect/update-user-config.html) |
您可以通过编程方式为单个用户编辑以下身份和联系信息:名字、姓氏、电子邮件地址、手机号码和备用电子邮件地址。使用以下 API 或 CLI:
| 属性 | API | CLI |
| --- | --- | --- |
| 身份和联系信息 | [UpdateUserIdentityInfo](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateUserIdentityInfo.html) | [update-user-identity-info](https://docs.aws.amazon.com/cli/latest/reference/connect/update-user-identity-info.html) |
# 查看用户记录的历史更改
1. 登录 Amazon Connect 管理员网站 https://*instance name*.my.connect.aws/。使用**管理员**账户或分配了具有**用户和权限 - 用户 - 查看**权限的安全配置文件的账户。
1. 在 Amazon Connect 的左侧导航菜单中,依次选择**用户**、**用户管理**。
1. 在**用户管理**页面上,选择**查看历史更改**,如下图所示。
![\[“用户管理”页面,带有指向“查看历史更改”链接的箭头。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/user-management-view-historical-changes.png)
1. 在**查看座席的最新更改**页面上,每一行都对应着用户记录的一次更改。在下图中,**johndoe** 有多行,因为该用户记录已多次更新。
要查看特定用户过去的更改,请选择他们的用户名。
![\[“查看座席的最新更改”页面,带有指向“资源”名称的箭头。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/user-management-view-recent-changes.png)
1. 在**查看 [资源名称] 的最新更改**页面上,您可以查看有关用户记录中更改的内容、更改时间和更改者的详细信息,如下图所示。
![\[“查看最近更改”页面,列出了 John Doe 用户记录的最新更改。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/user-management-view-recent-changes-johndoe.png)
# 从您的 Amazon Connect 实例下载用户列表
您可以将用户列表从导出 Amazon Connect 到.csv 文件。仅限于输出页面上显示的结果;如果您的用户数量超过页面上显示的用户数,则输出不包括所有用户。
1. 登录 Amazon Connect 管理员网站 https://*instance name*.my.connect.aws/。使用**管理员**账户或分配了具有**用户和权限 - 用户 - 查看**权限的安全配置文件的账户。
1. 在 Amazon Connect 的左侧导航菜单中,依次选择**用户**、**用户管理**。
1. 选择**下载 CSV**。
# 从您的 Amazon Connect 实例中删除用户
**重要**
您不能撤消删除。
从中删除用户后 Amazon Connect,您将无法再配置他们的代理设置。例如,您将无法向他们分配路由配置文件。
如果您删除关联了快速连接的用户记录,则还需要[删除该快速连接](quick-connects-delete.md)。否则,它将成为孤立资源。当座席尝试将来电转接给它时,没有人会接听电话。
孤立的快速连接可能会中断其他 Amazon Connect 进程,例如作为 [Amazon Connect 全球弹性](setup-connect-global-resiliency.md)的一部分完成的实例复制和同步进程。
本主题介绍如何使用 Amazon Connect 管理网站删除用户记录。要以编程方式删除用户记录,请参阅 *Amazon Connect API 参考指南[DeleteUser](https://docs.aws.amazon.com/connect/latest/APIReference/API_DeleteUser.html)*中的。要使用 CLI,请参阅 [delete-user](https://docs.aws.amazon.com/cli/latest/reference/connect/delete-user.html)。
## 用户的指标会怎样?
联系记录和报告中的用户数据会被保留。保留数据的目的是为了确保历史指标的一致性。例如,当您搜索联系记录时,您仍然会看到座席的用户名、任何涉及该座席的联系录音等。
在历史指标报告中,座席数据将包含在**座席绩效**指标报告中。但是,您将无法看到已删除座席的**座席活动审计**,因为他们的姓名不会显示在下拉列表中。
## 如何删除用户
**提示**
在处理一批删除的同时,您可以继续在**用户管理**页面上工作,选择另一批用户记录进行批量或单独创建、编辑或删除。这对于快速更新设置(例如路由配置文件)非常有用。
1. Amazon Connect 使用**管理员**帐户或分配给具有 “**用户-移除**” 权限的安全配置文件的帐户登录。
1. 在 Amazon Connect 的左侧导航菜单中,依次选择**用户**、**用户管理**。选择要删除的一个或多个用户,然后选择**删除**。
![\[“用户管理”页面,“删除”选项。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/delete-users-how-to.png)
1. 请确认您要删除用户。
![\[“删除用户”页面,“删除”按钮。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/delete-users-confirm.png)
1. 下图显示了成功删除用户时的消息示例。选择**刷新**以更新**用户管理**页面上的用户列表。
![\[“删除用户”页面,“刷新”按钮。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/delete-users-refresh.png)
1. 如果 Amazon Connect 未能删除一条或多条用户记录,它将显示一条类似于下图的消息。
![\[记录未被删除的横幅。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/delete-users-error.png)
当您收到删除失败的消息时,可以选择以下选项:
+ 选择**下载 CSV** 以查看错误详细信息。以下详细信息显示用户记录已被删除。在本例中,我没有刷新**用户管理**页面,而是尝试再次删除记录。
![\[记录未被删除的原因列表。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/user-management-bulk-delete-fail-reasons.png)
+ 选择**重试**,重新提交删除失败的记录。其他记录已成功删除。
+ 选择**取消**,不对未删除的用户记录执行任何操作。
## 删除用户所需的权限
在更新安全配置文件中的权限之前,必须使用具有以下权限的 Amazon Connect 帐户登录:**用户-删除**。
![\[“安全配置文件”页面的“用户和权限”部分,“用户”选项。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/delete-users-required-permissions.png)
默认情况下, Amazon Connect **管理员**安全配置文件具有这些权限。
# 重置用户的密码 Amazon Connect
**重置用户的 Amazon Connect 密码**
1. 登录 Amazon Connect 管理员网站 https://*instance name*.my.connect.aws/。使用管理员账户或具有[安全配置文件权限](security-profile-list.md)的用户账户来重置密码。
1. 在 Amazon Connect 的左侧导航菜单中,依次选择**用户**、**用户管理**。
1. 选择该用户,然后选择**编辑**。
1. 选择**重置密码**。指定新密码,然后选择**提交**。
重置用户的密码会立即将他们从联系人控制面板中注销。
1. 向用户传递新密码。
## 重置自己丢失或忘记的 Amazon Connect 管理员密码
+ 请参阅[紧急登录 Amazon Connect 管理网站](emergency-admin-login.md)。
## 重置您自己的座席或经理密码
如果您希望更改密码,或者忘记了密码并需要使用新密码,请按照以下步骤操作。
1. 如果您是 Amazon Connect 代理或经理,请在 Amazon Connect 登录页面上选择 “**忘记密码**”。
1. 键入您在图像中看到的字符,然后选择**恢复密码**。
1. 系统会向您的电子邮件地址发送邮件,其中包含一个链接,您可以使用该链接来重置密码。
## 重置自己丢失或忘记的 AWS 密码
+ 要重置首次创建 AWS 账户时使用的密码,请参阅 *IAM 用户指南中的重置丢失或忘记的根用户*[密码](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys_retrieve.html#reset-root-password)。
# Amazon Connect 和联系人控制面板 (CCP) 访问的安全配置文件
安全配置文件是一组权限,映射到联系人中心内的常用角色。例如,座席安全配置文件包含在访问联系人控制面板(CCP)时所需要的权限。
安全配置文件可帮助您管理哪些人可以访问 Amazon Connect 控制面板和联系人控制面板 (CCP),哪些人可以执行特定任务。
**Topics**
+ [Amazon Connect 和联系人控制面板 (CCP) 安全配置文件的最佳实践](security-profile-best-practices.md)
+ [Amazon Connect 和联系人控制面板 (CCP) 安全配置文件的继承权限](inherited-permissions.md)
+ [安全配置文件权限列表](security-profile-list.md)
+ [Amazon Connect 中的默认安全配置文件](default-security-profiles.md)
+ [为联络中心用户分配 Amazon Connect 的安全配置文件](assign-security-profile.md)
+ [在 Amazon Connect 中创建安全配置文件](create-security-profile.md)
+ [在 Amazon Connect 中更新安全配置文件](update-security-profiles.md)
+ [应用基于标签的访问控制](tag-based-access-control.md)
+ [应用基于层次结构的访问控制](hierarchy-based-access-control.md)
# Amazon Connect 和联系人控制面板 (CCP) 安全配置文件的最佳实践
+ 限制谁拥有**用户 - 编辑或创建**权限
具有这些权限的人员会对您的联络中心造成风险,因为他们可以执行以下操作:
+ 重置密码,包括管理员的密码。
+ 授予其他用户关于管理员安全配置文件的访问权限。分配到管理员安全配置文件的人员对您的联系中心拥有完全访问权限。
