Políticas basadas en identidades de Amazon Pinpoint Políticas de permisos basadas en recursos de Amazon Pinpoint Autorización basada en etiquetas de Amazon Pinpoint Roles de IAM de Amazon Pinpoint

Cómo funciona Amazon Pinpoint con IAM

Para usar Amazon Pinpoint, los usuarios de su AWS cuenta necesitan permisos que les permitan ver datos de análisis, crear proyectos, definir segmentos de usuarios, implementar campañas y mucho más. Si integra una aplicación móvil o web con Amazon Pinpoint, los usuarios de la aplicación también requieren acceso a Amazon Pinpoint. Este acceso permite que la aplicación registre los datos de uso y punto de conexión en Amazon Pinpoint. Para conceder acceso a las funciones de Amazon Pinpoint, cree políticas AWS Identity and Access Management (IAM) que permitan a Amazon Pinpoint realizar acciones para las identidades de IAM o los recursos de Amazon Pinpoint.

La IAM es un servicio que ayuda a los administradores a controlar de forma segura el acceso a los recursos. AWS Las políticas de IAM incluyen instrucciones que permiten o deniegan acciones específicas de usuarios específicos o para recursos específicos. Amazon Pinpoint proporciona un conjunto de acciones que puede usar en políticas de IAM para especificar permisos detallados para los usuarios y recursos de Amazon Pinpoint. Esto significa que puede conceder el nivel adecuado de acceso a Amazon Pinpoint sin necesidad de crear políticas demasiado permisivas, algo que podría dejar expuestos datos importantes o poner en peligro los recursos. Por ejemplo, puede conceder acceso sin restricciones a un administrador de Amazon Pinpoint y conceder acceso de solo lectura a las personas que solo necesiten acceso a un proyecto específico.

Antes de utilizar IAM para administrar el acceso a Amazon Pinpoint, debe conocer qué características de IAM se encuentran disponibles con Amazon Pinpoint. Para obtener una visión general de cómo Amazon Pinpoint y otros AWS servicios funcionan con IAM, consulte los AWS servicios que funcionan con IAM en la Guía del usuario de IAM.

Temas

Políticas basadas en identidades de Amazon Pinpoint
Políticas de permisos basadas en recursos de Amazon Pinpoint
Autorización basada en etiquetas de Amazon Pinpoint
Roles de IAM de Amazon Pinpoint

Políticas basadas en identidades de Amazon Pinpoint

Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Amazon Pinpoint admite acciones, claves de condiciones y recursos específicos. Para obtener más información acerca de los elementos que puede utilizar en una política de JSON, consulte Referencia de los elementos de las políticas de JSON de IAM en la Guía del usuario de IAM.

Acciones

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puedes realizar acciones en qué recursos y en qué condiciones.

El elemento Action de una política JSON describe las acciones que puedes utilizar para conceder o denegar el acceso en una política. Las acciones políticas suelen tener el mismo nombre que la operación de AWS API asociada. Hay algunas excepciones, como acciones de solo permiso que no tienen una operación de API coincidente. También hay algunas operaciones que requieren varias acciones en una política. Estas acciones adicionales se denominan acciones dependientes.

Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.

Esto significa que las acciones de la política controlan lo que los usuarios pueden hacer en la consola de Amazon Pinpoint. También controlan lo que los usuarios pueden hacer mediante programación mediante el uso directo de AWS SDKs, the AWS Command Line Interface (AWS CLI) o Amazon APIs Pinpoint.

Las acciones de política de Amazon Pinpoint utilizan los prefijos siguientes:

mobiletargeting: para acciones derivadas de la API de Amazon Pinpoint, que es la API principal de Amazon Pinpoint.
sms-voice: para acciones derivadas de la API de SMS y voz de Amazon Pinpoint, que es una API complementaria que ofrece opciones avanzadas para usar y administrar los canales de SMS y voz en Amazon Pinpoint.

Por ejemplo, para conceder a alguien permiso para ver información sobre todos los segmentos de un proyecto, que es una acción que corresponde a la operación GetSegments de la API de Amazon Pinpoint, incluya la acción mobiletargeting:GetSegments en la política. Las instrucciones de la política deben incluir un elemento Action o un elemento NotAction. Amazon Pinpoint define su propio conjunto de acciones que describen las tareas que se pueden realizar con él.

