本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 适用于 Amazon Connect 的 Identity and Access Management
AWS Identity and Access Management (IAM) AWS 服务 可帮助管理员安全地控制对 AWS 资源的访问权限。IAM 管理员控制谁可以通过*身份验证*(登录)和*授权*(具有权限)来使用 Amazon Connect 资源。您可以使用 IAM AWS 服务 ,无需支付额外费用。
**Topics**
+ [
## 受众
](#security_iam_audience)
+ [
## 使用身份进行身份验证
](#security_iam_authentication)
+ [
## 使用策略管理访问
](#security_iam_access-manage)
+ [自定义 IAM 策略所需的权限](security-iam-amazon-connect-permissions.md)
+ [限制可以与 Amazon Connect 关联的 AWS 资源](restrict-access-examples.md)
+ [
# Amazon Connect 如何与 IAM 配合使用
](security_iam_service-with-iam.md)
+ [基于身份的策略示例](security_iam_id-based-policy-examples.md)
+ [资源级策略示例](security_iam_resource-level-policy-examples.md)
+ [AWS 托管策略](security_iam_awsmanpol.md)
+ [故障排除](security_iam_troubleshoot.md)
+ [使用服务相关角色](connect-slr.md)
+ [将服务相关角色用于出站活动](connect-slr-outbound.md)
+ [使用适用于 Amazon 的服务相关角色 AppIntegrations](appintegrations-slr.md)
+ [对 Amazon Connect Customer Profiles 使用服务相关角色](customerprofiles-slr.md)
+ [将服务相关角色用于 Amazon Connect 托管式同步](managed-synchronization-slr.md)
## 受众
您的使用方式 AWS Identity and Access Management (IAM) 因您的角色而异:
+ **服务用户**:如果您无法访问功能,请从管理员处请求权限(请参阅[Amazon Connect 身份和访问故障排除](security_iam_troubleshoot.md))
+ **服务管理员**:确定用户访问权限并提交权限请求(请参阅[Amazon Connect 如何与 IAM 配合使用](security_iam_service-with-iam.md))
+ **IAM 管理员**:编写用于管理访问权限的策略(请参阅[Amazon Connect 基于身份的策略示例](security_iam_id-based-policy-examples.md))
## 使用身份进行身份验证
身份验证是您 AWS 使用身份凭证登录的方式。您必须以 IAM 用户身份进行身份验证 AWS 账户根用户,或者通过担任 IAM 角色进行身份验证。
您可以使用来自身份源的证书 AWS IAM Identity Center (例如(IAM Identity Center)、单点登录身份验证或 Google/Facebook 证书,以联合身份登录。有关登录的更多信息,请参阅《AWS 登录 用户指南》**中的[如何登录您的 AWS 账户](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
对于编程访问, AWS 提供 SDK 和 CLI 来对请求进行加密签名。有关更多信息,请参阅*《IAM 用户指南》*中的[适用于 API 请求的AWS 签名版本 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
### AWS 账户 root 用户
创建时 AWS 账户,首先会有一个名为 AWS 账户 *root 用户的*登录身份,该身份可以完全访问所有资源 AWS 服务 和资源。我们强烈建议不要使用根用户进行日常任务。有关要求根用户凭证的任务,请参阅*《IAM 用户指南》*中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### 用户和组
*[IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*是对某个人员或应用程序具有特定权限的一个身份。建议使用临时凭证,而非具有长期凭证的 IAM 用户。有关更多信息,请参阅 *IAM 用户指南*[中的要求人类用户使用身份提供商的联合身份验证才能 AWS 使用临时证书进行访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)指定一组 IAM 用户,便于更轻松地对大量用户进行权限管理。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM 用户使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*是具有特定权限的身份,可提供临时凭证。您可以通过[从用户切换到 IAM 角色(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或调用 AWS CLI 或 AWS API 操作来代入角色。有关更多信息,请参阅《IAM 用户指南》**中的[担任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用策略管理访问
您可以 AWS 通过创建策略并将其附加到 AWS 身份或资源来控制中的访问权限。策略定义了与身份或资源关联时的权限。 AWS 在委托人提出请求时评估这些政策。大多数策略都以 JSON 文档的 AWS 形式存储在中。有关 JSON 策略文档的更多信息,请参阅*《IAM 用户指南》*中的 [JSON 策略概述](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理员使用策略,通过定义哪个**主体**可以在什么**条件**下对哪些**资源**执行哪些**操作**来指定谁有权访问什么。
默认情况下,用户和角色没有权限。IAM 管理员创建 IAM 策略并将其添加到角色中,然后用户可以担任这些角色。IAM 策略定义权限,与执行操作所用的方法无关。
### 基于身份的策略
基于身份的策略是您附加到身份(用户、组或角色)的 JSON 权限策略文档。这些策略控制身份可以执行什么操作、对哪些资源执行以及在什么条件下执行。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
基于身份的策略可以是*内联策略*(直接嵌入到单个身份中)或*托管策略*(附加到多个身份的独立策略)。要了解如何在托管策略和内联策略之间进行选择,请参阅*《IAM 用户指南》*中的[在托管策略与内联策略之间进行选择](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
### 基于资源的策略
基于资源的策略是附加到资源的 JSON 策略文档。示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
基于资源的策略是位于该服务中的内联策略。您不能在基于资源的策略中使用 IAM 中的 AWS 托管策略。
### 其他策略类型
AWS 支持其他策略类型,这些策略类型可以设置更常见的策略类型授予的最大权限:
+ **权限边界** – 设置基于身份的策略可以授予 IAM 实体的最大权限。有关更多信息,请参阅《 IAM 用户指南》**中的 [IAM 实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服务控制策略 (SCPs)**-在中指定组织或组织单位的最大权限 AWS Organizations。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **资源控制策略 (RCPs)**-设置账户中资源的最大可用权限。有关更多信息,请参阅《*AWS Organizations 用户指南》*中的[资源控制策略 (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **会话策略** – 在为角色或联合用户创建临时会话时,作为参数传递的高级策略。有关更多信息,请参阅《IAM 用户指南》**中的[会话策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多个策略类型
当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解在涉及多种策略类型时如何 AWS 确定是否允许请求,请参阅 *IAM 用户指南*中的[策略评估逻辑](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# 使用自定义 IAM 策略管理对 Amazon Connect 控制台的访问权限所需的权限
如果您使用自定义 [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 策略来管理对 Amazon Connect 控制台的访问权限,则您的用户需要本文中列出的部分或全部权限,具体取决于他们需要执行的任务。
**注意**
在自定义 IAM 策略中使用 `connect:*` 可以向您的用户授予本文中列出的所有 Amazon Connect 权限。
**注意**
Amazon Connect 控制台上的某些页面(例如[任务](#tasks-page)和[客户资料](#customer-profiles-page))要求您为内联策略添加权限。
**Topics**
+ [AmazonConnect\$1 FullAccess 政策](#amazonconnectfullaccesspolicy)
+ [AmazonConnectReadOnlyAccess 政策](#amazonconnectreadonlyaccesspolicy)
+ [主页](#console-home-page-permissions)
+ [详细信息页面](#detail-pages)
+ [“概述”页面](#overview-page)
+ [“电话”页面](#telephony-page)
+ [“数据存储”页面](#data-storage-page)
+ [“数据流式处理”页面](#data-streaming-page)
+ [“流”页面](#contact-flows-page)
+ [Contact Lens 连接器页面](#contactlensconnectors-page)
+ [语音转接集成页面](#voice-transfer-integrations-page)
+ [“应用程序集成”页面](#application-integration-page)
+ [“客户资料”页面](#customer-profiles-page)
+ [“任务”页面](#tasks-page)
+ [电子邮件页面](#email-page)
+ [“案例”页面](#cases-page)
+ [客户身份验证页面](#customer-authentication-page)
+ [出站活动页面](#outbound-campaigns-page)
+ [Connect 人工智能代理页面](#wisdom-page)
+ [“Voice ID”页面](#voiceid-page)
+ [“预测、容量规划和调度”页面](#forecasting-page)
+ [联合身份验证](#federations)
## AWS 托管策略: AmazonConnect\$1 FullAccess 策略
要允许完全 read/write 访问 Amazon Connect,您必须为用户、群组或角色附加两项策略。附加 `AmazonConnect_FullAccess` 策略和包含以下内容的自定义策略:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AttachAnyPolicyToAmazonConnectRole",
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/connect.amazonaws.com/AWSServiceRoleForAmazonConnect*"
}
]
}
```
------
要允许用户创建实例,请确保他们具有 `AmazonConnect_FullAccess` 策略授予的权限。
当您使用 `AmazonConnect_FullAccess` 策略时,请注意以下几点:
+ 要使用您选择的名称创建 Amazon S3 存储桶,或者在 Amazon Connect 管理网站上创建或更新实例时使用现有存储桶,则需要额外的权限。如果您为通话录音、聊天转录、电子邮件内容、附件、通话转录和其它数据选择默认存储位置,则系统会在这些对象前加上 `"amazon-connect-"`。
+ `aws/connect` KMS 密钥可用作默认加密选项。要使用自定义加密密钥,请为用户分配其他 KMS 权限。
+ 为用户分配额外权限,以便将 Amazon Polly、直播媒体流、数据流和 Lex 机器人等其他 AWS 资源附加到他们的 Amazon Connect 实例。
## AWS 托管策略: AmazonConnectReadOnlyAccess 策略
要允许只读访问,您只需附加 `AmazonConnectReadOnlyAccess` 策略。
## Amazon Connect 控制台主页
下图显示了一个 Amazon Connect 控制台主页示例,其中一个箭头指向实例别名。选择实例别名可导航到详细的实例页面。
![\[Amazon Connect 虚拟联系中心实例页面,实例别名。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/instance.png)
使用下表中列出的权限来管理对此页面的访问。
| 操作/使用案例 | 所需权限 |
| --- | --- |
| 列出实例 | `connect:ListInstances` `ds:DescribeDirectories` |
| 描述实例:查看实例/当前设置的详细信息 | `connect:DescribeInstance` `connect:ListLambdaFunctions` `connect:ListLexBots` `connect:ListInstanceStorageConfigs` `connect:ListApprovedOrigins` `connect:ListSecurityKeys` `connect:DescribeInstanceAttributes` `connect:DescribeInstanceStorageConfig` `ds:DescribeDirectories` |
| 创建实例 | `connect:AssociateCustomerProfilesDomain` `connect:CreateInstance` `connect:DescribeInstance` `connect:ListInstances` `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceAttribute` `ds:CheckAlias` `ds:CreateAlias` `ds:AuthorizeApplication` `ds:UnauthorizeApplication` `ds:CreateIdentityPoolDirectory` `ds:DescribeDirectories` `iam:CreateServiceLinkedRole` `iam:PutRolePolicy` `kms:CreateGrant` `kms:DescribeKey` `kms:ListAliases` `kms:RetireGrant` `logs:CreateLogGroup` `s3:CreateBucket` `s3:GetBucketLocation` `s3:ListAllMyBuckets` `servicequotas:GetServiceQuota` `profile:CreateDomain` `profile:GetDomain` `profile:GetProfileObjectType` `profile:ListAccountIntegrations` `profile:ListDomains` `profile:ListProfileObjectTypeTemplates` `profile:PutIntegration` |
| 删除实例 | `connect:DescribeInstance` `connect:DeleteInstance` `connect:ListInstances` `ds:DescribeDirectories` `ds:DeleteDirectory` `ds:UnauthorizeApplication` |
## 详细的实例页面
下图显示了您用于访问每个详细实例页面的导航菜单。
![\[Amazon Connect 实例页面上的导航菜单。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/iam-custom-permissions-admin-console-telephony-page.png)
要访问详细的实例页面,您需要访问 Amazon Connect 控制台主页的权限(描述/列出)。或者,使用 `AmazonConnectReadOnlyAccess` 策略。
下表列出了每个详细实例页面的精细权限。
**注意**
要执行 `Edit` 操作,用户还需要 `List` 和 `Describe` 权限。
## “概述”页面
| 操作/用例 | 所需权限 |
| --- | --- |
| 创建服务相关角色 | `connect:DescribeInstance` `connect:ListInstances` `connect:DescribeInstanceAttribute` `connect:UpdateInstanceAttribute` `connect:ListIntegrationAssociations` `profile:ListAccountIntegrations` `ds:DescribeDirectories` `iam:CreateServiceLinkedRole` `iam:PutRolePolicy` |
## “电话”页面
| 操作/用例 | 所需权限 |
| --- | --- |
| 查看电话选项 | `connect:DescribeInstance` |
| 启用/禁用电话选项 | `connect:UpdateInstanceAttribute` |
| 查看出站活动 | `connect-campaigns:GetConnectInstanceConfig` `connect-campaigns:GetInstanceOnboardingJobStatus` `connect:DescribeInstance` `connect:DescribeInstanceAttribute` `kms:DescribeKey` |
| 启用/禁用出站活动 | `connect-campaigns:GetConnectInstanceConfig` `connect-campaigns:GetInstanceOnboardingJobStatus` `connect-campaigns:StartInstanceOnboardingJob` `connect-campaigns:DeleteInstanceOnboardingJob` `connect-campaigns:DeleteConnectInstanceConfig` `connect:DescribeInstance` `connect:DescribeInstanceAttribute` `connect:UpdateInstanceAttribute` `iam:CreateServiceLinkedRole` `iam:DeleteServiceLinkedRole` `iam:AttachRolePolicy` `iam:PutRolePolicy` `iam:DeleteRolePolicy` `events:PutRule` `events:PutTargets` `events:DeleteRule` `events:RemoveTargets` `events:DescribeRule` `events:ListTargetsByRule` `ds:DescribeDirectories` `kms:DescribeKey` `kms:ListKeys` `kms:CreateGrant` `kms:RetireGrant` |
## “数据存储”页面
### “通话录音”部分
| 操作/用例 | 所需权限 |
| --- | --- |
| 查看通话录音 | `connect:DescribeInstance` `connect:ListInstanceStorageConfigs` `connect:DescribeInstanceStorageConfig` |
| 编辑通话录音 | `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceStorageConfig` `connect:DisassociateInstanceStorageConfig` `s3:ListAllMyBuckets` `s3:GetBucketLocation` `s3:GetBucketAcl` `s3:CreateBucket` `kms:CreateGrant` `kms:DescribeKey` `kms:ListAliases` `kms:RetireGrant` `iam:PutRolePolicy` |
### “屏幕录制”部分
| 操作/用例 | 所需权限 |
| --- | --- |
| 查看屏幕录制 | `connect:DescribeInstance` `connect:ListInstanceStorageConfigs` `connect:DescribeInstanceStorageConfig` |
| 编辑屏幕录制 | `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceStorageConfig` `connect:DisassociateInstanceStorageConfig` `s3:ListAllMyBuckets` `s3:GetBucketLocation` `s3:GetBucketAcl` `s3:CreateBucket` `iam:PutRolePolicy` `kms:CreateGrant` `kms:DescribeKey` `kms:ListAliases` `kms:RetireGrant` |
### “聊天转录”部分
| 操作/用例 | 所需权限 |
| --- | --- |
| 查看聊天转录 | `connect:DescribeInstance` `connect:DescribeInstanceStorageConfig` `connect:ListInstanceStorageConfigs` |
| 编辑聊天转录 | `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceStorageConfig` `connect:DisassociateInstanceStorageConfig` `s3:ListAllMyBuckets` `s3:GetBucketLocation` `s3:GetBucketAcl` `s3:CreateBucket` `kms:CreateGrant` `kms:DescribeKey` `kms:ListAliases` `kms:RetireGrant` `iam:PutRolePolicy` |
### “附件”部分
| 操作/用例 | 所需权限 |
| --- | --- |
| 查看附件 | `connect:DescribeInstance` `connect:DescribeInstanceStorageConfig` `connect:ListInstanceStorageConfigs` |
| 编辑附件 | `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceStorageConfig` `connect:DisassociateInstanceStorageConfig` `s3:ListAllMyBuckets` `s3:GetBucketLocation` `s3:CreateBucket` `s3:GetBucketAcl` `kms:CreateGrant` `kms:DescribeKey` `kms:ListAliases` `kms:RetireGrant` `iam:PutRolePolicy` |
### “实时媒体流式传输”部分
| 操作/用例 | 所需权限 |
| --- | --- |
| 查看实时媒体流式传输 | `connect:DescribeInstance` `connect:ListInstanceStorageConfigs` `connect:DescribeInstanceStorageConfig` |
| 编辑实时媒体流式传输 | `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceStorageConfig` `connect:DisassociateInstanceStorageConfig` `kms:CreateGrant` `kms:DescribeKey` `kms:RetireGrant` `iam:PutRolePolicy` |
### “导出的报告”部分
| 操作/用例 | 所需权限 |
| --- | --- |
| 查看导出的报告 | `connect:DescribeInstance` `connect:ListInstanceStorageConfigs` `connect:DescribeInstanceStorageConfig` |
| 编辑导出的报告 | `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceStorageConfig` `connect: DisassociateInstanceStorageConfig` `s3:ListAllMyBuckets` `s3:GetBucketLocation` `s3:CreateBucket` `kms:DescribeKey` `kms:ListAliases` `kms:RetireGrant` `kms:CreateGrant` `iam:PutRolePolicy` |
