使用 Amazon Connect 的服务相关角色和角色权限
什么是服务相关角色 (SLR) 以及为什么它们非常重要?
Amazon Connect 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特类型的 IAM 角色,它与 Amazon Connect 实例直接相关。
服务相关角色由 Amazon Connect 预定义,并包含 Amazon Connect 代表您调用其他 AWS 服务所需的所有权限。
您需要启用服务相关角色,以便可以使用 Amazon Connect 中的新功能,例如标记支持、用户管理和路由配置文件中的新用户界面以及带有 CloudTrail 支持的队列。
有关支持服务相关角色的其他服务的信息,请参阅可与 IAM 搭配使用的 AWS 服务,并查找服务相关角色列中为是的服务。选择是和链接,查看该服务的服务相关角色文档。
Amazon Connect 的服务相关角色权限
Amazon Connect 使用前缀为 AWSServiceRoleForAmazonConnect_unique-id 的服务相关角色 – 授予 Amazon Connect 代表您访问 AWS 资源的权限。
前缀为 AWSServiceRoleForAmazonConnect 的服务相关角色信任以下服务以代入相应角色:
-
connect.amazonaws.com
AmazonConnectServiceLinkedRolePolicy 角色权限策略允许 Amazon Connect 对指定资源完成以下操作:
-
操作:对所有 Amazon Connect 资源执行的所有 Amazon Connect 操作,即
connect:*。 -
操作:IAM
iam:DeleteRole允许删除服务相关角色。 -
操作:Amazon S3
s3:GetObject、s3:DeleteObject、s3:GetBucketLocation和GetBucketAcl,适用于为记录的对话指定的 S3 存储桶。对于为导出报告指定的存储桶,它还授予
s3:PutObject、s3:PutObjectAcl和s3:GetObjectAcl。 -
操作:Amazon CloudWatch Logs
logs:CreateLogStream、logs:DescribeLogStreams和logs:PutLogEvents,适用于为流日志记录指定的 CloudWatch Logs 组。 -
操作:Amazon Lex
lex:ListBots、lex:ListBotAliases,适用于在跨所有区域的账户中创建的所有自动程序。 -
操作:Amazon Connect Customer Profiles
-
profile:SearchProfiles -
profile:CreateProfile -
profile:UpdateProfile -
profile:AddProfileKey -
profile:ListProfileObjects -
profile:ListAccountIntegrations -
profile:ListProfileObjectTypeTemplates -
profile:GetProfileObjectTypeTemplate -
profile:ListProfileObjectTypes -
profile:GetProfileObjectType -
profile:ListCalculatedAttributeDefinitions -
profile:GetCalculatedAttributeForProfile -
profile:ListCalculatedAttributesForProfile -
profile:GetDomain -
profile:ListIntegrations -
profile:CreateCalculatedAttributeDefinition -
profile:DeleteCalculatedAttributeDefinition -
profile:GetCalculatedAttributeDefinition -
profile:UpdateCalculatedAttributeDefinition -
profile:PutProfileObject
将您的默认 Customer Profiles 域(包括域中的配置文件和所有对象类型)与 Amazon Connect 流和座席体验应用程序配合使用。
注意
每个 Amazon Connect 实例一次只能与一个域关联。但是,您可以将任何域链接到 Amazon Connect 实例。在同一 AWS 帐户和区域内,以
amazon-connect-前缀开头的所有域都会自动启用跨域访问。要限制跨域访问,您可以使用单独的 Amazon Connect 实例对数据进行逻辑分区,或者在同一实例中使用不以amazon-connect-前缀开头的 Customer Profiles 域名,从而防止跨域访问。 -
-
操作:Amazon Connect Amazon Q 的 Connect
-
wisdom:CreateContent -
wisdom:DeleteContent -
wisdom:CreateKnowledgeBase -
wisdom:GetAssistant -
wisdom:GetKnowledgeBase -
wisdom:GetContent -
wisdom:GetRecommendations -
wisdom:GetSession -
wisdom:NotifyRecommendationsReceived -
wisdom:QueryAssistant -
wisdom:StartContentUpload -
wisdom:UntagResource -
wisdom:TagResource -
wisdom:CreateSession -
wisdom:CreateQuickResponse -
wisdom:GetQuickResponse -
wisdom:SearchQuickResponses -
wisdom:StartImportJob -
wisdom:GetImportJob -
wisdom:ListImportJobs -
wisdom:ListQuickResponses -
wisdom:UpdateQuickResponse -
wisdom:DeleteQuickResponse -
wisdom:PutFeedback -
wisdom:ListContentAssociations
在与您的 Amazon Connect 实例相关联的所有 Amazon Connect Amazon Q 的 Connect 资源上使用资源标签
'AmazonConnectEnabled':'True'。-
