本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 用於 Amazon Connect 和聯絡人控制台 (CCP) 存取的安全性設定檔
<a name="connect-security-profiles"></a>

安全設定檔是一組對應聯絡中心中共同角色的權限。例如，客服人員安全描述檔包含存取聯絡案例主控台 (CCP) 所需的權限。

安全描述檔可協助您管理可存取 Amazon Connect 儀表板和聯絡控制面板 (CCP) 的使用者，以及可執行特定任務的使用者。

**Topics**
+ [Amazon Connect 和聯絡人控制台 (CCP) 安全性設定檔的最佳實務](security-profile-best-practices.md)
+ [Amazon Connect 和聯絡人控制台 (CCP) 安全性設定檔的繼承許可](inherited-permissions.md)
+ [安全性設定檔權限清單](security-profile-list.md)
+ [Amazon Connect 中的預設安全性設定檔](default-security-profiles.md)
+ [將 Amazon Connect 的安全設定檔指派給聯絡中心使用者](assign-security-profile.md)
+ [在 Amazon Connect 中建立安全性設定檔](create-security-profile.md)
+ [在 Amazon Connect 中更新安全性設定檔](update-security-profiles.md)
+ [套用標籤型存取控制](tag-based-access-control.md)
+ [套用階層型存取控制](hierarchy-based-access-control.md)

# Amazon Connect 和聯絡人控制台 (CCP) 安全性設定檔的最佳實務
<a name="security-profile-best-practices"></a>
+ 限制擁有**使用者 - 編輯或建立**權限

  擁有這些權限的人員會對您的聯絡中心構成風險，因為他們可以執行下列動作：
  + 重設密碼，包括管理員的密碼。
  + 將管理安全描述檔的權限授予其他使用者。指派給管理員安全描述檔的人員可以完整存取您的聯絡中心。

  執行這些動作可讓某人鎖定需要存取 Amazon Connect 的人，同時允許其他人竊取客戶資料並損害您的業務。

  為了降低風險，我們建議您限制擁有**使用者 - 編輯或建立**權限的人數。
+ [用 AWS CloudTrail](logging-using-cloudtrail.md)來記錄 [更新使用者身分資訊](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateUserIdentityInfo.html)的要求和回應。這可讓您追蹤對使用者資訊所做的變更。能呼叫`UpdateUserIdentityInfo` API 的人可以將使用者的電子郵件地址變更為攻擊者擁有的電子郵件地址，然後透過電子郵件重設密碼。
+ [了解繼承權限](inherited-permissions.md)

  某些安全描述檔包含繼承的權限：當您將專屬權限指派給一個物件時，依預設會授予權限給子物件。例如，當您授與編輯使用者的專用權限時，您也會授與他們您 Amazon Connect 執行個體的所有安全描述檔的權限清單。這是因為若要編輯使用者，該人員必須有權存取安全性設定檔的下拉式清單。

  在指派安全描述檔之前，請檢閱繼承權限的清單。
+ **在將[存取控制標籤](https://docs.aws.amazon.com/connect/latest/adminguide/tag-based-access-control.html)套用至安全性設定檔之前，先瞭解其含意。**套用存取控制標籤是 Amazon Connect 支援的進階組態功能，並遵循 AWS 共同的責任模型。確認您已詳閱文件並瞭解套用精細權限組態的含意。如需詳細資訊，請參閱[AWS 共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)。
+ 追蹤存取錄音的人員。

   在**分析和最佳化**許可群組中，您可以啟用錄製的對話的下載圖示。當此群組的成員移至**分析和最佳化**、**聯絡人搜尋**，然後搜尋聯絡人時，他們會看到可下載錄音的圖示。
**重要**  
此設定並不是安全性功能。**未擁有此權限的使用者仍可以使用其它不易發現的方式來下載錄音**。

  建議您追蹤組織中存取錄音的人員。

# Amazon Connect 和聯絡人控制台 (CCP) 安全性設定檔的繼承許可
<a name="inherited-permissions"></a>

某些安全性描述檔已包含繼承的許可：當您授與使用者**檢視**或**編輯**某種資源類型 (例如佇列) 的明確許可時，使用者會隱含地繼承**檢視**另一個資源類型 (例如電話號碼) 的許可。

例如，假設您明確地授與某人**編輯/檢視**佇列的許可，如下圖所示：

![\[安全性設定檔頁面的安全性設定檔權限區段。\]](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/images/inherited-permissions.png)


透過這樣做，您還可以**在他們將所有電話號碼和操作時數新增到 Amazon Connect 執行個體中的佇列**時，隱含地授與他們**檢視**這些資訊的權限。在**新增佇列**頁面上，可用的電話號碼和操作時數會顯示在下拉式清單中，如下圖所示。

![\[新增佇列頁面、作業時數下拉式清單、輸出來電者 ID 號碼下拉式清單。\]](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/images/drop-down-permissions.png)


不過，使用者沒有**編輯**電話號碼和操作時數的許可。

在此情況下，他們也不會繼承**檢視**聯絡流程 (外撥低語流程) 和快速連線的許可，因為這些資源是選用的項目。

## 繼承許可清單
<a name="list-of-inherited-permissions"></a>

下表列出當您指派專用權限給使用者時會隱含地繼承的許可。

**提示**  
當使用者只有明確的**檢視**許可，而且也沒有**編輯**許可時，系統會擷取物件，但 Amazon Connect 不會在下拉式清單中顯示物件以供使用者詳閱。


| 專屬權限 | 繼承權限 | 
| --- | --- | 
|  使用者-檢視或編輯  |  當有人在 Amazon Connect 主控台中編輯使用者的資訊時，他們就能在將它新增至使用者帳戶時，在下拉式方塊中**檢視**下列資訊： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/inherited-permissions.html)  | 
|  佇列 - 檢視或編輯  | 當有人在 Amazon Connect 主控台中編輯佇列時，他們就能在將它新增至佇列時，在下拉式和搜尋方塊中**檢視**下列資訊： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/inherited-permissions.html)  | 
|  快速連線 - 檢視  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/inherited-permissions.html)  | 
|  快速連接-編輯  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/inherited-permissions.html)  | 
|  電話號碼 - 檢視或編輯  |  有人在 Amazon Connect 主控台 (而非 CCP) 中編輯電話號碼時，他們就能在將它與電話號碼建立關聯時，在下拉式方塊中**檢視**下列資訊： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/inherited-permissions.html)  | 

# Amazon Connect 中安全性設定檔許可的清單
<a name="security-profile-list"></a>

本主題適用於在 Amazon Connect 中指派和管理安全性設定檔許可的管理員和聯絡中心經理。

安全設定檔許可允許使用者可在 Amazon Connect 管理員網站中執行特定任務。

下表列出：
+ **使用者介**面名稱：權限顯示在 Amazon Connect 的**安全設定檔**頁面上的名稱。
+ **API 名稱**：[清單安全性](https://docs.aws.amazon.com/connect/latest/APIReference/API_ListSecurityProfilePermissions.html)設定檔權限 API 傳回權限時的權限名稱。

  如需您可以用來管理安全性設定檔許可的所有 API 清單，請參閱[安全性設定檔動作](https://docs.aws.amazon.com/connect/latest/APIReference/security-profiles-api.html)。
+ **使用**：權限授予的功能。

## Amazon Q
<a name="amazonq-permissions-list"></a>


| UI 名稱 | API 名稱 | 使用 | 
| --- | --- | --- | 
| AI 代理程式  |  QConnectAIAgents.View QConnectAIAgents.Edit QConnectAIAgents.Create QConnectAIAgents.Delete  | [建立和管理 AI 代理程式](create-ai-agents.md)。  | 
| AI 提示  |  QConnectAIPrompts.View QConnectAIPrompts.Edit QConnectAIPrompts.Create QConnectAIPrompts.Delete  | [建立和管理 AI 提示](create-ai-prompts.md)。  | 
| AI 防護機制  |  QConnectGuardrails.View QConnectGuardrails.Edit QConnectGuardrails.Create QConnectGuardrails.Delete  | [建立和管理 AI 防護機制](create-ai-guardrails.md)。  | 