## “数据流式处理”页面
### “联系记录”部分
| 操作/用例 | 所需权限 |
| --- | --- |
| 查看数据流式处理 – 联系记录 | `connect:DescribeInstance` `connect:ListInstanceStorageConfigs` `connect:DescribeInstanceStorageConfig` |
| 编辑联系记录 | `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceStorageConfig` `connect:DisassociateInstanceStorageConfig` `firehose:ListDeliveryStreams` `firehose:DescribeDeliveryStream` `kinesis:ListStreams` `kinesis:DescribeStream` `iam:PutRolePolicy` |
### “座席事件”部分
| 操作/用例 | 所需权限 |
| --- | --- |
| 查看数据流式处理 – 座席事件 | `connect:DescribeInstance` `connect:ListInstanceStorageConfigs` `connect:DescribeInstanceStorageConfig` |
| 编辑座席事件 | `connect:AssociateInstanceStorageConfig` `connect:UpdateInstanceStorageConfig` `connect:DisassociateInstanceStorageConfig` `kinesis:ListStreams` `kinesis: DescribeStream` `iam:PutRolePolicy` |
## “流”页面
### “流安全密钥”部分
| 操作/用例 | 所需权限 |
| --- | --- |
| 查看流安全密钥 | `connect:DescribeInstance` `connect:ListSecurityKeys` |
| 添加/删除流安全密钥 | `connect:AssociateSecurityKey` `connect:DisassociateSecurityKey` |
### “Lex 自动程序”部分
| 操作/用例 | 所需权限 |
| --- | --- |
| 查看 Lex 自动程序 | `connect:ListLexBots` `connect:ListBots` |
| 添加/删除 Lex 自动程序 | `lex:GetBots` `lex:GetBot` `lex:CreateResourcePolicy` `lex:DeleteResourcePolicy` `lex:UpdateResourcePolicy` `lex:DescribeBotAlias` `lex:ListBotAliases` `lex:ListBots` `connect:AssociateBot` `connect:DisassociateBot` `connect:ListBots` `connect:AssociateLexBot` `connect:DisassociateLexBot` `connect:ListLexBots` `iam:PutRolePolicy` |
### “Lambda 函数”部分
| 操作/用例 | 所需权限 |
| --- | --- |
| 查看 Lambda 函数 | `connect:ListLambdaFunctions` |
| 添加/删除 Lambda 函数 | `connect:ListLambdaFunctions` `connect:AssociateLambdaFunction` `connect:DisassociateLambdaFunction` `iam:PutRolePolicy` `lambda:ListFunctions` `lambda:AddPermission` `lambda:RemovePermission` |
### “流日志”部分
| 操作/用例 | 所需权限 |
| --- | --- |
| 查看流日志配置 | `connect:DescribeInstance` `connect:DescribeInstanceAttribute` |
| 启用/禁用流日志 | `logs:CreateLogGroup` |
### “Amazon Polly”部分
| 操作/用例 | 所需权限 |
| --- | --- |
| 查看 Amazon Polly 选项 | `connect:DescribeInstance` `connect:DescribeInstanceAttribute` |
| 更新 Amazon Polly 选项 | `connect:UpdateInstanceAttribute` |
## Contact Lens 连接器页面
| 操作/使用案例 | 所需权限 |
| --- | --- |
| 查看 Contact Lens 连接器 | `connect:ListIntegrationAssociations` `chime:GetVoiceConnector` `chime:GetVoiceConnectorLoggingConfiguration` `chime:GetVoiceConnectorTermination` `chime:GetVoiceConnectorTerminationHealth` `chime:ListVoiceConnectors` `chime:ListVoiceConnectorTerminationCredentials` `chime:GetVoiceConnectorExternalSystemsConfiguration` |
| Add/Update/RemoveContact Lens连接器 | `chime:CreateVoiceConnector` `chime:DeleteVoiceConnector` `chime:DeleteVoiceConnectorTermination` `chime:DeleteVoiceConnectorTerminationCredentials` `chime:GetVoiceConnector` `chime:GetVoiceConnectorLoggingConfiguration` `chime:GetVoiceConnectorTermination` `chime:GetVoiceConnectorTerminationHealth` `chime:ListVoiceConnectors` `chime:ListVoiceConnectorTerminationCredentials` `chime:PutVoiceConnectorLoggingConfiguration` `chime:PutVoiceConnectorTermination` `chime:PutVoiceConnectorTerminationCredentials` `chime:UpdateVoiceConnector` `chime:CreateConnectAnalyticsConnector` `chime:PutVoiceConnectorExternalSystemsConfiguration` `chime:GetVoiceConnectorExternalSystemsConfiguration` `chime:DeleteVoiceConnectorExternalSystemsConfiguration` `chime:AssociateVoiceConnectorConnect` `chime:DisassociateVoiceConnectorConnect` `chime:TagResources` `chime:UntagResources` `chime:ListTagsForResource` |
## 语音转接集成页面
| 操作/使用案例 | 所需权限 |
| --- | --- |
| 查看外部语音转接连接器 | `connect:ListIntegrationAssociations` `chime:GetVoiceConnector` `chime:GetVoiceConnectorLoggingConfiguration` `chime:GetVoiceConnectorTermination` `chime:GetVoiceConnectorTerminationHealth` `chime:ListVoiceConnectors` `chime:ListVoiceConnectorTerminationCredentials` `chime:GetVoiceConnectorExternalSystemsConfiguration` `servicequotas:GetServiceQuota` |
| Add/Update/Remove外部语音传输连接器 | `connect:CreateIntegrationAssociation` `connect:DeleteIntegrationAssociation` `connect:ListIntegrationAssociations` `chime:CreateConnectCallTransferConnector` `chime:CreateVoiceConnector` `chime:DeleteVoiceConnector` `chime:DeleteVoiceConnectorTermination` `chime:DeleteVoiceConnectorTerminationCredentials` `chime:GetVoiceConnector` `chime:GetVoiceConnectorLoggingConfiguration` `chime:GetVoiceConnectorOrigination` `chime:GetVoiceConnectorTermination` `chime:GetVoiceConnectorTerminationHealth` `chime:ListVoiceConnectors` `chime:ListVoiceConnectorTerminationCredentials` `chime:PutVoiceConnectorLoggingConfiguration` `chime:PutVoiceConnectorOrigination` `chime:PutVoiceConnectorTermination` `chime:PutVoiceConnectorTerminationCredentials` `chime:UpdateVoiceConnector` `chime:CreateConnectAnalyticsConnector` `chime:PutVoiceConnectorExternalSystemsConfiguration` `chime:GetVoiceConnectorExternalSystemsConfiguration` `chime:DeleteVoiceConnectorExternalSystemsConfiguration` `chime:AssociateVoiceConnectorConnect` `chime:DisassociateVoiceConnectorConnect` `chime:TagResources` `chime:UntagResources` `chime:ListTagsForResource` `servicequotas:GetServiceQuota` |
## “应用程序集成”页面
| 操作/用例 | 所需权限 |
| --- | --- |
| 查看批准的源 | `connect:DescribeInstance` `connect:ListApprovedOrigins` |
| 编辑批准的源 | `connect: AssociateApprovedOrigin` `connect:ListApprovedOrigins` `connect:DisassociateApprovedOrigin` |
## “客户资料”页面
| 操作/用例 | 所需权限 |
| --- | --- |
| 查看客户资料 | `app-integrations:ListEventIntegrations` `appflow:DescribeConnectorEntity` `appflow:DescribeConnectorProfiles` `appflow:DescribeFlow` `appflow:ListFlows` `appflow:ListConnectorEntities` `appflow:ListConnectorProfiles` `cloudwatch:GetMetricData` `connect:DescribeInstance` `connect:ListInstances` `ds:DescribeDirectories` `iam:ListRoles` `kinesis:DescribeStreamSummary` `kms:Decrypt` `kms:DescribeKey` `kms:GenerateDataKey` `kms:ListKeys` `profile:GetCalculatedAttributeDefinition` `profile:GetDomain` `profile:GetEventStream` `profile:GetIdentityResolutionJob` `profile:GetIntegration` `profile:GetProfileObjectType` `profile:GetProfileObjectTypeTemplate` `profile:GetWorkflow` `profile:ListAccountIntegrations` `profile:ListCalculatedAttributeDefinitions` `profile:ListDomains` `profile:ListDomainLayouts` `profile:ListEventStreams` `profile:ListIdentityResolutionJobs` `profile:ListIntegrations` `profile:ListProfileObjectTypes` `profile:ListProfileObjectTypeTemplates` `profile:ListRecommenders` `profile:ListSegmentDefinitions` `sqs:ListQueues` |
| 编辑客户资料 | `app-integrations:CreateEventIntegration` `app-integrations:ListEventIntegrations` `appflow:CreateFlow` `appflow:CreateConnectorProfile` `appflow:DescribeFlow` `appflow:DeleteFlow` `appflow:DescribeConnectorEntity` `appflow:DescribeConnectorProfiles` `appflow:ListFlows` `appflow:ListConnectorEntities` `appflow:ListConnectorProfiles` `appflow:StartFlow` `cloudwatch:GetMetricData` `connect:DescribeInstance` `connect:ListInstances` `ds:DescribeDirectories` `events:CreateEventBus` `events:DescribeEventBus` `events:DescribeEventSource` `events:ListEventSources` `iam:CreateRole` `iam:CreatePolicy` `iam:AttachRolePolicy` `iam:ListRoles` `iam:PutRolePolicy` `kinesis:DescribeStreamSummary` `kinesis:ListStreams` `kms:CreateGrant` `kms:Decrypt` `kms:DescribeKey` `kms:GenerateDataKey` `kms:ListAliases` `kms:ListKeys` `kms:ListGrants` `profile:CreateCalculatedAttributeDefinition` `profile:CreateDomain` `profile:CreateDomainLayout` `profile:CreateEventStream` `profile:CreateIntegrationWorkflow` `profile:CreateSegmentDefinition` `profile:DeleteEventStream` `profile:DeleteIntegration` `profile:DeleteDomain` `profile:DeleteProfileObjectType` `profile:DetectProfileObjectType` `profile:GetCalculatedAttributeDefinition` `profile:GetDomain` `profile:GetEventStream` `profile:GetIdentityResolutionJob` `profile:GetIntegration` `profile:GetProfileObjectType` `profile:GetProfileObjectTypeTemplate` `profile:GetWorkflow` `profile:ListAccountIntegrations` `profile:ListCalculatedAttributeDefinitions` `profile:ListDomains` `profile:ListDomainLayouts` `profile:ListEventStreams` `profile:ListIdentityResolutionJobs` `profile:ListIntegrations` `profile:ListProfileObjectTypes` `profile:ListProfileObjectTypeTemplates` `profile:ListSegmentDefinitions` `profile:PutIntegration` `profile:PutProfileObjectType` `profile:TagResource` `profile:UntagResource` `profile:UpdateDomain` `s3:GetBucketLocation` `s3:GetBucketPolicy` `s3:GetObject` `s3:HeadBucket` `s3:ListAllMyBuckets` `s3:ListBucket` `s3:ListObjectsV2` `s3:PutBucketPolicy` `s3:SelectObjectContent` `sqs:ListQueues` |
## “任务”页面
| 操作/用例 | 所需权限 |
| --- | --- |
| 查看任务集成 | `app-integrations:GetEventIntegration` `connect:ListIntegrationAssociations` |
| 编辑任务集成 | `app-integrations:CreateEventIntegration` `app-integrations:GetEventIntegration` `app-integrations:ListEventIntegrations` `app-integrations:DeleteEventIntegrationAssociation` `app-integrations:CreateEventIntegrationAssociation` `appflow:CreateFlow` `appflow:CreateConnectorProfile` `appflow:DescribeFlow` `appflow:DeleteFlow` `appflow:DeleteConnectorProfile` `appflow:DescribeConnectorEntity` `appflow:ListFlows` `appflow:ListConnectorEntities` `appflow:StartFlow` `connect:ListIntegrationAssociations` `connect:DeleteIntegrationAssociation` `connect:ListUseCases` `connect:DeleteUseCase` `events:ActivateEventSource` `events:CreateEventBus` `events:DescribeEventBus` `events:DescribeEventSource` `events:ListEventSources` `events:ListTargetsByRule` `events:PutRule` `events:PutTargets` `events:DeleteRule` `events:RemoveTargets` `kms:CreateGrant` `kms:DescribeKey` `kms:ListAliases` `kms:ListKeys` `kms:ListGrants` |
## 电子邮件页面
| 操作/使用案例 | 所需权限 |
| --- | --- |
| 查看电子邮件域和地址 | `ses:GetIdentityVerificationAttributes` `ses:DescribeReceiptRule` `ses:DescribeActiveReceiptRuleSet` `ses:GetEmailIdentity` `ses:DescribeReceiptRuleSet` `ses:GetConfigurationSetEventDestinations` `ses:GetConfigurationSet` |
| 编辑电子邮件域和地址 | `ses:CreateReceiptRule` `ses:UpdateReceiptRule` `ses:SetActiveReceiptRuleSet` `ses:CreateReceiptRuleSet` `ses:CreateEmailIdentity` `ses:TagResource` `ses:UntagResource` `ses:DeleteReceiptRule` `ses:DeleteReceiptRuleSet` `ses:CloneReceiptRuleSet` `ses:CreateConfigurationSet` `ses:CreateConfigurationSetEventDestination` `ses:PutEmailIdentityConfigurationSetAttributes` `ses:CreateEmailIdentityPolicy` `ses:UpdateEmailIdentityPolicy` `ses:DeleteEmailIdentityPolicy` `iam:CreateServiceLinkedRole` `iam:PassRole` `iam:CreateRole` `iam:CreatePolicy` |
## “案例”页面
| 操作/用例 | 所需权限 |
| --- | --- |
| 查看案例域详细信息 | `connect:ListInstances` `ds:DescribeDirectories` `connect:ListIntegrationAssociations` `cases:GetDomain` |
| 加入 Cases | `connect:ListInstances` `connect:ListIntegrationAssociations` `cases:GetDomain` `cases:CreateDomain` `connect:CreateIntegrationAssociation` `connect:DescribeInstance` `iam:PutRolePolicy` |
## 客户身份验证页面
| 操作/使用案例 | 所需权限 |
| --- | --- |
| 查看客户身份验证 | `connect:ListIntegrationAssociations` `cognito-idp:ListUserPools` `cognito-idp:DescribeUserPool` |
| 加入客户身份验证 | `connect:CreateIntegrationAssociation` `connect:DeleteIntegrationAssociation` `connect:ListIntegrationAssociations` `cognito-idp:ListUserPools` `cognito-idp:DescribeUserPool` `cognito-idp:ListUserPoolClients` `cognito-idp:TagResource` `cognito-idp:CreateUserPool` |
## 出站活动页面
| 操作/使用案例 | 所需权限 |
| --- | --- |
| 查看出站活动 | `connect:ListIntegrationAssociations` `connect:ListPhoneNumbersV2` `connect:SearchEmailAddresses` `connect:DescribeInstance` `connect:DescribeInstanceAttribute` `kms:DescribeKey` `kms:ListKeys` `profile:ListAccountIntegrations` `profile:ListIntegrations` `profile:ListDomains` `profile:GetDomain` `wisdom:ListKnowledgeBases` `wisdom:GetKnowledgeBase` `connect-campaigns:GetInstanceOnboardingJobStatus` `connect-campaigns:GetConnectInstanceConfig` `connect-campaigns:ListConnectInstanceIntegrations` |