Para especificar varias acciones en una única instrucción, sepárelas con comas:


"Action": [
      "mobiletargeting:action1",
      "mobiletargeting:action2"

También puede utilizar caracteres comodín (*) para especificar varias acciones. Por ejemplo, para especificar todas las acciones que comiencen con la palabra Get, incluya la siguiente acción:


"Action": "mobiletargeting:Get*"

Sin embargo, recomendamos que las políticas se creen según el principio de privilegios mínimos. En otras palabras, debe crear políticas que incluyan solo los permisos necesarios para realizar una acción específica.

Para obtener una lista de las acciones de Amazon Pinpoint que puede utilizar en las políticas de IAM, consulte Acciones de Amazon Pinpoint para las políticas de IAM.

Recursos

El elemento Resource de la política JSON especifica el objeto u objetos a los que se aplica la acción. Las instrucciones deben contener un elemento Resource o NotResource. Como práctica recomendada, especifique un recurso utilizando el Nombre de recurso de Amazon (ARN). Puedes hacerlo para acciones que admitan un tipo de recurso específico, conocido como permisos de nivel de recurso.

Para las acciones que no admiten permisos de nivel de recurso, como las operaciones de descripción, utiliza un carácter comodín (*) para indicar que la instrucción se aplica a todos los recursos.


"Resource": "*"

Por ejemplo, la acción mobiletargeting:GetSegments recupera información sobre todos los segmentos asociados a un proyecto de Amazon Pinpoint específico. Identifica un proyecto con un ARN con el siguiente formato:


arn:aws:mobiletargeting:${Region}:${Account}:apps/${projectId}

Para obtener más información sobre el formato de ARNs, consulte Amazon Resource Names (ARNs) en Referencia general de AWS.

En las políticas de IAM, puede especificar ARNs los siguientes tipos de recursos de Amazon Pinpoint:

Campañas
Recorridos
Plantillas de mensajes (denominadas plantillas en algunos contextos)
Proyectos (denominados apps o aplicaciones en algunos contextos)
Modelos de recomendación (denominados recomendadores en algunos contextos)
Segmentos

Por ejemplo, para crear una instrucción de política para el proyecto con el ID de proyecto 810c7aab86d42fb2b56c8c966example, utilice el siguiente ARN:


"Resource": "arn:aws:mobiletargeting:us-east-1:123456789012:apps/810c7aab86d42fb2b56c8c966example"

Para especificar todos los proyectos que pertenecen a una cuenta específica, utilice el carácter comodín (*):


"Resource": "arn:aws:mobiletargeting:us-east-1:123456789012:apps/*"

Algunas acciones de Amazon Pinpoint, como determinadas acciones para crear recursos, no se pueden llevar a cabo en un recurso específico. En dichos casos, debe utilizar el carácter comodín (*):


"Resource": "*"

En las políticas de IAM, también puede especificar ARNs los siguientes tipos de recursos de SMS y voz de Amazon Pinpoint:

Conjunto de configuración
Lista de exclusión
Número de teléfono
Grupo
ID de remitente

Por ejemplo, para crear una instrucción de política para un número de teléfono que tenga el ID de número de teléfono phone-12345678901234567890123456789012 utilice el siguiente ARN:


"Resource": "arn:aws:sms-voice:us-east-1:123456789012:phone-number/phone-12345678901234567890123456789012"

Para especificar todos los números de teléfono que pertenezcan a una cuenta específica, utilice un comodín (*) en lugar del ID del número de teléfono:


"Resource": "arn:aws:sms-voice:us-east-1:123456789012:phone-number/*"

Algunas acciones de SMS y voz de Amazon Pinpoint no se realizan en un recurso específico, como las que se utilizan para administrar ajustes a nivel de cuenta, como los límites de gasto. En dichos casos, debe utilizar el carácter comodín (*):


"Resource": "*"

Algunas acciones de la API de Amazon Pinpoint implican varios recursos. Por ejemplo, la acción TagResource puede agregar una etiqueta a varios proyectos. Para especificar varios recursos en una sola declaración, sepárelos ARNs con comas:


"Resource": [
      "resource1",
      "resource2"

Para ver una lista de los tipos de recursos de Amazon Pinpoint y sus tipos ARNs, consulte Recursos definidos por Amazon Pinpoint en la Guía del usuario de IAM. Para obtener información acerca de las acciones con las que puede especificar el ARN de cada tipo de recurso, consulte Acciones definidas por Amazon Pinpoint en la Guía del usuario de IAM.