执行这些操作将使某个人能够锁定需要访问 Amazon Connect 的用户,并允许可能窃取客户数据并损害您业务的其他人进入。
为了降低风险,作为最佳实践,建议限制拥有**用户 - 编辑或创建**权限的人数。
+ [AWS CloudTrail用于](logging-using-cloudtrail.md)记录的请求和响应[UpdateUserIdentityInfo](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateUserIdentityInfo.html)。这使您能够跟踪对用户信息所做的更改。能够调用 `UpdateUserIdentityInfo` API 的某个人可以将用户的电子邮件地址更改为攻击者拥有的电子邮件地址,然后通过电子邮件重置密码。
+ [了解继承的权限](inherited-permissions.md)
一些安全配置文件包括继承的权限:当您向一个对象分配专有权限时,默认情况下会向子对象授予这些权限。例如,当您授予编辑用户的专有权限时,还将授予他们列出 Amazon Connect 实例的所有安全配置文件的权限。这是因为,要编辑用户,操作者必须能够访问安全配置文件的下拉列表。
在分配安全配置文件之前,请查看继承权限的列表。
+ **在将[访问控制标签](https://docs.aws.amazon.com/connect/latest/adminguide/tag-based-access-control.html)应用于安全配置文件之前,请先了解其含义。**应用访问控制标签是一项高级配置功能,由 Amazon Connect 支持,遵循 AWS 责任共担模式。请确保您已阅读文档并已了解应用精细权限配置的含义。有关更多信息,请查看 [AWS 责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)。
+ 跟踪谁可以访问录音。
在**分析与优化**权限组中,您可以为记录的对话启用下载图标。当该组的成员转到**分析与优化**、**联系搜索**,然后搜索联系人时,他们将看到一个用来下载录音的图标。
**重要**
此设置不是一个安全功能。**没有权限的用户仍可以使用其他更不易发现的方式下载录音。**
建议您跟踪组织中有哪些人访问过录音。
# Amazon Connect 和联系人控制面板 (CCP) 安全配置文件的继承权限
某些安全配置文件包括继承的权限:当您向用户授予**查看**或**编辑**某种资源类型(如队列)的显式权限时,他们会隐式继承**查看**另一种资源类型(如电话号码)的权限。
例如,假设您向某人显式授予**编辑/查看**队列的权限,如下图所示:
![\[“安全配置文件”页面的“安全配置文件权限”部分。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/inherited-permissions.png)
通过这样做,**当他们将权限添加到队列时**,您还会隐式授予他们**查看** Amazon Connect 实例中所有电话号码和操作时间的列表的权限。在**添加新队列**页面上,可用的电话号码和操作时间显示在下拉列表中,如下图所示。
![\[“添加新队列”页面、“操作时间”下拉列表、“出站呼叫方 ID 号码”下拉列表。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/drop-down-permissions.png)
但是,用户没有**编辑**电话号码和操作时间的权限。
在这种情况下,他们也不会继承**查看**联系流(出站私密消息流)和快速连接的权限,因为这些资源是可选的。
## 继承权限列表
下表列出了当您向用户分配专有权限时将隐式继承的权限。
**提示**
当用户仅具有显式**查看**权限但同时并没有**编辑**权限时,可以检索对象,但 Amazon Connect 不会将对象显示在下拉列表中供用户细读。
| 专有权限 | 继承的权限 |
| --- | --- |
| 用户 - 查看或编辑 | 当某个人在 Amazon Connect 控制台中编辑用户的信息时,如果将以下信息添加到该用户的账户,将能够在下拉框中**查看**这些信息: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/inherited-permissions.html) |
| 队列 - 查看或编辑 | 当某个人在 Amazon Connect 控制台中编辑队列时,如果将以下信息添加到队列,将能够在下拉框和搜索框中**查看**这些信息: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/inherited-permissions.html) |
| 快速连接 - 查看 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/inherited-permissions.html) |
| 快速连接 - 编辑 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/inherited-permissions.html) |
| 电话号码 - 查看或编辑 | 当有人在 Amazon Connect 控制台(而不是 CCP)中编辑电话号码时,如果将以下信息与电话号码关联,则可以在下拉框中**查看**这些信息: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/inherited-permissions.html) |
# Amazon Connect 中的安全配置文件权限列表
本专题面向在 Amazon Connect 中分配和管理安全配置文件权限的管理员和联络中心经理。
安全配置文件权限允许用户在 Amazon Connect 管理网站中执行特定于平台的任务。
下表列出了:
+ **用户界面名称**:在 Amazon Connect 中**安全配置文件**页面上显示的权限名称。
+ **API 名称**:AP [ListSecurityProfilePermissions](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListSecurityProfilePermissions.html)I 返回权限时的名称。
有关您可以 APIs 使用的管理安全配置文件权限的所有内容的列表,请参阅[安全配置文件操作](https://docs.aws.amazon.com/connect/latest/APIReference/security-profiles-api.html)。
+ **使用**:权限授予的功能。
## Amazon Q
| 用户界面名称 | API 名称 | 使用 |
| --- | --- | --- |
| AI 座席 | QConnectAIAgents.View QConnectAIAgents.Edit QConnectAIAgents.Create QConnectAIAgents.Delete | [创建和管理 AI 座席](create-ai-agents.md)。 |
| AI 提示 | QConnectAIPrompts.View QConnectAIPrompts.Edit QConnectAIPrompts.Create QConnectAIPrompts.Delete | [创建和管理 AI 提示](create-ai-prompts.md)。 |
| AI 护栏 | QConnectGuardrails.View QConnectGuardrails.Edit QConnectGuardrails.Create QConnectGuardrails.Delete | [创建和管理 AI 护栏](create-ai-guardrails.md)。 |
## 路由
| 用户界面名称 | API 名称 | 使用 |
| --- | --- | --- |
| 路由配置文件 - 创建 | RoutingPolicies.Create | [创建路由配置文件](routing-profiles.md)。 |
| 路由配置文件 - 编辑 | RoutingPolicies.Edit | 编辑路由配置文件。 |
| 路由配置文件 - 查看 | RoutingPolicies.View | 查看路由配置文件。 |
| 快速连接 - 创建 | TransferDestinations.Create | [创建快速连接](quick-connects.md)。 |
| 快速连接 - 删除 | TransferDestinations.Delete | [删除快速连接](quick-connects-delete.md)。 |
| 快速连接 - 编辑 | TransferDestinations.Edit | 编辑快速连接。 |
| 快速连接 - 查看 | TransferDestinations.View | 查看快速连接。座席需要此权限,这样他们才能在座席应用程序中查看快速连接以转接呼叫。 |
| 操作时间 - 创建 | HoursOfOperation.Create | [设置队列的操作时间和时区](set-hours-operation.md)。 |
| HoursOfOperation -删除 | HoursOfOperation.Delete | 删除队列的操作时间和时区。 |
| HoursOfOperation -编辑 | HoursOfOperation.Edit | 编辑队列的操作时间和时区。 |
| HoursOfOperation -查看 | HoursOfOperation.View | 查看队列的操作时间和时区。 |
| 队列 - 创建 | Queues.Create | [创建队列](create-queue.md)。 |
| 队列 - 编辑 | Queues.Edit | 编辑队列的信息,例如名称、描述和操作时间。 |
| 队列 - 启用 / 禁用 | Queues.EnableAndDisable | [启用和禁用队列](disable-a-queue.md),可以快速控制联系人临时进入队列的流。 |
| 队列 - 查看 | Queues.View | 查看 Amazon Connect 实例中的队列列表。 |
| 任务模板 - 创建 | TaskTemplates.Create | [创建任务模板](task-templates.md)。 |
| 任务模板 - 删除 | TaskTemplates.Delete | 删除任务模板。 |
| 任务模板 - 编辑 | TaskTemplates.Edit | 编辑任务模板。 |
| 任务模板 - 查看 | TaskTemplates.View | 查看任务模板。 |
| 预定义的属性 - 查看 | PredefinedAttributes.View | 查看预定义的属性。 |
| 预定义的属性 - 编辑 | PredefinedAttributes.Edit | 编辑预定义的属性。 |
| 预定义的属性 - 创建 | PredefinedAttributes.Create | [创建用于将联系人路由到座席的预定义属性](predefined-attributes.md). |
| 预定义的属性 - 删除 | PredefinedAttributes.Delete | 删除预定义的属性。 |
| 数据表-创建 | DataTables.Create | [创建和配置数据表](data-tables.md). |
| 数据表-删除 | DataTables.Delete | 删除数据表。 |
| 数据表-编辑 | DataTables.Edit | 编辑数据表的元数据和值。 |