| 创建出站活动 | `connect-campaigns:StartInstanceOnboardingJob` `connect-campaigns:DeleteInstanceOnboardingJob` `connect-campaigns:GetConnectInstanceConfig` `connect-campaigns:GetInstanceOnboardingJobStatus` `connect-campaigns:DeleteConnectInstanceConfig` `connect:DescribeInstance` `connect:DescribeInstanceAttribute` `connect:UpdateInstanceAttribute` `iam:CreateServiceLinkedRole` `iam:DeleteServiceLinkedRole` `iam:AttachRolePolicy` `iam:PutRolePolicy` `iam:DeleteRolePolicy` `events:PutRule` `events:PutTargets` `events:DeleteRule` `events:RemoveTargets` `events:DescribeRule` `events:ListTargetsByRule` `ds:DescribeDirectories` `kms:DescribeKey` `kms:ListKeys` `kms:CreateGrant` `kms:RetireGrant` `profile:CreateDomain` `profile:ListAccountIntegrations` `profile:ListIntegrations` `profile:PutIntegration` `profile:PutProfileObjectType` `connect:CreateIntegrationAssociation` `connect:ListIntegrationAssociations` `connect:UpdateInstanceAttribute` `connect:AssociateCustomerProfilesDomain` `connect-campaigns:ListConnectInstanceIntegrations` `connect-campaigns:PutConnectInstanceIntegration` `wisdom:CreateKnowledgeBase` `wisdom:ListKnowledgeBases` |
## Connect 人工智能代理页面
| 操作/使用案例 | 所需权限 |
| --- | --- |
| 查看域和集成 | `wisdom:ListAssistantAssociations` `appflow:DescribeConnectorProfiles` `app-integrations:GetDataIntegration` `connect:DescribeInstance` `connect:DescribeInstanceAttribute` `connect:ListIntegrationAssociations` `kms:DescribeKey` `kms:ListGrants` `wisdom:GetAssistant` `wisdom:GetKnowledgeBase` `wisdom:ListAssistantAssociations` |
| 添加或删除域 | `connect:CreateIntegrationAssociation` `connect:DeleteIntegrationAssociation` `connect:ListIntegrationAssociations` `iam:DeleteRolePolicy` `iam:PutRolePolicy` `kms:CreateGrant` `kms:DescribeKey` `kms:ListAliases` `wisdom:CreateAssistant` `wisdom:DeleteAssistant` `wisdom:GetAssistant` `wisdom:ListAssistantAssociations` `wisdom:ListAssistants` `wisdom:TagResource` |
| 添加或删除集成 | `wisdom:ListAssistantAssociations` `app-integrations:CreateDataIntegration` `app-integrations:CreateDataIntegrationAssociation` `app-integrations:DeleteDataIntegrationAssociation` `app-integrations:GetDataIntegration` `app-integrations:ListDataIntegrations` `appflow:CreateConnectorProfile` `appflow:CreateFlow` `appflow:DeleteFlow` `appflow:DescribeConnector` `appflow:DescribeConnectorEntity` `appflow:DescribeConnectorProfiles` `appflow:DescribeConnectors` `appflow:DescribeFlow` `appflow:ListConnectorEntities` `appflow:StartFlow` `appflow:StopFlow` `appflow:TagResource` `appflow:UseConnectorProfile` `connect:CreateIntegrationAssociation` `connect:DeleteIntegrationAssociation` `connect:ListIntegrationAssociations` `iam:DeleteRolePolicy` `iam:PutRolePolicy` `kms:CreateGrant` `kms:Decrypt` `kms:DescribeKey` `kms:GenerateDataKey` `kms:ListAliases` `kms:ListGrants` `secretsmanager:CreateSecret` `secretsmanager:PutResourcePolicy` `wisdom:CreateAssistantAssociation` `wisdom:CreateKnowledgeBase` `wisdom:DeleteAssistantAssociation` `wisdom:DeleteKnowledgeBase` `wisdom:GetAssistant` `wisdom:GetKnowledgeBase` `wisdom:ListAssistantAssociations` `wisdom:ListKnowledgeBases` `wisdom:TagResource` |
## “Voice ID”页面
| 操作/用例 | 所需权限 |
| --- | --- |
| 查看 Voice ID 集成 | `voiceid:DescribeDomain` `voiceid:ListDomains` `voiceid:RegisterComplianceConsent` `voiceid:DescribeComplianceConsent` `connect:ListIntegrationAssociations` |
| 编辑 Voice ID 集成 | `voiceid:DescribeDomain` `voiceid:ListDomains` `voiceid:RegisterComplianceConsent` `voiceid:DescribeComplianceConsent` `voiceid:UpdateDomain` `voiceid:CreateDomain` `connect:ListIntegrationAssociations` `connect:CreateIntegrationAssociation` `connect:DeleteIntegrationAssociation` `events:PutRule` `events:DeleteRule` `events:PutTargets` `events:RemoveTargets` `iam:PutRolePolicy` |
## “预测、容量规划和调度”页面
| 操作/用例 | 所需权限 |
| --- | --- |
| 查看预测、容量规划和调度 | `connect:DescribeForecastingPlanningSchedulingIntegration` |
| 启用预测、容量规划和调度 | `connect:UpdateInstanceAttribute` `connect:StartForecastingPlanningSchedulingIntegration` |
| 禁用预测、容量规划和调度 | `connect:UpdateInstanceAttribute` `connect:StopForecastingPlanningSchedulingIntegration` |
## 联合身份验证
### SAML 联合身份验证
| 操作/用例 | 所需权限 |
| --- | --- |
| SAML 联合身份验证 | `connect:GetFederationToken` |
### 管理员/紧急联合身份验证
| 操作/用例 | 所需权限 |
| --- | --- |
| 管理员/紧急联合身份验证 | `connect:AdminGetEmergencyAccessToken` |
# 限制可以与 Amazon Connect 关联的 AWS 资源
每个 Amazon Connect 实例在创建时均与一个 IAM [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)相关联。Amazon Connect 可以与其他 AWS 服务集成,以用于诸如通话录音存储(Amazon S3 存储桶)、自然语言自动程序(Amazon Lex 自动程序)和数据流式处理 (Amazon Kinesis Data Streams) 等应用场景。Amazon Connect 代入服务相关角色以与这些其他服务进行交互。该策略首先作为对应 APIs 的 Amazon Connect 服务(由 AWS 管理员控制台调用)的一部分添加到服务相关角色中。例如,如果您想在您的 Amazon Connect 实例中使用某个 Amazon S3 存储桶,则必须将该存储桶传递给 [ AssociateInstanceStorageConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_AssociateInstanceStorageConfig.html)API。
有关 Amazon Connect 定义的一组 IAM 操作,请参阅 [Amazon Connect 定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html#amazonconnect-actions-as-permissions)。
以下是一些示例,介绍如何限制对可能与 Amazon Connect 实例相关联的其他资源的访问权限。它们应应用于与 Amazon Connect 或 Amazon Connect 控制台交互的用户 APIs 或角色。
**注意**
在这些示例中,具有显式 `Deny` 的策略将覆盖 `Allow` 策略。
有关 APIs 您可以使用哪些资源、条件键和依赖项来限制访问的更多信息,请参阅 [Amazon Connect 的操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html)。
## 示例 1:限制哪些 Amazon S3 存储桶可以与 Amazon Connect 实例相关联
此示例允许 IAM 主体关联用于给定 Amazon Connect 实例 ARN 通话录音的 Amazon S3 存储桶,以及名为 `my-connect-recording-bucket` 的特定 Amazon S3 存储桶。`AttachRolePolicy` 和 `PutRolePolicy ` 操作的范围限定为 Amazon Connect 服务相关角色(在本示例中使用通配符,但如果需要,您可以为实例提供角色 ARN)。
**注意**
要使用密 AWS KMS 钥加密此存储桶中的录音,需要额外的策略。
## 示例 2:限制哪些 AWS Lambda 函数可以与 Amazon Connect 实例相关联
AWS Lambda 函数与 Amazon Connect 实例关联,但是 Amazon Connect 服务相关角色不用于调用它们,因此不会被修改。相反,会通过 `lambda:AddPermission` API 向该函数添加策略,以允许给定的 Amazon Connect 实例调用该函数。
要限制哪些函数可以与 Amazon Connect 实例相关联,您可以指定用户可以用来调用 `lambda:AddPermission` 的 Lambda 函数 ARN:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"connect:AssociateLambdaFunction",
"lambda:AddPermission"
],
"Resource": [
"arn:aws:connect:us-east-1:111122223333:instance/instance-id",
"arn:aws:lambda:*:*:function:my-function"
]
}
]
}
```
------
## 示例 3:限制哪些 Amazon Kinesis Data Streams 可以与 Amazon Connect 实例相关联
此示例遵循与 Amazon S3 示例类似的模型。它限制了哪些特定的 Kinesis Data Streams 可以与给定的 Amazon Connect 实例关联以提供联系记录。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"connect:UpdateInstanceStorageConfig",
"connect:AssociateInstanceStorageConfig"
],
"Resource": "arn:aws:connect:us-east-1:111122223333:instance/instance-id",
"Condition": {
"StringEquals": {
"connect:StorageResourceType": "CONTACT_TRACE_RECORDS"
}
}
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"kinesis:DescribeStream",
"iam:PutRolePolicy"
],
"Resource": [
"arn:aws:iam::111122223333:role/aws-service-role/connect.amazonaws.com/*",
"arn:aws:kinesis:*:111122223333:stream/stream-name"
]
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": "kinesis:ListStreams",
"Resource": "*"
}
]
}
```
------
# Amazon Connect 如何与 IAM 配合使用
在使用 IAM 管理对 Amazon Connect 的访问权限之前,您应该了解哪些 IAM 功能可用于 Amazon Connect。要全面了解 Amazon Connect 和其他 AWS 服务如何与 IAM 配合使用,请参阅 I [AM *用户指南中的与 IAM* 配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
**Topics**
+ [
## Amazon Connect 基于身份的策略
](#security_iam_service-with-iam-id-based-policies)
+ [
## 基于 Amazon Connect 标签的授权
](#security_iam_service-with-iam-tags)
+ [
## Amazon Connect IAM 角色
](#security_iam_service-with-iam-roles)
## Amazon Connect 基于身份的策略
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。Amazon Connect 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》** 中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 操作
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
Amazon Connect 中的策略操作在操作前使用以下前缀:`connect:`。策略语句必须包含 `Action` 或 `NotAction` 元素。Amazon Connect 定义了一组自己的操作,以描述您可以使用该服务执行的任务。
要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:
```
"Action": [
"connect:action1",
"connect:action2"
```
您也可以使用通配符 (\$1) 指定多个操作。例如,要指定以单词 `Describe` 开头的所有操作,包括以下操作:
```
"Action": "connect:Describe*"
```
要查看 Amazon Connect 操作的列表,请参阅 [Amazon Connect 的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html)。
### 资源
Amazon Connect 支持资源级权限(在 IAM 策略中指定资源 ARN)。以下是 Amazon Connect 资源列表:
+ 实例
+ 联系人
+ 用户
+ 路由配置文件
+ 安全配置文件
+ 层次结构组
+ 队列
+ 文件
+ 流
+ 营业时间
+ Phone number(电话号码)
+ 任务模板
+ 客户资料域
+ 客户资料对象类型
+ 出站活动
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
Amazon Connect 实例资源具有以下 ARN:
```
arn:${Partition}:connect:${Region}:${Account}:instance/${InstanceId}
```
有关格式的更多信息 ARNs,请参阅 [Amazon 资源名称 (ARNs) 和 AWS 服务命名空间](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。
例如,要在语句中指定 `i-1234567890abcdef0` 实例,请使用以下 ARN:
```
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/i-1234567890abcdef0"
```
要指定属于特定账户的所有实例,请使用通配符 (\$1):
```
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/*"
```
无法对特定资源执行某些 Amazon Connect 操作,例如,用于创建资源的操作。在这些情况下,您必须使用通配符(\$1)。
```
"Resource": "*"
```
许多 Amazon Connect API 操作涉及多种资源。例如,
要在单个语句中指定多个资源,请 ARNs 用逗号分隔。
```
"Resource": [
"resource1",
"resource2"
```
要查看 Amazon Connect 资源类型及其列表 ARNs,请参阅 A [mazon Connect 的操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html)。同一篇文章介绍了您可以使用哪些操作指定每个资源的 ARN。
### 条件键
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
Amazon Connect 定义了一组自己的条件键,还支持使用一些全局条件键。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
所有 Amazon EC2 操作都支持 `aws:RequestedRegion` 和 `ec2:Region` 条件键。有关更多信息,请参阅[示例:限制对特定区域的访问](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region)。
要查看 Amazon Connect 条件键的列表,请参阅 [Amazon Connect 的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html)。
### 示例
要查看 Amazon Connect 基于身份的策略的示例,请参阅[Amazon Connect 基于身份的策略示例](security_iam_id-based-policy-examples.md)。
## 基于 Amazon Connect 标签的授权
您可以将标签附加到 Amazon Connect 资源,或者在请求中将标签传递给 Amazon Connect。要基于标签控制访问,您需要使用 `connect:ResourceTag/key-name``aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。
要查看基于身份的策略(用于根据资源上的标签来限制对该资源的访问)的示例,请参阅 [基于标签描述和更新 Amazon Connect 用户](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-widget-tags)。
## Amazon Connect IAM 角色
I [AM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您的 AWS 账户中具有特定权限的实体。
### 将临时凭证用于 Amazon Connect
可以使用临时凭证进行联合身份验证登录,分派 IAM 角色或分派跨账户角色。您可以通过调用[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)或之类的 AWS STS API 操作来获取临时安全证书[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)。
Amazon Connect 支持使用临时凭证。
### 服务关联角色
[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允许 AWS 服务访问其他服务中的资源以代表您完成操作。服务关联角色显示在 IAM 账户中,并归该服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。
Amazon Connect 支持服务相关角色。有关创建或管理 Amazon Connect 服务相关角色的详细信息,请参阅[使用 Amazon Connect 的服务相关角色和角色权限](connect-slr.md)。
### 在 Amazon Connect 中选择 IAM 角色
在 Amazon Connect 中创建资源时,您必须选择一个角色以允许 Amazon Connect 代表您访问 Amazon EC2。如果您之前已经创建了一个服务角色或服务相关角色,则 Amazon Connect 会为您提供一个角色列表供您选择。选择一个允许访问以启动和停止 Amazon EC2 实例的角色很重要。
# Amazon Connect 基于身份的策略示例
默认情况下,IAM 实体没有创建或修改 Amazon Connect 资源的权限。他们也无法使用 AWS 管理控制台 AWS CLI、或 AWS API 执行任务。IAM 管理员必须创建 IAM 策略,以便为 IAM 实体授予权限,从而对其所需的指定资源执行特定的 API 操作。然后,IAM 管理员必须将这些策略附加到需要这些权限的 IAM 实体。
要了解如何使用这些示例 JSON 策略文档创建 IAM 基于身份的策略,请参阅《IAM 用户指南》**中的[在 JSON 选项卡上创建策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)。
**Topics**
+ [
## 策略最佳实践
](#security_iam_service-with-iam-policy-best-practices)
+ [
## 允许 IAM 用户查看他们自己的权限
](#security_iam_id-based-policy-examples-view-own-permissions)
+ [
## 授予“查看用户”权限
](#security_iam_id-based-policy-example-view-user-permissions)
+ [
## 允许用户与外部应用程序集成
](#security_iam_id-based-policy-examples-integrate)
+ [
## 基于标签描述和更新 Amazon Connect 用户
](#security_iam_id-based-policy-examples-view-widget-tags)
+ [
## 基于标签创建 Amazon Connect 用户
](#connect-access-control-resources-example1)
+ [
## 创建和查看 Amazon AppIntegrations 资源
](#appintegration-resources-example1)
+ [
## 创建和查看 Connect 人工智能代理助手
](#wisdom-resources-example1)
+ [
## 管理出站活动资源
](#outboundcommunications-policy-example1)
