AmazonConnect_FullAccess AmazonConnectReadOnlyAccess AmazonConnectServiceLinkedRolePolicy AmazonConnectCampaignsServiceLinkedRolePolicy AmazonConnectVoiceIDFullAccess CustomerProfilesServiceLinkedRolePolicy AmazonConnectSynchronizationServiceRolePolicy Actualizaciones de políticas

Políticas administradas por AWS para Amazon Connect

Para agregar permisos a usuarios, grupos y roles, es más eficiente utilizar las políticas administradas por AWS que escribirlas uno mismo. Se necesita tiempo y experiencia para crear políticas administradas por el cliente de IAM que proporcionen a su equipo solo los permisos necesarios. Para comenzar rápidamente, puede utilizar políticas administradas de AWS. Estas políticas cubren casos de uso comunes y están disponibles en su cuenta de AWS. Para obtener más información sobre las políticas administradas por AWS, consulte Políticas administradas por AWS en la Guía del usuario de IAM.

Los servicios de AWS mantienen y actualizan las políticas administradas por AWS. No puede cambiar los permisos en las políticas administradas de AWS. En ocasiones, los servicios agregan permisos adicionales a una política administrada por AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada por AWScuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no quitan los permisos de una política administrada de AWS, por lo tanto, las actualizaciones de las políticas no deteriorarán los permisos existentes.

Además, AWS admite políticas administradas para funciones de trabajo que abarcan varios servicios. Por ejemplo, la política administrada por AWS ReadOnlyAccess proporciona acceso de solo lectura a todos los servicios y los recursos de AWS. Cuando un servicio lanza una nueva característica, AWS agrega permisos de solo lectura para las operaciones y los recursos nuevos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte Políticas administradas de AWS para funciones de trabajo en la Guía del usuario de IAM.

Política administrada por AWS: AmazonConnect_FullAccess

Para permitir el acceso completo de lectura y escritura a Amazon Connect, debe asociar dos políticas a sus usuarios, grupos o roles de IAM. Asocie la política AmazonConnect_FullAccess y una política personalizada al siguiente contenido:

Política personalizada


{ 
    "Version": "2012-10-17", 
    "Statement": [ 
        { 
            "Sid": "AttachAnyPolicyToAmazonConnectRole", 
            "Effect": "Allow", 
            "Action": "iam:PutRolePolicy", 
            "Resource": "arn:aws:iam::*:role/aws-service-role/connect.amazonaws.com/AWSServiceRoleForAmazonConnect*" 
        } 
    ] 
}

Política AmazonConnect_FullAccess


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "connect:*",
                "ds:CreateAlias",
                "ds:AuthorizeApplication",
                "ds:CreateIdentityPoolDirectory",
                "ds:DeleteDirectory",
                "ds:DescribeDirectories",
                "ds:UnauthorizeApplication",
                "firehose:DescribeDeliveryStream",
                "firehose:ListDeliveryStreams",
                "kinesis:DescribeStream",
                "kinesis:ListStreams",
                "kms:DescribeKey",
                "kms:ListAliases",
                "lex:GetBots",
                "lex:ListBots",
                "lex:ListBotAliases",
                "logs:CreateLogGroup",
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "lambda:ListFunctions",
                "ds:CheckAlias",
                "profile:ListAccountIntegrations",
                "profile:GetDomain",
                "profile:ListDomains",
                "profile:GetProfileObjectType",
                "profile:ListProfileObjectTypeTemplates"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "profile:AddProfileKey",
                "profile:CreateDomain",
                "profile:CreateProfile",
                "profile:DeleteDomain",
                "profile:DeleteIntegration",
                "profile:DeleteProfile",
                "profile:DeleteProfileKey",
                "profile:DeleteProfileObject",
                "profile:DeleteProfileObjectType",
                "profile:GetIntegration",
                "profile:GetMatches",
                "profile:GetProfileObjectType",
                "profile:ListIntegrations",
                "profile:ListProfileObjects",
                "profile:ListProfileObjectTypes",
                "profile:ListTagsForResource",
                "profile:MergeProfiles",
                "profile:PutIntegration",
                "profile:PutProfileObject",
                "profile:PutProfileObjectType",
                "profile:SearchProfiles",
                "profile:TagResource",
                "profile:UntagResource",
                "profile:UpdateDomain",
                "profile:UpdateProfile"
            ],
            "Resource": "arn:aws:profile:*:*:domains/amazon-connect-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:GetBucketAcl"
            ],
            "Resource": "arn:aws:s3:::amazon-connect-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "servicequotas:GetServiceQuota"
            ],
            "Resource": "arn:aws:servicequotas:*:*:connect/*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "connect.amazonaws.com"
                }
            }
        },

        {
            "Effect": "Allow",
            "Action": "iam:DeleteServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/connect.amazonaws.com/AWSServiceRoleForAmazonConnect*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/profile.amazonaws.com/*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "profile.amazonaws.com"
                }
            }
        }
    ]
}

Para permitir que un usuario de IAM cree una instancia, asegúrese de que dispone de los permisos concedidos por la política AmazonConnect_FullAccess.