## 路由
<a name="routing-permissions-list"></a>


| UI 名稱 | API 名稱 | 使用 | 
| --- | --- | --- | 
| 轉接描述檔–建立  |  RoutingPolicies.Create  | [建立轉接描述檔](routing-profiles.md)。  | 
| 轉接描述檔–編輯  |  RoutingPolicies.Edit  | 編輯轉接設定檔。  | 
| 轉接描述檔–檢視  |  RoutingPolicies.View  | 檢視轉接設定檔。  | 
| 快速接通–建立  |  TransferDestinations.Create  | [建立快速接通](quick-connects.md)。  | 
| 快速接通–刪除  |  TransferDestinations.Delete  | [刪除快速接通](quick-connects-delete.md)。  | 
| 快速連接-編輯  |  TransferDestinations.Edit  | 編輯快速連線。  | 
| 快速連線 - 檢視  |  TransferDestinations.View  | 檢視快速連線。客服需要此權限，以便他們可以在客服人員應用程式中檢視快速連線以轉接呼叫。  | 
| 操作時數–建立  |  HoursOfOperation.Create  | [設定佇列的操作時數和時區](set-hours-operation.md)。  | 
| 營業時間-刪除  |  HoursOfOperation.Delete  | 刪除佇列的作業時數和時區。  | 
| 時間規劃-編輯  |  HoursOfOperation.Edit  | 編輯佇列的作業時數和時區。  | 
| 營業時間營業-景觀  |  HoursOfOperation.View  | 檢視佇列的營業時間和時區。  | 
| 佇列-建立  |  Queues.Create  | [建立佇列](create-queue.md)。  | 
| 佇列-編輯  |  Queues.Edit  | 編輯佇列的資訊，例如名稱、說明和作業時數。  | 
| 佇列-啟用/停用  |  Queues.EnableAndDisable  | [啟用和停用佇列](disable-a-queue.md)，以快速控制聯絡案例到佇列暫停的流程。  | 
| 佇列-檢視  |  Queues.View  | 檢視您 Amazon Connect 執行個體中的佇列清單。  | 
| 作業範本-建立  |  TaskTemplates.Create  | [建立作業範本](task-templates.md)。  | 
| 作業範本-刪除  |  TaskTemplates.Delete  | 刪除作業範本。  | 
| 作業範本-編輯  |  TaskTemplates.Edit  | 編輯作業範本。  | 
| 作業範本-檢視  |  TaskTemplates.View  | 檢視作業範本。  | 
| 預先定義屬性 - 檢視  |  PredefinedAttributes.View  | 檢視預先定義屬性。  | 
| 預先定義屬性 - 編輯  |  PredefinedAttributes.Edit  | 編輯預先定義屬性。  | 
| 預先定義屬性 - 建立  |  PredefinedAttributes.Create  | [建立將聯絡轉接至客服人員的預先定義屬性](predefined-attributes.md).   | 
| 預先定義屬性 - 刪除  |  PredefinedAttributes.Delete  | 刪除預先定義屬性。  | 
| 資料表 - 建立 | DataTables.Create | [建立和設定資料表](data-tables.md). | 
| 資料表 - 刪除 | DataTables.Delete | 刪除資料表。 | 
| 資料表 - 編輯 | DataTables.Edit | 編輯資料表的中繼資料和值。 | 
| 資料表 - 檢視 | DataTables.View | 檢視資料表。 | 
| 資料表 - 管理值 | DataTables.ManageValues | 管理資料表值。 | 
| 資料表 - 編輯表達式 | DataTables.EditExpressionValues | 編輯資料表值表達式。 | 

## 頻道和流程
<a name="numbers-flows-permissions-list"></a>


| UI 名稱 | API 名稱 | 使用 | 
| --- | --- | --- | 
| 提示–建立 |  Prompts.Create  | [建立提示](prompts.md)。  | 
| 提示-刪除 |  Prompts.Delete  | 刪除提示。  | 
| 提示-編輯 |  Prompts.Edit  | 編輯提示。  | 
| 提示-檢視 |  Prompts.View  | 檢視可用提示的清單。  | 
| 流程 - 建立 |  ContactFlows.Create  | [建立流程](create-contact-flow.md)。  | 
| 流程 - 移除 |  ContactFlows.Delete  | [刪除流程](delete-contact-flow.md)。  | 
| 流程 - 編輯 |  ContactFlows.Edit  | 編輯流程。  | 
| 流程 - 發佈 |  ContactFlows.Publish  | 發佈流程。  | 
| 流程 - 檢視 |  ContactFlows.View  | 檢視流程。  | 
| 流程模組-建立 |  ContactFlowModules.Create  | [建立可重複使用函數的流程模組](contact-flow-modules.md)。  | 
| 流程模組 - 移除 |  ContactFlowModules.Delete  | 刪除流程模組。  | 
| 流程模組-編輯 |  ContactFlowModules.Edit  | 編輯流程模組。  | 
| 流程模組-發佈 |  ContactFlowModules.Publish  | 發佈流程模組。  | 
| 流量模組-檢視 |  ContactFlowModules.View  | 檢視流程模組。  | 
| 機器人 |  Bots.Create  | [使用 Amazon Connect 管理員網站建立機器人](work-bot-building-experience.md).  | 
| 機器人 |  Bots.View Bots.Edit  | [在 Amazon Connect 中評估對話式 AI 機器人的效能](lex-bot-analytics.md).   | 
| 機器人 |  Bots.Delete  | 移除機器人。  | 
| 電話號碼–申請 |  PhoneNumbers.Claim  | [要求電話號碼](get-connect-number.md)。  | 
| 電話號碼–編輯 |  PhoneNumbers.Edit  | 編輯電話號碼。 [將已申請或已移植的電話號碼附加至 Amazon Connect 中的流程](associate-claimed-ported-phone-number-to-flow.md)。  | 
| 電話號碼–釋出 |  PhoneNumbers.Release  | 將[電話號碼釋出回庫存](release-phone-number.md)中。  | 
| 電話號碼–檢視 |  PhoneNumbers.View  | 檢視已宣告或移轉到 Amazon Connect 執行個體的電話號碼清單。  | 
| 通訊小工具 - 啟用/條用 |  ChatTestMode  | 存取模擬網頁，以便用戶可以[測試聊天體驗](chat-testing.md#test-chat)。同時授予使用者 **Contactflow.View** 許可，以便他們可以在**測試設定**選項中檢視可用流程的清單並從中選擇。  | 
| 電子郵件位址 |    | 檢視  | 
| 電子郵件位址 |    | 編輯  | 
| 電子郵件位址 |    | 建立  | 
| 電子郵件位址 |    | 移除  | 
| 檢視 - 檢視 |  Views.View  | 允許存取[檢視](view-resources-sg.md)。  | 
| 檢視 - 編輯 |  Views.Edit  | 允許編輯[檢視](view-resources-sg.md)。  | 
| 檢視 - 建立 |  Views.Create  | 建立自訂[檢視](view-resources-custom-view.md)資源。  | 
| 檢視 - 移除 |  Views.Remove  | 移除檢視資源。  | 
| AnalyticsConnectors - 編輯 |  AnalyticsConnectors.Edit  | [編輯現有的分析連接器](contact-lens-integration.md)。  | 
| AnalyticsConnectors - 檢視  |  AnalyticsConnectors.View  | [檢視現有的分析連接器](contact-lens-integration.md)。  | 

## 使用者與許可
<a name="users-permissions-list"></a>


| UI 名稱 | API 名稱 | 使用 | 
| --- | --- | --- | 
| 使用者–建立 |  Users.Create  | [將用戶添加到 Amazon Connect](user-management.md)。我們建議您限制誰擁有這些權限。這些人員會對您的聯絡中心構成風險，因為他們可以執行下列動作： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/security-profile-list.html) 執行這些動作可讓某人鎖定需要存取 Amazon Connect 的人，同時允許其他人竊取客戶資料並損害您的業務。 您可以在安全性設定檔上新增[標籤型存取控制](tag-based-access-control.md)，以限制此風險。例如，您可以套用標籤型存取控制，以拒絕對管理員和管理員安全性設定檔的存取。  | 
| 使用者–刪除 |  Users.Delete  | [從 Amazon Connect 刪除用戶](delete-users.md)。  | 
| 使用者-編輯 |  Users.Edit  | 檢視和編輯安全性設定檔*以外*的所有使用者身分資訊。與**使用者-建立**一樣，限制擁有這些權限的使用者，因為他們會對您的聯絡中心構成風險。  | 
| 使用者-編輯權限 |  Users.EditPermission  | 檢視和編輯使用者安全性設定檔。與**使用者-建立**一樣，限制擁有這些權限的使用者，因為他們會對您的聯絡中心構成風險。  | 
| 使用者‎‏‎–檢視 |  Users.View  | 檢視使用者記錄。從 Amazon Connect 執行個體[下載或匯出使用者清單](download-user-records.md)至 CSV 檔案。  | 
| 客服人員階層-建立 |  AgentGrouping.Create  | [建立客服人員階層](agent-hierarchy.md)。新增群組、團隊和專員。  | 
| 客服人員階層-編輯 |  AgentGrouping.Edit  | 編輯客服階層和階層層級結構。  | 
| 客服人員階層-啟用/停用 |  AgentGrouping.EnableAndDisable  | 檢視或編輯客服人員階層資訊。  | 
| 客服人員階層–檢視 |  AgentGrouping.View  | 在即時指標報告中檢視客服人員階層資訊 (其中可能包含其位置和技能組合資料)。  | 
| 安全性設定檔–建立 |  SecurityProfiles.Create  | [建立安全性描述檔](create-security-profile.md)。  | 
| 安全性描述檔–刪除 |  SecurityProfiles.Delete  | 刪除安全性描述檔。  | 
| 安全性設定檔-編輯 |  SecurityProfiles.Edit  | [更新安全性描述檔](update-security-profiles.md)。  | 
| 安全性設定檔-檢視 |  SecurityProfiles.View  | 檢視安全性設定檔。  | 
| 客服人員狀態-建立 |  AgentStates.Create  | [建立自訂客服人員狀態](agent-custom.md)。狀態會顯示在聯絡人主控台 (CCP) 中，例如休息時間、午餐或訓練。  | 
| 客服人員狀態-編輯 |  AgentStates.Edit  | 編輯自訂客服人員狀態。  | 
| 客服人員狀態–啟用/停用 |  AgentStates.EnableAndDisable  | 檢視和編輯自訂客服人員狀態。  | 
| 客服人員狀態-檢視 |  AgentStates.View  | 在[即時量度報告和歷史指標報告中檢視客服人員的狀態](rtm-change-agent-activity-state.md)。例如，如果它們為**可用**、**離線**或處於自訂狀態。在[客服人員活動報告](agent-activity-audit-report.md)中檢視其狀態。  | 
| 工作區 - 建立 | Workspaces.Create | [為您的管理員網站使用者設定工作區](amazon-connect-workspaces.md). | 
| 工作區 - 刪除 | Workspaces.Delete | 刪除工作區。 | 
| Workspaces - 編輯 | Workspaces.Edit | 編輯工作區。 | 
| 工作區 - 檢視 | Workspaces.View | 檢視工作區。 | 
| 工作區 - 指派 | Workspaces.Assign | 將工作區指派給使用者和轉接設定檔。 | 
| Workspaces - 編輯可見性 | Workspaces.EditVisibility | 編輯所有使用者、沒有使用者或根據指派可見的工作區。 | 