## 策略最佳实践
基于身份的策略确定某个人是否可以创建、访问或删除您账户中的 Amazon Connect 资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **开始使用 AWS 托管策略并转向最低权限权限** — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的*AWS 托管策略*。它们在你的版本中可用 AWS 账户。我们建议您通过定义针对您的用例的 AWS 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果服务操作是通过特定的方式使用的,则也可以使用条件来授予对服务操作的访问权限 AWS 服务,例如 CloudFormation。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重身份验证 (MFA**)-如果 AWS 账户您的场景需要 IAM 用户或根用户,请启用 MFA 以提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 允许 IAM 用户查看他们自己的权限
该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上或使用 AWS CLI 或 AWS API 以编程方式完成此操作的权限。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 授予“查看用户”权限
在 AWS 账户中创建用户或[群组](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_iam-groups)时,您可以将 IAM 策略与该群组或用户关联,该策略指定您要授予的权限。
例如,假设您有一个入门级开发人员组。您可以创建名为 `Junior application developers` 的 IAM 组,并包括所有入门级开发人员。然后,将策略与该组关联,授予其查看 Amazon Connect 用户的权限。在这种情况下,您可能有一个类似下面示例的策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"connect:DescribeUser",
"connect:ListUsers"
],
"Resource": "*"
}
]
}
```
------
该示例策略授予 `Action` 元素中列出的 API 操作的权限。
**注意**
如果语句中未指定用户 ARN 或 ID,则还必须对 `Resource` 元素使用 \$1 通配符向该操作授予使用所有资源的权限。
## 允许用户与外部应用程序集成
此示例说明了如何创建允许用户与其外部应用程序集成进行交互的策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllAppIntegrationsActions",
"Effect": "Allow",
"Action": [
"app-integrations:ListEventIntegrations",
"app-integrations:CreateEventIntegration",
"app-integrations:GetEventIntegration",
"app-integrations:UpdateEventIntegration",
"app-integrations:DeleteEventIntegration",
"app-integrations:ListDataIntegrations",
"app-integrations:CreateDataIntegration",
"app-integrations:GetDataIntegration",
"app-integrations:UpdateDataIntegration",
"app-integrations:DeleteDataIntegration"
],
"Resource": "*"
}
]
}
```
------
## 基于标签描述和更新 Amazon Connect 用户
在 IAM 策略中,您可以指定控制策略何时生效的条件。例如,您可以定义一个策略,允许用户仅更新在测试环境中工作的 Amazon Connect 用户。
您可以定义一些特定于 Amazon Connect 的条件,也可以定义适用于所有条件的其他条件 AWS。有关更多信息和 AWS范围内的条件列表,请参阅 IAM *用户指南*中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition)中的条件。
以下策略示例允许具有特定标签的用户执行“描述”和“更新”操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"connect:DescribeUser",
"connect:UpdateUser*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Test"
}
}
}
]
}
```
------
此策略允许“描述用户”和“更新用户”,但仅适用于具有“Department: Test”标签的 Amazon Connect 用户,其中“Department”是标签键,“Test”是标签值。
## 基于标签创建 Amazon Connect 用户
以下策略示例允许具有特定请求标签的用户执行“创建”操作
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"connect:CreateUser",
"connect:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Owner": "TeamA"
}
}
}
]
}
```
------
此策略允许“创建用户”和“标记资源”,但请求中必须存在标签“Owner: TeamA”。
## 创建和查看 Amazon AppIntegrations 资源
以下策略示例允许创建、列出和获取事件集成。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"app-integrations:CreateEventIntegration",
"app-integrations:GetEventIntegration",
"app-integrations:ListEventIntegrations"
],
"Resource": "*"
}
]
}
```
------
## 创建和查看 Connect 人工智能代理助手
以下示例策略允许创建、列出、获取和删除 Connect AI 代理助手。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wisdom:CreateContent",
"wisdom:DeleteContent",
"wisdom:CreateKnowledgeBase",
"wisdom:GetAssistant",
"wisdom:GetKnowledgeBase",
"wisdom:GetContent",
"wisdom:GetRecommendations",
"wisdom:GetSession",
"wisdom:NotifyRecommendationsReceived",
"wisdom:QueryAssistant",
"wisdom:StartContentUpload",
"wisdom:UpdateContent",
"wisdom:UntagResource",
"wisdom:TagResource",
"wisdom:CreateSession"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonConnectEnabled": "True"
}
}
},
{
"Action": [
"wisdom:ListAssistants",
"wisdom:ListKnowledgeBases"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## 管理出站活动资源
引导权限:以下策略示例允许将 Amazon Connect 实例引导到出站活动。
```
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:CreateGrant"
],
"Resource": [
"arn:aws:kms:region:account-id:key/key-id"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"connect:DescribeInstance"
],
"Resource": [
"arn:aws:connect:region:account-id:instance/instance-id"
]
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": [
"events:PutTargets",
"events:PutRule",
"iam:CreateServiceLinkedRole",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"ds:DescribeDirectories",
"connect-campaigns:StartInstanceOnboardingJob",
"connect-campaigns:GetConnectInstanceConfig",
"connect-campaigns:GetInstanceOnboardingJobStatus",
"connect-campaigns:DeleteInstanceOnboardingJob",
"connect:DescribeInstanceAttribute",
"connect:UpdateInstanceAttribute",
"connect:ListInstances",
"kms:ListAliases"
],
"Resource": "*"
}
```
要禁用实例的出站活动,请添加以下权限:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:RetireGrant"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/KeyId"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"events:DeleteRule",
"events:RemoveTargets",
"events:DescribeRule",
"iam:DeleteRolePolicy",
"events:ListTargetsByRule",
"iam:DeleteServiceLinkedRole",
"connect-campaigns:DeleteConnectInstanceConfig"
],
"Resource": "*"
}
]
}
```
------
管理权限:以下策略示例允许对出站活动进行所有读写操作。
```
{
"Sid": "AllowConnectCampaignsOperations",
"Effect": "Allow",
"Action": [
"connect-campaigns:CreateCampaign",
"connect-campaigns:DeleteCampaign",
"connect-campaigns:DescribeCampaign",
"connect-campaigns:UpdateCampaignName",
"connect-campaigns:GetCampaignState"
"connect-campaigns:UpdateOutboundCallConfig",
"connect-campaigns:UpdateDialerConfig",
"connect-campaigns:PauseCampaign",
"connect-campaigns:ResumeCampaign",
"connect-campaigns:StopCampaign",
"connect-campaigns:GetCampaignStateBatch",
"connect-campaigns:ListCampaigns"
],
"Resource": "*"
}
```
ReadOnly 权限:以下示例策略允许对活动进行只读访问。
```
{
"Sid": "AllowConnectCampaignsReadOnlyOperations",
"Effect": "Allow",
"Action": [
"connect-campaigns:DescribeCampaign",
"connect-campaigns:GetCampaignState",
"connect-campaigns:GetCampaignStateBatch",
"connect-campaigns:ListCampaigns"
],
"Resource": "*",
}
```
基于标签的权限:以下策略示例使用标签限制对与特定 Amazon Connect 实例集成的营销宣传的访问权限。可以根据应用场景添加更多权限。
```
{
"Sid": "AllowConnectCampaignsOperations",
"Effect": "Allow",
"Action": [
"connect-campaigns:DescribeCampaign",
"connect-campaigns:GetCampaignState"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/owner": "arn:aws:connect:region:customer_account_id:instance/connect_instance_id"
}
}
}
```
**注意**
`connect-campaigns:ListCampaigns` 和 `connect-campaigns:GetCampaignStateBatch` 操作不能受标签限制。
# Amazon Connect 资源级策略示例
Amazon Connect 支持用户的资源级权限,因此您可以针对实例指定他们的操作,如以下策略所示。
**Topics**
+ [
## 拒绝在 Amazon Connect 实例上执行所有操作
](#connect-access-control-resources-example-all)
+ [
## 拒绝“删除”和“更新”操作
](#connect-access-control-resources-example2)
+ [
## 允许对具有特定名称的集成执行操作
](#connect-access-control-resources-integration-example)
+ [
## 允许“创建用户”,但如果您被分配到特定的安全配置文件则拒绝该操作
](#connect-access-control-resources-example3)
+ [
## 允许录制对联系人的操作
](#connect-access-control-resources-example4)
+ [
## 允许或拒绝对副本区域中的电话号码执行队列 API 操作
](#allow-deny-queue-actions-replica-region)
+ [
## 查看特定的 Amazon AppIntegrations 资源
](#view-specific-appintegrations-resources)
+ [
## 授予对 Amazon Connect Customer Profiles 的访问权限
](#grant-access-to-customer-profiles)
+ [
## 授予对 Customer Profiles 数据的只读访问权限
](#grant-read-only-access-to-customer-profiles)
+ [
## 仅针对特定助手查询 Connect 人工智能代理
](#query-wisdom-assistant)
+ [
## 授予对 Amazon Connect Voice ID 的完全访问权限
](#grant-read-only-access-to-voiceid)
+ [
## 授予对 Amazon Connect 对外营销宣传资源的访问权限
](#grant-read-only-access-to-outboundcommunications)
+ [
## 限制搜索由 Amazon Connect Contact Lens 分析的转录的能力
](#restrict-ability-to-search-transcripts-contact-lens)
## 拒绝在 Amazon Connect 实例上执行所有操作
Amazon Connect 实例是 Amazon Connect 中的顶级资源。所有其它子资源均在其范围内创建。要拒绝对 Amazon Connect 实例中的所有资源执行所有操作,您可以使用以下方法之一:
+ 使用 `connect:instanceId` 上下文键。
+ 使用实例 ARN,后跟通配符(\$1)。
以下示例策略拒绝对 instanceId 为 00fbeee1-123e-111e-93e3-11111bfbfcc1 的实例执行所有连接操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "connect:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"connect:instanceId": "00fbeee1-123e-111e-93e3-11111bfbfcc1"
}
}
}
]
}
```
------
或者,您可以通过指定实例 ARN 后跟通配符(\$1)来拒绝所有操作。以下示例策略拒绝对实例 ARN 为 `arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1` 的实例执行所有连接操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"connect:*"
],
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1*"
}
]
}
```
------
## 拒绝“删除”和“更新”操作
以下策略示例拒绝一个 Amazon Connect 实例中的用户执行“删除”和“更新”操作。该策略在 Amazon Connect 用户 ARN 末尾使用通配符,以便在整个用户 ARN 上拒绝“删除用户”和“更新用户”(即,提供的实例中的所有 Amazon Connect 用户,例如 arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/00dtcddd1-123e-111e-93e3-11111bfbfcc1)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"connect:DeleteUser",
"connect:UpdateUser*"
],
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/agent/*"
}
]
}
```
------
## 允许对具有特定名称的集成执行操作
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllAppIntegrationsActions",
"Effect": "Allow",
"Action": [
"app-integrations:ListEventIntegrations",
"app-integrations:CreateEventIntegration",
"app-integrations:GetEventIntegration",
"app-integrations:UpdateEventIntegration",
"app-integrations:DeleteEventIntegration"
],
"Resource":"arn:aws:app-integrations:*:*:event-integration/MyNamePrefix-*"
}
]
}
```
------
## 允许“创建用户”,但如果您被分配到特定的安全配置文件则拒绝该操作
以下示例策略允许 “创建用户”,但明确拒绝使用 arn: aws: connect: us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc1/security-profile/11dtcgg1-123e-111e-111e-111bfbfcc17 作为请求中安全配置文件的参数。[CreateUser](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateUser.html#API_CreateUser_RequestBody)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"connect:CreateUser"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"connect:CreateUser"
],
"Resource": "arn:aws:connect:us-west-2:123456789012:instance/00fbeee1-123e-111e-93e3-11111bfbfcc17/security-profile/11dtcggg1-123e-111e-93e3-11111bfbfcc17"
}
]
}
```
------
## 允许录制对联系人的操作
以下策略示例允许在特定实例中对联系人“开始联系录音”。由于 contactID 是动态的,因此使用 \$1。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"connect:StartContactRecording"
],
"Resource": "arn:aws:connect:us-west-2:111122223333:instance/instanceId/contact/*",
"Effect": "Allow"
}
]
}
```
------
设置与 *accountID* 的信任关系。
为录制定义了以下操作 APIs:
+ “连接:StartContactRecording”
+ “连接:StopContactRecording”
+ “连接:SuspendContactRecording”
+ “连接:ResumeContactRecording”
### 允许在同一个角色中执行更多联系人操作
如果使用相同的角色呼叫其他联系人 APIs,则可以列出以下联系人操作:
+ GetContactAttributes
+ ListContactFlows
+ StartChatContact
+ StartOutboundVoiceContact
+ StopContact
+ UpdateContactAttributes
或者使用通配符允许所有联系人操作,例如:“connect:\$1”
### 允许更多资源
您还可以使用通配符来允许更多资源。例如,以下是允许对所有联系人资源执行所有连接操作的方法:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"connect:*"
],
"Resource": "arn:aws:connect:us-west-2:111122223333:instance/*/contact/*",
"Effect": "Allow"
}
]
}
```
------
## 允许或拒绝对副本区域中的电话号码执行队列 API 操作
[CreateQueue](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateQueue.html)和[UpdateQueueOutboundCallerConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateQueueOutboundCallerConfig.html) APIs 包含名为的输入字段`OutboundCallerIdNumberId`。此字段表示可以向流量分配组申请的电话号码资源。[它既支持返回的电话号码 V1 ARN 格式,也支持 V2 返回[ListPhoneNumbers](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListPhoneNumbers.html)的 V2 ARN 格式。ListPhoneNumbers](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListPhoneNumbersV2.html)
以下是 `OutboundCallerIdNumberId` 支持的 V1 和 V2 ARN 格式:
+ **V1 ARN 格式**:`arn:aws:connect:your-region:your-account_id:instance/instance_id/phone-number/resource_id`
+ **V2 ARN 格式**:`arn:aws:connect:your-region:your-account_id:phone-number/resource_id`
**注意**
建议使用 V2 ARN 格式。V1 ARN 格式将来会被弃用。
### 为副本区域中的电话号码资源提供两种 ARN 格式
如果向流量分配组申领了电话号码,则要在副本区域操作时正确 allow/deny 访问电话号码资源的队列 API 操作,**您必须提供 V1 和 V2 ARN 格式的电话号码资源**。如果您仅以一种 ARN 格式提供电话号码资源,则在副本区域中操作时不会产生正确的 allow/deny 行为。
### 示例 1:拒绝访问 CreateQueue
例如,您使用账户 ` 123456789012` 和实例 `aaaaaaaa-bbbb-cccc-dddd-0123456789012` 在副本区域 us-west-2 中运行。当`OutboundCallerIdNumberId`值为向具有资源 ID 的流量分配组声明的电话号码时,您想拒绝访问 [CreateQueue](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateQueue.html)API `aaaaaaaa-eeee-ffff-gggg-0123456789012`。在此情况下,您必须使用以下策略:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyCreateQueueForSpecificNumber",
"Effect": "Deny",
"Action": "connect:CreateQueue",
"Resource": [
"arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
"arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
]
}
]
}
```
------
其中 us-west-2 是提出请求的区域。
