Вы находитесь здесь:
Роли Amazon Connect IAM и политики инициализации для Service Cloud Voice
Чтобы интегрироваться в Amazon Connect, Service Cloud Voice содержит артефакты Amazon Connect, включительно с ролями IAM и политиками инициализации.
Требуемые версии
Данная статья применяется к:
- Service Cloud Voice с партнерской телефонией из Amazon Connect
| Просмотр поддерживаемых версий. |
Прежде чем анализировать матрицу ролей и политик SCV IAM, просмотрите предварительные шаги для Service Cloud Voice с партнерской телефонией от Amazon Connect и просмотрите сведения о ресурсе. С последним файлом SCVProvisioningPolicy.json можно ознакомиться в https://github.com/service-cloud-voice/examples-from-doc/blob/main/iam_policies/SCVProvisioningPolicy.json. Матрица в этом документе описывает политики и роли IAM. Если вы работаете в общедоступном домене в США, но используете коммерческую организацию AWS, можно использовать тот же файл SCVProvisioningPolicy.json. Но если вы работаете в общедоступном домене в США и используете регион AWS GovCloud, используйте файл SCVGovProvisioningPolicy.json, доступный на GitHub.
Роль AWS IAM
Чтобы включить надежную взаимосвязь с организацией Salesforce Management AWS, создайте роль управления идентификацией и доступом (IAM) во время настройки. Используя эту роль, Salesforce настраивает артефакты в экземпляре Amazon Connect, необходимые для Service Cloud Voice. Эти ресурсы являются неразрушающими полномочиями IAM, например resetPassword и удаление и деактивация ролей.
Чтобы определить доступ, добавьте политики к роли IAM. Требования к этой роли основаны на следующих принципах.
- Следуя принципу наименьших прав, мы предоставили этой роли минимальный уровень полномочий, необходимый для выполнения ее работы.
- Мы заложили достаточную гибкость в эту роль, чтобы добавить новые функции и улучшения в будущем.
- Чтобы уменьшить влияние, все полномочия и ограничения включены в одну политику роли IAM: SCVProvisioningPolicy.json.
- Эта роль содержит только полномочие на службы, необходимые Service Cloud Voice.
- Чтобы уменьшить риск безопасности, связанный со службой инициализации Service Cloud Voice, добавьте границу полномочий IAM.
См. Настройка роли управления идентификацией и доступом AWS (IAM) для Voice.
Роль AWS IAM для GovCloud
Если вы работаете в общедоступном домене в США и используете регион AWS GovCloud, используйте файл SCVGovProvisioningPolicy.json, доступный на GitHub. Значение кода организации MPA продукта GOV должно быть 383319876315.
Если вы работаете в общедоступном домене в США, но используете коммерческую организацию AWS, используйте общий файл SCVProvisioningPolicy.json.
Доступ к специальным символам
Раздел «WildcardAccess» содержит все ресурсы с действиями службы специальных символов и доступом к ресурсам специальных символов. Политики ds (служба каталога) и журналов (журналы облачного наблюдения) требуют доступа к специальным символам для инициализации и действий среды выполнения.
Лямбда-служба также использует специальные действия.
Доступ к событиям
Раздел «EventAccess» определяет пользователей, имеющих доступ к событиям. Только лямбда-функции в разделе Resource имеют доступ к событиям.
LambdaEventSourceAccess
Раздел «LambdaEventSourceAccess» содержит лямбда-функции, которые могут действовать на событие, запущенное ресурсами AWS. Вы можете соотнести только указанные лямбда-функции с источниками событий. Например, можно соотнести источник события CTRStream с CTRDataSyncFunction, а источник события S3 с VoiceMailAudioProcessingFunction.
Лямбда-доступ
Раздел «LambdaAccess» устанавливает ограничения доступа на основе ресурсов к лямбда-функциям. Чтобы предотвратить нежелательный доступ к заданным пользователем лямбда-функциям, Salesforce инициализирует и работает только с указанными лямбда-функциями.
S3Write
Раздел S3Write определяет политику действий, связанных с S3. Служба инициализации Service Cloud Voice создает два сегмента S3 для организации Salesforce. Одна область сохраняет файлы аудиозаписи разговора. Второй сохраняет все действия AWS, собранные службой CloudTrail. Матрица политик и ролей IAM на этой странице ссылается на сегменты S3, необходимые для загрузки кода лямбда-функции и кода слоя.
ResourceBasedAccess
Раздел ResourceBasedAccess предоставляет специальный доступ к действиям разных служб. Данный раздел содержит регулярные выражения (регексы) ресурса, обязательные только для службы инициализации Service Cloud Voice. Эти ресурсы находятся в организации AWS с AWS_ACCOUNT_ID кода.