Cuando utilice la política AmazonConnect_FullAccess, tenga en cuenta lo siguiente:

iam:PutRolePolicy permite al usuario que obtiene esa política configurar cualquier recurso de la cuenta para que funcione con la instancia de Amazon Connect. Dado que concede permisos tan amplios, asígnelo solo cuando sea necesario. En su lugar, cree el rol vinculado al servicio con acceso a los recursos necesarios y deje que el usuario tenga acceso para pasar el rol vinculado al servicio a Amazon Connect (que se concede mediante la política AmazonConnect_FullAccess).
Se necesitan privilegios adicionales para crear un bucket de Amazon S3 con el nombre que elija o para utilizar un bucket existente al crear o actualizar una instancia desde el sitio web de administración de Amazon Connect. Si elige guardar las grabaciones de llamadas, las transcripciones de chat y de llamadas y otros datos en ubicaciones de almacenamiento predeterminadas, el sistema añade amazon-connect- al principio de los nombres de esos objetos.
La clave de KMS aws/connect está disponible para utilizarla como opción de cifrado predeterminada. Para utilizar una clave de cifrado personalizada, asigne a los usuarios privilegios de KMS adicionales.
Asigne a los usuarios privilegios adicionales para asociar otros recursos de AWS como Amazon Polly, Streaming de contenido multimedia en directo, Streaming de datos y bots de Lex a sus instancias de Amazon Connect.

Para obtener más información y permisos detallados, consulte Permisos necesarios para utilizar políticas de IAM personalizadas para administrar el acceso al sitio web de administración de Amazon Connect.

Política administrada por AWS: AmazonConnectReadOnlyAccess

Para permitir el acceso de solo lectura, debe asociar únicamente la política AmazonConnectReadOnlyAccess.



{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "AllowConnectReadOnly",
         "Effect": "Allow",
         "Action": [
            "connect:Get*",
            "connect:Describe*",
            "connect:List*",
            "ds:DescribeDirectories"
         ],
         "Resource": "*"
      },
      {
         "Sid": "DenyConnectEmergencyAccess",
         "Effect": "Deny",
         "Action": "connect:AdminGetEmergencyAccessToken",
         "Resource": "*"
      }
   ]
}

Política administrada por AWS: AmazonConnectServiceLinkedrolePolicy

La política de permisos del rol AmazonConnectServiceLinkedRolePolicy permite que Amazon Connect realice las siguientes acciones en los recursos especificados. A medida que se habilitan las características adicionales en Amazon Connect, se agregan permisos adicionales para el rol vinculado al servicio AWSServiceRoleForAmazonConnect para acceder a los recursos asociados con estas características:


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AllowConnectActions",
			"Effect": "Allow",
			"Action": [
				"connect:*"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Sid": "AllowDeleteSLR",
			"Effect": "Allow",
			"Action": [
				"iam:DeleteRole"
			],
			"Resource": "arn:aws:iam::*:role/aws-service-role/connect.amazonaws.com/AWSServiceRoleForAmazonConnect_*"
		},
		{
			"Sid": "AllowS3ObjectForConnectBucket",
			"Effect": "Allow",
			"Action": [
				"s3:GetObject",
				"s3:GetObjectAcl",
				"s3:PutObject",
				"s3:PutObjectAcl",
				"s3:DeleteObject"
			],
			"Resource": [
				"arn:aws:s3:::amazon-connect-*/*"
			]
		},
		{
			"Sid": "AllowGetBucketMetadataForConnectBucket",
			"Effect": "Allow",
			"Action": [
				"s3:GetBucketLocation",
				"s3:GetBucketAcl"
			],
			"Resource": [
				"arn:aws:s3:::amazon-connect-*"
			]
		},
		{
			"Sid": "AllowConnectLogGroupAccess",
			"Effect": "Allow",
			"Action": [
				"logs:CreateLogStream",
				"logs:DescribeLogStreams",
				"logs:PutLogEvents"
			],
			"Resource": [
				"arn:aws:logs:*:*:log-group:/aws/connect/*:*"
			]
		},
		{
			"Sid": "AllowListLexBotAccess",
			"Effect": "Allow",
			"Action": [
				"lex:ListBots",
				"lex:ListBotAliases"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowCustomerProfilesForConnectDomain",
			"Effect": "Allow",
			"Action": [
				"profile:SearchProfiles",
				"profile:CreateProfile",
				"profile:UpdateProfile",
				"profile:AddProfileKey",
				"profile:ListProfileObjectTypes",
				"profile:ListCalculatedAttributeDefinitions",
				"profile:ListCalculatedAttributesForProfile",
				"profile:GetDomain",
				"profile:ListIntegrations",
				"profile:ListSegmentDefinitions",
				"profile:ListProfileAttributeValues",
				"profile:CreateSegmentEstimate",
				"profile:GetSegmentEstimate",
				"profile:BatchGetProfile",
				"profile:BatchGetCalculatedAttributeForProfile",
				"profile:GetSegmentMembership"
			],
			"Resource": "arn:aws:profile:*:*:domains/amazon-connect-*"
		},
		{
			"Sid": "AllowReadPermissionForCustomerProfileObjects",
			"Effect": "Allow",
			"Action": [
				"profile:ListProfileObjects",
				"profile:GetProfileObjectType",
				"profile:ListObjectTypeAttributes"
			],
			"Resource": [
				"arn:aws:profile:*:*:domains/amazon-connect-*/object-types/*"
			]
		},
		{
			"Sid": "AllowListIntegrationForCustomerProfile",
			"Effect": "Allow",
			"Action": [
				"profile:ListAccountIntegrations"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowReadForCustomerProfileObjectTemplates",
			"Effect": "Allow",
			"Action": [
				"profile:ListProfileObjectTypeTemplates",
				"profile:GetProfileObjectTypeTemplate"
			],
			"Resource": "arn:aws:profile:*:*:/templates*"
		},
		{
			"Sid": "AllowWisdomForConnectEnabledTaggedResources",
			"Effect": "Allow",
			"Action": [
				"wisdom:CreateContent",
				"wisdom:DeleteContent",
				"wisdom:CreateKnowledgeBase",
				"wisdom:GetAssistant",
				"wisdom:GetKnowledgeBase",
				"wisdom:GetContent",
				"wisdom:GetRecommendations",
				"wisdom:GetSession",
				"wisdom:NotifyRecommendationsReceived",
				"wisdom:QueryAssistant",
				"wisdom:StartContentUpload",
				"wisdom:UpdateContent",
				"wisdom:UntagResource",
				"wisdom:TagResource",
				"wisdom:CreateSession",
				"wisdom:CreateQuickResponse",
				"wisdom:GetQuickResponse",
				"wisdom:SearchQuickResponses",
				"wisdom:StartImportJob",
				"wisdom:GetImportJob",
				"wisdom:ListImportJobs",
				"wisdom:ListQuickResponses",
				"wisdom:UpdateQuickResponse",
				"wisdom:DeleteQuickResponse",
				"wisdom:PutFeedback",
				"wisdom:ListContentAssociations",
				"wisdom:CreateMessageTemplate",
				"wisdom:UpdateMessageTemplate",
				"wisdom:UpdateMessageTemplateMetadata",
				"wisdom:GetMessageTemplate",
				"wisdom:DeleteMessageTemplate",
				"wisdom:ListMessageTemplates",
				"wisdom:SearchMessageTemplates",
				"wisdom:ActivateMessageTemplate",
				"wisdom:DeactivateMessageTemplate",
				"wisdom:CreateMessageTemplateVersion",
				"wisdom:ListMessageTemplateVersions",
				"wisdom:CreateMessageTemplateAttachment",
				"wisdom:DeleteMessageTemplateAttachment",
				"wisdom:RenderMessageTemplate"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/AmazonConnectEnabled": "True"
				}
			}
		},
		{
			"Sid": "AllowListOperationForWisdom",
			"Effect": "Allow",
			"Action": [
				"wisdom:ListAssistants",
				"wisdom:ListKnowledgeBases"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowCustomerProfilesCalculatedAttributesForConnectDomain",
			"Effect": "Allow",
			"Action": [
				"profile:GetCalculatedAttributeForProfile",
				"profile:CreateCalculatedAttributeDefinition",
				"profile:DeleteCalculatedAttributeDefinition",
				"profile:GetCalculatedAttributeDefinition",
				"profile:UpdateCalculatedAttributeDefinition"
			],
			"Resource": [
				"arn:aws:profile:*:*:domains/amazon-connect-*/calculated-attributes/*"
			]
		},
		{
			"Sid": "AllowCustomerProfilesSegmentationForConnectDomain",
			"Effect": "Allow",
			"Action": [
				"profile:CreateSegmentDefinition",
				"profile:GetSegmentDefinition",
				"profile:DeleteSegmentDefinition",
				"profile:CreateSegmentSnapshot",
				"profile:GetSegmentSnapshot"
			],
			"Resource": [
				"arn:aws:profile:*:*:domains/amazon-connect-*/segment-definitions/*"
			]
		},
		{
			"Sid": "AllowPutMetricsForConnectNamespace",
			"Effect": "Allow",
			"Action": "cloudwatch:PutMetricData",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"cloudwatch:namespace": "AWS/Connect"
				}
			}
		},
		{
			"Sid": "AllowSMSVoiceOperationsForConnect",
			"Effect": "Allow",
			"Action": [
				"sms-voice:SendTextMessage",
				"sms-voice:DescribePhoneNumbers"
			],
			"Resource": "arn:aws:sms-voice:*:*:phone-number/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "AllowCognitoForConnectEnabledTaggedResources",
			"Effect": "Allow",
			"Action": [
				"cognito-idp:DescribeUserPool",
				"cognito-idp:ListUserPoolClients"
			],
			"Resource": "arn:aws:cognito-idp:*:*:userpool/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/AmazonConnectEnabled": "True"
				}
			}
		},
		{
			"Sid": "AllowWritePermissionForCustomerProfileObjects",
			"Effect": "Allow",
			"Action": [
				"profile:PutProfileObject"
			],
			"Resource": [
				"arn:aws:profile:*:*:domains/amazon-connect-*/object-types/*"
			]
		},
		{
			"Sid": "AllowChimeSDKVoiceConnectorGetOperationForConnect",
			"Effect": "Allow",
			"Action": [
				"chime:GetVoiceConnector"
			],
			"Resource": "arn:aws:chime:*:*:vc/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/AmazonConnectEnabled": "True",
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "AllowChimeSDKVoiceConnectorListOperationForConnect",
			"Effect": "Allow",
			"Action": [
				"chime:ListVoiceConnectors"
			],
			"Resource": "arn:aws:chime:*:*:vc/*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
	     }
	]
}