### 示例 2:仅允许访问 UpdateQueueOutboundCallerConfig
例如,您使用账户 `123456789012` 和实例 `aaaaaaaa-bbbb-cccc-dddd-0123456789012` 在副本区域 us-west-2 中运行。只有当`OutboundCallerIdNumberId`值是向具有资源 ID 的流量分配组声明的电话号码时,您才希望允许访问 [UpdateQueueOutboundCallerConfig](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateQueueOutboundCallerConfig.html)API `aaaaaaaa-eeee-ffff-gggg-0123456789012`。在此情况下,您必须使用以下策略:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OnlyAllowUpdateQueueOutboundCallerConfigForSpecificNumber",
"Effect": "Allow",
"Action": "connect:UpdateQueueOutboundCallerConfig",
"Resource": [
"arn:aws:connect:us-east-1:123456789012:phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012",
"arn:aws:connect:us-west-2:123456789012:instance/aaaaaaaa-bbbb-cccc-dddd-0123456789012/phone-number/aaaaaaaa-eeee-ffff-gggg-0123456789012"
]
}
]
}
```
------
## 查看特定的 Amazon AppIntegrations 资源
以下策略示例允许获取特定的事件集成。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"app-integrations:GetEventIntegration"
],
"Resource": "arn:aws:app-integrations:us-west-2:111122223333:event-integration/Name"
}
]
}
```
------
## 授予对 Amazon Connect Customer Profiles 的访问权限
Amazon Connect Customer Profiles 使用 `profile`(而不是 `connect`)作为操作的前缀。以下策略授予对 Amazon Connect Customer Profiles 中特定域的完全访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"profile:*"
],
"Resource": "arn:aws:profile:us-west-2:111122223333:domains/domainName",
"Effect": "Allow"
}
]
}
```
------
设置 accountID 与域 domainName 的信任关系。
## 授予对 Customer Profiles 数据的只读访问权限
以下是授予对 Amazon Connect Customer Profiles 中数据的读取访问权限的示例。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"profile:SearchProfiles"
],
"Resource": "arn:aws:profile:us-east-1:111122223333:domains/domainName",
"Effect": "Allow"
}
]
}
```
------
## 仅针对特定助手查询 Connect 人工智能代理
以下策略示例仅允许查询特定助手。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wisdom:QueryAssistant"
],
"Resource": "arn:aws:wisdom:us-east-1:111122223333:assistant/assistantID"
}
]
}
```
------
## 授予对 Amazon Connect Voice ID 的完全访问权限
Amazon Connect Voice ID 使用 `voiceid`(而不是 connect)作为操作的前缀。以下策略授予对 Amazon Connect Voice ID 中特定域的完全访问权限:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"voiceid:*"
],
"Resource": "arn:aws:voiceid:us-west-2:111122223333:domain/domainName",
"Effect": "Allow"
}
]
}
```
------
设置 accountID 与域 domainName 的信任关系。
## 授予对 Amazon Connect 对外营销宣传资源的访问权限
出站活动使用 `connect-campaign`(而不是 `connect`)作为操作的前缀。以下策略授予对特定出站活动的完全访问权限。
```
{
"Sid": "AllowConnectCampaignsOperations",
"Effect": "Allow",
"Action": [
"connect-campaigns:DeleteCampaign",
"connect-campaigns:DescribeCampaign",
"connect-campaigns:UpdateCampaignName",
"connect-campaigns:GetCampaignState"
"connect-campaigns:UpdateOutboundCallConfig",
"connect-campaigns:UpdateDialerConfig",
"connect-campaigns:PauseCampaign",
"connect-campaigns:ResumeCampaign",
"connect-campaigns:StopCampaign"
],
"Resource": "arn:aws:connect-campaigns:us-west-2:accountID:campaign/campaignId",
}
```
## 限制搜索由 Amazon Connect Contact Lens 分析的转录的能力
以下策略支持搜索和描述联系人,但拒绝使用由 Amazon Connect Contact Lens 分析的转录来搜索联系人。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"connect:DescribeContact"
],
"Resource": "arn:aws:connect:us-east-1:111122223333:instance/instance-id/contact/*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"connect:SearchContacts"
],
"Resource": "arn:aws:connect:us-east-1:111122223333:instance/instance-id"
},
{
"Sid": "VisualEditor2",
"Effect": "Deny",
"Action": [
"connect:SearchContacts"
],
"Resource": "arn:aws:connect:us-east-1:111122223333:instance/instance-id",
"Condition": {
"ForAnyValue:StringEquals": {
"connect:SearchContactsByContactAnalysis": [
"Transcript"
]
}
}
}
]
}
```
------
# AWS Amazon Connect 的托管策略
要向用户、组和角色添加权限,与自己编写策略相比,使用 AWS 托管策略更为有效。[创建 IAM 客户托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要时间和专业知识,这些策略仅为您的团队提供所需的权限。要快速入门,您可以使用 AWS 托管策略。这些政策涵盖常见用例,可在您的 AWS 账户中使用。有关 AWS 托管式策略的更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html)。
AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管策略添加其他权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当推出新功能或有新操作可用时,服务最有可能更新 AWS 托管策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如, ReadOnlyAccess AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 *IAM 用户指南*中的[适用于工作职能的AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
## AWS 托管策略: AmazonConnect\$1 FullAccess
要允许完全 read/write 访问 Amazon Connect,您必须将两项策略附加到您的 IAM 用户、群组或角色。附加 `AmazonConnect_FullAccess` 策略和自定义策略以获得对 Amazon Connect的完全访问权限。
要查看`AmazonConnect_FullAccess`策略的权限,请参阅 *AWS 托管策略参考FullAccess*中的 [AmazonConnect\$1](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonConnect_FullAccess.html)。
**自定义策略**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AttachAnyPolicyToAmazonConnectRole",
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/connect.amazonaws.com/AWSServiceRoleForAmazonConnect*"
}
]
}
```
------
要允许用户创建实例,请确保他们具有 `AmazonConnect_FullAccess` 策略授予的权限。
当您使用 `AmazonConnect_FullAccess` 策略时,请注意以下几点:
+ 包含 `iam:PutRolePolicy` 操作的自定义策略,支持获得了此策略的用户将账户中的任何资源配置为使用 Amazon Connect 实例。由于这一添加的操作授予非常广泛的权限,因此仅在必要时才进行分配。作为替代方案,您可以创建服务相关角色(该角色具有访问必要资源的权限),并让用户具有访问权限来将服务相关角色传递给 Amazon Connect(由 `AmazonConnect_FullAccess` 策略授予)。
+ 要使用您选择的名称创建 Amazon S3 存储桶,或者在 Amazon Connect 管理网站上创建或更新实例时使用现有存储桶,则需要额外的权限。如果您为通话录音、聊天文字记录、通话文字记录和其他数据选择默认存储位置,则系统会在这些对象名称前加上“amazon-connect-”。
+ aws/connect KMS 密钥可用作默认加密选项。要使用自定义加密密钥,请为用户分配其他 KMS 权限。
+ 为用户分配额外权限,以便将 Amazon Polly、直播媒体流、数据流和 Lex 机器人等其他 AWS 资源附加到他们的 Amazon Connect 实例。
有关更多信息和详细权限,请参阅[使用自定义 IAM 策略管理对 Amazon Connect 控制台的访问权限所需的权限](security-iam-amazon-connect-permissions.md)。
## AWS 托管策略: AmazonConnectReadOnlyAccess
要支持只读访问,您可以附加 `AmazonConnectReadOnlyAccess` 策略。
要查看此策略的权限,请参阅 *AWS 托管策略参考[AmazonConnectReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonConnectReadOnlyAccess.html)*中的。
## AWS 托管策略: AmazonConnectServiceLinkedRolePolicy
此策略附加到名为的服务相关角色上`AWSServiceRoleForAmazonConnect`, Amazon Connect 允许对指定资源执行各种操作。当您在中启用其他功能 Amazon Connect时,将为[AWSServiceRoleForAmazonConnect](https://docs.aws.amazon.com/connect/latest/adminguide/connect-slr.html#slr-permissions)服务相关角色添加访问与这些功能关联的资源的额外权限。
要查看此策略的权限,请参阅 *AWS 托管策略参考[AmazonConnectServiceLinkedRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonConnectServiceLinkedRolePolicy.html)*中的。
## AWS 托管策略: AmazonConnectCampaignsServiceLinkedRolePolicy
`AmazonConnectCampaignsServiceLinkedRolePolicy`角色权限策略允许 Amazon Connect 出站活动对指定资源执行各种操作。当您在中启用其他功能 Amazon Connect时,将为[AWSServiceRoleForConnectCampaigns](https://docs.aws.amazon.com/connect/latest/adminguide/connect-slr-outbound.html#slr-permissions-outbound)服务相关角色添加访问与这些功能关联的资源的额外权限。
要查看此策略的权限,请参阅 *AWS 托管策略参考[AmazonConnectCampaignsServiceLinkedRolePolicy ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonConnectCampaignsServiceLinkedRolePolicy.html)*中的。
## AWS 托管策略: AmazonConnectVoiceIDFull访问权限
要允许针对 Amazon Connect Voice ID 的完全访问权限,您必须为用户、组或角色附加两项策略。附加`AmazonConnectVoiceIDFullAccess`策略和自定义策略以通过 Amazon Connect 管理员网站访问语音 ID。
要查看`AmazonConnectVoiceIDFullAccess`策略的权限,请参阅 *AWS 托管策略参考*中的[AmazonConnectVoiceIDFull访问](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonConnectVoiceIDFullAccess.html)权限。
**自定义策略**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AttachAnyPolicyToAmazonConnectRole",
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/connect.amazonaws.com/AWSServiceRoleForAmazonConnect*"
},
{
"Effect": "Allow",
"Action": [
"connect:CreateIntegrationAssociation",
"connect:DeleteIntegrationAssociation",
"connect:ListIntegrationAssociations"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"events:DeleteRule",
"events:PutRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"events:ManagedBy": "connect.amazonaws.com"
}
}
}
]
}
```
------
自定义策略配置以下内容:
+ `iam:PutRolePolicy` 允许获得该策略的用户将账户中的任何资源配置为使用 Amazon Connect 实例。由于其范围广泛,因此仅在绝对必要时才授予此权限。
+ 将语音 ID 域附加到 Amazon Connect 实例需要额外 Amazon Connect 的 Amazon EventBridge 权限。您需要权限才能调 Amazon Connect APIs 用创建、删除和列出集成关联。此外,创建和删除提供与语音 ID 相关的联系人记录的规则需要 EventBridge 权限。
Amazon Connect Voice ID 没有默认加密选项,因此您必须在密钥策略中支持以下 API 操作,才能使用客户自主管理型密钥。此外,您需要授予对相关密钥的这些权限,因为这些权限未包含在托管式策略中。
+ `kms:Decrypt`:用于访问或存储加密数据。
+ `kms:CreateGrant` – 当创建或更新域时,用于为 Voice ID 域创建对客户托管密钥的授权。该授权控制对指定 KMS 密钥的访问,该密钥允许访问 Amazon Connect Voice ID 所需的[授权操作](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations)。有关使用授权的更多信息,请参阅《AWS Key Management Service 开发人员指南》**中的[使用授权](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。
+ `kms:DescribeKey` – 当创建或更新域时,允许确定您所提供的 KMS 密钥的 ARN。
有关创建域和 KMS 密钥的更多信息,请参阅[开始在 Amazon Connect 中启用 Voice ID](enable-voiceid.md) 和[Amazon Connect 的静态加密](encryption-at-rest.md)。
## AWS 托管策略: CustomerProfilesServiceLinkedRolePolicy
`CustomerProfilesServiceLinkedRolePolicy`角色权限策略允许 Amazon Connect 对指定资源执行各种操作。当您在 Amazon Connect 中启用其他功能时,[AWSServiceRoleForProfile](customerprofiles-slr.md#slr-permissions-customerprofiles)服务相关角色将获得访问与这些功能关联的资源的额外权限。
要查看此策略的权限,请参阅 *AWS 托管策略参考[CustomerProfilesServiceLinkedRolePolicy ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CustomerProfilesServiceLinkedRolePolicy.html)*中的。
## AWS 托管策略: AmazonConnectSynchronizationServiceRolePolicy
`AmazonConnectSynchronizationServiceRolePolicy`权限策略允许 Amazon Connect 托管同步对指定资源执行各种操作。随着为更多资源启用资源同步,[AWSServiceRoleForAmazonConnectSynchronization](managed-synchronization-slr.md#slr-permissions-managed-synchronization)服务相关角色将获得访问这些资源的额外权限。
要查看此策略的权限,请参阅 *AWS 托管策略参考[AmazonConnectSynchronizationServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonConnectSynchronizationServiceRolePolicy.html)*中的。
## Amazon Connect 更新 AWS 了托管策略
查看自该服务开始跟踪这些更改以来,Amazon Connect AWS 托管政策更新的详细信息。要获得有关此页面更改的自动提示,请订阅 [Amazon Connect 文档历史记录](doc-history.md) 页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— 为 Connect AI 代理添加了操作 | 在服务相关角色策略中添加了以下 Connect AI 代理操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2025 年 11 月 18 日 |
| [AmazonConnectSynchronizationServiceRolePolicy](#amazonconnectsynchronizationservicerolepolicy)— 为托管同步添加了操作 | 通过添加批处理和导入通配符修改了允许的操作。添加了以下操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2025 年 11 月 21 日 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— 为 AWS 最终用户消息社交添加了操作 | 添加了 AWS 最终用户消息社交操作,允许列出 WhatsApp 企业账户和检索企业账户的 WhatsApp 消息模板。添加了以下操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) AWS 最终用户消息社交模板 APIs 仅限于带有标签的 WhatsApp 企业账户`AmazonConnectEnabled : True`。 | 2025 年 10 月 20 日 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— 为 Amazon Connect 客户档案添加了操作 | 在 Si **AllowCustomerProfilesForConnectDomain**d 下方的服务相关角色策略中添加了以下 Amazon Connect 客户档案操作。此外,还增加了对所有 amazon-connect-\$1 资源的个人资料 UploadJobs 的支持,而不仅仅是 “上传任务” 资源: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2025 年 7 月 25 日 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— 为 Amazon Polly 添加了操作 | 向服务相关角色策略中添加了以下 Amazon Polly 操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2025 年 7 月 9 日 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— 为 Amazon Connect 客户档案添加了操作 | 向服务相关角色策略中添加了以下 Amazon Connect Customer Profiles 操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2025 年 6 月 30 日 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— 为 Amazon Connect 客户档案添加了操作 | 向服务相关角色策略中添加了以下 Customer Profiles 操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2025 年 6 月 9 日 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— 为 Connect AI 代理添加了支持消息传递的操作 | 在服务相关角色策略中添加了以下 Connect AI 代理操作以支持消息传递。这些操作允许 Amazon Connect 使用 Connect AI 代理 API 发送、列出和获取下一条消息: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2025 年 3 月 14 日 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— 为 Connect AI 代理添加了操作 | 在服务相关角色策略中添加了以下 Connect AI 代理操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2024 年 12 月 31 日 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— 为 Amazon Pinpoint 添加了操作以支持推送通知 | 向服务相关角色策略中添加了以下 Amazon Pinpoint 操作,以支持推送通知。此操作支持 Amazon Connect 使用 Amazon Pinpoint API 发送推送通知: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2024 年 12 月 10 日 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— 添加了与 AWS 最终用户消息社交集成的操作 | 在服务相关角色策略中添加了以下 AWS 最终用户消息社交操作。这些操作允许 Amazon Connect APIs 在带有`'AmazonConnectEnabled':'True'`资源标签的最终用户消息社交电话号码上调用这些操作。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2024 年 12 月 2 日 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— 为 Amazon SES 添加了支持电子邮件渠道的操作 | 向服务相关角色策略添加了以下 Amazon SES 操作,以支持电子邮件渠道。以下操作允许 Amazon Connect 使用亚马逊 SES 发送、接收和管理电子邮件 APIs: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2024 年 11 月 22 日 |
