本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用自訂 IAM 政策管理 Amazon Connect Cases 所需的權限
如果您使用自訂 IAM 政策來管理 Amazon Connect Cases 的存取許可,則您的使用者需要本文中列出的部分或全部許可,具體取決於他們需要執行的任務。
## 檢視案例網域詳細資訊
有兩個選項可授予使用者 IAM 許可,以便在 Amazon Connect 主控台上檢視案例網域詳細資料。
### 選項 1:必要的最低 IAM 許可
如要在 Amazon Connect 主控台中檢視案例網域詳細資訊,使用者必須具有下列 IAM 許可:
+ `connect:ListInstances`
+ `ds:DescribeDirectories`
+ `connect:ListIntegrationAssociations`
+ `cases:GetDomain`
以下是具有這些許可的 IAM 政策範例:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowsViewingConnectConsole",
"Effect": "Allow",
"Action": [
"connect:ListInstances",
"ds:DescribeDirectories"
],
"Resource": "*"
},
{
"Sid": "ListIntegrationAssociations",
"Effect": "Allow",
"Action": [
"connect:ListIntegrationAssociations"
],
"Resource": "*"
},
{
"Sid": "CasesGetDomain",
"Effect": "Allow",
"Action": [
"cases:GetDomain"
],
"Resource": "*"
}
]
}
```
------
注意下列事項:
+ 需要對資源 `*` 採取 `cases:GetDomain` 動作
+ `connect:ListIntegrationAssociations` 動作支援 `instance` 資源類型。請參閱 [Amazon Connect 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html#amazonconnect-actions-as-permissions)中的表格。
### 選項 2:使用 `cases:GetDomain` 和 `profile:SearchProfiles` 更新現有的 Amazon Connect 政策
納入 [AmazonConnectReadOnlyAccess](security-iam-amazon-connect-permissions.md#amazonconnectreadonlyaccesspolicy) 政策,然後新增 `cases:GetDomain`,如下列範例所示。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CasesGetDomain",
"Effect": "Allow",
"Action": [
"cases:GetDomain"
],
"Resource": "*"
}
]
}
```
------
## 上線至 Cases
有兩個選項可讓使用者使用 Amazon Connect 主控台將 IAM 許可授予上線至案例。
### 選項 1:所需的最低許可
若要使用 Amazon Connect 主控台上線至 Cases,使用者必須具有下列 IAM 許可:
+ `connect:ListInstances`
+ `ds:DescribeDirectories`
+ `connect:ListIntegrationAssociations`
+ `cases:GetDomain`
+ `cases:CreateDomain`
+ `connect:CreateIntegrationAssociation`
+ `connect:DescribeInstance`
+ `iam:PutRolePolicy`
+ `profile:SearchProfiles`
以下是具有這些許可的 IAM 政策範例:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowsViewingConnectConsole",
"Effect": "Allow",
"Action": [
"connect:ListInstances",
"ds:DescribeDirectories"
],
"Resource": "*"
},
{
"Sid": "ListIntegrationAssociations",
"Effect": "Allow",
"Action": [
"connect:ListIntegrationAssociations"
],
"Resource": "*"
},
{
"Sid": "CasesGetDomain",
"Effect": "Allow",
"Action": [
"cases:GetDomain"
],
"Resource": "*"
},
{
"Sid": "CasesCreateDomain",
"Effect": "Allow",
"Action": [
"cases:CreateDomain"
],
"Resource": "*"
},
{
"Sid": "CreateIntegrationAssociationsAndDependencies",
"Effect": "Allow",
"Action": [
"connect:CreateIntegrationAssociation",
"connect:DescribeInstance"
],
"Resource": "*"
},
{
"Sid": "AttachAnyPolicyToAmazonConnectRole",
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/connect.amazonaws.com/AWSServiceRoleForAmazonConnect*"
},
{
"Sid": "ProfileSearchProfiles",
"Effect": "Allow",
"Action": [
"profile:SearchProfiles"
],
"Resource": "*"
}
]
}
```
------
注意下列事項:
+ 需要對資源 `*` 採取 `cases:GetDomain` 動作
+ 您可以使用 [Amazon Connect 的動作、資源和條件金鑰](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonconnect.html)中的資訊,將許可範圍限定為特定 Amazon Connect 任務。
+ `profile:SearchProfiles` 動作是必要的,因為 `CreateCase` API 會呼叫 `SearchProfiles` API 來搜尋要驗證的客戶設定檔,然後將該設定檔與案例關聯。
### 選項 2:使用現有策略的組合
以下政策組合也有效:
+ **AmazonConnect\$1FullAccess** 政策
+ `iam:PutRolePolicy` 修改服務連結角色。如需範例,請參閱 [AWS 受管政策:AmazonConnect\$1FullAccess 政策](security-iam-amazon-connect-permissions.md#amazonconnectfullaccesspolicy)。
+ 下列 IAM 政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CasesGetDomain",
"Effect": "Allow",
"Action": [
"cases:GetDomain",
"cases:CreateDomain"
],
"Resource": "*"
},
{
"Sid": "ProfileSearchProfiles",
"Effect": "Allow",
"Action": [
"profile:SearchProfiles"
],
"Resource": "*"
}
]
}
```
------