IAMAccess
Служба инициализации Service Cloud Voice создает лямбда-функции. Некоторые функции характерны для приложения, например, приостановка и возобновление записей вызовов и создание предварительно подписанных регистрационных данных S3 для воспроизведения аудиозаписей. Все эти функции используют роль IAM и основаны на безопасности инфраструктуры Salesforce. Service Cloud Voice добавляет обязательные действия для ролей IAM. Созданная роль IAM предоставляет доступ только к тем ресурсам роли IAM, которые требуются Service Cloud Voice. Это неразрушающие полномочия IAM, например resetPassword и удаление и деактивация ролей.
CloudformationAccess
Раздел CloudformationAccess содержит все действия AWS CloudFormation, необходимые Service Cloud Voice. Service Cloud Voice инициализирует два стека Cloudformation. Один ярус находится в регионе us-east-1 и настраивает инфраструктуру уровня организации AWS, например, «Роли IAM», «Поставщик удостоверений» и CloudTrail. Другой ярус находится в выбранной области контактного центра. Этот доступ CloudFormation ограничен ограничениями на уровне ресурса.
ConnectAccess
Раздел ConnectAccess предоставляет точные полномочия Amazon Connect, необходимые для работы контактного центра.
Матрица политик и ролей IAM
Во время инициализации эти политики и роли IAM создаются автоматически в организации AWS.
| Политика | Полномочие | Описание |
|---|---|---|
| Политика SCVSSMAccessPolicy | Действие: Ресурс: |
Эта политика управляет доступом к ключам SSM, созданным Service Cloud Voice. |
| Политика SCVLambdaAccessPolicy | Действие: Ресурс: |
Данная политика управляет доступом к лямбда-функциям, созданным Service Cloud Voice. |
| Политика SCVKMSAccessPolicy | Действие: Ресурс: |
Эта политика управляет доступом к ключам KMS, созданным Service Cloud Voice. |
| Политика SCVAmazonConnectAccessPolicy | Действие: |
Эта политика управляет доступом к экземплярам Amazon Connect. |
| InvokeSalesforceRestApiFunctionRolePolicy | Действие: |
Данная политика управляет доступом к Salesforce REST API. |
| CTRDataSyncFunctionRolePolicy | Действие: Ресурс: |
Эта политика управляет доступом к записи контакта и потокам представления Lens контакта, созданным Service Cloud Voice. Если вы используете экземпляр Amazon Connect, интегрированный Salesforce при настройке Service Cloud Voice, Salesforce также управляет доступом к настроенному клиентом потоку записи контакта. |
| Политика SCVSecretsManagerAccessPolicy | Действие: Ресурс: |
Эта политика управляет доступом к организации Salesforce и сведениям о сертификате в менеджере секретов AWS. |
| Имя роли | Описание роли |
|---|---|
SCVKvsTranscriberRoleResource |
Лямбда-функция kvsTranscriber использует эту роль и API интеграции телефонии для отправки данных транскрибирования на основе потока видео Amazon Connect. См. Создание транскрипта. |
SCVProvisioningRole |
Пользователь Service Cloud использует эту роль для выполнения функций инициализации, например, создания и обновления контактного центра посредством службы инициализации Service Cloud Voice. |
SCVHandleContactEventsFunct |
Лямбда-функция HandleContactEventsFunction использует эту роль для очистки отложенных запросов маршрутизации обслуживания, когда Amazon Connect публикует события отключения клиента. |
SCVContactDataSyncFunctionRole |
Лямбда-функция синхронизации данных контактов использует эту роль для вызова транскриптов обратного заполнения из представления Lens контакта. |
Роли IAM с политиками, созданными службой инициализации Service Cloud Voice
За исключением нескольких ролей IAM, служба инициализации Service Cloud Voice создает роли IAM во время выполнения. Служба инициализации создает роли SCVIDPLambdaRole, SCVAmazonConnectManagementRole, SCVConnectConfiguratorLambdaRole во время настройки.