## 聯絡控制面板 (CCP)
<a name="ccp-permissions-list"></a>


| UI 名稱 | API 名稱 | 使用 | 
| --- | --- | --- | 
| 存取聯絡控制面板 |  BasicAgentAccess  | 管理聯絡控制面板 (CCP) 的存取。將此權限指派給需要監控即時交談的專員以及管理人員。  | 
| Contact Lens 資料 |  RealtimeContactLens.View  | 讓使用者能夠檢視 Contact Lens 提供的即時分析。  | 
| 撥打外撥通話 |  OutboundCallAccess  | 授與使用者撥出電話的權限。如需有關設定撥出電話的詳細資訊，請參閱 [在 Amazon Connect 中設定外撥通話](outbound-communications.md)。  | 
| 語音 ID |  VoiceId.Access  | 在聯絡人主控台中啟用控制項，以便客服人員可以： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/security-profile-list.html)  | 
| 限制任務建立 |  RestrictTaskCreation.Access  | 阻止客服人員能夠建立工作。  | 
| 音訊裝置設定 |  AudioDeviceSettings.Access  | 在[聯絡人主控台 (CCP) 或客服人員工作區中選擇您偏好的喇叭、麥克風和鈴聲裝置](audio-device-settings.md)。  | 
| 視訊通話 |  VideoContact.Access  | [讓客服能夠使用視訊通話和螢幕共用](config-com-widget1.md#agent-cx-cw)。  | 
| 啟動電子郵件對話 |  OutboundEmail.Create  | 允許客服人員從聯絡控制面板/客服人員工作區啟動外寄電子郵件，而無需先收到客戶的電子郵件聯絡。允許客服人員將電子郵件聯絡人轉送至外部電子郵件地址或分發清單。允許客服人員回覆已關閉的電子郵件聯絡人。  | 
| 允許自行指派聯絡人 |  SelfAssignContacts.Access  | 若要自行指派任務，客服還需要停用**限制任務建立**許可，並在其指派的轉接設定檔中將任務啟用為頻道。  | 

## 分析與最佳化
<a name="analytics-list"></a>


| UI 名稱 | API 名稱 | 使用 | 
| --- | --- | --- | 
| 存取指標 |  AccessMetrics  | [指派檢視儀表板和報告的許可](dashboard-required-permissions.md)。  | 
| 即時指標 |  AccessMetrics.RealTimeMetrics.Access  | 管理即時測量結果頁面的存取權。  | 
| 歷史指標 |  AccessMetrics.HistoricalMetrics.Access  | 管理歷史測量結果頁面的存取權。  | 
| 客服人員活動稽核 |  AccessMetrics.AgentActivityAudit.Access  | 在歷史測量結果頁面中管理客服人員活動稽核的存取權。  | 
| 儀表板 |  AccessMetrics.Dashboards.Access  | [Amazon Connect 中用於取得聯絡中心效能資料的儀表板](dashboards.md) | 
| 在儀表板中檢視我自己的資料 - 檢視 |  AccessMetrics.DashboardsWithMyData.View  |  授予儀表板的存取權，以檢視個別客服效能指標和客服轉接設定檔中佇列的指標。如需詳細資訊，請參閱[客服人員工作區效能儀表板](performance-dashboard-aw.md)。  | 
| 自訂指標 |  CustomMetrics.Create CustomMetrics.View CustomMetrics.Edit CustomMetrics.Delete CustomMetrics.Publish  |  授予存取權，以在儀表板上為任何小工具[建立和管理自訂服務層級指標計算](dashboard-customize-widgets.md#dashboard-custom-sl)。  | 
| 聯絡人搜尋 |  ContactSearch.View  | 存取聯絡人**搜尋**頁面，使用者可在此頁面[搜尋聯絡人](contact-search.md)，並在聯絡人**詳細資料頁**面上查看結果。  | 
| 檢視我的聯絡 |  MyContacts.View  | 允許客服在**聯絡人搜尋**和聯絡人**詳細資訊頁面上查看他們自己處理的聯絡人**。  | 
| 聯絡案例範例 |  ContactSearchSampleContacts.View  | 尋找評估客服人員效能和聯絡品質[的聯絡人隨機範例](random-sampling-of-contacts-for-evaluation.md)，例如上個月每個客服人員 5 個聯絡人。  | 
| 依對話特性搜尋聯絡 |  ContactSearchWithCharacteristics.Access  | 存取 Contact Lens 篩選條件，其可讓使用者能夠依情緒分數、非通話時間和類別進行搜尋。  | 
| 依交談特性搜尋聯絡人-檢視 |  ContactSearchWithCharacteristics.View  | 檢視 Contact Lens 篩選條件，其可讓使用者能夠依情緒分數、非通話時間和類別進行搜尋。  | 
| 按關鍵字搜尋聯絡人 |  ContactSearchWithKeywords.Access  | 依關鍵字搜尋聯絡人。在**聯絡人搜尋**頁面上，使用者可以存取其他篩選條件，讓他們可以依關鍵字或字詞搜尋 Contact Lens 文字記錄，例如「感謝您的惠顧」。  | 
| 依關鍵字搜尋聯絡人-檢視 |  ContactSearchWithKeywords.View  | 依關鍵字搜尋聯絡人。在**聯絡人搜尋**頁面上，使用者可以存取其他篩選條件，讓他們可以依關鍵字或字詞搜尋 Contact Lens 文字記錄，例如「感謝您的惠顧」。  | 
| 配置可搜尋的聯絡人屬性-檢 |  ConfigureContactAttributes.View  | 決定可搜尋的自訂屬性資料 (由具有**聯絡人屬性**權限的人員)。它可讓他們存取可**搜尋的自訂聯絡人屬性頁**面。如需詳細資訊，請參閱[使用自訂聯絡屬性或聯絡區段屬性在 Amazon Connect 中搜尋聯絡](search-custom-attributes.md)。  | 
| 限制聯絡人存取 |  RestrictContactAccessByHierarchy.View  | 根據使用者的客服人員階層群組，管理使用者在聯絡人**搜尋頁**面上的結果存取權。如需詳細資訊，請參閱[管理誰可以搜尋聯絡並存取詳細資訊](contact-search.md#required-permissions-search-contacts)。  | 
| 聯絡屬性 |  ContactAttributes.View  | 檢視聯絡屬性。也可以根據聯絡人屬性控制對搜尋篩選器的存取。如需詳細資訊，請參閱[使用自訂聯絡屬性或聯絡區段屬性在 Amazon Connect 中搜尋聯絡](search-custom-attributes.md)。  | 
| Contact Lens - 對話分析 - 檢視 |  GraphTrends.View  | 在聯絡人的**聯絡人詳細資訊**頁面上，使用者可以檢視對話分析輸出，例如圖形 (情緒、通話時間和其他各種輸出)、情緒指標，以及對話錄音和文字記錄上的聯絡類別標籤。 使用者可以在 [Amazon Connect Contact Lens 對話分析儀表板](contact-lens-conversational-analytics-dashboard.md) 上檢視資料。  | 
| Contact Lens - 聯絡後摘要 | ContactLensPostContactSummary.View | 在「聯絡人搜尋」和「聯絡人詳細資訊」頁面上查看由生成式 AI 支援的聯絡後摘要。 | 
| Contact Lens - 自訂詞彙 - 編輯 |  ContactLensCustomVocabulary.Edit  | [新增自訂詞彙](add-custom-vocabulary.md)。  | 
| Contact Lens - 自訂詞彙 - 檢視 |  ContactLensCustomVocabulary.View  | [下載並查看自定義詞彙](add-custom-vocabulary.md#view-custom-vocabulary)。  | 
| Contact Lens - 佈景主題偵測 - 建立 |  ThemeDetection.Create  | 在[**聯絡人搜尋**頁面上建立主題檢測報告](use-theme-detection.md)。  | 
| Contact Lens - 佈景主題偵測 - 檢視 |  ThemeDetection.View  | 在**聯絡人搜尋**頁面上檢視佈景主題偵測報告。  | 
| Contact Lens - 佈景主題偵測 - 刪除 |  ThemeDetection.Delete  | 刪除**聯絡人搜尋**頁面上的佈景主題偵測報告。  | 
| 規則–建立 |  Rules.Create  | [建立規則](connect-rules.md)。  | 
| 規則–刪除 |  Rules.Delete  | 刪除規則。  | 
| 規則-編輯 |  Rules.Edit  | 編輯規則。  | 
| 規則 - 生成式 AI |  RulesGenerativeAI.Create RulesGenerativeAI.View RulesGenerativeAI.Edit RulesGenerativeAI.Delete  | 管理使用生成式 AI 的規則。若要建立生成式 AI 支援的規則，您還需要**規則**許可。  | 
| 規則-檢視 |  Rules.View  | 檢視規則。  | 
| 登入/登出報告–檢視 |  AgentTimeCard.View  |  [檢視登入/登出報告](login-logout-reports.md)。  | 
| 即時聯絡監控-啟用/停用 |  ManagerListenIn  | [監控即時對話](monitor-conversations.md)並[聆聽過去對話的錄音](review-recorded-conversations.md)。請務必將管理員指派到客服人員安全性描述檔，以讓他們存取聯絡控制面板 (CCP)。這可讓他們透過 CCP 監控交談。  | 
| 即時聯絡人介入–啟用/停用 |  ManagerBargeIn  | 讓主管和經理能介入客服人員和客戶之間的即時對話。若要進一步瞭解介入現場對話，請參閱 [插入聯絡中心客服與客戶之間的即時語音和聊天對話](monitor-barge.md)。  | 
| 已儲存的報告–檢視 |  MetricsReports.View  | [檢視共用報告](view-a-shared-report.md)。  | 
| 已儲存報告-建立 |  MetricsReports.Create MetricsReports.Share  | [建立和共用報告](share-reports.md)。  | 
| 已儲存報告-編輯 |  MetricsReports.Edit  | 編輯儲存報告。  | 
| 已儲存報告-刪除 |  MetricsReports.Delete  | 刪除已儲存的報告。  | 
| 已儲存報告-發佈 |  MetricsReports.Publish  | [發佈報告](publish-reports.md)和[共用報告](share-reports.md)。  | 
| 已儲存報告-排程 |  MetricsReports.Schedule MetricsReports.Publish ReportSchedules.Create ReportSchedules.Delete ReportSchedules.Edit ReportSchedules.View  | [排程儲存的報告](schedule-historical-metrics-report.md)。依預設，使用者會取得建立、刪除、編輯和檢視已儲存報告的權限。  | 
| 已儲存的報告 (管理員) |  ReportsAdmin.View  ReportsAdmin.Delete   | [檢視和刪除執行個體中所有已儲存的報告，包括不是由您建立的報告](manage-saved-reports-admin.md)。  | 
| 評估表單-執行評估 |   Evaluation.Create Evaluation.View  Evaluation.Edit Evaluation.Delete  | [評估表現](evaluations.md)。  | 
| 評估表單-管理表單定義 |  EvaluationForms.Create EvaluationForms.View  EvaluationForms.Edit EvaluationForms.Delete  | [建立和管理評估表單](create-evaluation-forms.md)。  | 
| 評估表單 - 詢問 AI 助理 |  EvaluationAssistant.Access  | 在執行評估時存取**詢問 AI** 按鈕，讓使用者能夠取得生成式 AI 支援的建議，以回答評估表單中的問題。  | 
| 評估表單 - 管理校正工作階段  |  EvaluationCalibrationSessions.Create EvaluationCalibrationSessions.Delete EvaluationCalibrationSessions.Edit EvaluationCalibrationSessions.View  | 建立和管理校正工作階段，以在經理評估客服效能的方式中提高一致性和準確性。  | 
| 指導 - 我的指導工作階段 - 檢視 |  MyCoachingSessions.View  | 檢視您身為輔導員或參與者的輔導[工作階段](provide-coaching.md)。如果您是參與者，您可以使用此許可來確認指導工作階段。  | 
| 指導 - 我的指導工作階段 - 建立、編輯、刪除 |  MyCoachingSessions.Create MyCoachingSessions.Delete MyCoachingSessions.Edit  | 以輔導員的身分建立、編輯或刪除輔導工作階段。  | 
| 指導 - 管理指導工作階段 |  CoachingSessions.Create CoachingSessions.Delete CoachingSessions.Edit CoachingSessions.View  | 存取您自己或其他人執行的輔導工作階段。此許可可讓您使用自己或其他人做為指導者來[建立](provide-coaching.md)指導。  | 
| 評估表單 - 檢閱評估 - 建立 |  EvaluationReviews.Create  | 執行評估檢閱。  | 
| 評估表單 - 檢閱評估 - 檢視 |  EvaluationReviews.View  | 在評估檢閱草案定案之前檢視評估檢閱草案。  | 
| 評估表單 - 請求評估檢閱 |  EvaluationReviewRequest.View EvaluationReviewRequest.Create EvaluationReviewRequest.Delete  | 如果[評估](evaluation-review-requests.md)表單已啟用檢閱請求，請請求評估。  | 
| 語音 ID-屬性和搜尋 |  VoiceIdAttributesAndSearch.View  | 在**聯絡人詳細資料**頁面上搜尋並檢視語音 ID 結果。  | 
| 預測-檢視 |  Forecasting.View  | [查看聯絡人數量和平均處理時間預測](inspect-forecast.md)。  | 
| 進行預測–編輯 |  Forecasting.Edit  |  [建立和編輯聯絡人數量和平均處理時間預測](create-forecasts.md)。  | 
| 預測-發佈 |  Forecasting.Publish  | [在 Amazon Connect 中發佈預測](publish-forecast.md).  | 
| 容量規劃-檢視 |  Capacity.View  | [在 Amazon Connect 中檢閱容量計劃輸出](capacity-planning-review-output.md).  | 
| 容量規劃-編輯 |  Capacity.Edit  | [在 Amazon Connect 中建立容量規劃案例](capacity-planning-create-scenarios.md).  | 
| 容量規劃-發佈 |  Capacity.Publish  | [在 Amazon Connect 中發佈容量計劃](publish-capacity-plan.md).  | 
| 預測和排程間隔 - 編輯和檢視 |  ForecastScheduleInterval.Edit  ForecastScheduleInterval.View  |  [在 Amazon Connect 中設定預測與排程間隔](set-forecast-scheduling-interval.md).   | 