| 数据表-查看 | DataTables.View | 查看数据表。 |
| 数据表-管理值 | DataTables.ManageValues | 管理数据表值。 |
| 数据表-编辑表达式 | DataTables.EditExpressionValues | 编辑数据表值表达式。 |
## 渠道和流
| 用户界面名称 | API 名称 | 使用 |
| --- | --- | --- |
| 提示 - 创建 | Prompts.Create | [创建提示](prompts.md)。 |
| 提示 - 删除 | Prompts.Delete | 删除提示。 |
| 提示 - 编辑 | Prompts.Edit | 编辑提示。 |
| 提示 - 查看 | Prompts.View | 查看可用提示列表。 |
| 流 - 创建 | ContactFlows.Create | [创建流](create-contact-flow.md)。 |
| 流 - 移除 | ContactFlows.Delete | [删除流](delete-contact-flow.md)。 |
| 流 - 编辑 | ContactFlows.Edit | 编辑流。 |
| 流 - 发布 | ContactFlows.Publish | 发布流。 |
| 流:查看 | ContactFlows.View | 查看流。 |
| 流模块 - 创建 | ContactFlowModules.Create | [创建用于可重复使用功能的流模块](contact-flow-modules.md)。 |
| 流模块 - 移除 | ContactFlowModules.Delete | 删除流模块。 |
| 流模块 - 编辑 | ContactFlowModules.Edit | 编辑流模块。 |
| 流模块 - 发布 | ContactFlowModules.Publish | 发布流模块。 |
| 流模块 - 查看 | ContactFlowModules.View | 查看流模块。 |
| 自动程序 | Bots.Create | [使用 Amazon Connect 管理员网站创建机器人](work-bot-building-experience.md). |
| 自动程序 | Bots.View Bots.Edit | [评估在 Amazon Connect 中您的对话式 AI 机器人的性能](lex-bot-analytics.md). |
| 自动程序 | Bots.Delete | 移除机器人。 |
| 电话号码 - 申请 | PhoneNumbers.Claim | [申请电话号码](get-connect-number.md)。 |
| 电话号码 - 编辑 | PhoneNumbers.Edit | 编辑电话号码。[将已申领或已转网的电话号码附加到 Amazon Connect 流中](associate-claimed-ported-phone-number-to-flow.md)。 |
| 电话号码 - 释放 | PhoneNumbers.Release | [将电话号码释放回库存](release-phone-number.md)。 |
| 电话号码 - 查看 | PhoneNumbers.View | 查看已申请或已转网到 Amazon Connect 实例的电话号码列表。 |
| 通信小部件 - 启用/禁用 | ChatTestMode | 访问模拟网页,以便用户[测试聊天体验](chat-testing.md#test-chat)。还可以授予用户**Contactflow.View** 权限,这样他们就可以在**测试设置**选项中查看可用流列表并从中进行选择。 |
| 电子邮件地址 | | 视图 |
| 电子邮件地址 | | 编辑 |
| 电子邮件地址 | | Create |
| 电子邮件地址 | | 删除 |
| 视图 - 查看 | Views.View | 允许访问[视图](view-resources-sg.md)。 |
| 视图 - 编辑 | Views.Edit | 允许编辑[视图](view-resources-sg.md) |
| 视图 - 创建 | Views.Create | 创建自定义[视图](view-resources-custom-view.md)资源。 |
| 视图 - 移除 | Views.Remove | 移除“视图”资源。 |
| AnalyticsConnectors -编辑 | AnalyticsConnectors.Edit | [编辑现有的分析连接器](contact-lens-integration.md)。 |
| AnalyticsConnectors -查看 | AnalyticsConnectors.View | [查看现有的分析连接器](contact-lens-integration.md)。 |
## 用户和权限
| 用户界面名称 | API 名称 | 使用 |
| --- | --- | --- |
| 用户 - 创建 | Users.Create | [将用户添加到 Amazon Connect](user-management.md)。建议您限制拥有这些权限的人。他们会对您的联络中心造成风险,因为他们可以执行以下操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security-profile-list.html) 执行这些操作将使某个人能够锁定需要访问 Amazon Connect 的用户,并允许可能窃取客户数据并损害您业务的其他人进入。 您可以通过在安全配置文件上添加[基于标签的访问控制](tag-based-access-control.md)来限制这种风险。例如,您可以应用基于标签的访问控制,来拒绝管理员和拥有“Admin”安全配置文件的用户访问。 |
| 用户 - 删除 | Users.Delete | [从 Amazon Connect 中删除用户](delete-users.md)。 |
| 用户 - 编辑 | Users.Edit | 查看和编辑*除*安全配置文件之外的所有用户身份信息。与**用户 - 创建**一样,限制拥有这些权限的人,因为他们会对您的联系中心构成风险。 |
| 用户 - 编辑权限 | Users.EditPermission | 查看和编辑用户安全配置文件。与**用户 - 创建**一样,限制拥有这些权限的人,因为他们会对您的联系中心构成风险。 |
| 用户 - 查看 | Users.View | 查看用户记录。从 Amazon Connect 实例[下载或导出用户列表](download-user-records.md)到 CSV 文件。 |
| 座席层次结构 - 创建 | AgentGrouping.Create | [创建座席层次结构](agent-hierarchy.md)。添加群组、团队和座席。 |
| 座席层次结构 - 编辑 | AgentGrouping.Edit | 编辑座席层次结构和层次结构级别结构。 |
| 座席层次结构 - 启用/禁用 | AgentGrouping.EnableAndDisable | 查看或编辑座席层次结构信息。 |
| 座席层次结构 - 查看 | AgentGrouping.View | 查看实时指标报告中的座席层次结构信息,可包括座席的位置和技能集数据。 |
| 安全配置文件 - 创建 | SecurityProfiles.Create | [创建安全配置文件](create-security-profile.md)。 |
| 安全配置文件 - 删除 | SecurityProfiles.Delete | 删除安全配置文件。 |
| 安全配置文件 - 编辑 | SecurityProfiles.Edit | [更新安全配置文件](update-security-profiles.md)。 |
| 安全配置文件 - 查看 | SecurityProfiles.View | 查看安全配置文件。 |
| 座席状态 - 创建 | AgentStates.Create | [创建自定义座席状态](agent-custom.md)。状态显示在联系人控制面板(CCP)中,例如休息、午餐或培训。 |
| 座席状态 - 编辑 | AgentStates.Edit | 编辑自定义座席状态。 |
| 座席状态 - 启用/禁用 | AgentStates.EnableAndDisable | 查看和编辑自定义座席状态。 |
| 座席状态 - 查看 | AgentStates.View | [在实时指标报告和历史指标报告中查看座席的状态](rtm-change-agent-activity-state.md)。例如,它们是否处于**可用**、**离线**状态或处于自定义状态。在[座席活动报告](agent-activity-audit-report.md)中查看他们的状态。 |
| 工作空间-创建 | Workspaces.Create | [为管理员网站用户设置工作区](amazon-connect-workspaces.md). |
| 工作区-删除 | Workspaces.Delete | 删除工作空间。 |
| 工作区-编辑 | Workspaces.Edit | 编辑工作区。 |
| 工作区-查看 | Workspaces.View | 查看工作空间。 |
| 工作空间-分配 | Workspaces.Assign | 为用户分配工作空间和路由配置文件。 |
| 工作区-编辑可见性 | Workspaces.EditVisibility | 编辑工作区,使其对所有用户可见、任何用户都可见,或者根据任务显示。 |
## 联系人控制面板 (CCP)
| 用户界面名称 | API 名称 | 使用 |
| --- | --- | --- |
| 访问联系人控制面板 | BasicAgentAccess | 管理对联系人控制面板(CCP)的访问权限。将此权限分配给需要监控实时对话的座席和经理。 |
| Contact Lens 数据 | RealtimeContactLens.View | 使用户能够查看 Contact Lens 提供的实时分析。 |
| 进行出站呼叫 | OutboundCallAccess | 授予用户进行出站呼叫的权限。有关设置出站呼叫的更多信息,请参阅[在 Amazon Connect 中设置出站呼叫](outbound-communications.md)。 |
| Voice ID | VoiceId.Access | 启用联系人控制面板中的控件,以便座席: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security-profile-list.html) |
| 限制任务创建 | RestrictTaskCreation.Access | 阻止座席创建任务。 |
| 音频设备设置 | AudioDeviceSettings.Access | [在联系人控制面板(CCP)或座席工作区中选择扬声器、麦克风和响铃的首选设备](audio-device-settings.md)。 |
| 视频通话 | VideoContact.Access | [允许座席使用视频通话和屏幕共享](config-com-widget1.md#agent-cx-cw)。 |
| 发起电子邮件对话 | OutboundEmail.Create | 允许客服从联系人控制面板/座席工作区发起出站电子邮件,而无需事先收到来自客户的电子邮件联系人。允许代理将电子邮件联系人转发到外部电子邮件地址或通讯组列表。允许代理回复已关闭的电子邮件联系人。 |
| 允许自行分配联系 | SelfAssignContacts.Access | 要自行分配任务,座席还需要禁用**限制任务创建**权限,并在分配的路由配置文件中将任务作为渠道启用。 |
