本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon Connect 如何与 IAM 配合使用
在使用 IAM 管理对 Amazon Connect 的访问权限之前,您应该了解哪些 IAM 功能可用于 Amazon Connect。要全面了解 Amazon Connect 和其他 AWS 服务如何与 IAM 配合使用,请参阅 I [AM *用户指南中的与 IAM* 配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
**Topics**
+ [Amazon Connect 基于身份的策略](#security_iam_service-with-iam-id-based-policies)
+ [基于 Amazon Connect 标签的授权](#security_iam_service-with-iam-tags)
+ [Amazon Connect IAM 角色](#security_iam_service-with-iam-roles)
## Amazon Connect 基于身份的策略
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。Amazon Connect 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》** 中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 操作
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
Amazon Connect 中的策略操作在操作前使用以下前缀:`connect:`。策略语句必须包含 `Action` 或 `NotAction` 元素。Amazon Connect 定义了一组自己的操作,以描述您可以使用该服务执行的任务。
要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:
```
"Action": [
"connect:action1",
"connect:action2"
```
您也可以使用通配符 (\*) 指定多个操作。例如,要指定以单词 `Describe` 开头的所有操作,包括以下操作:
```
"Action": "connect:Describe*"
```
要查看 Amazon Connect 操作的列表,请参阅 [Amazon Connect 的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html)。
### 资源
Amazon Connect 支持资源级权限(在 IAM 策略中指定资源 ARN)。以下是 Amazon Connect 资源列表:
+ 实例
+ 联系人
+ 用户
+ 路由配置文件
+ 安全配置文件
+ 层次结构组
+ 队列
+ 文件
+ 流
+ 营业时间
+ Phone number(电话号码)
+ 任务模板
+ 客户资料域
+ 客户资料对象类型
+ 出站活动
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\*) 指示语句应用于所有资源。
```
"Resource": "*"
```
Amazon Connect 实例资源具有以下 ARN:
```
arn:${Partition}:connect:${Region}:${Account}:instance/${InstanceId}
```
有关格式的更多信息 ARNs,请参阅 [Amazon 资源名称 (ARNs) 和 AWS 服务命名空间](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。
例如,要在语句中指定 `i-1234567890abcdef0` 实例,请使用以下 ARN:
```
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/i-1234567890abcdef0"
```
要指定属于特定账户的所有实例,请使用通配符 (\*):
```
"Resource": "arn:aws:connect:us-east-1:123456789012:instance/*"
```
无法对特定资源执行某些 Amazon Connect 操作,例如,用于创建资源的操作。在这些情况下,您必须使用通配符(\*)。
```
"Resource": "*"
```
许多 Amazon Connect API 操作涉及多种资源。例如,
要在单个语句中指定多个资源,请 ARNs 用逗号分隔。
```
"Resource": [
"resource1",
"resource2"
```
要查看 Amazon Connect 资源类型及其列表 ARNs,请参阅 A [mazon Connect 的操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html)。同一篇文章介绍了您可以使用哪些操作指定每个资源的 ARN。
### 条件键
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
Amazon Connect 定义了一组自己的条件键,还支持使用一些全局条件键。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
所有 Amazon EC2 操作都支持 `aws:RequestedRegion` 和 `ec2:Region` 条件键。有关更多信息,请参阅[示例:限制对特定区域的访问](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region)。
要查看 Amazon Connect 条件键的列表,请参阅 [Amazon Connect 的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html)。
### 示例
要查看 Amazon Connect 基于身份的策略的示例,请参阅[Amazon Connect 基于身份的策略示例](security_iam_id-based-policy-examples.md)。
## 基于 Amazon Connect 标签的授权
您可以将标签附加到 Amazon Connect 资源,或者在请求中将标签传递给 Amazon Connect。要基于标签控制访问,您需要使用 `connect:ResourceTag/{{key-name}}``aws:RequestTag/{{key-name}}` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。
要查看基于身份的策略(用于根据资源上的标签来限制对该资源的访问)的示例,请参阅 [基于标签描述和更新 Amazon Connect 用户](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-widget-tags)。
## Amazon Connect IAM 角色
I [AM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您的 AWS 账户中具有特定权限的实体。
### 将临时凭证用于 Amazon Connect
可以使用临时凭证进行联合身份验证登录,分派 IAM 角色或分派跨账户角色。您可以通过调用[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)或之类的 AWS STS API 操作来获取临时安全证书[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)。
Amazon Connect 支持使用临时凭证。
### 服务关联角色
[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允许 AWS 服务访问其他服务中的资源以代表您完成操作。服务关联角色显示在 IAM 账户中,并归该服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。
Amazon Connect 支持服务相关角色。有关创建或管理 Amazon Connect 服务相关角色的详细信息,请参阅[使用 Amazon Connect 的服务相关角色和角色权限](connect-slr.md)。
### 在 Amazon Connect 中选择 IAM 角色
在 Amazon Connect 中创建资源时,您必须选择一个角色以允许 Amazon Connect 代表您访问 Amazon EC2。如果您之前已经创建了一个服务角色或服务相关角色,则 Amazon Connect 会为您提供一个角色列表供您选择。选择一个允许访问以启动和停止 Amazon EC2 实例的角色很重要。