## 錄音和文字記錄
<a name="recordings-and-transcripts-list"></a>


| UI 名稱 | API 名稱 | 使用 | 
| --- | --- | --- | 
| 通話錄音 (未修訂) - 存取 |  CallRecordings.Unredacted.Access  | 在聯絡人的**聯絡人詳細資訊**和**聯絡人搜尋**頁面上，檢視未修訂的錄音。 如果您同時具有**通話錄音 (未修訂) - 存取**和**通話錄音 (已修訂) - 存取**許可： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/security-profile-list.html) 您無法同時存取對話的修訂和未修訂版本。  | 
| 通話錄音 (已修訂) - 存取 |  CallRecordings.Redacted.Access  | 在聯絡人的**聯絡人詳細資訊**和**聯絡人搜尋**頁面上，聆聽其中已修訂敏感資料的通話錄音。 | 
| 聯絡人文字記錄 (未修訂) - 存取 |  ContactTranscripts.Unredacted.Access  | 在聯絡人的**聯絡人詳細資訊**和**聯絡人搜尋**頁面上，檢視未修訂的聊天和電子郵件對話，以及 Contact Lens 產生的未修訂語音文字記錄。 如果您同時具有**聯絡人文字記錄 (未修訂) - 存取**和**聯絡人文字記錄 (已修訂) - 存取**許可： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/security-profile-list.html) 您無法同時存取對話的修訂和未修訂版本。  | 
| 聯絡人文字記錄 (已修訂) - 存取 |  ContactTranscripts.Unredacted.Access  | 在聯絡人的**聯絡人詳細資訊**和**聯絡人搜尋**頁面上，檢視其中已修訂敏感資料的聊天和語音文字記錄。 | 
| 通話錄音 (未修訂) - 啟用下載按鈕 |  CallRecordings.Unredacted.DownloadButton  | 當使用者在**聯絡人搜尋**和**聯絡人詳細資訊**頁面上檢視未修訂的錄音時，啟用按鈕來下載通話錄音。當您選取**通話錄音 （未修訂）** 許可時，預設會選取**啟用下載按鈕**許可，讓使用者可以透過 Amazon Connect 管理員網站[下載通話錄音](download-recordings.md)。  此許可僅控制檢視下載按鈕的能力。如果使用者具有**通話錄音 (未修訂) - 存取**許可，可能仍然能夠下載聯絡人錄音，而無需此許可。   | 
| 通話錄音 (已修訂) - 啟用下載按鈕 |  CallRecordings.Redacted.DownloadButton  | 當使用者在**聯絡人搜尋**和**聯絡人詳細資訊**頁面上檢視已修訂的錄音時，啟用按鈕來下載通話錄音。當您選取**通話錄音 （已修訂）** 許可時，預設會選取**啟用下載按鈕**許可，讓使用者可以透過 Amazon Connect 管理員網站[下載通話錄音](download-recordings.md)。  此許可僅控制檢視下載按鈕的能力。如果使用者具有**通話錄音 (已修訂) - 存取**許可，可能仍然能夠下載聯絡人錄音，而無需此許可。   | 
| 聯絡人文字記錄 (未修訂) - 啟用下載按鈕 |  ContactTranscripts.Unredacted.DownloadButton  | 當使用者在**聯絡人搜尋**和**聯絡人詳細資訊**頁面上檢視未修訂的文字記錄時，啟用按鈕來下載聯絡人文字記錄。當您選取**聯絡文字記錄 （未修訂）** 許可時，預設會選取**啟用下載按鈕**許可，讓使用者可以透過 Amazon Connect 管理員網站[下載通話錄音](download-recordings.md)。  此許可僅控制檢視下載按鈕的能力。如果使用者具有**聯絡人文字記錄 (未修訂) - 存取**許可，可能仍然能夠下載聯絡人文字記錄，而無需此許可。  **聯絡人搜尋**和**聯絡人詳細資訊**頁面上會出現一個按鈕，用於下載聊天和電子郵件的未修訂文字記錄。  | 
| 刪除錄製的對話 |  DeleteCallRecordings  | 刪除通話錄音和聯絡人文字記錄 | 
| 畫面錄製 - 存取 |  ScreenRecording.Access  | 存取畫面錄製媒體播放器，並在聯絡人詳細資訊頁面上檢視影片。  畫面錄製會將畫面錄製影片與未修訂的通話錄音檔案合併。如果使用者具有檢視畫面錄製內容的許可，他們可以聆聽未修訂的音訊。   | 
| 自動互動語音 (IVR) 錄音 (未修訂) - 存取 |  AutomatedVoiceInteraction.Recordings.Unredacted.Access  |  存取自動互動的語音錄音 (使用 IVR、Amazon Lex 或其他機器人)。 檢視播放圖示，讓使用者在檢閱 Amazon Connect 管理員網站上的自動互動日誌時，可以聆聽提示。  | 
| 自動互動語音 (IVR) 錄音 (未修訂) - 啟用下載按鈕 |  AutomatedVoiceInteraction.Recordings.Unredacted.DownloadButton  | 啟用按鈕以下載和刪除通話錄音。當您選取**自動互動語音 (IVR) 錄音**許可時，預設會選取**啟用下載按鈕**許可，讓使用者可以透過 Amazon Connect 管理員網站[下載通話錄音](download-recordings.md)。 不過，若要執行下載，使用者需要**自動互動語音 (IVR) 錄音 (未修訂) - 存取**許可。  | 
| 自動互動語音 (IVR) 文字記錄 (未修訂) |  AutomatedVoiceInteraction.Transcripts.Unredacted.Access  | 在**聯絡人詳細資訊**和**聯絡人搜尋**頁面上存取 IVR 互動的人類可讀日誌，包括回應 IVR 提示的鍵盤輸入、Amazon Lex 互動的文字記錄等。 | 