Política administrada por AWS: AmazonConnectCampaignsServiceLinkedRolePolicy

La política de permisos de rol AmazonConnectCampaignsServiceLinkedRolePolicy permite a las campañas externas de Amazon Connect realizar las siguientes acciones en los recursos especificados.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "connect-campaigns:ListCampaigns"
            ],
            "Resource" : "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "connect:BatchPutContact",
                "connect:StopContact"
            ],
            "Resource": "arn:aws:connect:*:*:instance/*"
    ]
}

Política administrada por AWS: AmazonConnectVoiceIDFullAccess

Para permitir el acceso completo a Amazon Connect Voice ID, debe asociar dos políticas a sus usuarios, grupos o roles. Asocie la política AmazonConnectVoiceIDFullAccess y los siguientes contenidos de política personalizados para acceder a Voice ID a través del sitio web de administración de Amazon Connect:


{ 
    "Version": "2012-10-17", 
    "Statement": [ 
        { 
            "Sid": "AttachAnyPolicyToAmazonConnectRole", 
            "Effect": "Allow", 
            "Action": "iam:PutRolePolicy", 
            "Resource": "arn:aws:iam::*:role/aws-service-role/connect.amazonaws.com/AWSServiceRoleForAmazonConnect*" 
        },
        {
            "Effect": "Allow",
            "Action": [
                "connect:CreateIntegrationAssociation",
                "connect:DeleteIntegrationAssociation",
                "connect:ListIntegrationAssociations"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "events:DeleteRule",
                "events:PutRule",
                "events:PutTargets",
                "events:RemoveTargets"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "events:ManagedBy": "connect.amazonaws.com"
                }
            }
        }
    ] 
}

La política manual configura lo siguiente:

iam:PutRolePolicy permite al usuario que obtiene esa política configurar cualquier recurso de la cuenta para que funcione con la instancia de Amazon Connect. Dado que concede permisos tan amplios, asígnelo solo cuando sea necesario.
Para asociar un dominio de Voice ID con una instancia de Amazon Connect, necesita privilegios adicionales de Amazon Connect y Amazon EventBridge. Necesita privilegios para llamar a las API de Amazon Connect para crear, eliminar y enumerar asociaciones de integración. Necesita permisos de EventBridge para crear y eliminar reglas de EventBridge que se utilizan para proporcionar registros de contacto relacionados con Voice ID.

Dado que no existe una opción de cifrado predeterminada, para utilizar su clave administrada por el cliente con su Amazon Connect Voice ID, deben permitirse las siguientes operaciones de API en la política de claves. Además, debe agregar estos permisos en la clave pertinente. No se incluyen en la política administrada.

kms:Decrypt para acceder a datos cifrados o almacenarlos.
kms:CreateGrant: al crear o actualizar un dominio, se utiliza para crear una concesión a la clave administrada por el cliente para el dominio de Voice ID. La concesión controla el acceso a la clave KMS especificada, que permite acceder a las operaciones de concesión que requiere Amazon Connect Voice ID. Para obtener más información, consulte Uso de concesiones en la Guía para desarrolladores de AWS Key Management Service.
kms:DescribeKey: al crear o actualizar un dominio, permite determinar el ARN de la clave de KMS que ha proporcionado.

Para obtener más información sobre la creación de dominios y claves de KMS, consulte Activación de Voice ID en Amazon Connect y Cifrado en reposo en Amazon Connect.

