如何对 Amazon Connect 中基于标签的访问控制的问题进行故障排除?
我想对在 Amazon Connect 中使用基于标签的访问控制时遇到的常见问题进行故障排除。
解决方法
根据您的问题,请完成以下部分中的步骤。
代理无法创建或更新资源
要允许用户访问资源,必须使用与代理配置文件相同的标签来标记该资源。例如,如果代理想要编辑队列但其安全配置文件中没有该标签,则该代理会收到错误。
要解决此问题,请更新代理的安全配置文件以访问必要的资源。
代理无法限制资源
您的代理可能无法使用标签限制资源的原因有很多。
您的代理的权限不正确
如果代理无法使用基于标签的访问控制来限制资源,则请查看代理编辑资源的权限。如果代理无权访问资源,则更新代理的安全配置文件以访问必要的资源。
**注意:**您最多可以为一个安全配置文件配置四个访问控制标签。有关更多信息,请参阅配置限制。
您的服务关联角色不正确
确保您的服务关联角色允许执行这些操作。
**注意:**如果您的实例是在 2018 年 10 月之前创建的,则使用服务关联角色来限制资源。有关更多信息,请参阅为 Amazon Connect 使用服务关联角色和角色权限。
您的标签格式不正确
Amazon 为 Amazon 服务生成的标签保留 aws: 前缀。如果将 aws: 添加到您的标签,则无法添加、修改或删除标签。
要解决此问题,请为您的资源创建一个不包含 aws: 前缀的新标签。
标签密钥不是唯一的
Amazon Connect 服务支持每种资源最多 50 个标签。对于给定资源,标签密钥必须是唯一的,并且只有一个值。
要解决此问题,请更新您的标签密钥。有关更多信息,请参阅在 Amazon Connect 中为资源添加标签。
具有多个安全配置文件的代理无法查看其资源中的标签
当将包含了访问控制标签的多个安全配置文件分配给单个用户时,基于标签的访问控制的限制就会降低。
例如,假设您添加了两个访问控制标签,City:X 和 Country:Y。由于这些标签,用户只能看到同时包含这两个标签的资源。
要解决此问题,最佳实践是仅为代理分配一个安全配置文件。
你会收到“标签失败: 无效值”错误
使用 CSV 文件来批量添加用户时,可能会遇到以下错误:
“标签失败: 无效值”
当您批量添加用户并且某些用户有多个标签时,就会出现此错误。
要解决此问题,请更新标签的 CSV 文件格式。标签的正确格式与以下示例类似:
key1|value1||key2|value2
您无法根据辅助筛选条件来筛选代理指标
当您使用实时指标页面进行基于标签的访问控制时,只能按主要资源来筛选表。例如,您不能在代理表中按队列进行筛选,也不能在路由配置文件表中按队列分组。
启用标签后,Amazon Connect 会选择具有相应标签的前 100 个代理。对于群组中拥有标签的用户,Amazon Connect 仅显示该群组中的活跃代理。由于该表可以在单个页面上显示完整结果,因此您无需筛选结果。
用户可以看到受限制的内容
如果用户可以看到受基于标签的访问控制限制的内容,请查看您的访问控制设置。应用基于标签的访问控制时,必须关闭对特定资源或模块的访问权限。要解决此问题,请更新您的配置并删除查看模块或资源的权限。有关更多最佳实践,请参阅应用基于标签的访问控制的最佳实践。