## 舊版許可
<a name="legacy-permissions"></a>

下表列出舊版許可。您無法透過安全性設定檔頁面存取這些許可。

 具有這些許可的現有安全性設定檔將繼續運作。不過，請注意以下功能：
+  當您編輯包含舊版許可的安全設定檔時，若您在**安全設定檔**頁面上選擇**儲存**時，Amazon Connect 會自動將舊版許可遷移至新的對應許可。
+ 您仍然可以使用 [CreateSecurityProfile](https://docs.aws.amazon.com/connect/latest/APIReference/API_CreateSecurityProfile.html) 和 [UpdateSecurityProfile](https://docs.aws.amazon.com/connect/latest/APIReference/API_UpdateSecurityProfile.html) API，將舊版許可新增至安全性設定檔。


| UI 名稱 | API 名稱 | 使用 | 
| --- | --- | --- | 
| 錄製的對話 (已修訂) - 檢視 |  RedactedData.View  | 在聯絡人的**聯絡人詳細資訊**和**聯絡人搜尋**頁面上，聆聽通話錄音檔案，並檢視已在其中移除敏感資料的通話文字記錄。  如果您編輯一個包含**錄製的對話 (已修訂) - 檢視**許可的安全性設定檔，當您在**安全性設定檔**頁面上選擇**儲存**時，此安全性設定檔會自動遷移以包含新的對應許可 (**通話錄音 (已修訂) - 存取**和**聯絡人文字記錄 (已修訂) - 存取**)。  若要授予已修訂錄製對話的存取權： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/security-profile-list.html) 您可以在**安全性設定檔**頁面的**錄音和文字記錄**區段中存取這兩個新遷移的許可。  | 
| 錄製的對話 (未編輯)-查看 |  ListenCallRecordings  | 在聯絡人的聯絡人**詳細**資料和 聯絡人搜**尋**頁面上，檢視包含敏感資料 (例如姓名和信用卡資訊) 的未編輯內容。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/security-profile-list.html)  如果您編輯一個包含**錄製的對話 (未修訂) - 檢視**許可的安全性設定檔，當您在**安全性設定檔**頁面上選擇**儲存**時，此安全性設定檔會自動遷移以包含新的對應許可 (**通話錄音 (未修訂) - 存取**和**聯絡人文字記錄 (未修訂) - 存取**)。  若要授予未修訂錄製對話的存取權： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/security-profile-list.html) 您可以在**安全性設定檔**頁面上的**錄音和文字記錄**區段中存取這兩個新遷移的許可。 如果您同時具有**錄製的對話 (已修訂) - 存取**和**錄製的對話 (未修訂) - 存取**許可，則： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/security-profile-list.html) 您無法同時存取對話的修訂和未修訂版本。  | 
| 錄製的對話 - 啟用下載按鈕 |  DownloadCallRecordings  | 啟用 Amazon Connect 管理員網站上的按鈕，以下載和刪除通話錄音。根據預設，會授予**啟用下載按鈕**許可，讓使用者可以透過 Amazon Connect 管理員網站[下載通話錄音](download-recordings.md)。但是，要執行下載，用戶需要存取**已記錄對話 (未編輯**) 的權限。  如果您編輯一個包含**錄製的對話 (未修訂) - 啟用下載按鈕**許可的安全性設定檔，當您在**安全性設定檔**頁面上選擇**儲存**時，此安全性設定檔會自動遷移以包含新的對應許可 (**通話錄音 (未修訂) - 啟用下載按鈕**、**通話錄音 (已修訂) - 啟用下載按鈕**，以及**聯絡人文字記錄 (未修訂) - 啟用下載按鈕**)。  若要為錄製的對話啟用下載按鈕： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/security-profile-list.html) 所有新遷移的許可都位於**安全性設定檔**頁面上的**錄音和文字記錄**區段。  | 

## 聯絡人動作
<a name="contactactions-sp"></a>


| UI 名稱 | API 名稱 | 使用 | 
| --- | --- | --- | 
| 允許任何聯絡人的「指派給我」 |  ManualAssignAnyContact.Enable  | 此許可允許客服檢視和手動指派屬於手動指派佇列的任何聯絡人。  | 
| 允許我的聯絡人的「指派給我」 |  ManualAssignMyContacts.Enable  | 此許可允許客服檢視和手動指派屬於手動指派佇列的任何聯絡人，而且此客服是聯絡時其中一個偏好的客服。  | 
| 轉移聯絡 |  TransferContact.Enabled  | [在分析和最佳化頁面上轉移聯絡人](transfer-contacts-admin.md)。聯絡人詳細資料頁面支援目前將工作**聯絡**人轉移至快速連線。  | 
| 結束接觸 |  StopContact.Enabled  | [在分析和最佳化頁面上結束聯絡人](end-contacts-admin.md)。目前支援**聯絡人詳細資料**頁面。  | 
| 重新排程聯絡人 |  UpdateContactSchedule.Enabled  | [在 Analytics 和最佳化頁面上重新排程先前排定的聯絡人](reschedule-contacts-admin.md)。目前僅在工作**聯絡人的聯絡人詳細資料頁**面上支援。  | 

## 歷史變遷
<a name="historical-changes-list"></a>


| UI 名稱 | API 名稱 | 使用 | 
| --- | --- | --- | 
| 檢視歷史變更 |  HistoricalChanges.View  | 檢視支援歷史變更的所有 Amazon Connect 管理員網站頁面上的歷史變更。  | 

## 客戶描述檔
<a name="customerprofiles-permissions-list"></a>


| UI 名稱 | API 名稱 | 使用 | 
| --- | --- | --- | 
| 客戶個人檔案-建立 |  CustomerProfiles.Create  | [在客服人員應用程式中建立客戶描述檔](ag-cp-create.md)。  | 
| 客戶個人檔案-編輯 |  CustomerProfiles.Edit  | 在客服人員應用程式中編輯客戶個人檔案。  | 
| 客戶設定檔-檢視 |  CustomerProfiles.View  | 在客服人員應用程式中檢視客戶設定檔。  | 
| 計算屬性 - 建立 |  CustomerProfiles.CalculatedAttributes.Create  | [建立計算屬性](calculated-attributes-admin-website-create.md)。  | 
| 計算屬性 - 編輯 |  CustomerProfiles.CalculatedAttributes.Edit  | [編輯計算屬性](calculated-attributes-admin-website-edit.md)。  | 
| 計算的屬性 - 刪除 |  CustomerProfiles.CalculatedAttributes.Delete  | [刪除計算屬性](calculated-attributes-admin-website-delete.md)。  | 
| 計算屬性 - 檢視 |  CustomerProfiles.CalculatedAttributes.View  | [檢視計算屬性](calculated-attributes-admin-website-view.md)。  | 
| 客戶客群 - 檢視 |  CustomerProfiles.Segments.View  | 檢視所有客戶建立的客群。您可以查看客群詳細資訊、建立的定義，以及客群預估計數。  | 
| 客戶客群 - 建立 |  CustomerProfiles.Segments.Create  | 根據與此執行個體相關聯的客戶設定檔網域上的所有設定檔屬性建立客群定義。`Create` 許可允許根據現有的設定檔屬性及其值建立定義。您也可以在客群定義中使用預設和建立的計算屬性。  | 
| 客戶客群 - 刪除 |  CustomerProfiles.Segments.Delete  | `Delete` 許可允許您刪除客群定義。  | 
| 客戶客群 - 匯出 |  CustomerProfiles.Segments.Export  | 匯出可讓您從該客群中的設定檔建立所有設定檔資料的匯出 CSV。它也可讓您一旦匯出基礎設定檔資料，就可檢視該資料。  | 
| 設定檔總管 - 檢視 |  CustomerProfiles.ProfileExplorer.View  | 檢視設定檔總管登陸頁面和預設網域配置。  | 
| 設定檔總管 - 建立 |  CustomerProfiles.ProfileExplorer.Create  | [建立網域配置](https://docs.aws.amazon.com/connect/latest/APIReference/API_connect-customer-profiles_CreateDomainLayout.html)  | 
| 設定檔總管 - 編輯 |  CustomerProfiles.ProfileExplorer.Edit  | [編輯網域配置](https://docs.aws.amazon.com/connect/latest/APIReference/API_connect-customer-profiles_UpdateDomainLayout.html)  | 
| 設定檔總管 - 刪除 |  CustomerProfiles.ProfileExplorer.Delete  | [刪除網域配置](https://docs.aws.amazon.com/connect/latest/APIReference/API_connect-customer-profiles_DeleteDomainLayout.html)  | 