| [AmazonConnectServiceLinkedRolePolicy](#amazonconnectservicelinkedrolepolicy)— 为 Amazon Connect 客户档案添加了操作 | 添加了以下操作来管理 Amazon Connect Customer Profiles 资源: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2024 年 11 月 18 日 |
| [CustomerProfilesServiceLinkedRolePolicy](#customerprofilesservicelinkedrolepolicy)— 增加了管理出站广告系列的权限 | 添加了以下操作来检索配置文件信息和触发活动。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2024 年 12 月 1 日 |
| [AmazonConnectServiceLinkedRolePolicy](#amazonconnectservicelinkedrolepolicy)— 增加了针对 Amazon Connect 客户档案和 Connect 人工智能代理的操作 | 添加了以下操作来管理 Amazon Connect Customer Profiles 资源: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) 添加了以下操作来管理 Connect AI 代理资源: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2024 年 11 月 18 日 |
| [AmazonConnectCampaignsServiceLinkedRolePolicy](#amazonconnectcampaignsservicelinkedrolepolicy)— 增加了针对 Amazon Connect 客户档案和 Connect 人工智能代理的操作 | 添加了以下操作来管理 Amazon Connect 资源: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) 添加了以下操作来管理 EventBridge 资源: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) 添加了以下操作来管理 Connect AI 代理资源: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2024 年 11 月 18 日 |
| [AmazonConnectSynchronizationServiceRolePolicy](#amazonconnectsynchronizationservicerolepolicy)— 合并了允许的操作并添加了托管同步的拒绝操作列表 | 使用通配符修改了支持的操作,并添加了显式拒绝操作列表。 | 2024 年 11 月 12 日 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— 为亚马逊 Chime SDK 语音连接器添加了操作 | 在服务相关角色策略中添加了以下 Amazon Chime SDK 语音连接器操作。这些操作允许 Amazon Connect 使用获取和列出 Amazon Chime SDK 语音连接器来获取 Amazon Chime 语音连接器信息: APIs [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2024 年 10 月 25 日 |
| [AmazonConnectSynchronizationServiceRolePolicy](#amazonconnectsynchronizationservicerolepolicy)— 已添加用于托管同步 | 为服务相关角色托管策略添加了以下操作,以支持 `HoursOfOperationOverride` 属性的启动。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2024 年 9 月 25 日 |
| [AmazonConnectSynchronizationServiceRolePolicy](#amazonconnectsynchronizationservicerolepolicy)— 已添加用于托管同步 | 为托管同步的服务相关角色托管策略添加了以下操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2024 年 7 月 5 日 |
| [AmazonConnectReadOnlyAccess](#amazonconnectreadonlyaccess-policy)— 重命名操作`connect:GetFederationTokens`并更改为 `connect:AdminGetEmergencyAccessToken` | AmazonConnectReadOnlyAccess 由于 Amazon Connect 操作已重命名为,托管策略已更新`connect:GetFederationTokens`。`connect:AdminGetEmergencyAccessToken`此更改是向后兼容的,`connect:AdminGetEmergencyAccessToken` 操作将以与 `connect:GetFederationTokens` 操作相同的方式运行。如果您在保单中保留先前命名的 `connect:GetFederationTokens` 操作,它们将继续按预期运行。 | 2024 年 6 月 15 日 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— 增加了针对 Amazon Cognito 用户池和 Amazon Connect 客户资料的操作 | 在服务相关角色策略中添加了以下 Amazon Cognito 用户池操作,以允许对具有 `AmazonConnectEnabled` 资源标签的 Cognito 用户池用户池用户池资源资源进行选择读取操作。调用 `CreateIntegrationAssociations` API 时,会在此资源上标记此标签: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) 在服务相关角色策略中添加了以下 Amazon Connect Customer Profiles 操作,以允许将数据放入 Connect 相邻服务 Customer Profiles 的权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2024 年 5 月 23 日 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— 为 Connect AI 代理添加了操作 | 允许对在 Connect AI 代理知识库中带有资源标签的 C `'AmazonConnectEnabled':'True'` onnect AI 代理资源执行以下操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2024 年 5 月 20 日 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— 为亚马逊 Pinpoint 添加了操作 | 在服务相关角色策略中添加了以下操作,以使用 Amazon Pinpoint 电话号码 Amazon Connect 允许发送短信: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2023 年 11 月 17 日 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— 为 Connect AI 代理添加了操作 | 允许对在 Connect AI 代理知识库中带有资源标签的 C `'AmazonConnectEnabled':'True'` onnect AI 代理资源执行以下操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2023 年 11 月 15 日 |
| [AmazonConnectCampaignsServiceLinkedRolePolicy](connect-slr-outbound.md#slr-permissions-outbound)— 为添加了操作 Amazon Connect | Amazon Connect 添加了检索出站广告系列的新操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2023 年 11 月 8 日 |
| [AmazonConnectSynchronizationServiceRolePolicy](#amazonconnectsynchronizationservicerolepolicy)— 添加了新的 AWS 托管策略 | 已为托管式同步添加新的服务相关角色托管策略。 该策略提供读取、创建、更新和删除 Amazon Connect 资源的权限,并用于跨 AWS 区域自动同步 AWS 资源。 | 2023 年 11 月 3 日 |
| [AmazonConnectServiceLinkedRolePolicy](#amazonconnectservicelinkedrolepolicy)— 为客户档案添加了操作 | 添加了以下操作来管理 Amazon Connect 客户档案服务关联角色: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2023 年 10 月 30 日 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— 为 Connect AI 代理添加了操作 | 允许对在 Connect AI 代理知识库中带有资源标签的 C `'AmazonConnectEnabled':'True'` onnect AI 代理资源执行以下操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2023 年 10 月 25 日 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— 为客户档案添加了操作 | 添加了以下操作来管理 Amazon Connect 客户档案服务关联角色: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2023 年 10 月 6 日 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— 为 Connect AI 代理添加了操作 | 允许对在 Connect AI 代理知识库和助手上带有资源标签`'AmazonConnectEnabled':'True'`的 Connect AI 代理资源执行以下操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) 允许对所有 Connect AI 代理资源执行以下`List`操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2023 年 9 月 29 日 |
| [CustomerProfilesServiceLinkedRolePolicy](#customerprofilesservicelinkedrolepolicy)— 已添加 CustomerProfilesServiceLinkedRolePolicy | 新的托管策略。 | 2023 年 3 月 7 日 |
| [AmazonConnect\$1 FullAccess](#AmazonConnect_FullAccess-policy) — 增加了管理 Amazon Connect 客户档案服务关联角色的权限 | 已添加以下操作来管理 Amazon Connect Customer Profiles 服务相关角色。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2023 年 1 月 26 日 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— 为亚马逊添加了操作 CloudWatch | 已添加以下操作,以将实例的 Amazon Connect 使用情况指标发布到您的账户。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2022 年 2 月 22 日 |
| [AmazonConnect\$1 FullAccess](#AmazonConnect_FullAccess-policy) — 增加了管理 Amazon Connect 客户资料域的权限 | 已添加用于管理为新 Amazon Connect 实例创建的 Amazon Connect Customer Profiles 域的所有权限。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) 允许对名称前缀为 `amazon-connect-` 的域执行以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2021 年 11 月 12 日 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— 为 Amazon Connect 客户档案添加了操作 | 已添加以下操作,以便 Amazon Connect 流和座席体验可以与您的默认 Customer Profiles 域中的配置文件进行交互: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) 已添加以下操作,以便 Amazon Connect 流和座席体验可以与您的默认 Customer Profiles 域中的配置文件对象进行交互: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) 已添加以下操作,以便 Amazon Connect 流和座席体验可以确定是否已为您的 Amazon Connect 实例启用了 Customer Profiles: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2021 年 11 月 12 日 |
| [AmazonConnectVoiceIDFull访问权限](#amazonconnectvoiceidfullaccesspolicy)-添加了新的 AWS 托管策略 | 添加了新的 AWS 托管策略,这样您就可以将用户设置为使用 Amazon Connect 语音识别码。 此策略通过 AWS 控制台、软件开发工具包或其他方式提供对 Amazon Connect Voice ID 的完全访问权限。 | 2021 年 9 月 27 日 |
| [AmazonConnectCampaignsServiceLinkedRolePolicy](connect-slr-outbound.md#slr-permissions-outbound)— 添加了新的服务相关角色策略 | 已为出站活动添加新的服务相关角色策略。 该策略提供检索所有出站活动的权限。 | 2021 年 9 月 27 日 |
| [AmazonConnectServiceLinkedRolePolicy](connect-slr.md)— 为 Amazon Lex 添加了操作 | 已为跨所有区域的账户中创建的所有自动程序添加以下操作。添加了这些操作是为了支持与 Amazon Lex 的集成。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2021 年 6 月 15 日 |
| [AmazonConnect\$1 FullAccess](security-iam-amazon-connect-permissions.md) — 为 Amazon Lex 添加了操作 | 已为跨所有区域的账户中创建的所有自动程序添加以下操作。添加了这些操作是为了支持与 Amazon Lex 的集成。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/security_iam_awsmanpol.html) | 2021 年 6 月 15 日 |
| Amazon Connect 开始跟踪更改 | Amazon Connect 开始跟踪其 AWS 托管策略的变更。 | 2021 年 6 月 15 日 |
# Amazon Connect 身份和访问故障排除
使用以下信息帮助您诊断和修复在使用 Amazon Connect 和 IAM 时可能遇到的常见问题。
**Topics**
+ [
## 我无权执行 iam:PassRole
](#security_iam_troubleshoot-passrole)
+ [
## 我想允许 AWS 账户以外的用户访问我的 Amazon Connect 资源
](#security_iam_troubleshoot-cross-account-access)
## 我无权执行 iam:PassRole
如果您收到一个错误,表明您无权执行 `iam:PassRole` 操作,则必须更新策略以允许您将角色传递给 Amazon Connect。
有些 AWS 服务 允许您将现有角色传递给该服务,而不是创建新的服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。
当名为 `marymajor` 的 IAM 用户尝试使用控制台在 Amazon Connect 中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在这种情况下,必须更新 Mary 的策略以允许她执行 `iam:PassRole` 操作。
如果您需要帮助,请联系您的 AWS 管理员。您的管理员是提供登录凭证的人。
## 我想允许 AWS 账户以外的用户访问我的 Amazon Connect 资源
您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表 (ACLs) 的服务,您可以使用这些策略向人们授予访问您的资源的权限。
要了解更多信息,请参阅以下内容:
+ 要了解 Amazon Connect 是否支持这些功能,请参阅[Amazon Connect 如何与 IAM 配合使用](security_iam_service-with-iam.md)。
+ 要了解如何提供对您拥有的资源的访问权限 AWS 账户 ,请参阅 [IAM 用户*指南中的向您拥有 AWS 账户 的另一个 IAM 用户*提供访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)权限。
+ 要了解如何向第三方提供对您的资源的访问[权限 AWS 账户,请参阅 *IAM 用户指南*中的向第三方提供](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)访问权限。 AWS 账户
+ 要了解如何通过身份联合验证提供访问权限,请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户(身份联合验证)提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 要了解使用角色和基于资源的策略进行跨账户访问之间的差别,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
# 使用 Amazon Connect 的服务相关角色和角色权限
## 什么是服务相关角色 (SLR) 以及为什么它们非常重要?
Amazon Connect 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种独特类型的 IAM 角色,它与 Amazon Connect 实例直接相关。
服务相关角色由 Amazon Connect 预定义,包括 Amazon Connect 代表您调用其他 AWS 服务所需[的所有权限](#slr-permissions)。
您需要启用服务相关角色才能使用 Amazon Connect 中的新功能,例如标签支持、用户**管理和**路由配置文件**中的新用户**界面以及支持队列。 CloudTrail
有关支持服务相关角色的其他服务的信息,请参阅[与 IAM 配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),并查找 **Service-Linked Role**(服务相关角色)列中显示为 **Yes**(是)的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## Amazon Connect 的服务相关角色权限
Amazon Connect 使用前缀为 **AWSServiceRoleForAmazonConnect**\$1 的服务相关角色 *unique-id* — 授予 Amazon Connect 代表您访问 AWS 资源的权限。
带 AWSServiceRoleForAmazonConnect 前缀的服务相关角色信任以下服务来代入该角色:
+ `connect.amazonaws.com`
[AmazonConnectServiceLinkedRolePolicy](https://docs.aws.amazon.com/connect/latest/adminguide/security_iam_awsmanpol.html#amazonconnectservicelinkedrolepolicy)角色权限策略允许 Amazon Connect 对指定资源完成以下操作:
+ 操作:对所有 Amazon Connect 资源执行的所有 Amazon Connect 操作,即 `connect:*`。
+ 操作:IAM `iam:DeleteRole` 允许删除服务相关角色。
+ 操作:Amazon S3 `s3:GetObject`、`s3:DeleteObject`、`s3:GetBucketLocation` 和 `GetBucketAcl`,适用于为记录的对话指定的 S3 存储桶。
对于为导出报告指定的存储桶,它还授予 `s3:PutObject`、`s3:PutObjectAcl` 和 `s3:GetObjectAcl`。
+ 操作:Amazon CloudWatch Logs `logs:CreateLogStream``logs:DescribeLogStreams`,然后发送`logs:PutLogEvents`到为流 CloudWatch 日志指定的日志组。
+ 操作:Amazon Lex `lex:ListBots`、`lex:ListBotAliases`,适用于在跨所有区域的账户中创建的所有自动程序。
+ 操作:Amazon Connect Customer Profiles
+ `profile:SearchProfiles`
+ `profile:CreateProfile`
+ `profile:UpdateProfile`
+ `profile:AddProfileKey`
+ `profile:ListProfileObjects`
+ `profile:ListAccountIntegrations`
+ `profile:ListProfileObjectTypeTemplates`
+ `profile:GetProfileObjectTypeTemplate`
+ `profile:ListProfileObjectTypes`
+ `profile:GetProfileObjectType`
+ `profile:ListCalculatedAttributeDefinitions`
+ `profile:GetCalculatedAttributeForProfile`
+ `profile:ListCalculatedAttributesForProfile`
+ `profile:GetDomain`
+ `profile:ListIntegrations`
+ `profile:GetIntegration`
+ `profile:PutIntegration`
+ `profile:DeleteIntegration`
+ `profile:CreateEventTrigger`
+ `profile:GetEventTrigger`
+ `profile:ListEventTriggers`
+ `profile:UpdateEventTrigger`
+ `profile:DeleteEventTrigger`
+ `profile:CreateCalculatedAttributeDefinition`
+ `profile:DeleteCalculatedAttributeDefinition`
+ `profile:GetCalculatedAttributeDefinition`
+ `profile:UpdateCalculatedAttributeDefinition`
+ `profile:PutProfileObject`
+ `profile:ListObjectTypeAttributes`
+ `profile:ListProfileAttributeValues`
+ `profile:BatchGetProfile`
+ `profile:BatchGetCalculatedAttributeForProfile`
+ `profile:ListSegmentDefinitions`
+ `profile:CreateSegmentDefinition`
+ `profile:GetSegmentDefinition`
+ `profile:DeleteSegmentDefinition`
+ `profile:CreateSegmentEstimate`
+ `profile:GetSegmentEstimate`
+ `profile:CreateSegmentSnapshot`
+ `profile:GetSegmentSnapshot`
+ `profile:GetSegmentMembership`
+ `profile:CreateDomainLayout`
+ `profile:UpdateDomainLayout`