## 分析和优化
| 用户界面名称 | API 名称 | 使用 |
| --- | --- | --- |
| 访问指标 | AccessMetrics | [分配查看控制面板和报告的权限](dashboard-required-permissions.md)。 |
| 实时指标 | AccessMetrics.RealTimeMetrics.Access | 管理对实时指标页面的访问权限。 |
| 历史指标 | AccessMetrics.HistoricalMetrics.Access | 管理对历史指标页面的访问权限。 |
| 座席活动审计 | AccessMetrics.AgentActivityAudit.Access | 在历史指标页面中管理对座席活动审计的访问权限。 |
| 控制面板 | AccessMetrics.Dashboards.Access | [Amazon Connect 控制面板可获取联络中心性能数据](dashboards.md) |
| 在控制面板中查看我自己的数据 - 查看 | AccessMetrics.DashboardsWithMyData.View | 授予访问控制面板的权限,以查看单个座席的绩效指标,以及该座席所在路由配置文件中队列的指标。有关更多信息,请参阅 [座席工作区表现控制面板](performance-dashboard-aw.md)。 |
| 自定义指标 | CustomMetrics.Create CustomMetrics.View CustomMetrics.Edit CustomMetrics.Delete CustomMetrics.Publish | 授予在控制面板的任何小部件上[创建和管理自定义服务级别指标计算](dashboard-customize-widgets.md#dashboard-custom-sl)的访问权限。 |
| 联系人搜索 | ContactSearch.View | 访问**联系搜索**页面,用户可以在其中[搜索联系人](contact-search.md)并在**联系详细信息**页面查看结果。 |
| 查看我的联系 | MyContacts.View | 允许座席在**联系搜索**和**联系详细信息**页面上查看他们自己处理过的联系人。 |
| 联系人示例 | ContactSearchSampleContacts.View | [随机查找联系人样本](random-sampling-of-contacts-for-evaluation.md)以评估代理绩效和联系质量,例如,上个月每个代理有 5 次联系人。 |
| 按对话特征搜索联系 | ContactSearchWithCharacteristics.Access | 访问 Contact Lens 过滤器,使用户能够按情绪得分、不说话时间和类别进行搜索。 |
| 按对话特征搜索联系 - 查看 | ContactSearchWithCharacteristics.View | 查看 Contact Lens 过滤器,使用户能够按情绪得分、不说话时间和类别进行搜索。 |
| 按关键字搜索联系 | ContactSearchWithKeywords.Access | 按关键字搜索联系人。在**联系人搜索**页面上,用户可以访问额外的过滤器,从而通过关键词或短语(例如“感谢您的惠顾”)来搜索 Contact Lens 转录。 |
| 按关键字搜索联系 - 查看 | ContactSearchWithKeywords.View | 按关键字搜索联系人。在**联系人搜索**页面上,用户可以访问额外的过滤器,从而通过关键词或短语(例如“感谢您的惠顾”)来搜索 Contact Lens 转录。 |
| 配置可搜索的联系属性 - 查看 | ConfigureContactAttributes.View | 确定哪些自定义属性数据可搜索(由拥有**联系属性**权限的用户搜索)。允许他们访问**可搜索的自定义联系属性**页面。有关更多信息,请参阅 [使用自定义联系属性或联系分段属性在 Amazon Connect 中搜索联系](search-custom-attributes.md)。 |
| 限制联系人访问 | RestrictContactAccessByHierarchy.View | 根据其座席层次结构组管理用户对**联系搜索**页面上结果的访问权限。有关更多信息,请参阅 [管理谁可以搜索联系人并访问详细信息](contact-search.md#required-permissions-search-contacts)。 |
| 联系属性 | ContactAttributes.View | 查看联系属性。还可以根据联系属性控制对搜索筛选条件的访问权限。有关更多信息,请参阅 [使用自定义联系属性或联系分段属性在 Amazon Connect 中搜索联系](search-custom-attributes.md)。 |
| Contact Lens - 对话分析 - 查看 | GraphTrends.View | 在联系的**联系详细信息**页面上,用户可以查看对话分析输出,例如图表(情绪、通话时间和其他各种输出)、情绪指标,以及对话录音和文字记录上的联系类别标签。 用户可以查看 [Amazon Connect Contact Lens 对话分析控制面板](contact-lens-conversational-analytics-dashboard.md) 上的数据。 |
| Contact Lens - 联系后摘要 | ContactLensPostContactSummary.View | 在“联系搜索”和“联系详情”页面上查看由生成式人工智能(生成式 AI)支持的联系后摘要。 |
| Contact Lens - 自定义词汇 - 编辑 | ContactLensCustomVocabulary.Edit | [添加自定义词汇](add-custom-vocabulary.md)。 |
| Contact Lens - 自定义词汇 - 查看 | ContactLensCustomVocabulary.View | [下载并查看自定义词汇](add-custom-vocabulary.md#view-custom-vocabulary)。 |
| Contact Lens - 主题检测 - 创建 | ThemeDetection.Create | [在**联系搜索**页面上创建主题检测报告](use-theme-detection.md)。 |
| Contact Lens - 主题检测 - 查看 | ThemeDetection.View | 在**联系搜索**页面上查看主题检测报告。 |
| Contact Lens - 主题检测 - 删除 | ThemeDetection.Delete | 在**联系搜索**页面上删除主题检测报告。 |
| 规则 - 创建 | Rules.Create | [创建规则](connect-rules.md)。 |
| 规则 - 删除 | Rules.Delete | 删除规则。 |
| 规则 - 编辑 | Rules.Edit | 编辑规则。 |
| 规则 - 生成式人工智能 | RulesGenerativeAI.Create RulesGenerativeAI.View RulesGenerativeAI.Edit RulesGenerativeAI.Delete | 管理使用生成式人工智能的规则。要创建生成式人工智能驱动的规则,您还需要**规则**权限。 |
| 规则 - 查看 | Rules.View | 查看规则。 |
| 登录/注销报告 - 查看 | AgentTimeCard.View | [查看登录/注销报告](login-logout-reports.md)。 |
| 实时联系监控 - 启用/禁用 | ManagerListenIn | [监控实时对话](monitor-conversations.md)并[收听过去对话的录音](review-recorded-conversations.md)。确保为经理分配了座席安全配置文件,以便他们访问联系人控制面板 (CCP)。这样,他们就可以通过 CCP 监控对话。 |
| 实时联系人插入 - 启用/禁用 | ManagerBargeIn | 使主管和经理能够插入座席与客户之间的实时对话。要了解有关插入实时对话的更多信息,请参阅[插入联络中心座席与客户之间的实时语音和聊天对话](monitor-barge.md)。 |
| 已保存的报告 - 查看 | MetricsReports.View | [查看共享报告](view-a-shared-report.md)。 |
| 已保存的报告 - 创建 | MetricsReports.Create MetricsReports.Share | [创建和共享报告](share-reports.md)。 |
| 已保存的报告 - 编辑 | MetricsReports.Edit | 编辑已保存的报告。 |
| 已保存的报告 - 删除 | MetricsReports.Delete | 删除已保存的报告。 |
| 已保存的报告 - 发布 | MetricsReports.Publish | [发布报告](publish-reports.md)和[共享报告](share-reports.md)。 |
| 已保存的报告 - 计划 | MetricsReports.Schedule MetricsReports.Publish ReportSchedules.Create ReportSchedules.Delete ReportSchedules.Edit ReportSchedules.View | [计划已保存的报告](schedule-historical-metrics-report.md)。默认情况下,用户有权创建、删除、编辑和查看已保存的报告。 |
| 保存的报告(管理员) | ReportsAdmin.View ReportsAdmin.Delete | [查看并删除实例中所有已保存的报告,包括不是由您创建的报告](manage-saved-reports-admin.md)。 |
| 评估表 - 执行评估 | Evaluation.Create Evaluation.View Evaluation.Edit Evaluation.Delete | [评估绩效](evaluations.md)。 |
| 评估表 - 管理表单定义 | EvaluationForms.Create EvaluationForms.View EvaluationForms.Edit EvaluationForms.Delete | [创建和管理评估表](create-evaluation-forms.md)。 |
| 评估表:Ask AI 助手 | EvaluationAssistant.Access | 在执行评估时访问 **Ask AI** 按钮,使用户能够获得生成式人工智能驱动的建议,以回答评估表中的问题。 |
| 评估表 - 管理校准会话 | EvaluationCalibrationSessions.Create EvaluationCalibrationSessions.Delete EvaluationCalibrationSessions.Edit EvaluationCalibrationSessions.View | 创建并管理校准会话,以推动经理在评估座席绩效时的一致性和准确性。 |
| 辅导-我的辅导课程-查看 | MyCoachingSessions.View | 查看您是教练或参与者的[辅导课程](provide-coaching.md)。如果您是参与者,则可以使用此权限确认辅导课程。 |
| 辅导-我的辅导课程-创建、编辑、删除 | MyCoachingSessions.Create MyCoachingSessions.Delete MyCoachingSessions.Edit | 以自己为教练的身份创建、编辑或删除辅导课程。 |