Política administrada por AWS: CustomerProfilesServiceLinkedRolePolicy

Para permitir que Perfiles de clientes de Amazon Connect publique métricas de CloudWatch en su cuenta de AWS, debe asociar la política administrada por CustomerProfilesServiceLinkedRolePolicy:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/CustomerProfiles"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:DeleteRole"
            ],
            "Resource": "arn:aws:iam:::role/aws-service-role/profile.amazonaws.com/AWSServiceRoleForProfile_*"
        }
    ]
}

Política administrada por AWS: AmazonConnectSynchronizationServiceRolePolicy

La política de permisos AmazonConnectSynchronizationServiceRolePolicy permite a la sincronización administrada por Amazon Connect realizar las siguientes acciones de lectura, escritura, actualización y eliminación en los recursos especificados. A medida que se habilita la sincronización de recursos para más recursos, se agregan permisos adicionales al rol vinculado al servicio AWSServiceRoleForAmazonConnectSynchronization para acceder a estos recursos.

La política de permisos AmazonConnectSynchronizationServiceRolePolicy se agrupa en los siguientes conjuntos de permisos.

connect: permisos de Connect para la sincronización de configuraciones y recursos de Connect.
cloudwatch: permisos de CloudWatch para publicar las métricas de uso de Amazon Connect de una instancia de su cuenta.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowConnectActions",
            "Effect": "Allow",
            "Action": [
                "connect:CreateUser*",
                "connect:UpdateUser*",
                "connect:DeleteUser*",
                "connect:DescribeUser*",
                "connect:ListUser*",
                "connect:CreateRoutingProfile",
                "connect:UpdateRoutingProfile*",
                "connect:DeleteRoutingProfile",
                "connect:DescribeRoutingProfile",
                "connect:ListRoutingProfile*",
                "connect:CreateAgentStatus",
                "connect:UpdateAgentStatus",
                "connect:DescribeAgentStatus",
                "connect:ListAgentStatuses",
                "connect:CreateQuickConnect",
                "connect:UpdateQuickConnect*",
                "connect:DeleteQuickConnect",
                "connect:DescribeQuickConnect",
                "connect:ListQuickConnects",
                "connect:CreateHoursOfOperation",
                "connect:UpdateHoursOfOperation",
                "connect:DeleteHoursOfOperation",
                "connect:DescribeHoursOfOperation",
                "connect:ListHoursOfOperations",
                "connect:CreateQueue",
                "connect:UpdateQueue*",
                "connect:DeleteQueue",
                "connect:DescribeQueue",
                "connect:ListQueue*",
                "connect:CreatePrompt",
                "connect:UpdatePrompt",
                "connect:DeletePrompt",
                "connect:DescribePrompt",
                "connect:ListPrompts",
                "connect:GetPromptFile",
                "connect:CreateSecurityProfile",
                "connect:UpdateSecurityProfile",
                "connect:DeleteSecurityProfile",
                "connect:DescribeSecurityProfile",
                "connect:ListSecurityProfile*",
                "connect:CreateContactFlow*",
                "connect:UpdateContactFlow*",
                "connect:DeleteContactFlow*",
                "connect:DescribeContactFlow*",
                "connect:ListContactFlow*",
                "connect:BatchGetFlowAssociation",
                "connect:CreatePredefinedAttribute",
                "connect:UpdatePredefinedAttribute",
                "connect:DeletePredefinedAttribute",
                "connect:DescribePredefinedAttribute",
                "connect:ListPredefinedAttributes",
                "connect:ListTagsForResource",
                "connect:TagResource",
                "connect:UntagResource",
                "connect:ListTrafficDistributionGroups",
                "connect:ListPhoneNumbersV2",
                "connect:UpdatePhoneNumber",
                "connect:DescribePhoneNumber",
                "connect:AssociatePhoneNumberContactFlow",
                "connect:DisassociatePhoneNumberContactFlow",
                "connect:AssociateRoutingProfileQueues",
                "connect:DisassociateQueueQuickConnects",
                "connect:AssociateQueueQuickConnects",
                "connect:DisassociateUserProficiencies",
                "connect:AssociateUserProficiencies",
                "connect:DisassociateRoutingProfileQueues",
                "connect:CreateAuthenticationProfile",
                "connect:UpdateAuthenticationProfile",
                "connect:DescribeAuthenticationProfile",
                "connect:ListAuthenticationProfiles",
                "connect:CreateHoursOfOperationOverride",
                "connect:UpdateHoursOfOperationOverride",
                "connect:DeleteHoursOfOperationOverride",
                "connect:DescribeHoursOfOperationOverride",
                "connect:ListHoursOfOperationOverrides"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowPutMetricsForConnectNamespace",
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/Connect"
                }
            }
        }
    ]
}

Actualizaciones de Amazon Connect a las políticas administradas por AWS

Es posible consultar los detalles sobre las actualizaciones de las políticas administradas por AWS para Amazon Connect debido a que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de Historial de documentos de Amazon Connect.