wisdom:ListAssistants -
wisdom:KnowledgeBases
在所有 Amazon Connect Amazon Q 的 Connect 资源上。
-
-
操作:Amazon CloudWatch 指标
cloudwatch:PutMetricData,用于将实例的 Amazon Connect 使用情况指标发布到您的账户。 -
操作:Amazon Pinpoint
sms:DescribePhoneNumbers和sms:SendTextMessage允许 Amazon Connect 发送短信。 -
操作:Amazon Cognito 用户池
cognito-idp:DescribeUserPool和cognito-idp:ListUserPoolClients,并允许 Amazon Connect 对带有AmazonConnectEnabled资源标签的 Amazon Cognito 用户池资源进行选择读取操作。 -
操作:Amazon Chime SDK Voice Connector
chime:GetVoiceConnector允许 Amazon Connect 读取所有带有'AmazonConnectEnabled':'True'资源标签的 Amazon Chime SDK Voice Connector 资源。 -
操作:所有区域账户中创建的所有 Amazon Chime SDK Voice Connector 的 Amazon Chime SDK Voice Connector
chime:ListVoiceConnectors。
在 Amazon Connect 中启用其他功能时,会为服务相关角色添加以下权限,以便使用内联策略访问与这些功能关联的资源:
-
操作:Amazon Data Firehose
firehose:DescribeDeliveryStream和firehose:PutRecord以及firehose:PutRecordBatch,适用于为座席事件流和联系记录定义的传输流。 -
操作:Amazon Kinesis Data Streams
kinesis:PutRecord、kinesis:PutRecords和kinesis:DescribeStream,适用于为座席事件流和联系记录定义的流。 -
操作:Amazon Lex
lex:PostContent,适用于添加到实例中的自动程序。 -
操作:Amazon Connect Voice-ID
voiceid:*,适用于与您的实例相关联的 Voice ID 域。 -
操作:EventBridge
events:PutRule和events:PutTargets,适用于 Amazon Connect 托管的 EventBridge 规则,用于发布关联 Voice ID 域的 CTR 记录。 -
操作:出站活动
-
connect-campaigns:CreateCampaign -
connect-campaigns:DeleteCampaign -
connect-campaigns:DescribeCampaign -
connect-campaigns:UpdateCampaignName -
connect-campaigns:GetCampaignState -
connect-campaigns:GetCampaignStateBatch -
connect-campaigns:ListCampaigns -
connect-campaigns:UpdateOutboundCallConfig -
connect-campaigns:UpdateDialerConfig -
connect-campaigns:PauseCampaign -
connect-campaigns:ResumeCampaign -
connect-campaigns:StopCampaign
用于与出站活动相关的所有操作。
-
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限。
创建适用于 Amazon Connect 的服务相关角色
您无需手动创建服务相关角色。当您在 AWS Management Console 的 Amazon Connect 中创建新实例时,Amazon Connect 将为您创建服务相关角色。
如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您在 Amazon Connect 中创建新实例时,Amazon Connect 将再次为您创建服务相关角色。
您也可以使用 IAM 控制台为 Amazon Connect – 完全访问权限应用场景创建服务相关角色。在 IAM CLI 或 IAM API 中,用 connect.amazonaws.com 服务名称创建一个服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的创建服务相关角色。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。
适用于 2018 年 10 月之前创建的实例
提示
登录管理 AWS 账户时遇到问题? 不知道谁在管理您的 AWS 账户? 如需帮助,请参阅解决 AWS 账户登录问题。
如果您的 Amazon Connect 实例是在 2018 年 10 月之前创建的,则您尚未设置服务相关角色。要创建服务相关角色,请在账户概览页面上,选择创建服务相关角色,如下图所示。
有关创建服务相关角色所需的 IAM 权限的列表,请参阅使用自定义 IAM 策略管理对 Amazon Connect 管理员网站的访问权限所需的权限主题中的“概述”页面。
编辑适用于 Amazon Connect 的服务相关角色
Amazon Connect 不允许您编辑前缀为 AWSServiceRoleForAmazonConnect 的服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色。
检查服务相关角色对 Amazon Lex 是否具有权限
-
在 IAM 控制台的导航窗格中,选择角色。
-
以下代码示例显示如何将 IAM 策略附加到用户。
删除适用于 Amazon Connect 的服务相关角色
您不需要手动删除前缀为 AWSServiceRoleForAmazonConnect 的角色。当您在 AWS Management Console 中删除 Amazon Connect 实例时,Amazon Connect 会清除资源并为您删除服务相关角色。
Amazon Connect 服务相关角色支持的区域
Amazon Connect 支持在已推出该服务的所有区域中使用服务相关角色。有关更多信息,请参阅 AWS 区域和端点。