## 排程
<a name="scheduling-permissions-list"></a>


| UI 名稱 | API 名稱 | 使用 | 
| --- | --- | --- | 
| 排程管理員-檢視 |  Scheduling.View  |  在[排程管理員使用者經驗中檢視產生的員工排程](scheduling-publish-schedule.md)。  | 
| 排程管理員-編輯 |  Scheduling.Edit  | [建立，編輯計劃配置和發布生成的員工時間表](scheduling-publish-schedule.md)。  | 
| 排程管理員-發佈 |  Scheduling.Publish  | 使用[排程管理員發佈](scheduling-publish-schedule.md)排程。  | 
| 發佈排程行事曆 |  Scheduling.View  | [檢視](scheduling-view-schedule-staff.md)排程。  | 
| 休假請求 - 核准、編輯、檢視 |  TimeOff.Approve TimeOff.Edit TimeOff.View  | [休假時間管理](scheduling-time-off.md)。  | 
| 休假餘額 - 編輯、檢視 |  TimeOffBalance.Edit TimeOffBalance.View  | [休假時間管理](scheduling-time-off.md)。  | 
| 團隊行事曆 |  TeamCalendar.View  | [檢視已發佈的行事曆使用者經驗中已發佈的員工排](scheduling-view-schedule-supervisors.md)程   | 
| 團隊行事曆 |  TeamCalendar.Edit  | 在[已發佈的行事曆使用者體驗中編輯已發佈的員工排](scheduling-view-schedule-supervisors.md)  | 

## 客服人員應用
<a name="agentapplications-permissions-list"></a>


| UI 名稱 | API 名稱 | 使用 | 
| --- | --- | --- | 
| 客服人員申請日程日曆 |  StaffCalendar.View StaffCalendar.Edit  | [能夠讓客服人員查看他們的時間表](scheduling-view-schedule-agents.md)。客服需要**編輯**許可，才能依其用來請求休假的排程檢視和使用**休假**小工具。如果他們只有**檢視**許可，**休假**小工具將不會出現在其排程上。 如需顯示客服排程上**休假**小工具的範例影像，請參閱 [客服人員啟動的休假請求](create-time-off-to.md#to-agent)。  | 
| 自訂視圖 |  CustomViews.Access  | 使用[客服人員工作區引導式體驗](step-by-step-guided-experiences.md)指南。  | 
| Connect AI 代理器 |  Wisdom.View  | 在[客服人員應用程式中檢視即時建議](use-realtime-recommendations.md)。  | 
| *<3p 應用程式名稱* - 存取 |  *<3p app name*.Access  | 允許客服人員存取第三方應用程式。  | 
| *效能指標* - 存取 |  Analytics.PerformanceMetrics.Access  | 在客服人員工作區的**應用程式**下拉式功能表中顯示**效能指標**選項。如需詳細資訊，請參閱[客服人員工作區效能儀表板](performance-dashboard-aw.md)。  | 
| *工作清單* - 存取 |  ManualAssignAnyContact.Enable ManualAssignMyContacts.Enable  | 允許客服檢視工作清單應用程式，其中將顯示可手動指派的聯絡人。  | 

## 內容管理
<a name="contentmanagement-permissions-list"></a>


| UI 名稱 | API 名稱 | 使用 | 
| --- | --- | --- | 
| 訊息範本 - 檢視 |    | 檢視 Amazon Connect 管理員網站中的訊息範本清單。  | 
| 訊息範本 - 編輯 |    | 編輯訊息範本。  | 
| 訊息範本 - 建立 |    | 建立訊息範本。  | 
| 訊息範本 - 刪除 |    | 使用 Amazon Connect 管理員網站刪除訊息範本。   | 
| 快速回應 - 建立 |  ContentManagement.Create  | [建立知識庫以儲存快速回應](setup-knowledgebase.md)。[建立](create-quick-responses.md)、[匯入](add-data.md)及[檢視客服人員應用程式中顯示之快速回應的匯入歷史記錄](view-import-history.md)。  | 
| 快速回應 - 編輯 |  ContentManagement.Edit  |  [編輯](edit-quick-responses.md)、[匯入](add-data.md)及[檢視客服人員應用程式中顯示之快速回應的匯入歷史記錄](view-import-history.md)。  | 
| 快速回應 - 檢視 |  ContentManagement.View  | 在 Amazon Connect 管理員網站中檢視快速回應清單。  | 
| 快速回覆 - 刪除 |  ContentManagement.Delete  |  使用 Amazon Connect 管理員網站[刪除快速回應](delete-qr.md)。  | 

## 案例
<a name="cases-permissions-list"></a>


| UI 名稱 | API 名稱 | 使用 | 
| --- | --- | --- | 
| 稽核歷程記錄 - 檢視 |  CaseHistory.View  | 檢視客服應用程式中案例的稽核歷程記錄。  | 
| 案例–建立 |  Cases.Create  | [在客服人員應用程式中建立案例](create-cases.md)。  | 
| 案例-查看 |  Cases.View  | 檢視客服人員應用程式中的案例。  | 
| 案例-編輯 |  Cases.Edit  | 在客服人員應用程式中編輯案例。  | 
| 案例欄位-建立 |  CaseFields.Create  | [建立案例欄位](case-fields.md)。  | 
| 案例欄位-檢視 |  CaseFields.View  | 檢視案例欄位。  | 
| 大小寫欄位-編輯 |  CaseFields.Edit  | 編輯案例欄位。  | 
| 案例範本-建立 |  CaseTemplates.Create  | [建立案例範本](case-templates.md)。  | 
| 案例範本-檢視 |  CaseTemplates.View  | 檢視案例範本。  | 
| 案例範本-編輯 |  CaseTemplates.Edit  | 編輯案例範本。  | 

## 對外行銷活動
<a name="campaigns-permissions-list"></a>


| UI 名稱 | API 名稱 | 使用 | 
| --- | --- | --- | 
| 行銷活動–建立 |  Campaigns.Create  | [建立出站行銷活動](how-to-create-campaigns.md)。  | 
| 行銷活動–刪除 |  Campaigns.Delete  | 刪除出站廣告活動。  | 
| 促銷活動-編輯 |  Campaigns.Edit  | 編輯外送廣告活動。  | 
| 行銷活動-管理 |  Campaigns.Delete  | 管理出站廣告活動。  | 
| 促銷活動-檢視 |     | 檢視出站廣告活動。  | 

# Amazon Connect 中的預設安全性設定檔
<a name="default-security-profiles"></a>

Amazon Connect 包含為一般角色提供的預設安全描述檔。您可以檢閱這些設定檔授予的許可，並在符合使用者所需的情況下運用這些許可。不然的話，您也可以建立只會授予使用者所需許可的安全性設定檔。

下表列出預設的安全設定檔：


| 安全性設定檔 | Description | 
| --- | --- | 
|  **管理員**  | 授予管理員執行多數動作的權限。  | 
|  **代理程式**  | 授予客服人員存取 CCP 的許可。  | 
|  **CallCenterManager**  |  授予主管執行使用者管理、指標和轉接相關動作的許可。  | 
|  **QualityAnalyst**  | 授予分析師執行指標相關動作的許可。  | 

**注意**  
新權限為定期新增。我們建議您重新瀏覽權限配置，以確保您的使用者可以存取最新的 Amazon Connect 功能。

# 將 Amazon Connect 的安全設定檔指派給聯絡中心使用者
<a name="assign-security-profile"></a>

## 將許可指派給安全性設定檔的必要權限。
<a name="assign-security-profiles-required-permissions"></a>

您必須先使用具有使用者 **-編輯權限的 Amazon Connect 帳戶登入，才能將安全設定檔指派給使用**者，如下圖所示。或者，如果您是第一次建立使用者帳戶，則需要使**用者-建立權**限。

![\[安全性設定檔頁面的使用者和權限區段。\]](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/images/security-profile-assign-security-profile.png)


根據預設，Amazon Connect **管理員**安全設定檔具有這些許可。

## 如何指定安全性設定檔
<a name="how-to-assign-security-profiles"></a>

1. 檢閱 [Amazon Connect 和聯絡人控制台 (CCP) 安全性設定檔的最佳實務](security-profile-best-practices.md)。