| Имя роли | Политика | Описание |
|---|---|---|
SCVCTRDataSyncFunctionRole |
|
Лямбда-функция CTRDataSyncFunction использует эту роль для вызова Update Voice Call API. См. Обновление записи голосового вызова Voice. |
SCVPostCallAnalysisTriggerFunctionRoleResource |
|
Лямбда-функция PostCallAnalysisTriggerFunction использует эту роль для отправки событий аналитики после завершения голосового вызова для сохранения интеллектуальных сигналов, созданных представлением Lens контакта. |
SCVInvokeTelephonyIntegrationApiFunctionRole |
|
Лямбда-функция InvokeTelephonyIntegrationApiFunction использует эту роль и CreateVoiceCall API для создания вызовов Service Cloud Voice. См. Создание записи голосового вызова Voice. |
SCVInvokeSalesforceRestApiFunctionRole |
|
Лямбда-функция InvokeSalesforceRestApiFunction использует эту роль для выполнения операций REST API. |
SCVSSMLambdaExecutionRole |
|
Служба инициализации Service Cloud Voice использует эту роль для создания параметров типа «Менеджер систем» — «Магазин параметров» — «Безопасная строка». |
SCVS3Role |
|
После сохранения голосовых вызовов в сегменте AWS S3 представитель может воспроизвести записанные голосовые вызовы в Salesforce. Salesforce использует эту роль для получения доступа в сегменте AWS S3 и воспроизведения записей голосовых вызовов. |
SCVKvsTranscriberRole |
|
Лямбда-функция kvsTranscriber использует эту роль и API интеграции телефонии для отправки данных транскрибирования на основе потока видео Amazon Connect. См. Создание транскрипта. |
SCVKvsConsumerTriggerRole |
|
Лямбда-функция kvsConsumerTrigger использует эту роль для запуска лямбда-функции KVSTranscriber для вызова и обработки видеопотока Kinesis. |
SCVContactLensConsumerFunctionRole |
|
Лямбда-функция ContactLensConsumerFunction использует эту роль для включения транскрибирования в реальном времени из представления Lens контакта. |
SCVIDPLambdaRole |
|
Лямбда-функция ProviderCreator использует эту роль для создания «IAM» — «Поставщика удостоверений», где Salesforce выступает в качестве поставщика удостоверений. Служба инициализации Service Cloud Voice создает этот лямбда-ресурс. |
SCVAmazonConnectManagementRole |
|
Service Cloud Voice Provisioning Service использует эту роль для выполнения задач конфигурации Amazon Connect, например, создания и удаления пользователей, маршрутизации профилей, очередей и быстрых подключений. |
SCVConnectConfiguratorLambdaRole |
|
Лямбда-функция ConnectConfigurationFunction использует эту роль для выполнения вызова API в экземпляре Amazon Connect. Данная роль используется для выполнения управления Amazon Connect и настройки экземпляра Amazon Connect. Служба инициализации Service Cloud Voice создает эту лямбда-функцию. |
SCVTrailLogGroupRole |
|
Служба scvCloudTrail использует эту роль для создания всех данных записи события и записи их в область S3 для CloudTrail.
|
SCVVoiceMailAudioProcessingRole |
|
Лямбда-функция VoiceMailAudioProcessing использует эту роль для обработки записи контакта «Поток данных кинеза» и сбора файлов записи голосовой почты. |
SCVVoiceMailPackagingRole |
|
Лямбда-функция VoiceMailPackagingFunction использует эту роль для вызова записи контакта и выполнения OmniFlow API для включения функций голосовой почты. |
SCVVoiceMailTranscribeRole |
|
Лямбда-функция VoiceMailTranscribeFunction использует эту роль для обработки файлов записи голосовой почты и транскрибирования голосовых сообщений. |
SCVRealtimeAlertRole |
|
Лямбда-функция RealtimeAlert использует эту роль и REST API для создания предупреждений Service Cloud Voice в реальном времени. REST API публикует события RealtimeAlertEvent. См. RealtimeAlertEvent. |
SCVHandleContactEventsRole |
|
Лямбда-функция HandleContactEventsFunction использует эту роль для очистки отложенных запросов маршрутизации обслуживания, когда Amazon Connect публикует события отключения клиента. |
[ContactCenter]-SAMLRole |
|
Amazon Connect использует эту роль после проверки подлинности пользователя в AWS посредством протокола SAML для единой регистрации представителя и администратора. После проверки подлинности пользователя Amazon Connect создает сеанс на основе профиля безопасности пользователя. |
[ContactCenter]-ConnectCallRole |
|
Пользователь Service Cloud использует эту роль для остановки и возобновления записей вызовов. |
SCVRetentionPeriodFunctionRole |
|
Лямбда-функция RetentionPeriodFunction использует эту роль для очистки журналов CloudWatch, созданных более 120 дней назад. |
SCVTenantBucketWriteAccessRole |
|
Эта роль позволяет Salesforce хранить и открывать объекты в сегменте голосовых сообщений голосовой почты S3BucketForTenantResources. |
SCVSecretConfiguratorLambdaRole |
|
Лямбда-функция SecretConfiguratorFunction использует эту роль для создания и обновления секретов в менеджере секретов AWS. |
Граница полномочий
Некоторые ресурсы имеют специальный доступ и действия обслуживания. Чтобы настроить более жесткий доступ, создайте границы полномочий.
- Стек проверки состояния контактного центра
Ярус проверки состояния создает определенные роли и политики управления удостоверениями и доступом (IAM) для контактного центра в организации AWS. Эти ресурсы предоставляют необходимые полномочия для лямбда-функции проверки состояния для анализа конфигурации контактного центра и создания диагностического отчета.
