本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon Connect 的安全最佳實務
<a name="security-best-practices"></a>

在您開發和實作自己的安全政策時，可考慮使用 Amazon Connect 提供的多種安全功能。以下最佳實務為一般準則，並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求，因此請將其視為實用建議就好，而不要當作是指示。

**Topics**
+ [Amazon Connect 預防性安全最佳實務](#bp-security-profiles)
+ [Amazon Connect 偵測安全最佳實務](#bp-security-detective)
+ [Amazon Connect Chat 安全最佳實務](#bp-security-chat)
+ [Amazon Connect WebRTC 安全最佳實務](#bp-webrtc-security)

## Amazon Connect 預防性安全最佳實務
<a name="bp-security-profiles"></a>
+ 請確保所有設定檔許可都盡可能受到限制。允許僅存取使用者角色絕對需要使用的資源。例如，請勿授與客服人員在 Amazon Connect 中建立、讀取或更新使用者的許可。
+ 確定透過 SAML 2.0 身分提供者或 Radius 伺服器 (端視何者更適用於您的使用案例) 設定 multi-factor authentication (MFA) 。設定 MFA 之後，Amazon Connect 登入頁面上會顯示第三個文字方塊，以提供第二個因素。
+ 如果您透過 Directory Service 或以 SAML 為基礎的身分驗證使用現有目錄進行身分管理，請確定您遵循適合您使用案例的所有安全要求。
+ 只有在**緊急情況下，才在主控台的執行個體頁面上使用登入以取得緊急存取** URL，而不是每天使用。 AWS 如需詳細資訊，請參閱[緊急登入 Amazon Connect 管理員網站](emergency-admin-login.md)。

### 使用服務控制政策 (SCP)
<a name="use-scp"></a>

服務控制政策 (SCP) 是一種組織政策類型，可用來管理您的組織中的許可。SCP 會針對帳戶管理員可委派給受影響帳戶中使用者和角色的動作，定義防護機制或設定限制。您可以使用 SCP 來保護與 Amazon Connect 工作負載關聯的關鍵資源。

#### 設定服務控制策略以防止刪除關鍵資源
<a name="set-scp"></a>

如果您使用 SAML 2.0 型身分驗證，並刪除用於驗證 Amazon Connect 使用者的 AWS IAM 角色，則使用者將無法登入 Amazon Connect 執行個體。您必須刪除並重新建立使用者，才能與新角色產生關聯。這會導致刪除與這些使用者相關的所有資料。

為了防止意外刪除關鍵資源並保護 Amazon Connect 執行個體的可用性，您可以將[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) 設定為額外控制項。

以下是可在 AWS 帳戶、組織單位或組織根目錄套用的範例 SCP，以防止刪除 Amazon Connect 執行個體和相關聯的角色：

------
#### [ JSON ]

****  

```
{    
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AmazonConnectRoleDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "iam:DeleteRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/ConnectUserRole"
      ]
    },
    {
      "Sid": "AmazonConnectInstanceDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "connect:DeleteInstance"         
      ],
      "Resource": [
         "arn:aws:connect:us-east-1:111122223333:instance/InstanceId"
      ]
    }
  ]
}
```

------

## Amazon Connect 偵測安全最佳實務
<a name="bp-security-detective"></a>

登入和監控對於聯絡中心的可用性、可靠性和效能來說至關重要。您應該[將相關資訊從 Amazon Connect 流程記錄到 CloudWatch](contact-flow-logs.md)，並[建立相同的建立警報和通知](contact-flow-log-alerts.md)。

儘早定義日誌保留需求和生命週期原則，並計劃盡快將日誌檔移至具成本效益的儲存位置。Amazon Connect 公有 API 會記錄到 CloudTrail；如需詳細資訊，請參閱 [使用 記錄 Amazon Connect API 呼叫 AWS CloudTrail](logging-using-cloudtrail.md)。根據 CloudTrail 日誌檢閱並自動執行動作。

我們建議使用 Amazon S3 來長期保留和存檔日誌資料，特別是對於具有需要以原生格式稽核日誌資料的合規計劃的組織而言。日誌資料存放在 Amazon S3 儲存貯體後，請定義生命週期規則以自動強制執行保留政策，並將這些物件移至其他具成本效益的儲存類別，例如 Amazon S3 Standard – 不常存取 (Standard - IA) 或 Amazon Glacier。

 AWS 雲端提供靈活的基礎設施和工具，以支援複雜的合作夥伴產品和自我管理的集中記錄解決方案。這包括 Amazon OpenSearch Service 和 Amazon CloudWatch Logs 等解決方案。

您可以根據您的需求自訂 Amazon Connect 流程，為傳入的聯絡實作詐騙偵測和預防。例如，您可以根據 Dynamo DB 中先前的聯繫人活動檢查傳入的聯絡，然後採取措施，例如斷開拒絕列表中的聯絡。

## Amazon Connect Chat 安全最佳實務
<a name="bp-security-chat"></a>

當您直接與 Amazon Connect 參與者服務整合 (或使用 Amazon Connect Chat Java 程式庫)，並使用 WebSocket 或串流端點來接收前端應用程式或網站的訊息時，您必須保護您的應用程式免受 DOM 型 XSS (跨網站指令碼) 攻擊。

下列安全建議有助於防範 XSS 攻擊：
+ 採取適當的輸出編碼，以協助防止執行惡意指令碼。
+ 請勿直接變動 DOM。例如，請勿使用 `innerHTML` 轉譯聊天回應內容。它可能包含導致 XSS 攻擊的惡意 Javascript 程式碼。使用 React 等前端程式庫來逸出和清理聊天回應中包含的任何可執行程式碼。
+ 實施內容安全政策 (CSP)，限制應用程式可從中載入指令碼、樣式和其他資源的來源。這會增加額外的保護。

## Amazon Connect WebRTC 安全最佳實務
<a name="bp-webrtc-security"></a>

對於 WebRTC 和聊天聯絡，參與者會收到一個參與者字符，這是在聯絡工作階段中唯一識別參與者身分的持有人字符。擁有此字符即授予存取權，因此洩漏此字符可能導致模擬攻擊。請務必保護此字符。

下列安全建議有助於防範模擬攻擊：
+ **在發放字符之前驗證使用者身分**。向任何用戶端或外部服務提供參與者字符之前，請務必經過可靠的身分驗證和授權檢查。
+ **盡可能防止字符洩漏**。請勿記錄參與者字符或將其嵌入 URL。對所有字符交換使用安全傳輸 (HTTPS/TLS)。
+ **快速因應字符洩漏**。如果偵測到字符洩漏，請立即終止或停止相關聯絡，以防止未經授權的存取。
+ **使用最低權限原則**。盡可能限制字符的生命週期，確保字符僅在必要時間內有效。
+ **監控和稽核**。追蹤字符使用情況和存取模式，以偵測異常或潛在濫用。