1. 登入 Amazon Connect 管理網站，網址為 https：//*instance name*.my.connect.aws/。

1. 選擇**使用者**、**使用者管理**。

1. 選擇一或多位使用者，並選擇**編輯**。

1. 在**安全性設定檔**中，視需要新增或移除安全性設定檔。若要新增安全性設定檔，請將游標移動至該欄位，接著從清單中選擇安全性設定檔。若要移除安全性設定檔，則請按一下該設定檔名稱旁邊的 **x**。

1. 選擇**儲存**。

# 在 Amazon Connect 中建立安全性設定檔
<a name="create-security-profile"></a>

建立安全性設定檔能讓您僅授予使用者所需的許可。

每個許可群組都包含一組資源和一組支援的動作。例如，使用者屬於**使用者與許可**群組的一部分，其可支援下列動作：檢視、編輯、建立、移除、啟用/停用，以及編輯許可。

有些動作需視其他動作而定。如果選擇的動作需取決於另一個動作，則系統會自動選擇相依的動作，而您也必須為其授予必要許可。例如，假設您新增了編輯使用者的許可，系統就會一併新增檢視使用者的許可。

## 建立安全性設定檔所需的權限
<a name="create-security-profiles-required-permissions"></a>

建立新的安全設定檔之前，您必須先使用具有**安全設定檔-建立**許可的 Amazon Connect 帳戶登入，如下圖所示。

![\[安全性設定檔頁面的使用者和權限區段。\]](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/images/security-profile-create.png)


根據預設，Amazon Connect **管理員**安全設定檔具有這些許可。

## 如何建立安全性設定檔
<a name="how-to-security-profiles-required-permissions"></a>

1. 登入 Amazon Connect 管理網站，網址為 https：//*instance name*.my.connect.aws/。

1. 選擇**使用者**，再選擇**安全性設定檔**。

1. 選擇**新增安全性設定檔**。

1. 輸入安全性設定檔的名稱和說明。

1. 為每個許可群組中的安全性設定檔選擇適當許可。在每個許可類型中，選擇一或多個動作。選擇某些動作時，系統可能會同時選擇其他動作。例如，選擇資源和任何相依資源的**編輯**許可，就會一併選擇**檢視**許可。

1. 選擇**儲存**。

## 標籤型存取控制
<a name="security-profile-tag-based-access-controls"></a>

您可以使用存取控制標籤建立安全性設定檔。使用下列步驟建立安全性設定檔，以強制執行以標籤為基礎的存取控制。

1. 選擇安全性**設定檔底部的顯示進階設定**。

1. 在存**取控制區**段的資**源方**塊中，輸入要使用標籤限制的資源。  
![\[安全性設定檔頁面的存取控制區段。\]](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/images/tag-access-control-sp.png)

1. 針對您要限制存取的資源標籤，輸入**索**引鍵與**值**組合。

1. 確定您已為所選資源啟用檢*視權*限。

1. 選擇**儲存**。

**注意**  
配置標籤式存取控制時，必須同時指定資源類型和存取控制標籤。最佳作法是確保您在安全性設定檔上具有相符的資源標籤，該資源標籤已設定標籤式存取控制。若要進一步了解 Amazon Connect 中標籤式存取控制，請參閱 [在 Amazon Connect 中套用標籤型存取控制](tag-based-access-control.md)。

## 標籤安全性描述檔
<a name="security-profile-tagging"></a>

您可以使用資源標籤建立新的安全性設定檔。請使用下列步驟將資源標籤新增至安全性設定檔。

1. 選擇安全性**設定檔底部的顯示進階設定**。

1. 輸入**鍵**與**值**組合以標記資源，如下圖所示。  
![\[安全性設定檔頁面的標籤區段。\]](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/images/tag-securit-profiles-sp.png)

1. 選擇**儲存**。

如需標記資源的詳細資訊，請參閱 [在 Amazon Connect 中將標籤新增至資源](tagging.md)。

# 在 Amazon Connect 中更新安全性設定檔
<a name="update-security-profiles"></a>

您隨時可以更新安全性設定檔，以新增或移除許可。

## 更新安全性設定檔所需的權限
<a name="update-security-profiles-required-permissions"></a>

您必須先使用具有下列權限的 Amazon Connect 帳戶登入，才能更新安全設定檔中的許可：**安全設定檔-編輯**。

![\[安全性設定檔頁面的使用者和權限區段。\]](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/images/security-profile-edit.png)


根據預設，Amazon Connect **管理員**安全設定檔具有這些許可。

## 如何更新安全性描述檔
<a name="how-to-update-security-profiles"></a>

1. 登入 Amazon Connect 管理網站，網址為 https：//*instance name*.my.connect.aws/。您必須使用具有更新安全設定檔許可的 Amazon Connect 帳戶登入。

1. 選擇**使用者**，再選擇**安全性設定檔**。

1. 選擇設定檔的名稱。

1. 視需要更新名稱、說明、許可、存取控制和資源標籤。

1. 選擇**儲存**。

**注意**  
修改安全性設定檔上的存取控制或資源標籤可能會影響具有此安全性設定檔的使用者可存取的功能或資源。

# 在 Amazon Connect 中套用標籤型存取控制
<a name="tag-based-access-control"></a>

您可以使用標籤型存取控制，根據指派的資源標籤設定對特定資源的精細存取。您可以使用 API/SDK Amazon Connect 或受支援資源的管理網站來設定標籤型存取控制。

## 使用 API/SDK 套用標籤型存取控制
<a name="tag-based-access-control-api-sdk"></a>

若要使用標籤控制 AWS 帳戶內資源的存取，您需要在 IAM 政策的條件元素中提供標籤資訊。例如，若要根據您指派給 Voice ID 網域的標籤來控制對語音 ID 網域的存取，請使用`aws:ResourceTag/key-name`條件金鑰，以及特定的操作員，例如`StringEquals`指定哪個標籤金*鑰:value* 配對必須附加至網域，以允許其執行指定動作。

如需標籤型存取控制的詳細資訊，請參閱《IAM 使用者指南》**中的[使用標籤控制對 AWS 資源的存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。

## 使用 Amazon Connect 管理員網站套用標籤型存取控制
<a name="tag-based-access-control-connect-ui"></a>

*資源*標籤是一個自訂中繼資料標籤，您可將其新增到資源，以便輕鬆識別、組織和搜尋資源。您可以使用 Amazon Connect SDK /API 以程式設計方式套用標籤，對於某些資源，您可以從 Amazon Connect 主控台套用標籤。若要進一步了解資源標記，請參閱 [在 Amazon Connect 中將標籤新增至資源](tagging.md)。

存取控制標籤類似於資源標籤，因為它使用相同的 *key: Value* 結構。但是，存取控制標籤的區別在於，它引入了授權控制項，以限制使用者的存取權限，只包含具有相同 *key:* Value 配對之資源標籤的指定資源。存取控制標籤是在安全性設定檔中定義的，方法是先選擇要控制其存取的資源 (轉接設定檔、佇列、使用者等)，然後定義要比對的*金鑰:Val* ue 配對。一旦將具有存取控制標籤的安全性設定檔套用至使用者，就會根據所選資源和存取控制標籤 (*Key:Value*) 的定義組合來限制使用者的存取。如果沒有套用存取控制標籤，使用者將能夠看到所有資源，如果獲得這樣做的權限。

若要使用標籤來控制 Amazon Connect 執行個體管理網站內資源的存取，您需要在指定的安全設定檔中設定存取控制區段。例如，若要根據您指派給路由描述檔的標籤來控制對路由描述檔的存取，您可以將路由描述檔指定為存取控制的資源，然後指定要啟用存取權的標籤*金鑰:Value* 配對。

## 組態限制
<a name="tag-based-access-control-config-limitations"></a>

存取控制標籤是在安全性設定檔上設定的。您可以在單一安全性設定檔上設定最多 4 個存取控制標籤。新增額外的存取控制標籤會使該安全性設定檔更具限制性。例如，如果您要新增兩個存取控制標籤 (如`Department:X`和)`Country:Y`，使用者將只能看到包含這兩個標籤的資源。

最多可為使用者指派三個包含存取控制標籤的安全性設定檔。將包含存取控制標籤的多個安全性設定檔指派給單一使用者時，標籤式存取控制會變得較不嚴格。例如，如果使用者有一個具有存取控制標籤的安全性設定檔`Country:USA`，而另一個具有存取控制標籤的安全性設定檔`Country:Argentina`，則使用者將能夠看到標記為`Country:USA`或的資源`Country:Argentina`。只要這些額外的安全性設定檔不包含標籤，使用者就可以擁有其他安全性設定檔。如果存在多個具有重疊資源權限的安全性設定檔，則不含標籤式存取控制的安全性設定檔將優先於有標籤是存取控制的安全性設定檔。

需要服務連結角色才能設定[資源標籤](https://docs.aws.amazon.com/connect/latest/adminguide/tagging.html)或[存取控制標籤](https://docs.aws.amazon.com/connect/latest/adminguide/tag-based-access-control.html)。如果您的執行個體是在 2018 年 10 月之後建立的，您的 Amazon Connect 執行個體預設可使用此執行個體。不過，如果您使用較舊的執行個體，請參閱[使用 Amazon Connect 的服務連結角色](https://docs.aws.amazon.com/connect/latest/adminguide/connect-slr.html)以取得如何啟用服務連結角色的指示。