| 辅导-管理辅导课程 | CoachingSessions.Create CoachingSessions.Delete CoachingSessions.Edit CoachingSessions.View | 访问由您自己或他人进行的辅导课程。此权限允许您[创建](provide-coaching.md)由自己或他人担任教练的教练。 |
| 评估表-审查评估-创建 | EvaluationReviews.Create | 进行评估审查。 |
| 评估表-审查评估-查看 | EvaluationReviews.View | 在评估审查草稿定稿之前对其进行查看。 |
| 评估表-申请评估审查 | EvaluationReviewRequest.View EvaluationReviewRequest.Create EvaluationReviewRequest.Delete | 如果@@ [评估表已启用审核请求](evaluation-review-requests.md),则请求评估审查。 |
| Voice ID - 属性和搜索 | VoiceIdAttributesAndSearch.View | 在**联系详细信息**页面上搜索并查看 Voice ID 结果。 |
| 预测 - 查看 | Forecasting.View | [查看联系人数量和平均处理时间预测](inspect-forecast.md)。 |
| 预测 - 编辑 | Forecasting.Edit | [创建和编辑联系人数量和平均处理时间预测](create-forecasts.md)。 |
| 预测 - 发布 | Forecasting.Publish | [在 Amazon Connect 中发布预测](publish-forecast.md). |
| 容量规划 - 查看 | Capacity.View | [在 Amazon Connect 中查看容量规划输出](capacity-planning-review-output.md). |
| 容量规划 - 编辑 | Capacity.Edit | [在 Amazon Connect 中创建容量规划方案](capacity-planning-create-scenarios.md). |
| 容量规划 - 发布 | Capacity.Publish | [在 Amazon Connect 中发布容量规划](publish-capacity-plan.md). |
| 预测和计划间隔:编辑和查看 | ForecastScheduleInterval.Edit ForecastScheduleInterval.View | [在 Amazon Connect 中设置预测和计划间隔](set-forecast-scheduling-interval.md). |
## 录音和转录
| 用户界面名称 | API 名称 | 使用 |
| --- | --- | --- |
| 通话录音(未加密)- 访问 | CallRecordings.Unredacted.Access | 在某个联系的**联系详细信息**和**联系人搜索**页面上,查看未加密的录音。 如果您同时拥有**通话录音(未加密)- 访问**和**通话录音(已加密)- 访问**权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security-profile-list.html) 您不能同时访问已加密和未加密的对话版本。 |
| 通话录音(已加密)- 访问 | CallRecordings.Redacted.Access | 在某个联系的**联系详细信息**和**联系人搜索**页面上,收听敏感数据已被加密的通话录音。 |
| 联系转录(未加密)- 访问 | ContactTranscripts.Unredacted.Access | 在某个联系的**联系详细信息**和**联系人搜索**页面上,查看未经加密的聊天和电子邮件对话以及由 Contact Lens 生成的未经加密的语音转录。 如果您同时拥有**联系转录(未加密)- 访问**和**联系转录(已加密)- 访问**权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security-profile-list.html) 您不能同时访问已加密和未加密的对话版本。 |
| 联系转录(已加密)- 访问 | ContactTranscripts.Unredacted.Access | 在某个联系的**联系详细信息**和**联系人搜索**页面上,查看其中的敏感数据已被加密的聊天和语音转录。 |
| 通话录音(未加密)- 启用下载按钮 | CallRecordings.Unredacted.DownloadButton | 当用户在**联系人搜索**和**联系详细详情**页面上查看未经加密的录音时,启用按钮下载通话录音。当您选择**通话录音(未编辑)**权限时,默认情况下会选择**启用下载按钮**权限,因此用户可以通过 Amazon Connect 管理员网站[下载通话录音](download-recordings.md)。 此权限仅控制查看下载按钮的能力。如果用户拥有**通话录音(未加密)- 访问**权限,他们仍可以在没有此权限的情况下下载联系录音。 |
| 通话录音(已加密)- 启用下载按钮 | CallRecordings.Redacted.DownloadButton | 当用户在**联系人搜索**和**联系详细详情**页面上查看加密的录音时,启用按钮下载通话录音。当您选择**通话录音(已编辑)**权限时,默认情况下会选择**启用下载按钮**权限,因此用户可以通过 Amazon Connect 管理员网站[下载通话录音](download-recordings.md)。 此权限仅控制查看下载按钮的能力。如果用户拥有**通话录音(已加密)- 访问**权限,他们仍可以在没有此权限的情况下下载联系录音。 |
| 联系转录(未加密)- 启用下载按钮 | ContactTranscripts.Unredacted.DownloadButton | 当用户在**联系人搜索**和**联系详细详情**页面上查看未经加密的转录时,启用按钮下载联系转录。当您选择 “**联系人笔录(未编辑)**” 权限时,默认情况下会选择 “**启用下载按钮**” 权限,这样用户就可以通过管理员网站[下载通话录音](download-recordings.md)。 Amazon Connect 此权限仅控制查看下载按钮的能力。如果用户拥有**联系转录(未加密)- 访问**权限,他们仍可以在没有此权限的情况下下载联系转录。 **联系人搜索**和**联系详细信息**页面上会出现一个按钮,用于下载未经加密的聊天和电子邮件转录。 |
| 删除录制的对话 | DeleteCallRecordings | 删除通话录音和联系转录 |
| 屏幕录制:访问 | ScreenRecording.Access | 访问屏幕录制媒体播放器,并在“联系详细信息”页面上观看视频。 屏幕录制将屏幕录制视频与未加密的通话录音文件合并。如果用户有查看屏幕录制的权限,就可以收听未加密的音频。 |
| 自动交互语音(IVR)录音(未加密)- 访问 | AutomatedVoiceInteraction.Recordings.Unredacted.Access | 访问自动交互(使用 IVR、Amazon Lex 或其他机器人)的录音。 查看 “播放” 图标,这样用户就可以在查看 Amazon Connect 管理员网站上的自动互动日志的同时收听提示。 |
| 自动交互语音(IVR)录音(未加密)- 启用下载按钮 | AutomatedVoiceInteraction.Recordings.Unredacted.DownloadButton | 启用按钮来下载和删除通话录音。当您选择**自动互动语音 (IVR) 录音**权限时,默认情况下会选择**启用下载按钮**权限,这样用户就可以通过 Amazon Connect 管理员网站[下载通话录音](download-recordings.md)。 但是,要执行下载,用户需要具有**自动交互语音(IVR)录音(未加密)- 访问**权限。 |
| 自动交互语音(IVR)转录(未加密) | AutomatedVoiceInteraction.Transcripts.Unredacted.Access | 在**联系详细信息**和**联系人搜索**页面上,访问可读的 IVR 交互日志,包括对 IVR 提示的按键输入、Amazon Lex 交互的转录等。 |
## 旧式权限
下表列出了旧式权限。您无法通过“安全配置文件”页面访问这些权限。
具有这些权限的现有安全配置文件将继续运行。但是,请注意以下功能:
+ 当您编辑一个包含旧式权限的安全配置文件并在**安全配置文件**页面上选择**保存**时,Amazon Connect 会自动将这些旧式权限迁移到对应的新权限上。
+ 您仍然可以使用[CreateSecurityProfile](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateSecurityProfile.html)和向安全配置文件添加旧版权限[UpdateSecurityProfile](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateSecurityProfile.html) APIs。
| 用户界面名称 | API 名称 | 使用 |
| --- | --- | --- |
| 录制的对话(已加密)- 查看 | RedactedData.View | 在某个联系的**联系详细信息**和**联系人搜索**页面上,收听敏感数据已被移除的通话录音文件,并查看敏感数据已被移除的通话转录。 如果您编辑包含**录制的对话(已加密)- 查看**权限的安全配置文件并在**安全配置文件**页面上选择**保存**时,该配置文件将自动迁移,以包含新的相应权限(**通话录音(已加密)- 访问**和**联系转录(已加密)- 访问**)。 授予访问已加密通话录音的权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security-profile-list.html) 您可以在**安全配置文件**页面的**录音和转录**部分中访问这两个新迁移的权限。 |
| 记录的对话(未加密)- 查看 | ListenCallRecordings | 在联系人的**联系详细信息**和**联系搜索**页面上,查看包含姓名和信用卡信息等敏感数据的未加密内容。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security-profile-list.html) 如果您编辑包含**录制的对话(未加密)- 查看**权限的安全配置文件并在**安全配置文件**页面上选择**保存**时,该配置文件将自动迁移,以包含新的相应权限(**通话录音(未加密)- 访问**和**联系转录(未加密)- 访问**)。 授予访问未加密录音对话的权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security-profile-list.html) 您可以在**安全配置文件**页面的**录音和转录**部分中访问这两个新迁移的权限。 如果您同时具有**录制的对话(已加密)- 访问**和**录制的对话(未加密)- 访问**权限,则: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security-profile-list.html) 您不能同时访问已加密和未加密的对话版本。 |