+ `profile:DeleteDomainLayout`
+ `profile:GetDomainLayout`
+ `profile:ListDomainLayouts`
+ `profile:GetSimilarProfiles`
+ `profile:GetUploadJob`
+ `profile:GetUploadJobPath`
+ `profile:StartUploadJob`
+ `profile:StopUploadJob`
+ `profile:CreateUploadJob`
+ `profile:ListUploadJobs`
+ `profile:DetectProfileObjectType`
将您的默认 Customer Profiles 域(包括域中的配置文件和所有对象类型)与 Amazon Connect 流和座席体验应用程序配合使用。
**注意**
每个 Amazon Connect 实例一次只能与一个域关联。但是,您可以将任何域链接到 Amazon Connect 实例。在同一 AWS 帐户和区域内,以 `amazon-connect-` 前缀开头的所有域都会自动启用跨域访问。要限制跨域访问,您可以使用单独的 Amazon Connect 实例对数据进行逻辑分区,或者在同一实例中使用不以 `amazon-connect-` 前缀开头的 Customer Profiles 域名,从而防止跨域访问。
+ 操作:Connect 人工智能代理
+ `wisdom:CreateContent`
+ `wisdom:DeleteContent`
+ `wisdom:CreateKnowledgeBase`
+ `wisdom:GetAssistant`
+ `wisdom:GetKnowledgeBase`
+ `wisdom:GetContent`
+ `wisdom:GetRecommendations`
+ `wisdom:GetSession`
+ `wisdom:NotifyRecommendationsReceived`
+ `wisdom:QueryAssistant`
+ `wisdom:StartContentUpload`
+ `wisdom:UntagResource`
+ `wisdom:TagResource`
+ `wisdom:CreateSession`
+ `wisdom:CreateQuickResponse`
+ `wisdom:GetQuickResponse`
+ `wisdom:SearchQuickResponses`
+ `wisdom:StartImportJob`
+ `wisdom:GetImportJob`
+ `wisdom:ListImportJobs`
+ `wisdom:ListQuickResponses`
+ `wisdom:UpdateQuickResponse`
+ `wisdom:DeleteQuickResponse`
+ `wisdom:PutFeedback`
+ `wisdom:ListContentAssociations`
+ `wisdom:CreateMessageTemplate`
+ `wisdom:UpdateMessageTemplate`
+ `wisdom:UpdateMessageTemplateMetadata`
+ `wisdom:GetMessageTemplate`
+ `wisdom:DeleteMessageTemplate`
+ `wisdom:ListMessageTemplates`
+ `wisdom:SearchMessageTemplates`
+ `wisdom:ActivateMessageTemplate`
+ `wisdom:DeactivateMessageTemplate`
+ `wisdom:CreateMessageTemplateVersion`
+ `wisdom:ListMessageTemplateVersions`
+ `wisdom:CreateMessageTemplateAttachment`
+ `wisdom:DeleteMessageTemplateAttachment`
+ `wisdom:RenderMessageTemplate`
+ `wisdom:CreateAIAgent`
+ `wisdom:CreateAIAgentVersion`
+ `wisdom:DeleteAIAgent`
+ `wisdom:DeleteAIAgentVersion`
+ `wisdom:UpdateAIAgent`
+ `wisdom:UpdateAssistantAIAgent`
+ `wisdom:RemoveAssistantAIAgent`
+ `wisdom:GetAIAgent`
+ `wisdom:ListAIAgents`
+ `wisdom:ListAIAgentVersions`
+ `wisdom:CreateAIPrompt`
+ `wisdom:CreateAIPromptVersion`
+ `wisdom:DeleteAIPrompt`
+ `wisdom:DeleteAIPromptVersion`
+ `wisdom:UpdateAIPrompt`
+ `wisdom:GetAIPrompt`
+ `wisdom:ListAIPrompts`
+ `wisdom:ListAIPromptVersions`
+ `wisdom:CreateAIGuardrail`
+ `wisdom:CreateAIGuardrailVersion`
+ `wisdom:DeleteAIGuardrail`
+ `wisdom:DeleteAIGuardrailVersion`
+ `wisdom:UpdateAIGuardrail`
+ `wisdom:GetAIGuardrail`
+ `wisdom:ListAIGuardrails`
+ `wisdom:ListAIGuardrailVersions`
+ `wisdom:CreateAssistant`
+ `wisdom:ListTagsForResource`
+ `wisdom:SendMessage`
+ `wisdom:GetNextMessage`
+ `wisdom:ListMessages`
+ `wisdom:Retrieve`
+ `wisdom:ListAssistantAssociations`
`'AmazonConnectEnabled':'True'`在与您的 Amazon Connect 实例关联的所有 Amazon Connect 人工智能代理资源上使用资源标签。
+ `wisdom:ListAssistants`
+ `wisdom:KnowledgeBases`
在所有 Connect 人工智能代理资源上。
+ 操作:用于将实例的 A CloudWatch mazon Connect 使用指标发布到您的账户的亚马逊指标。`cloudwatch:PutMetricData`
+ 操作:Amazon Pinpoint 短信和语音 `sms-voice:DescribePhoneNumbers` 和 `sms-voice:SendTextMessage`,支持 Amazon Connect 发送短信。
+ 操作:Amazon Pinpoint `mobiletargeting:SendMessages`,支持 Amazon Connect 发送推送通知。
+ 操作:Amazon Cognito 用户池 `cognito-idp:DescribeUserPool` 和 `cognito-idp:ListUserPoolClients`,并允许 Amazon Connect 对带有 `AmazonConnectEnabled` 资源标签的 Amazon Cognito 用户池资源进行选择读取操作。
+ 操作:Amazon Chime SDK Voice Connector `chime:GetVoiceConnector` 允许 Amazon Connect 读取所有带有 `'AmazonConnectEnabled':'True'` 资源标签的 Amazon Chime SDK Voice Connector 资源。
+ 操作:所有区域账户中创建的所有 Amazon Chime SDK Voice Connector 的 Amazon Chime SDK Voice Connector `chime:ListVoiceConnectors`。
+ 操作:Amazon Connect 消息 WhatsApp 集成。向以下 AWS 最终用户消息社交授予 Amazon Connect 权限 APIs:
+ `social-messaging:SendWhatsAppMessage`
+ `social-messaging:PostWhatsAppMessageMedia`
+ `social-messaging:GetWhatsAppMessageMedia`
+ `social-messaging:GetLinkedWhatsAppBusinessAccountPhoneNumber`
社交仅限于 APIs 您启用了 Amazon Connect 的电话号码资源。当电话号码导入到 Amazon Connect 实例中时,会标记为 `AmazonConnectEnabled : True`。
+ 操作:Amazon Connect WhatsApp 消息模板集成。授予 Amazon Connect 的通话权限 AWS 最终用户社交消息 APIs。可能会列出 AWS 账户的 WhatsApp 企业账户。此外,只要对 WhatsApp 企业账户进行了标记,就可以列出 WhatsApp 企业账户的模板并检索模板的详细信息`AmazonConnectEnabled: True`。
+ `social-messaging:ListLinkedWhatsAppBusinessAccounts`
+ `social-messaging:GetWhatsAppMessageTemplate`
+ `social-messaging:ListWhatsAppMessageTemplates`
+ 操作:Amazon SES
+ `ses:DescribeReceiptRule`
+ `ses:UpdateReceiptRule`
对所有 Amazon SES 接收规则执行。用于发送和接收电子邮件。
+ `ses:DeleteEmailIdentity`用于 \$1*instance-alias*\$1 .email.connect.aws SES 域身份。用于由 Amazon Connect 提供的电子邮件域管理。
+ `ses:SendRawEmail`用于发送包含 Amazon Connect 提供的 SES 配置集的电子邮件(configuration-set-for-connect-DO-NOT-DELETE)。
+ `iam:PassRole` 表示由 Amazon SES 使用的 `AmazonConnectEmailSESAccessRole` 服务角色。对于 Amazon SES 接收规则管理,Amazon SES 要求传递一个由它代入的角色。
+ 操作:Amazon Polly
+ `polly:ListLexicons`
+ `polly:DescribeVoices`
+ `polly:SynthesizeSpeech`
在 Amazon Connect 中启用其他功能时,会为服务相关角色添加以下权限,以便使用内联策略访问与这些功能关联的资源:
+ 操作:Amazon Data Firehose `firehose:DescribeDeliveryStream` 和 `firehose:PutRecord` 以及 `firehose:PutRecordBatch`,适用于为座席事件流和联系记录定义的传输流。
+ 操作:Amazon Kinesis Data Streams `kinesis:PutRecord`、`kinesis:PutRecords` 和 `kinesis:DescribeStream`,适用于为座席事件流和联系记录定义的流。
+ 操作:Amazon Lex `lex:PostContent`,适用于添加到实例中的自动程序。
+ 操作:Amazon Connect Voice-ID `voiceid:*`,适用于与您的实例相关联的 Voice ID 域。
+ 操作: EventBridge `events:PutRule`以及`events:PutTargets`用于发布关联语音 ID 域的点击率记录的 Amazon Connect 托管 EventBridge 规则。
+ 操作:出站活动
+ `connect-campaigns:CreateCampaign`
+ `connect-campaigns:DeleteCampaign`
+ `connect-campaigns:DescribeCampaign`
+ `connect-campaigns:UpdateCampaignName`
+ `connect-campaigns:GetCampaignState`
+ `connect-campaigns:GetCampaignStateBatch`
+ `connect-campaigns:ListCampaigns`
+ `connect-campaigns:UpdateOutboundCallConfig`
+ `connect-campaigns:UpdateDialerConfig`
+ `connect-campaigns:PauseCampaign`
+ `connect-campaigns:ResumeCampaign`
+ `connect-campaigns:StopCampaign`
用于与出站活动相关的所有操作。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 创建适用于 Amazon Connect 的服务相关角色
您无需手动创建服务关联角色。当您在的 Amazon Connect 中创建新实例时 AWS 管理控制台,Amazon Connect 会为您创建与服务相关的角色。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您在 Amazon Connect 中创建新实例时,Amazon Connect 将再次为您创建服务相关角色。
您也可以使用 IAM 控制台为 **Amazon Connect – 完全访问权限**应用场景创建服务相关角色。在 IAM CLI 或 IAM API 中,用 `connect.amazonaws.com` 服务名称创建一个服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。
## 适用于 2018 年 10 月之前创建的实例
**提示**
登录管理 AWS 账户时遇到问题? 不知道谁在管理您的 AWS 账户? 如需帮助,请参阅[解决 AWS 账户登录问题](https://docs.aws.amazon.com/signin/latest/userguide/troubleshooting-sign-in-issues.html)。
如果您的 Amazon Connect 实例是在 2018 年 10 月之前创建的,则您尚未设置服务相关角色。要创建服务相关角色,请在**账户概览**页面上,选择**创建服务相关角色**,如下图所示。
![\[“账户概览”页面上的“创建服务相关角色”按钮。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/slr-create-slr.png)
有关创建服务相关角色所需的 IAM 权限的列表,请参阅[使用自定义 IAM 策略管理对 Amazon Connect 控制台的访问权限所需的权限](security-iam-amazon-connect-permissions.md)主题中的[“概述”页面](security-iam-amazon-connect-permissions.md#overview-page)。
## 对于在 2025 年 1 月 31 日之前创建并配置了用于加密数据的客户 KMS 密钥的客户配置文件域,您需要向 Amazon Connect 实例授予额外的 KMS 权限。
如果关联的客户配置文件域是在 2025 年 1 月 31 日之前创建的,并且该域使用客户自主管理型 KMS 密钥(CMK)进行加密,则要启用 Connect 实例强制执行 CMK,请采取以下措施:
1. 导航到 AWS 管理控制台中的客户资料页面,然后选择**更新** KM Amazon Connect S 权限,从而提供 Amazon Connect 实例的服务相关角色 (SLR) 权限,以使用您的客户档案域的 AWS KMS 密钥。
![\[选择“更新 KMS 权限”按钮,来为 Amazon Connect 实例的服务相关角色授予 KMS 权限。\]](http://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/images/kms-permissions-slr-1.png)
1. 与 Amazon Connect Customer Profiles 团队一起创建[支持工单](https://support.console.aws.amazon.com/support),以请求为您的账户强制实施 CMK 权限。
有关更新您的 Amazon Connect 实例的 IAM 权限列表,请参阅自定义 IAM 策略所需的权限[“客户资料”页面](security-iam-amazon-connect-permissions.md#customer-profiles-page)。
## 编辑适用于 Amazon Connect 的服务相关角色
Amazon Connect 不允许您编辑带有 AWSServiceRoleForAmazonConnect 前缀的服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 检查服务相关角色对 Amazon Lex 是否具有权限
1. 在 IAM 控制台的导航窗格中,选择**角色**。
1. 以下代码示例显示如何将 IAM 策略附加到用户。
## 删除适用于 Amazon Connect 的服务相关角色
您无需手动删除带 AWSServiceRoleForAmazonConnect 前缀的角色。当您在中删除您的 Amazon Connect 实例时 AWS 管理控制台,Amazon Connect 会为您清理资源并删除服务相关角色。
## Amazon Connect 服务相关角色支持的区域
Amazon Connect 支持在已推出该服务的所有区域中使用服务相关角色。有关更多信息,请参阅[AWS 区域和端点](https://docs.aws.amazon.com/general/latest/gr/rande.html#connect_region)。
# 在 Amazon Connect 中使用服务相关角色进行出站活动
Amazon Connect 出站活动使用 AWS Identity and Access Management 与服务相关的角色。当 Amazon Connect 实例能够使用出站活动时,它会创建一个唯一的服务相关角色,从而允许它对 Amazon Connect 实例执行操作。
使用服务相关角色可以更轻松地设置出站活动,因为您不必手动添加所需的权限。出站活动定义其服务相关角色的权限,除非另外定义,否则只有出站活动可以代入该角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其他 IAM 实体。
有关支持服务相关角色的其他服务的信息,请参阅《IAM 用户指南**》中的[与 IAM 配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。查找在**服务相关角色**列中具有**是**值的服务。请选择**是**与查看该服务的服务关联角色文档的链接。
## 适用于出站活动的服务相关角色权限
出站广告系列使用服务相关角色为前缀 `AWSServiceRoleForConnectCampaigns` — 授予出站广告系列代表您访问 AWS 资源的权限。
`AWSServiceRoleForConnectCampaigns` 服务相关角色信任以下服务代入该角色:
+ `connect-campaigns.amazonaws.com`
[AmazonConnectCampaignsServiceLinkedRolePolicy](security_iam_awsmanpol.md#amazonconnectcampaignsservicelinkedrolepolicy)角色权限策略允许出站活动在指定资源上完成以下操作。为服务相关角色添加了访问资源的额外权限:
+ 操作: AWS 账户的出站活动 `connect-campaigns:ListCampaigns`。
+ 操作:Amazon Connect
+ `connect:BatchPutContact`
+ `connect:StopContact`
对所有 Amazon Connect 实例执行。
+ 操作:Amazon Connect
+ `connect:StartOutboundVoiceContact`
+ `connect:GetMetricData`
+ `connect:GetCurrentMetricData`
+ `connect:BatchPutContact`
+ `connect:StopContact`
+ `connect:GetMetricDataV2`
+ `connect:DescribeContactFlow`
+ `connect:SendOutboundEmail`
对指定的 Amazon Connect 实例执行。
+ 动作: EventBridge:
+ `events:ListRules`
对所有活动执行。
+ 动作: EventBridge:
+ `events:DeleteRule`
+ `events:PutRule`
+ `events:PutTargets`
+ `events:RemoveTargets`
+ `events:ListTargetsByRule`
对 **connect-campaigns.amazonaws.com** 管理的名为 `ConnectCampaignsRule*` 的规则执行。
+ 操作:Connect AI 代理消息模板:
+ `wisdom:GetMessageTemplate`
+ `wisdom:RenderMessageTemplate`
对所有具有 `aws:ResourceTag/AmazonConnectCampaignsEnabled` 标签的资源执行。
对于 Amazon Connect Customer Profiles 的权限将添加到 ezCRC 模板中:`ConnectCampaignsCustomerProfilesIntegrationAccess`。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 为出站活动创建服务相关角色
您无需手动创建服务关联角色。当您通过调用 `StartInstanceOnboardingJob` API 将 Amazon Connect 实例与出站活动相关联时,出站活动将为您创建服务相关角色。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您将新的 Amazon Connect 实例与出站活动相关联时,Amazon Connect 会再次为您创建服务相关角色。
## 为出站活动编辑服务相关角色
出站活动不允许您编辑 `AWSServiceRoleForConnectCampaigns` 服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 为出站活动删除服务相关角色
如果您不再需要出站活动,建议您删除关联的服务相关角色。这样就没有未被主动监控或维护的未使用实体。但是,必须先清除服务相关角色的资源,然后才能手动删除它。
**删除由 `AWSServiceRoleForConnectCampaigns` 使用的出站活动资源**
+ 删除该 AWS 账号的所有广告活动设置。
**使用 IAM 手动删除服务关联角色**
+ 使用 IAM 控制台、 AWS CLI 或 AWS API 删除`AWSServiceRoleForConnectCampaigns`服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 出站活动服务相关角色的受支持区域
出站活动支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 [AWS 区域和端点](https://docs.aws.amazon.com/general/latest/gr/rande.html#connect_region)。
# 使用适用于 Amazon 的服务相关角色 AppIntegrations
亚马逊 AppIntegrations 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种与 Amazon AppIntegrations 直接关联的独特的 IAM 角色。服务相关角色由 Amazon AppIntegrations 预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色使设置 Amazon AppIntegrations 变得更加容易,因为您不必手动添加必要的权限。亚马逊 AppIntegrations 定义其服务相关角色的权限,除非另有定义,否则只有亚马逊 AppIntegrations 可以担任其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
只有在首先删除相关资源后,您才能删除服务关联角色。这样可以保护您的 Amazon AppIntegrations 资源,因为您不会无意中删除访问这些资源的权限。
有关支持服务相关角色的其他服务的信息,请参阅与 [IAM 配合使用的AWS 服务,](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并在**服务相关角色**列中查找标有 “**是**” 的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## Amazon 的服务相关角色权限 AppIntegrations
Amazon AppIntegrations 使用名为的服务相关角色 **AWSServiceRoleForAppIntegrations**,该角色 AppIntegrations 允许您代表您访问 AWS 服务和资源。
AWSServiceRoleForAppIntegrations 服务相关角色信任以下服务来代入该角色:
+ `app-integrations.amazonaws.com`
名为的角色权限策略 AppIntegrationsServiceLinkedRolePolicy 允许 Amazon AppIntegrations 对指定资源完成以下操作:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/AppIntegrations"