## 標籤式存取控制最佳實務
<a name="tag-based-access-control-best-practices"></a>

套用標籤型存取控制是 Amazon Connect 支援的進階組態功能，遵循 AWS 共同責任模型。請務必確保您正確設定執行個體以符合您想要的授權需求。如需詳細資訊，請參閱[AWS 共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)。

確保您至少已為其啟用標籤式存取控制的資源啟用*檢視*權限。這將確保您避免導致拒絕存取請求的權限不一致。

標籤式存取控制在資源層級啟用，代表可以單獨限制每項資源。在某些使用情況下，這可能是可以接受的，但它被認為是一起對所有資源啟用標籤式存取控制的最佳實務。例如，啟用使用者存取而非安全性設定檔的存取權，可讓使用者建立具有取代預定使用者存取控制設定之權限的安全性設定檔。

在套用標籤式存取控制的情況下登入 Amazon Connect 主控台時，使用者將無法存取其受限資源的歷史變更日誌。

最佳實務是，在 Amazon Connect 主控台內套用標籤式存取控制時，應停用對下列資源/模組的存取權。如果您未停用對這些資源的存取，則對特定資源具有標籤型存取控制且可檢視這些頁面的使用者可能會看到不受限制的清單，其中列出使用者、安全性設定檔、轉接設定檔、佇列、流程或流程模組。如需如何管理許可的詳細資訊，請參閱 [Amazon Connect 中安全性設定檔許可的清單](security-profile-list.md)。


| 模組 | 禁用存取權限 | 
| --- | --- | 
| 聯絡搜尋 | 聯絡人搜尋 | 
| 儀表板 | 存取指標 | 
| 流程 | 流程 - 檢視 | 
| 流程模組 | 流量模組-檢視 | 
| 預測 | 預測 | 
| 歷史變更/稽核門戶 | 存取指標 | 
| 操作時數 | 操作時數 - 檢視 | 
| 登入/登出報告 | 登入/登出報告–檢視 | 
| 出站活動 | 促銷活動-檢視 | 
| 提示 | 提示-檢視 | 
| Quick Connect | 快速連線 - 檢視 | 
| Rules | 規則-檢視 | 
| 已儲存的報告 | 已儲存的報告–檢視 | 
| 排程 | 排程管理員 | 
| 排程 | 發佈排程行事曆 | 

# 在 Amazon Connect 中套用階層型存取控制
<a name="hierarchy-based-access-control"></a>

您可以根據指派給使用者的客服階層，限制對聯絡人的存取。您可以使用[限制聯絡人存取](contact-search.md#required-permissions-search-contacts)等安全性設定檔許可來執行此操作。除了這些許可之外，您也可以使用階層，對使用者等資源強制執行精細存取控制，以及使用標籤。

本主題提供如何設定階層型存取控制的相關資訊。

**Topics**
+ [概要](#hierarchy-based-access-control-background)
+ [使用 API/SDK 套用階層型存取控制](#hierarchy-based-access-control-api-sdk)
+ [使用 Amazon Connect 管理網站套用階層型存取控制](#hierarchy-based-access-control-console)
+ [組態限制](#hierarchy-based-access-control-config-limitations)
+ [套用階層型存取控制的最佳實務](#hierarchy-based-access-control-best-practices)

## 概要
<a name="hierarchy-based-access-control-background"></a>

階層型存取控制可讓您根據指派給使用者的[客服人員階層](agent-hierarchy.md)來設定特定資源的精細 存取權。 您可以使用 API/SDK 或 Amazon Connect 管理員網站來設定階層型存取控制。 

支援階層型存取控制的唯一資源是使用者。此授權模型會使用[標籤型存取控制](tag-based-access-control.md)，因此您可以限制對使用者的存取，讓他們只能看到屬於相同階層群組且具有與其相關聯之特定標籤的其他使用者。

**注意**  
在您將階層型存取控制套用至使用者之後，他們可以存取其階層群組及其所有子代 (除了子層級以外)。

## 使用 API/SDK 套用階層型存取控制
<a name="hierarchy-based-access-control-api-sdk"></a>

若要使用階層來控制 AWS 對帳戶中資源的存取，您需要在 IAM 政策的條件元素中提供階層的資訊。例如，若要控制對屬於特定階層之使用者的存取，請使用 `connect:HierarchyGroupL3Id/hierarchyGroupId` 條件金鑰以及 `StringEquals` 等特定運算子，指定使用者必須屬於哪個階層群組，以允許為其指定的動作。

以下是支援的條件金鑰：

1. `connect:HierarchyGroupL1Id/hierarchyGroupId`

1. `connect:HierarchyGroupL2Id/hierarchyGroupId`

1. `connect:HierarchyGroupL3Id/hierarchyGroupId`

1. `connect:HierarchyGroupL4Id/hierarchyGroupId`

1. `connect:HierarchyGroupL5Id/hierarchyGroupId`

每個金鑰代表使用者階層結構特定層級中指定階層群組的 ID。

## 使用 Amazon Connect 管理網站套用階層型存取控制
<a name="hierarchy-based-access-control-console"></a>

 若要使用階層來控制對 Amazon Connect 管理網站資源的存取，您可以在指定的安全性設定檔中設定存取控制區段。

 例如，若要根據指定使用者所屬的階層為此使用者啟用精細存取控制，請將使用者設定為存取控制資源。為了執行此操作，您有下列兩個選項：

1. 根據**使用者的階層**強制執行階層型存取控制

   此選項確保獲得存取權的使用者只能管理屬於此階層的使用者。例如，為指定使用者啟用此組態，可讓他們管理屬於其階層群組或子階層群組的其他使用者。

1. 根據**特定階層**強制執行階層型存取控制

   此選項確保獲得存取權的使用者只能管理屬於安全性設定檔中所定義階層的使用者。例如，為指定使用者啟用此組態，可讓他們管理屬於安全性設定檔中所設定階層群組或子階層群組的其他使用者。

## 組態限制
<a name="hierarchy-based-access-control-config-limitations"></a>

 精細存取控制是在安全性設定檔上設定的。使用者最多可獲指派兩個強制執行精細存取控制的安全性設定檔。在此情況下，許可限制較少，並做為兩個許可集的聯集。

例如，如果一個安全性設定檔強制執行階層型存取控制，另一個安全性設定檔強制執行標籤型存取控制，則使用者能夠管理屬於相同階層或以指定標籤標記的任何使用者。如果標籤型和階層型存取控制都設定為相同安全性設定檔的一部分，則需要滿足這兩個條件。在此情況下，使用者只能管理屬於相同階層且以指定標籤標記的使用者。 

只要這些額外的安全性設定檔不強制執行精細存取控制，使用者就可以具有兩個以上的安全性設定檔。如果存在多個安全性設定檔具有重疊資源許可，則沒有標籤型存取控制的安全性設定檔將優先於具有階層型存取控制的安全性設定檔強制執行。

需要服務連結角色才能設定階層型存取控制。如果您的執行個體是在 2018 年 10 月之後建立的，則其預設可與您的 Amazon Connect 執行個體搭配使用。不過，如果您有更舊的執行個體，請參閱[使用 Amazon Connect 的服務連結角色](connect-slr.md)，以取得如何啟用服務連結角色的指示。

## 套用階層型存取控制的最佳實務
<a name="hierarchy-based-access-control-best-practices"></a>
+ 檢閱 [AWS 共同責任模式](https://aws.amazon.com/compliance/shared-responsibility-model/)。

  套用階層型存取控制是 Amazon Connect 支援的進階組態功能，遵循 AWS 共同責任模型。請務必確保您正確設定執行個體以符合您想要的授權需求。
+ 確保您至少已為其啟用階層型存取控制的資源啟用*檢視*權限。

  這將確保您避免導致拒絕存取請求的權限不一致。階層型存取控制是在資源層級啟用，這表示可以單獨限制每項資源。
+ 仔細檢閱強制執行階層型存取控制時授予的許可。

  例如，啟用對使用者的階層有限存取和檢視/編輯許可安全性設定檔，將允許使用者建立/更新安全性設定檔，其中具有取代預定使用者存取控制設定的權限。
  + 在套用階層型存取控制的情況下登入 Amazon Connect 主控台時，使用者將無法存取其受限資源的歷史變更日誌。
  +  嘗試將子資源指派給對子資源具有階層型存取控制的父資源時，如果子資源不屬於您的階層，則操作會被拒絕。

    例如，如果您嘗試將使用者指派給快速連線，但無權存取使用者的階層，則操作會失敗。不過，對於取消關聯並非如此。假設您可以存取快速連線，則即使強制執行階層型存取控制，您仍可以自由取消使用者關聯。這是因為取消關聯是關於捨棄兩個資源之間的現有關係 (而不是新關聯)，並將其建模為使用者已可存取的父資源 (在此情況下，快速連線) 的一部分。
+ 請謹慎授予父資源的許可，因為使用者可能會在主管不知情的情況下取消關聯。
+ 當您在 Amazon Connect 管理網站中套用階層型存取控制時，請停用下列功能的存取權。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/connect/latest/adminguide/hierarchy-based-access-control.html)

  如果您未停用對這些資源的存取，對 Amazon Connect 管理網站中檢視這些頁面的特定資源具有階層型存取控制的使用者可能會看到無限制的使用者清單。如需如何管理許可的詳細資訊，請參閱[安全性設定檔許可清單](security-profile-list.md)。