| 录制的对话 - 启用下载按钮 | DownloadCallRecordings | 允许 Amazon Connect 管理员网站上的按钮下载和删除通话录音。默认情况下,会授予 “**启用下载按钮”** 权限,因此用户可以通过 Amazon Connect 管理员网站[下载通话录音](download-recordings.md)。但是,要执行下载,用户需要有访问**记录的对话(未加密)** 的权限。 如果您编辑包含**录制的对话(未加密)- 启用下载按钮**权限的安全配置文件并且在**安全配置文件**页面上选择**保存**时,该配置文件会自动迁移,以包含相应的新权限(**通话录音(未加密)- 启用下载按钮**、**通话录音(已加密)- 启用下载按钮**和**联系转录(未加密)- 启用下载按钮**)。 为录制的对话启用下载按钮: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security-profile-list.html) 所有新迁移的权限都位于**安全配置文件**页面上的**录音和转录**部分。 |
## 联系操作
| 用户界面名称 | API 名称 | 使用 |
| --- | --- | --- |
| 对于任何联系都允许“分配给我” | ManualAssignAnyContact.Enable | 此权限允许座席查看和手动分配属于“手动分配队列”的任何联系。 |
| 对于我的联系允许“分配给我” | ManualAssignMyContacts.Enable | 此权限允许座席查看和手动分配属于“手动分配队列”且该座席是联系的“首选座席”之一的任何联系。 |
| 转接联系 | TransferContact.Enabled | [在“分析和优化”页面上转移联系](transfer-contacts-admin.md)。目前,**联系详细信息**页面支持将任务联系转接到快速连接。 |
| 结束联系 | StopContact.Enabled | [在“分析和优化”页面上结束联系](end-contacts-admin.md)。目前在**联系详细信息**页面上支持。 |
| 重新安排联系 | UpdateContactSchedule.Enabled | [在“分析和优化”页面上重新安排先前安排的联系](reschedule-contacts-admin.md)。目前,**联系详细信息**页面上仅支持任务联系。 |
## 历史更改
| 用户界面名称 | API 名称 | 使用 |
| --- | --- | --- |
| 查看历史更改 | HistoricalChanges.View | 在支持历史更改的所有 Amazon Connect 管理网站页面上查看历史更改。 |
## Customer Profiles
| 用户界面名称 | API 名称 | 使用 |
| --- | --- | --- |
| 客户资料 - 创建 | CustomerProfiles.Create | [在座席应用程序中创建客户资料](ag-cp-create.md)。 |
| 客户资料 - 编辑 | CustomerProfiles.Edit | 在座席应用程序中编辑客户资料。 |
| 客户资料 - 查看 | CustomerProfiles.View | 在座席应用程序中编辑客户资料。 |
| 计算的属性 - 创建 | CustomerProfiles.CalculatedAttributes.Create | [创建计算属性](calculated-attributes-admin-website-create.md)。 |
| 计算的属性 - 编辑 | CustomerProfiles.CalculatedAttributes.Edit | [编辑计算的属性](calculated-attributes-admin-website-edit.md)。 |
| 计算的属性 - 删除 | CustomerProfiles.CalculatedAttributes.Delete | [删除计算的属性](calculated-attributes-admin-website-delete.md)。 |
| 计算的属性 - 查看 | CustomerProfiles.CalculatedAttributes.View | [查看计算的属性](calculated-attributes-admin-website-view.md)。 |
| 客户细分群体 - 查看 | CustomerProfiles.Segments.View | 查看所有客户创建的细分群体。您可以查看细分群体详情、创建的定义以及细分群体预估数量。 |
| 客户细分群体 - 创建 | CustomerProfiles.Segments.Create | 基于与本实例关联的“客户配置文件”域中的所有配置文件属性来创建细分群体的定义。`Create` 权限允许基于现有配置文件属性及其值创建定义。您也可以在细分群体的定义中使用默认的和创建的计算属性。 |
| 客户细分群体 - 删除 | CustomerProfiles.Segments.Delete | `Delete` 权限允许您删除您的细分群体定义。 |
| 客户细分群体 - 导出 | CustomerProfiles.Segments.Export | 导出功能允许您创建一个导出的 CSV 格式文件,其中包含该细分群体中配置文件的所有数据。导出后,它还允许您查看底层配置文件数据。 |
| 配置文件浏览器 - 查看 | CustomerProfiles.ProfileExplorer.View | 查看配置文件浏览器的登录页面以及默认的域布局。 |
| 配置文件浏览器 - 创建 | CustomerProfiles.ProfileExplorer.Create | [创建域布局](https://docs.aws.amazon.com/connect/latest/APIReference/API_connect-customer-profiles_CreateDomainLayout.html) |
| 配置文件浏览器 - 编辑 | CustomerProfiles.ProfileExplorer.Edit | [编辑域布局](https://docs.aws.amazon.com/connect/latest/APIReference/API_connect-customer-profiles_UpdateDomainLayout.html) |
| 配置文件浏览器 - 删除 | CustomerProfiles.ProfileExplorer.Delete | [删除域布局](https://docs.aws.amazon.com/connect/latest/APIReference/API_connect-customer-profiles_DeleteDomainLayout.html) |
## 计划
| 用户界面名称 | API 名称 | 使用 |
| --- | --- | --- |
| 日程安排管理器 - 查看 | Scheduling.View | [在日程安排管理器用户体验中查看生成的员工日程安排](scheduling-publish-schedule.md)。 |
| 日程安排管理器 - 编辑 | Scheduling.Edit | [创建、编辑日程配置并发布生成的员工日程安排](scheduling-publish-schedule.md)。 |
| 日程安排管理器 - 发布 | Scheduling.Publish | 使用日程安排管理器[发布计划](scheduling-publish-schedule.md)。 |
| 已发布的计划日历 | Scheduling.View | [查看](scheduling-view-schedule-staff.md)日程安排。 |
| 休假申请 - 批准、编辑、查看 | TimeOff.Approve TimeOff.Edit TimeOff.View | [休假管理](scheduling-time-off.md)。 |
| 剩余休假 - 编辑、查看 | TimeOffBalance.Edit TimeOffBalance.View | [休假管理](scheduling-time-off.md)。 |
| 团队日历 | TeamCalendar.View | [在“已发布的日历”用户体验中查看已发布的员工日程安排](scheduling-view-schedule-supervisors.md)。 |
| 团队日历 | TeamCalendar.Edit | [在“已发布的日历”用户体验中编辑已发布的员工日程安排](scheduling-view-schedule-supervisors.md)。 |
## 座席应用程序
| 用户界面名称 | API 名称 | 使用 |
| --- | --- | --- |
| 座席应用程序计划日历 | StaffCalendar.View StaffCalendar.Edit | [座席可以查看他们的计划](scheduling-view-schedule-agents.md)。座席需要有**编辑**权限才能查看和使用其日程表上的**休假**小部件,才能用来申请休假。如果他们只有**查看**权限,则**休假**小部件不会出现在他们的日程表上。 有关显示座席日程表上的**休假**小部件的示例图片,请参阅 [座席发起了休假请求](create-time-off-to.md#to-agent)。 |
| 自定义视图 | CustomViews.Access | 使用 [Agent Workspace 引导式体验](step-by-step-guided-experiences.md)指南。 |
| Connect 人工智能代理 | Wisdom.View | [在座席应用程序中查看实时建议](use-realtime-recommendations.md)。 |
| *<3p app name*-访问 | *<3p app name*. 访问 | 允许座席访问第三方应用程序。 |
| *Performance metrics*-访问 | 分析。 PerformanceMetrics. 访问 | 在座席工作区的**应用程序**下拉菜单中显示**绩效指标**选项。有关更多信息,请参阅 [座席工作区表现控制面板](performance-dashboard-aw.md)。 |
| *Worklist*-访问 | ManualAssignAnyContact. 启用 ManualAssignMyContacts. 启用 | 允许座席查看工作列表应用程序,该应用程序将显示可以手动分配的联系。 |
## 内容管理
| 用户界面名称 | API 名称 | 使用 |
| --- | --- | --- |
| 消息模板 - 查看 | | 在 Amazon Connect 管理网站上查看消息模板列表。 |
| 消息模板 - 编辑 | | 编辑消息模板。 |
| 消息模板 - 创建 | | 创建消息模板。 |
| 消息模板 - 删除 | | 使用 Amazon Connect 管理网站删除消息模板。 |
| 快速响应 - 创建 | ContentManagement. 创建 | [建立知识库以存储快速响应](setup-knowledgebase.md)。[创建](create-quick-responses.md)、[导入](add-data.md)和[查看座席应用程序中显示的快速响应的导入历史记录](view-import-history.md)。 |
| 快速响应 - 编辑 | ContentManagement.Edit | [编辑](edit-quick-responses.md)、[导入](add-data.md)和[查看座席应用程序中显示的快速响应的导入历史记录](view-import-history.md)。 |