Claves de condición

El elemento Condition (o bloque de Condition) permite especificar condiciones en las que entra en vigor una instrucción. El elemento Condition es opcional. Puedes crear expresiones condicionales que utilizan operadores de condición, tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud.

Si especifica varios elementos de Condition en una instrucción o varias claves en un único elemento de Condition, AWS las evalúa mediante una operación AND lógica. Si especifica varios valores para una única clave de condición, AWS evalúa la condición mediante una OR operación lógica. Se deben cumplir todas las condiciones antes de que se concedan los permisos de la instrucción.

También puedes utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puedes conceder un permiso de usuario de IAM para acceder a un recurso solo si está etiquetado con su nombre de usuario de IAM. Para más información, consulta Elementos de la política de IAM: variables y etiquetas en la Guía del usuario de IAM.

AWS admite claves de condición globales y claves de condición específicas del servicio. Para ver todas las claves de condición AWS globales, consulte las claves de contexto de condición AWS globales en la Guía del usuario de IAM.

Amazon Pinpoint define su propio conjunto de claves de condición y también admite algunas claves de condición globales. Para ver una lista de todas las claves de condición AWS globales, consulte las claves de contexto de condición AWS globales en la Guía del usuario de IAM. Para consultar una lista de claves de condición de Amazon Pinpoint, consulte Claves de condición para Amazon Pinpoint en la Guía del usuario de IAM. Para obtener información acerca de las acciones y los recursos con los que puede utilizar una clave de condición, consulte Acciones definidas por Amazon Pinpoint en la Guía del usuario de IAM.

Ejemplos

Para ver ejemplos de políticas basadas en identidad de Amazon Pinpoint, consulte Ejemplos de políticas basadas en identidades de Amazon Pinpoint.

Políticas de permisos basadas en recursos de Amazon Pinpoint

Las políticas de permisos basadas en recursos son documentos de políticas de JSON que especifican qué acciones puede realizar una entidad principal de servicio especificada en un recurso de Amazon Pinpoint y en qué condiciones. Amazon Pinpoint admite políticas de permisos basadas en recursos para campañas, recorridos, plantillas de mensajes (plantillas), modelos de recomendaciones (generadores de recomendaciones), proyectos (aplicaciones) y segmentos.

Ejemplos

Para ver ejemplos de políticas basadas en recursos de Amazon Pinpoint, consulte Ejemplos de políticas basadas en identidades de Amazon Pinpoint.

Autorización basada en etiquetas de Amazon Pinpoint

Puede asociar etiquetas a determinados tipos de recursos de Amazon Pinpoint o pasar etiquetas en una solicitud a Amazon Pinpoint. Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el elemento de condición de una política utilizando las claves de condición aws:ResourceTag/${TagKey}, aws:RequestTag/${TagKey} o aws:TagKeys.

Para obtener información sobre cómo etiquetar los recursos de Amazon Pinpoint, incluida una política de IAM de ejemplo, consulte Administración de etiquetas de recurso de Amazon Pinpoint.

Roles de IAM de Amazon Pinpoint

Un rol de IAM es una entidad de la cuenta de AWS que dispone de permisos específicos.

Uso de credenciales temporales con Amazon Pinpoint

Puede utilizar credenciales temporales para iniciar sesión con identidad federada, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen llamando a AWS Security Token Service (AWS STS) operaciones de API como AssumeRoleo GetFederationToken.

Amazon Pinpoint admite el uso de credenciales temporales.

Roles vinculados a servicios

Los roles vinculados a un servicio permiten a AWS los servicios acceder a los recursos de otros servicios para completar una acción en tu nombre. Los roles vinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.

Amazon Pinpoint no usa roles vinculados a servicios.

Roles de servicio

Esta característica permite que un servicio asuma un rol de servicio en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que un administrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.

Amazon Pinpoint admite el uso de roles de servicio.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Identity and Access Management

Acciones de políticas de Amazon Pinpoint