Cambio	Descripción	Fecha
AmazonConnectServiceLinkedRolePolicy: acciones añadidas para el Amazon Chime SDK Voice Connector	Se han añadido las siguientes acciones del Amazon Chime SDK Voice Connector a la política de roles vinculados al servicio. Estas acciones permiten a Amazon Connect obtener información sobre Amazon Chime Voice Connector mediante las API del Amazon Chime SDK Voice Connector para obtener y enumerar lo siguiente: `chime:GetVoiceConnector`: permite que Amazon Connect invoque la API GetVoiceConnector en cualquier conector de voz del Amazon Chime SDK que tenga una etiqueta de recurso `'AmazonConnectEnabled':'True'`. `chime:ListVoiceConnectors`: permite a Amazon Connect enumerar todos los conectores de voz del Amazon Chime SDK creados en la cuenta en todas las regiones.	25 de octubre de 2024
AmazonConnectSynchronizationServiceRolePolicy: se ha agregado para la sincronización administrada	Se han agregado las siguientes acciones a la política de administración de funciones vinculadas al servicio para respaldar el lanzamiento del atributo `HoursOfOperationOverride`. `connect:CreateHoursOfOperationOverride` `connect:UpdateHoursOfOperationOverride` `connect:DeleteHoursOfOperationOverride` `connect:DescribeHoursOfOperationOverride` `connect:ListHoursOfOperationOverrides`	25 de septiembre de 2024
AmazonConnectSynchronizationServiceRolePolicy: se ha agregado para la sincronización administrada	Se han agregado las acciones siguientes a la política administrada por roles vinculada al servicio para la sincronización administrada. `connect:AssociatePhoneNumberContactFlow` `connect:DisassociatePhoneNumberContactFlow` `connect:AssociateRoutingProfileQueues` `connect:DisassociateQueueQuickConnects` `connect:AssociateQueueQuickConnects` `connect:DisassociateUserProficiencies` `connect:AssociateUserProficiencies` `connect:DisassociateRoutingProfileQueues` `connect:CreateAuthenticationProfile` `connect:UpdateAuthenticationProfile` `connect:DescribeAuthenticationProfile` `connect:ListAuthenticationProfiles`	5 de julio de 2024
AmazonConnectReadOnlyAccess: se ha cambiado el nombre de la acción `connect:GetFederationTokens` para llamarla `connect:AdminGetEmergencyAccessToken`	Se ha actualizado la política administrada AmazonConnectReadOnlyAccess porque se ha cambiado el nombre de la acción de Amazon Connect de `connect:GetFederationTokens` a `connect:AdminGetEmergencyAccessToken`. Este cambio es compatible con versiones anteriores y la acción `connect:AdminGetEmergencyAccessToken` funcionará de la misma manera que la acción `connect:GetFederationTokens`. Si deja la acción mencionada anteriormente `connect:GetFederationTokens` en sus políticas, seguirán funcionando según lo previsto.	15 de junio de 2024
AmazonConnectServiceLinkedRolePolicy: se han agregado acciones para grupos de usuarios de Amazon Cognito y Perfiles de clientes de Amazon Connect	Se han agregado las siguientes acciones de grupos de usuarios de Amazon Cognito a la política de roles vinculados al servicio para permitir determinadas operaciones de lectura en los recursos del grupo de usuarios de Cognito que tienen una etiqueta de recurso `AmazonConnectEnabled`. Esta etiqueta se coloca en el recurso cuando se llama a la API `CreateIntegrationAssociations`: `cognito-idp:DescribeUserPool` `cognito-idp:ListUserPoolClients` Se ha agregado la siguiente acción de perfiles de clientes de Amazon Connect a la política de roles vinculados al servicio a fin de permitir permisos para colocar datos en el servicio adyacente a Connect, Perfiles de clientes: profile:PutProfileObject	23 de mayo de 2024
AmazonConnectServiceLinkedRolePolicy: se han agregado acciones para Amazon Q in Connect	Se permite realizar la siguiente acción en los recursos de Amazon Q in Connect que tengan la etiqueta de recurso `'AmazonConnectEnabled':'True'` en la base de conocimiento de Amazon Q in Connect: `wisdom:ListContentAssociations`	20 de mayo de 2024
AmazonConnectServiceLinkedRolePolicy: se han agregado acciones para Amazon Pinpoint	Se han agregado las siguientes acciones a la política de roles vinculados al servicio para usar los números de teléfono de Amazon Pinpoint para permitir a Amazon Connect enviar SMS: `sms:DescribePhoneNumbers` `sms:SendTextMessage`	17 de noviembre de 2023
AmazonConnectServiceLinkedRolePolicy: se han agregado acciones para Amazon Q in Connect	Se permite realizar la siguiente acción en los recursos de Amazon Q in Connect que tengan la etiqueta de recurso `'AmazonConnectEnabled':'True'` en la base de conocimiento de Amazon Q in Connect: `wisdom:PutFeedback`	15 de noviembre de 2023