}
}
},
{
"Effect": "Allow",
"Action": [
"appflow:DescribeConnectorEntity",
"appflow:ListConnectorEntities"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"appflow:DescribeConnectorProfiles",
"appflow:UseConnectorProfile"
],
"Resource": "arn:aws:appflow:*:*:connector-profile/*"
},
{
"Effect": "Allow",
"Action": [
"appflow:DeleteFlow",
"appflow:DescribeFlow",
"appflow:DescribeFlowExecutionRecords",
"appflow:StartFlow",
"appflow:StopFlow",
"appflow:UpdateFlow"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AppIntegrationsManaged": "true"
}
},
"Resource": "arn:aws:appflow:*:*:flow/FlowCreatedByAppIntegrations-*"
},
{
"Effect": "Allow",
"Action": [
"appflow:TagResource"
],
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"AppIntegrationsManaged"
]
}
},
"Resource": "arn:aws:appflow:*:*:flow/FlowCreatedByAppIntegrations-*"
}
]
}
```
------
+ 操作:使用 `StringEquals` 条件 `"cloudwatch:namespace": "AWS/AppIntegrations"` 对 `"*"` 进行 `cloudwatch:PutMetricData`。
+ 操作:`"*"` 上的 `appflow:DescribeConnectorEntity` 和 `appflow:ListConnectorEntities`。
+ 操作:` arn:aws:appflow:*:*:connector-profile/*` 上的 `appflow:DescribeConnectorProfiles` 和 `appflow:UseConnectorProfile`。
+ 操作:在 ` arn:aws:appflow:*:*:flow/FlowCreatedByAppIntegrations-*` 上使用 `StringEquals` 条件 `"aws:ResourceTag/AppIntegrationsManaged": "true"` 进行 `appflow:DeleteFlow`、`appflow:DescribeFlow`、`appflow:DescribeFlowExecutionRecords`、`appflow:StartFlow`、`appflow:StopFlow` 和 `appflow:UpdateFlow`。
+ 操作:使用 `ForAllValues:StringEquals aws:TagKeys` 条件 `AppIntegrationsManaged` 对 `arn:aws:appflow:*:*:flow/FlowCreatedByAppIntegrations-*` 进行 `appflow:TagResource`。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 为 Amazon 创建服务相关角色 AppIntegrations
您无需手动创建服务关联角色。当您在、或 AWS API 中使用 Amazon Connect 中的 Connect AI 代理 AWS 管理控制台、客户档案或任务小组件创建数据或事件集成时,亚马逊 AppIntegrations会为您创建服务相关角色。 AWS CLI
**重要**
如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务关联角色可以出现在您的账户中。此外,如果您在 2022 年 9 月 30 日亚马逊开始支持服务相关角色之后创建了任何新的亚马逊 AppIntegrations 资源,则亚马逊会在您的账户中 AppIntegrations 创建该 AWSServiceRoleForAppIntegrations 角色。要了解更多信息,请参阅[我的 IAM 账户中出现新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您使用 Amazon Connect 中的 Connect AI 代理、客户档案或任务小组件创建数据或事件集成时,亚马逊 AppIntegrations 会再次为您创建服务相关角色。
您也可以使用 IAM 控制台为 **AppIntegrations** 使用案例创建服务相关角色。在 AWS CLI 或 AWS API 中,使用服务名称创建服务相关角色。`app-integrations.amazonaws.com`有关更多信息,请参阅 *IAM 用户指南* 中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。
## 编辑 Amazon 的服务相关角色 AppIntegrations
Amazon AppIntegrations 不允许您编辑 AWSServiceRoleForAppIntegrations 服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 Amazon 的服务相关角色 AppIntegrations
如果不再需要使用某个需要服务关联角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,必须先清除服务相关角色的资源,然后才能手动删除它。您必须先在 AWS 控制台中删除您的数据和事件集成关联,然后使用删除您的数据和事件集成。 AWS CLI
**注意**
如果您尝试删除资源时,Amazon AppIntegrations 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
**删除 AWS 控制台 AWSServiceRoleForAppIntegrations 中使用的数据集成关联**
1. 前往 Amazon Connect 控制台的 Connect AI 代理部分,然后选择要删除的数据集成关联的名称。
1. 选择**集成详细信息**部分右侧的**删除**。
1. 在弹出框中,输入集成的名称进行确认,然后选择**删除**。
**要删除使用的数据集成,请 AWSServiceRoleForAppIntegrations 使用 AWS CLI**
1. 列出您的数据集成,以便查看现有集成的名称。
`aws appintegrations list-data-integrations`
1. 使用数据集成名称删除每个集成。
`aws appintegrations delete-data-integration --data-integration-identifier DATA_INTEGRATION_NAME`
**删除 AWS 控制台 AWSServiceRoleForAppIntegrations 中使用的事件集成关联**
1. 转至 Amazon Connect 控制台的“Customer Profiles”或“Tasks”部分,然后选择要删除的事件集成关联的名称。
1. 在“Tasks”部分选择事件集成后,将出现一个弹出窗口。选择**删除连接**按钮并输入单词 *remove*,以删除您的事件集成关联。
**要删除使用的事件集成,请 AWSServiceRoleForAppIntegrations 使用 AWS CLI**
1. 列出您的事件集成,以便查看现有集成的名称。
`aws appintegrations list-event-integrations`
1. 使用数据集成名称删除每个集成。
`aws appintegrations delete-event-integration --name EVENT_INTEGRATION_NAME`
**使用 IAM 手动删除服务关联角色**
使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForAppIntegrations服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## Amazon AppIntegrations 服务相关角色支持的区域
Amazon AppIntegrations 支持在提供服务的所有地区使用服务相关角色。有关更多信息,请参阅 [AWS 区域和端点](https://docs.aws.amazon.com/general/latest/gr/rande.html)。
您可以在以下区域使用该 AWSServiceRoleForAppIntegrations 角色。
****
| 区域名称 | 区域标识 | Amazon 中的 Support AppIntegrations |
| --- | --- | --- |
| 美国东部(弗吉尼亚州北部) | us-east-1 | 是 |
| 美国西部(俄勒冈州) | us-west-2 | 是 |
| 亚太地区(孟买) | ap-south-1 | 是 |
| 亚太地区(首尔) | ap-northeast-2 | 是 |
| 亚太地区(新加坡) | ap-southeast-1 | 是 |
| 亚太地区(悉尼) | ap-southeast-2 | 是 |
| 亚太地区(东京) | ap-northeast-1 | 是 |
| 加拿大(中部) | ca-central-1 | 是 |
| 欧洲地区(法兰克福) | eu-central-1 | 是 |
| 欧洲地区(伦敦) | eu-west-2 | 是 |
| 非洲(开普敦) | af-south-1 | 是 |
# 对 Amazon Connect Customer Profiles 使用服务相关角色
Amazon Connect 客户档案使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种独特类型的 IAM 角色,它与 Customer Profiles 直接相关。服务相关角色由客户档案预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色可让您更轻松地设置 Amazon Connect Customer Profiles,因为您不必手动添加必要的权限。Amazon Connect Customer Profiles 定义其服务相关角色的权限,除非另外定义,否则只有 Amazon Connect Customer Profiles 可以代入该角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其他 IAM 实体。
有关支持服务相关角色的其他服务的信息,请参阅与 [IAM 配合使用的AWS 服务,](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并在**服务相关角色**列中查找标有 “**是**” 的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## Amazon Connect Customer Profiles 的服务相关角色权限
Amazon Connect 客户档案使用名为 **AWSServiceRoleForProfile\$1** 的服务相关角色*unique-id*,该角色允许 Amazon Connect 客户档案代表您访问 AWS 服务和资源。
带**AWSServiceRoleForProfile**前缀的服务相关角色信任以下服务来代入该角色:
+ `profile.amazonaws.com`
名为的角色权限策略[CustomerProfilesServiceLinkedRolePolicy](security_iam_awsmanpol.md#customerprofilesservicelinkedrolepolicy)允许 Amazon Connect 客户档案对指定资源完成以下操作:
+ 操作:用于将实例的 A CloudWatch mazon Connect 使用指标发布到您的账户的亚马逊指标。`cloudwatch:PutMetricData`
+ 操作:IAM `iam:DeleteRole` 将在关联的 Amazon Connect 客户档案域被删除时删除带**AWSServiceRoleForProfile**前缀的服务相关角色本身。
+ 操作:Amazon Connect 对外营销宣传 `connect-campaigns:PutProfileOutboundRequestBatch`,可根据 Customer Profiles 事件触发定义来触发活动。
+ 操作:Amazon Connect 客户档`profile:BatchGetProfile`案,用于检索触发活动所需的个人资料信息。
+ 操作:Amazon Connect 客户档案`profile:GetRecommender`,用于检索触发活动所需的推荐者。
+ 操作:Amazon Connect 客户档案`profile:GetCalculatedAttributeForProfile`,用于检索触发活动所需的计算属性。
+ 操作:Amazon Connect 客户档案`profile:GetProfileRecommendations`,用于检索触发活动所需的个人资料推荐。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 创建适用于 Amazon Connect Customer Profiles 的服务相关角色
您无需手动创建服务关联角色。当您在 AWS 管理控制台、或 AWS API 中创建您的第一个 Amazon Connect 客户档案域时,客户档案会为您创建服务相关角色。 AWS CLI请注意,每个 Amazon Connect Customer Profiles 域都需要一个专用 SLR,才能让 Amazon Connect Customer Profiles 为您执行相应操作。
**重要**
如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务关联角色可以出现在您的账户中。此外,如果您在 2023 年 6 月 8 日开始支持服务相关角色之前使用 Amazon Connect 客户档案服务,那么 Amazon Connect 客户档案会在您的账户中创建**AWSServiceRoleForProfile**前缀角色。要了解更多信息,请参阅[我的 IAM 账户中出现新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当创建您的第一个 Amazon Connect Customer Profiles 域时,Customer Profiles 会再次为您创建服务相关角色。
## 编辑适用于 Amazon Connect Customer Profiles 的服务相关角色
Amazon Connect 客户档案不允许您编辑带**AWSServiceRoleForProfile**前缀的服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除适用于 Amazon Connect Customer Profiles 的服务相关角色
您无需手动删除带**AWSServiceRoleForProfile**前缀的角色。当您在 AWS 管理控制台、或 AWS API 中删除 Amazon Connect 客户档案域时,客户档案会清理资源并为您删除服务相关角色。 AWS CLI
您也可以使用 AWS CLI 或 AWS API 手动删除服务相关角色。为此,必须先手动清除服务相关角色的资源,然后才能手动删除。
**注意**
如果在您尝试删除资源时,Amazon Connect Customer Profiles 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
**删除 AWSServiceRoleForProfile 前缀服务相关角色使用的 Amazon Connect 客户档案资源**
+ 删除 AWS 管理控制台、或 AWS API 中的 Amazon Connect 客户资料域。 AWS CLI
**使用 IAM 手动删除服务关联角色**
使用 AWS CLI 或 AWS API 删除**AWSServiceRoleForProfile**前缀的服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## Amazon Connect Customer Profiles 服务相关角色支持的区域
Amazon Connect Customer Profiles 支持在已推出该服务的所有区域中使用服务相关角色。有关更多信息,请参阅 [AWS 区域和端点](https://docs.aws.amazon.com/general/latest/gr/rande.html)。
****
| 区域名称 | 区域标识 | 在 Amazon Connect 中支持 |
| --- | --- | --- |
| 美国东部(弗吉尼亚州北部) | us-east-1 | 是 |
| 美国西部(俄勒冈州) | us-west-2 | 是 |
| 亚太地区(首尔) | ap-northeast-2 | 是 |
| 亚太地区(新加坡) | ap-southeast-1 | 是 |
| 亚太地区(悉尼) | ap-southeast-2 | 是 |
| 亚太地区(东京) | ap-northeast-1 | 是 |
| 加拿大(中部) | ca-central-1 | 是 |
| 欧洲地区(法兰克福) | eu-central-1 | 是 |
| 欧洲地区(伦敦) | eu-west-2 | 是 |
| 非洲(开普敦) | af-south-1 | 是 |
# 将服务相关角色用于 Amazon Connect 托管式同步
Amazon Connect 托管同步使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种与托管式同步直接相关的独特类型的 IAM 角色。服务相关角色由托管同步预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色可让您更轻松地设置托管式同步,因为您不必手动添加必要的权限。托管式同步定义其服务相关角色的权限,除非另外定义,否则只有托管式同步可以代入该角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
只有在首先删除相关资源后,您才能删除服务关联角色。这将保护您的托管式同步资源,因为您不会无意中删除对资源的访问权限。
有关支持服务相关角色的其他服务的信息,请参阅与 [IAM 配合使用的AWS 服务,](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并在**服务相关角色**列中查找标有 “**是**” 的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## 托管式同步的服务相关角色权限
托管同步使用以服务为前缀**AWSServiceRoleForAmazonConnectSynchronization**的角色授予 Amazon Connect 托管同步代表您访问 AWS 资源的读取、写入、更新和删除权限。您账户中角色的完整名称将包含前缀和一个与以下内容相似的唯一 ID:
`AWSServiceRoleForAmazonConnectSynchronization_unique-id`
带**AWSServiceRoleForAmazonConnectSynchronization**前缀的服务相关角色信任以下服务来代入该角色:
+ `synchronization.connect.amazonaws.com`
名为的角色权限策略[AmazonConnectSynchronizationServiceRolePolicy](security_iam_awsmanpol.md#amazonconnectsynchronizationservicerolepolicy)允许托管同步对指定资源完成以下操作:
+ 操作:Amazon Connect 适用于所有 Amazon Connect 资源
+ `connect:Create*`
+ `connect:Update*`
+ `connect:Delete*`
+ `connect:Describe*`
+ `connect:BatchCreate*`
+ `connect:BatchUpdate*`
+ `connect:BatchDelete*`
+ `connect:BatchDescribe*`
+ `connect:List*`
+ `connect:Search*`
+ `connect:Associate*`
+ `connect:Disassociate*`
+ `connect:Get*`
+ `connect:BatchGet*`
+ `connect:Import*`
+ `connect:TagResource`
+ `connect:UntagResource`
+ 操作:用于将实例的 A CloudWatch mazon Connect 使用指标发布到您的账户的亚马逊指标。`cloudwatch:PutMetricData`
名为的角色权限策略[AmazonConnectSynchronizationServiceRolePolicy](security_iam_awsmanpol.md#amazonconnectsynchronizationservicerolepolicy)不允许托管同步对指定资源完成以下操作:
+ 操作:Amazon Connect 适用于所有 Amazon Connect 资源
+ `connect:Start*`
+ `connect:Stop*`
+ `connect:Resume*`
+ `connect:Suspend*`
+ `connect:*Contact`
+ `connect:*Contacts`
+ `connect:*ContactAttributes*`
+ `connect:*RealtimeContact*`
+ `connect:*AnalyticsData*`
+ `connect:*MetricData*`
+ `connect:*UserData*`
+ `connect:*ContactEvaluation`
+ `connect:*AttachedFile*`
+ `connect:UpdateContactSchedule`
+ `connect:UpdateContactRoutingData`
+ `connect:ListContactReferences`
+ `connect:CreateParticipant`
+ `connect:CreatePersistentContactAssociation`
+ `connect:CreateInstance`
+ `connect:DeleteInstance`
+ `connect:ListInstances`
+ `connect:ReplicateInstance`
+ `connect:GetFederationToken`
+ `connect:ClaimPhoneNumber`
+ `connect:ImportPhoneNumber`
+ `connect:ReleasePhoneNumber`
+ `connect:SearchAvailablePhoneNumbers`
+ `connect:CreateTrafficDistributionGroup`
+ `connect:DeleteTrafficDistributionGroup`
+ `connect:GetTrafficDistribution`
+ `connect:UpdateTrafficDistribution`
您必须配置使用户、组或角色能够创建、编辑或删除服务相关角色的权限。有关更多信息,请参阅*《IAM 用户指南》*中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 为托管式同步创建服务相关角色
您无需手动创建服务关联角色。当您通过调用 `ReplicateInstance` API 复制 Amazon Connect 实例时,托管式同步将为您创建服务相关角色。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您再次复制 Amazon Connect 实例时,托管式同步会再次为您创建服务相关角色。
## 为托管式同步编辑服务相关角色
托管同步不允许您编辑带 AWSServiceRoleForAmazonConnectSynchronization 前缀的服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 为托管式同步删除服务相关角色
如果不再需要使用某个需要服务相关角色的特征或服务,建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,必须先清除服务相关角色的资源,然后才能手动删除它。
**注意**
如果在您试图删除资源时托管式同步服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
**删除 AWSServiceRoleForAmazonConnectSynchronization 前缀角色使用的托管同步资源**
+ 删除源实例的所有副本 Amazon Connect 实例。
**使用 IAM 手动删除服务关联角色**
使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForAmazonConnectSynchronization 前缀的服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 托管式同步服务相关角色的受支持区域
托管式同步支持在 Amazon Connect Global Resiliency 可用的所有区域中使用服务相关角色。有关更多信息,请参阅 [设置 Amazon Connect Global Resiliency](setup-connect-global-resiliency.md)。
****
| 区域名称 | 区域标识 | 在托管式同步中支持 |
| --- | --- | --- |
| 美国东部(弗吉尼亚州北部) | us-east-1 | 是 |
| 美国西部(俄勒冈州) | us-west-2 | 是 |