| 快速响应 - 查看 | ContentManagement.View | 在 Amazon Connect 管理员网站上查看快速回复列表。 |
| 快速响应 - 删除 | ContentManagement.Delete | 使用 Amazon Connect 管理网站@@ [删除快速回复](delete-qr.md)。 |
## 案例
| 用户界面名称 | API 名称 | 使用 |
| --- | --- | --- |
| 审计历史记录:查看 | CaseHistory.View | 在座席应用程序中查看案例的审计历史记录。 |
| 案例 - 创建 | Cases.Create | [在座席应用程序中创建案例](create-cases.md)。 |
| 案例 - 查看 | Cases.View | 在座席应用程序中查看案例。 |
| 案例 - 编辑 | Cases.Edit | 在座席应用程序中编辑案例。 |
| 案例字段 - 创建 | CaseFields.Create | [创建案例字段](case-fields.md)。 |
| 案例字段 - 查看 | CaseFields.View | 查看案例字段。 |
| 案例字段 - 编辑 | CaseFields.Edit | 编辑案例字段。 |
| 案例模板 - 创建 | CaseTemplates.Create | [创建案例模板](case-templates.md)。 |
| 案例模板 - 查看 | CaseTemplates.View | 查看案例模板。 |
| 案例模板 - 编辑 | CaseTemplates.Edit | 编辑案例模板。 |
## 出站活动
| 用户界面名称 | API 名称 | 使用 |
| --- | --- | --- |
| 活动 - 创建 | Campaigns.Create | [创建出站活动](how-to-create-campaigns.md)。 |
| 活动 - 删除 | Campaigns.Delete | 删除出站活动。 |
| 活动 - 编辑 | Campaigns.Edit | 编辑出站活动。 |
| 活动 - 管理 | Campaigns.Delete | 管理出站活动。 |
| 活动 - 查看 | | 查看出站活动。 |
# Amazon Connect 中的默认安全配置文件
Amazon Connect 包括用于常规角色的默认安全配置文件。您可以查看这些配置文件授予的权限,并在与用户所需的权限相符时使用这些权限。否则,请创建一个安全配置文件,以便仅为用户授予所需的权限。
下表列出了默认安全配置文件。
| 安全配置文件 | 说明 |
| --- | --- |
| **Admin** | 为管理员授予执行大多数操作的权限。 |
| **Agent** | 为座席授予访问 CCP 的权限。 |
| **CallCenterManager** | 为经理授予执行与用户管理、指标和路由相关的操作的权限。 |
| **QualityAnalyst** | 为分析师授予执行与指标相关的操作的权限。 |
**注意**
会定期添加新权限。建议您重新访问您的权限配置,以确保您的用户可以访问最新的 Amazon Connect 功能。
# 为联络中心用户分配 Amazon Connect 的安全配置文件
## 为安全配置文件分配所需的权限
在向用户分配安全配置文件之前,您必须使用具有**用户 - 编辑**权限的 Amazon Connect 账户登录,如下图所示。或者,如果您是首次创建用户账户,则需要**用户 - 创建**权限。
![\[“安全配置文件”页面的“用户和权限”部分。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/security-profile-assign-security-profile.png)
默认情况下,Amazon Connect **管理员**安全配置文件具有这些权限。
## 如何分配安全配置文件
1. 审核 [Amazon Connect 和联系人控制面板 (CCP) 安全配置文件的最佳实践](security-profile-best-practices.md)。
1. 登录 Amazon Connect 管理员网站 https://*instance name*.my.connect.aws/。
1. 选择**用户**,然后选择**用户管理**。
1. 选择一个或多个用户,然后选择**编辑**。
1. 对于**安全配置文件**,根据需要添加或删除安全配置文件。要添加安全配置文件,请将光标放在该字段中,然后从列表中选择安全配置文件。要删除安全配置文件,请单击其名称旁边的 **x**。
1. 选择**保存**。
# 在 Amazon Connect 中创建安全配置文件
通过创建安全配置文件,您可以为用户仅授予所需的权限。
对于每个权限组,具有一组资源和一组支持的操作。例如,用户是**用户和权限**组的一部分,该组支持以下操作:查看、编辑、创建、删除、启用/禁用以及编辑权限。
一些操作依赖于其他操作。如果您选择的操作依赖于其他操作,将自动选择依赖的操作,并且还必须为该操作授予权限。例如,如果您添加编辑用户的权限,我们还会添加查看用户的权限。
## 创建安全配置文件所需的权限
在创建新的安全配置文件之前,您必须使用具有**安全配置文件 - 创建**权限的 Amazon Connect 账户登录,如下图所示。
![\[“安全配置文件”页面的“用户和权限”部分。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/security-profile-create.png)
默认情况下,Amazon Connect **管理员**安全配置文件具有这些权限。
## 如何创建安全配置文件
1. 登录 Amazon Connect 管理员网站 https://*instance name*.my.connect.aws/。
1. 选择**用户**、**安全配置文件**。
1. 选择**添加新的安全配置文件**。
1. 键入安全配置文件的名称和描述。
1. 从每个权限组中为安全配置文件选择相应的权限。对于每种权限类型,请选择一个或多个操作。选择某些操作将导致选择其他操作。例如,如果选择**编辑**,还会为资源和任何相关资源选择**查看**。
1. 选择**保存**。
## 基于标签的访问控制
您可以创建带有访问控制标签的安全配置文件。使用这些步骤创建强制实施基于标签的访问控制的安全配置文件。
1. 选择安全配置文件底部的**显示高级设置**。
1. 在**访问控制**部分的**资源**框中,使用标签输入要限制的资源。
![\[“安全配置文件”页面的“访问控制”部分。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tag-access-control-sp.png)
1. 输入要限制访问的资源标签的**密钥**和**值**组合。
1. 确保已为所选资源启用了*查看*权限。
1. 选择**保存**。
**注意**
配置基于标签的访问控制时,必须同时指定资源类型和访问控制标签。作为最佳实践,请确保在配置了基于标签的访问控制的安全配置文件上有匹配的资源标签。要了解有关 Amazon Connect 中基于标签的访问控制的更多信息,请参阅[在 Amazon Connect 中应用基于标签的访问控制](tag-based-access-control.md)。
## 标签安全配置文件
您可以通过资源标签创建新的安全配置文件。使用以下步骤向安全配置文件添加资源标签。
1. 选择安全配置文件底部的**显示高级设置**。
1. 输入**键**和**值**组合来标记资源,如下图所示。
![\[“安全配置文件”页面的“标签”部分。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/tag-securit-profiles-sp.png)
1. 选择**保存**。
有关标记资源的更多信息,请参阅[为 Amazon Connect 中的资源添加标签](tagging.md)。
# 在 Amazon Connect 中更新安全配置文件
您可以随时更新安全配置文件以添加或删除权限。
## 更新安全配置文件所需的权限
在更新安全配置文件中的权限之前,您必须使用具有以下权限的 Amazon Connect 账户登录:**安全配置文件 - 编辑**。
![\[“安全配置文件”页面的“用户和权限”部分。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/security-profile-edit.png)
默认情况下,Amazon Connect **管理员**安全配置文件具有这些权限。
## 如何更新安全配置文件
1. 登录 Amazon Connect 管理员网站 https://*instance name*.my.connect.aws/。您必须使用有权更新安全配置文件的 Amazon Connect 账户登录。
1. 选择**用户**、**安全配置文件**。
1. 选择配置文件的名称。
1. 根据需要,更新名称、描述、权限、访问控制和资源标签。
1. 选择**保存**。
**注意**
修改安全配置文件上的访问控制或资源标签可能会影响拥有此安全配置文件的用户可以访问的功能或资源。
# 在 Amazon Connect 中应用基于标签的访问控制
您可以使用基于标签的访问控制,来根据已分配的资源标签,配置对特定资源的精细化访问权限。您可以使用 API/SDK 或 Amazon Connect 管理员网站为支持的资源配置基于标签的访问控制。
## 使用 API/SDK 应用基于标签的访问控制
要使用标签来控制对 AWS 账户中资源的访问,您需要在 IAM 策略的条件元素中提供标签信息。例如,要根据您分配给 Voice ID 域的标签来控制对 Voice ID 域的访问权限,请使用 `aws:ResourceTag/key-name` 条件键,以及 `StringEquals` 等特定操作指定必须将哪个标签*键值*对附加到该域,以便允许对其执行给定操作。
有关基于标签的访问控制的更多详细信息,请参阅《IAM 用户指南》**中的[使用标签控制对 AWS 资源的访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。
## 使用 Amazon Connect 管理网站应用基于标签的访问控制
*资源*标签是一种自定义元数据标签,您可以将其添加到资源中,以便更轻松地在搜索中识别、整理和查找。您可以使用 Amazon Connect SDK/ 以编程方式应用标签APIs,对于某些资源,您可以从 Amazon Connect 控制台中应用标签。要了解有关资源标签的更多信息,请参阅[为 Amazon Connect 中的资源添加标签](tagging.md)。
访问控制标签与资源标签类似,因为它使用相同的*键:值*结构。但是,访问控制标签的区别在于,它引入了授权控制,仅允许用户访问包含具有相同*键:值*对的资源标签的指定资源。访问控制标签是在安全配置文件中定义的,方法是首先选择要控制访问的资源(路由配置文件、队列、用户等),然后定义要匹配的*键:值*对。将带有访问控制标签的安全配置文件应用于用户后,它将根据所选资源和访问控制标签(*键:值*)的定义组合限制用户的访问权限。如果不应用访问控制标签,只要获得权限,用户就能够查看所有资源。
要使用标签控制对 Amazon Connect 实例管理网站内资源的访问,您需要在给定的安全配置文件中配置访问控制部分。例如,要根据分配给路由配置文件的标签来控制对路由配置文件的访问权限,您可以将该路由配置文件指定为访问控制资源,然后指定要允许访问的标签*键:值*对。