AmazonConnectCampaignsServiceLinkedRolePolicy: se han añadido acciones para Amazon Connect	Amazon Connect ha añadido nuevas acciones para recuperar las campañas externas: `connect:BatchPutContact` `connect:StopContact`	8 de noviembre de 2023
AmazonConnectSynchronizationServiceRolePolicy: se ha agregado una nueva política administrada por AWS	Se ha agregado una nueva política vinculada al servicio administrada por roles para la sincronización administrada. La política proporciona acceso para leer, crear, actualizar y eliminar recursos de Amazon Connect y se utiliza para sincronizar automáticamente los recursos de AWS entre regiones de AWS.	3 de noviembre de 2023
AmazonConnectServiceLinkedRolePolicy: se han agregado acciones para Perfiles de clientes	Se ha agregado la siguiente acción para administrar roles vinculados al servicio de Perfiles de clientes de Amazon Connect: `profile:ListCalculatedAttributesForProfile` `profile:GetDomain` `profile:ListIntegrations` `profile:CreateCalculatedAttributeDefinition` `profile:DeleteCalculatedAttributeDefinition` `profile:GetCalculatedAttributeDefinition` `profile:UpdateCalculatedAttributeDefinition`	30 de octubre de 2023
AmazonConnectServiceLinkedRolePolicy: se han agregado acciones para Amazon Q in Connect	Se permite realizar las siguientes acciones en los recursos de Amazon Q in Connect que tengan la etiqueta de recurso `'AmazonConnectEnabled':'True'` en la base de conocimiento de Amazon Q in Connect: `wisdom:CreateQuickResponse` `wisdom:GetQuickResponse` `wisdom:SearchQuickResponses` `wisdom:StartImportJob` `wisdom:GetImportJob` `wisdom:ListImportJobs` `wisdom:ListQuickResponses` `wisdom:UpdateQuickResponse` `wisdom:DeleteQuickResponse`	25 de octubre de 2023
AmazonConnectServiceLinkedRolePolicy: se han agregado acciones para Perfiles de clientes	Se ha agregado la siguiente acción para administrar roles vinculados al servicio de Perfiles de clientes de Amazon Connect: `profile:ListCalculatedAttributeDefinitions` `profile:GetCalculatedAttributeForProfile`	6 de octubre de 2023
AmazonConnectServiceLinkedRolePolicy: se han agregado acciones para Amazon Q in Connect	Se permite realizar las siguientes acciones en los recursos de Amazon Q in Connect que tengan la etiqueta de recurso `'AmazonConnectEnabled':'True'` en las bases de conocimiento y los asistentes de Amazon Q in Connect: `wisdom:CreateContent` `wisdom:DeleteContent` `wisdom:CreateKnowledgeBase` `wisdom:GetAssistant` `wisdom:GetKnowledgeBase` `wisdom:GetContent` `wisdom:GetRecommendations` `wisdom:GetSession` `wisdom:NotifyRecommendationsReceived` `wisdom:QueryAssistant` `wisdom:StartContentUpload` `wisdom:UntagResource` `wisdom:TagResource` `wisdom:CreateSession` Se permite realizar las siguientes acciones `List` en todos los recursos de Amazon Q in Connect: `wisdom:ListAssistants` `wisdom:KnowledgeBases`	29 de septiembre de 2023
CustomerProfilesServiceLinkedRolePolicy: se ha agregado CustomerProfilesServiceLinkedRolePolicy	Nueva política administrada.	7 de marzo de 2023
AmazonConnect_FullAccess: se ha agregado un permiso para administrar los roles vinculados al servicio de Perfiles de clientes de Amazon Connect	Se ha agregado la siguiente acción para administrar roles vinculados al servicio de Perfiles de clientes de Amazon Connect. `iam:CreateServiceLinkedRole`: permite crear roles vinculados al servicio para Perfiles de clientes.	26 de enero de 2023
AmazonConnectServiceLinkedRolePolicy: se han agregado acciones para Amazon CloudWatch	Se ha agregado la siguiente acción para publicar las métricas de uso de Amazon Connect de una instancia en su cuenta. `cloudwatch:PutMetricData`	22 de febrero de 2022
AmazonConnect_FullAccess: se han agregado permisos para administrar los dominios de Perfiles de clientes de Amazon Connect	Se han agregado todos los permisos para administrar los dominios de Perfiles de clientes de Amazon Connect que se han creado para las nuevas instancias de Amazon Connect. `profile:ListAccountIntegrations`: enumera todas las integraciones asociadas a un URI específico en la Cuenta de AWS. `profile:ListDomains`: devuelve una lista de todos los dominios para una Cuenta de AWS que se han creado. `profile:GetDomain`: devuelve información sobre un dominio específico. `profile:ListProfileObjectTypeTemplates`: permite que el sitio web de administración de Amazon Connect muestre una lista de plantillas que puede utilizar para crear sus asignaciones de datos. `profile:GetObjectTypes`: le permiten ver todos los tipos de objetos actuales (asignaciones de datos) que ha creado. Los siguientes permisos pueden realizarse en dominios cuyo nombre tenga el prefijo `amazon-connect-`: `profile:AddProfileKey`: le permite asociar un nuevo valor clave a un perfil específico `profile:CreateDomain`: le permite crear nuevos dominios `profile:CreateProfile`: le permite crear nuevos perfiles `profile:DeleteDomain`: le permite eliminar dominios `profile:DeleteIntegration`: le permite eliminar integraciones con un dominio `profile:DeleteProfile`: le permite eliminar un perfil `profile:DeleteProfileKey`: le permite eliminar una clave de perfil `profile:DeleteProfileObject`: le permite eliminar un objeto de perfil `profile:DeleteProfileObjectType`: le permite eliminar un tipo de objeto de perfil `profile:GetIntegration`: le permite recuperar información acerca de una integración `profile:GetMatches`: le permite recuperar posibles coincidencias de perfil `profile:GetProfileObjectType`: le permite recuperar tipos de objeto de perfil `profile:ListIntegrations`: le permite enumerar las integraciones `profile:ListProfileObjects`: le permite enumerar los objetos de perfil `profile:ListProfileObjectTypes`: le permite enumerar los tipos de objeto de perfil `profile:ListTagsForResource`: le permite enumerar etiquetas para un recurso `profile:MergeProfiles`: le permite combinar coincidencias de perfil `profile:PutIntegration`: le permite agregar una integración entre el servicio y un servicio de terceros que incluye Amazon AppFlow y Amazon Connect `profile:PutProfileObject`: le permite crear y actualizar objetos `profile:PutProfileObjectType`: le permite crear y actualizar tipos de objeto `profile:SearchProfiles`: le permite buscar perfiles `profile:TagResource`: le permite etiquetar recursos `profile:UntagResource`: le permite desetiquetar recursos `profile:UpdateDomain`: le permite actualizar dominios `profile:UpdateProfile`: le permite actualizar perfiles	12 de noviembre de 2021
AmazonConnectServiceLinkedRolePolicy: se han agregado acciones para Perfiles de clientes de Amazon Connect	Se han agregado las siguientes acciones para que los flujos de Amazon Connect y la experiencia del agente puedan interactuar con los perfiles de su dominio de Perfiles de clientes predeterminado: `profile:SearchProfiles` `profile:CreateProfile` `profile:UpdateProfile` `profile:AddProfileKey` Se ha agregado la siguiente acción para que los flujos de Amazon Connect y la experiencia del agente puedan interactuar con los objetos de perfil de su dominio de Perfiles de clientes predeterminado: `profile:ListProfileObjects` Se ha agregado la siguiente acción para que los flujos de Amazon Connect y la experiencia del agente puedan determinar si Perfiles de clientes está habilitado para su instancia de Amazon Connect: `profile:ListAccountIntegrations`	12 de noviembre de 2021
AmazonConnectVoiceIDFullAccess: se ha agregado una nueva política administrada por AWS	Se ha agregado una nueva política administrada por AWS para que pueda configurar a sus usuarios para que utilicen Amazon Connect Voice ID. Esta política proporciona acceso total a Amazon Connect Voice ID a través de la consola de AWS, el SDK u otros medios.	27 de septiembre de 2021
AmazonConnectCampaignsServiceLinkedRolePolicy: se ha agregado una nueva política de rol vinculado al servicio	Se ha agregado una nueva política de roles vinculados al servicio para campañas externas. La política proporciona acceso para recuperar todas las campañas externas.	27 de septiembre de 2021
AmazonConnectServiceLinkedRolePolicy: se han agregado acciones para Amazon Lex	Se han agregado las siguientes acciones para todos los bots creados en la cuenta en todas las regiones. Estas acciones se han agregado para favorecer la integración con Amazon Lex. `lex:ListBots`: enumera todos los bots disponibles en una región determinada para su cuenta. `lex:ListBotAliases`: enumera todos los alias de un bot determinado.	15 de junio de 2021
AmazonConnect_FullAccess: se han agregado acciones para Amazon Lex	Se han agregado las siguientes acciones para todos los bots creados en la cuenta en todas las regiones. Estas acciones se han agregado para favorecer la integración con Amazon Lex. `lex:ListBots` `lex:ListBotAliases`	15 de junio de 2021
Amazon Connect ha comenzado a hacer un seguimiento de los cambios	Amazon Connect ha comenzado a hacer un seguimiento de los cambios de las políticas administradas por AWS.	15 de junio de 2021

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Ejemplos de políticas de nivel de recursos

Resolución de problemas