## 配置限制
访问控制标签是在安全配置文件上配置的。您最多可以在一个安全配置文件上配置四个访问控制标签。增加额外的访问控制标签将使安全配置文件更具限制性。例如,如果您要添加两个访问控制标签(例如 `Department:X` 和 `Country:Y`),则用户只能看到包含这两个标签的资源。
最多可以为用户分配三个包含访问控制标签的安全配置文件。将包含访问控制标签的多个安全配置文件分配给单个用户时,基于标签的访问控制将变得不那么严格。例如,如果用户的一个安全配置文件带有控制访问标签 `Country:USA`,另一个安全配置文件带有控制访问标签 `Country:Argentina`,那么用户就可以查看标签为 `Country:USA` 或 `Country:Argentina` 的资源。用户可以拥有其他的安全配置文件,前提是这些额外的安全配置文件不包含标签。在存在多个安全配置文件且资源权限重叠的情况下,没有基于标签的访问控制的安全配置文件将优先于具有基于标签的访问控制的安全配置文件。
需要服务相关角色才能配置[资源标签](https://docs.aws.amazon.com/connect/latest/adminguide/tagging.html)或[访问控制标签](https://docs.aws.amazon.com/connect/latest/adminguide/tag-based-access-control.html)。如果您的实例是在 2018 年 10 月之后创建的,则默认情况下,Amazon Connect 实例将提供此功能。但是,如果您使用的是较旧的实例,请参阅[使用 Amazon Connect 的服务相关角色](https://docs.aws.amazon.com/connect/latest/adminguide/connect-slr.html),了解有关如何启用服务相关角色的说明。
## 应用基于标签的访问控制的最佳实践
应用基于标签的访问控制是一项高级配置功能,由 Amazon Connect 支持,遵循责任 AWS 共担模式。请务必确保正确配置您的实例以符合所需的授权需求。有关更多信息,请查看 [AWS 责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)。
对于启用了基于标签的访问控制的资源,请确保至少启用了*查看*权限。这将确保您避免因权限不一致而导致的访问请求被拒绝。
基于标签的访问控制在资源级别启用,这意味着可以独立限制每个资源。在某些用例中,这种做法是可以接受的,但最佳实践是同时对所有资源启用基于标签的访问控制。例如,如果只启用对用户的访问权限,而不启用对安全配置文件的访问权限,系统将允许用户创建一个安全配置文件,其权限将取代预期的用户访问控制设置。
当用户在应用了基于标签的访问控制的情况下登录 Amazon Connect 控制台时,将无法访问受限资源的历史变更日志。
作为最佳实践,在 Amazon Connect 控制台中应用基于标签的访问控制时,应禁用对以下资源/模块的访问权限。如果不禁用对这些资源的访问权限,在特定资源上拥有基于标签的访问控制的用户在查看这些页面时,可能会看到不受限制的用户、安全配置文件、路由配置文件、队列、流或流模块列表。有关如何管理权限的更多信息,请参阅[Amazon Connect 中的安全配置文件权限列表](security-profile-list.md)。
| 模块 | 禁用访问的权限 |
| --- | --- |
| 联系人搜索 | 联系人搜索 |
| 控制面板 | 访问指标 |
| 流 | 流:查看 |
| 流模块 | 流模块 - 查看 |
| 预测 | 预测 |
| 历史 changes/Audit 门户 | 访问指标 |
| 营业时间 | 营业时间 - 查看 |
| 登录/注销报告 | 登录/注销报告 - 查看 |
| 出站活动 | 活动 - 查看 |
| 提示 | 提示 - 查看 |
| 快速连接 | 快速连接 - 查看 |
| Rules | 规则 - 查看 |
| 已保存的报告 | 已保存的报告 - 查看 |
| 计划 | 计划管理器 |
| 计划 | 已发布的计划日历 |
# 在 Amazon Connect 中应用基于层次结构的访问控制
您可以根据分配给用户的座席层次结构限制对联系的访问权限。您可以使用安全配置文件权限(例如[限制联系访问](contact-search.md#required-permissions-search-contacts))完成这一工作。除了这些权限之外,您还可以使用层次结构来强制执行对资源(例如用户)的精细化访问控制,并且也可以使用标签。
本主题介绍有关配置基于层次结构的访问控制的信息。
**Topics**
+ [概述](#hierarchy-based-access-control-background)
+ [使用 API/SDK 应用基于层次结构的访问控制](#hierarchy-based-access-control-api-sdk)
+ [使用 Amazon Connect 管理网站应用基于层次结构的访问控制](#hierarchy-based-access-control-console)
+ [配置限制](#hierarchy-based-access-control-config-limitations)
+ [应用基于层次结构的访问控制的最佳实践](#hierarchy-based-access-control-best-practices)
## 概述
基于层次结构的访问控制使您能够根据分配给用户的[代理层次结构](agent-hierarchy.md)配置对特定资源的精细访问权限。 您可以使用 API/SDK 或 Amazon Connect 管理员网站配置基于层次结构的访问控制。
唯一支持基于层次结构的访问控制的资源是用户。此授权模型与[基于标签的访问控制](tag-based-access-control.md)协同工作,因此您可以限制用户的访问权限,允许他们仅查看属于其同一层次结构组以及带有特定标签的其他用户。
**注意**
对用户应用基于层次结构的访问控制后,他们可以访问其层次结构组及其所有后代(超出子级别)。
## 使用 API/SDK 应用基于层次结构的访问控制
要使用层次结构来控制对 AWS 账户内资源的访问权限,您需要在 IAM 策略的条件元素中提供层次结构的信息。例如,要控制对属于特定层次结构的用户的访问权限,可使用 `connect:HierarchyGroupL3Id/hierarchyGroupId` 条件键以及特定的操作符(如 `StringEquals`)来指定用户必须属于哪个层次结构组才能被允许执行给定的操作。
支持的条件键如下所示:
1. `connect:HierarchyGroupL1Id/hierarchyGroupId`
1. `connect:HierarchyGroupL2Id/hierarchyGroupId`
1. `connect:HierarchyGroupL3Id/hierarchyGroupId`
1. `connect:HierarchyGroupL4Id/hierarchyGroupId`
1. `connect:HierarchyGroupL5Id/hierarchyGroupId`
每个键都代表用户层次结构中特定层级上的一个给定层次结构组的 ID。
## 使用 Amazon Connect 管理网站应用基于层次结构的访问控制
要使用层次结构来控制对 Amazon Connect 管理网站资源的访问,请在给定的安全配置文件中配置访问控制部分。
例如,要基于用户所属的层次结构来为其启用精细化访问控制,您需要将该用户配置为一个访问受控的资源。为此,您有以下两个选项:
1. 根据**用户的层次结构**实施基于层次结构的访问控制
此选项确保被授予访问权限的用户只能管理属于此层次结构的其他用户。例如,为给定用户启用此配置将使他们能够管理属于其层次结构组或子层次结构组的其他用户。
1. 基于一个**特定的层次结构**强制执行基于层次结构的访问控制
此选项确保被授予访问权限的用户只能管理属于安全配置文件中定义的层次结构的其他用户。例如,为给定用户启用此配置将使他们能够管理属于安全配置文件中指定的层次结构组或子层次结构组的其他用户。
## 配置限制
精细的访问控制是在安全配置文件上配置的。最多可以为用户分配两个安全配置文件,以执行精细的访问控制。在这种情况下,权限会变得限制更少,并作为两个权限集的并集生效。
例如,如果一个安全配置文件强制执行基于层次结构的访问控制,而另一个配置文件强制执行基于标签的访问控制,则该用户将能够管理任何属于同一层次结构或带有给定标签的用户。如果将基于标签的访问控制和基于层次结构的访问控制配置为同一个安全配置文件的一部分,则需要同时满足这两个条件。在这种情况下,该用户只能管理既属于同一层次结构又带有给定标签的用户。
用户可以拥有两个以上的安全配置文件,只要这些额外的安全配置文件不执行精细的访问控制。如果存在多个具有重叠资源权限的安全配置文件,那么,不包含基于层次结构访问控制的安全配置文件的效力优先于包含基于层次结构控制的安全配置文件。
需要服务相关角色才能配置基于层次结构访问控制。如果您的实例是在 2018 年 10 月之后创建的,则默认情况下,Amazon Connect 实例将提供此功能。但是,如果您使用的是较旧的实例,请参阅[使用 Amazon Connect 的服务相关角色](connect-slr.md),了解有关如何启用服务相关角色的说明。
## 应用基于层次结构的访问控制的最佳实践
+ 审查 [AWS 责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)。
应用基于层次结构的访问控制是一项高级配置功能,由 Amazon Connect 支持,遵循责任 AWS 共担模式。请务必确保正确配置您的实例以符合所需的授权需求。
+ 对于启用了基于层次结构的访问控制的资源,请确保至少启用了*查看*权限。
这将确保您避免因权限不一致而导致的访问请求被拒绝。基于层次结构的访问控制在资源级别启用,这意味着可以独立限制每个资源。
+ 请仔细审查当基于层次结构的访问控制被强制执行时所授予的权限。
例如,启用层次结构限制了用户的访问权限view/edit permissions security profiles would allow a user to create/update,以及具有取代目标用户访问控制设置的权限的安全配置文件。
+ 当用户在应用了基于层次结构的访问控制的情况下登录 Amazon Connect 控制台时,将无法访问受限资源的历史变更日志。
+ 尝试将子资源分配给具有基于层次结构的子资源访问控制的父资源时,如果子资源不属于您的层次结构,则此操作会被拒绝。
例如,如果您尝试将一个用户分配到一个“快速连接”,但您无权访问该用户所在的层次结构,那么该操作将会失败。但是,解除关联的情况并非如此。即使强制执行了基于层次结构的访问控制,只要您有权访问该“快速连接”,您仍然可以自由地解除关联某个用户。这是因为解除关联是关于丢弃两个资源之间的现有关系(这与建立新的关联相反),并且该操作被建模为父资源(在此例中,即“快速连接”)的一部分,而用户已经拥有对该父资源的访问权限。
+ 在授予对父资源的权限时务必深思熟虑,因为用户可能会在其主管不知情的情况下被解除关联。
+ 在 Amazon Connect 管理网站中应用基于层次结构的访问控制时,请禁用对以下功能的访问权限。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/hierarchy-based-access-control.html)
如果您不禁用对这些资源的访问权限,则在 Amazon Connect 管理网站上查看这些页面的特定资源上拥有基于层次结构的访问控制的用户可能会看到不受限制的用户列表。有关如何管理权限的更多信息,请参阅[安全配置文件权限列表](security-profile-list.md)。