Introducción a la administración de acceso a los SMS en Amazon SNS - Amazon Simple Notification Service
Políticas de IAM para SMSAdministración de políticas de IAM personalizadas de Amazon SNSPolíticas basadas en recursos

Introducción a la administración de acceso a los SMS en Amazon SNS

importante

Se ha actualizado la Guía para desarrolladores de SMS de Amazon SNS. Amazon SNS se ha integrado con AWS End User Messaging SMS para la entrega de mensajes SMS. Esta guía contiene la información más reciente sobre cómo crear, configurar y administrar los mensajes SMS de Amazon SNS.

Para habilitar la mensajería SMS en Amazon SNS, debe conceder a Amazon SNS los permisos necesarios para acceder a sus recursos de SMS y llamar a las API de AWS End User Messaging SMS en su nombre. Existen dos mecanismos principales que controlan este acceso:

  1. Una política de IAM que concede acceso a las API de AWS End User Messaging SMS

  2. Políticas basadas en recursos para conceder permiso para los recursos de AWS End User Messaging SMS

    De forma predeterminada, los recursos de SMS, como los ID de origen y las listas de exclusión, tienen políticas de recursos que conceden permisos a Amazon SNS.

Políticas de IAM para SMS

Las políticas de SMS de AWS Identity and Access Management (IAM) son las políticas que conceden a Amazon SNS los permisos necesarios para acceder a las API de AWS End User Messaging SMS y utilizarlas. Estas políticas definen las acciones que Amazon SNS puede realizar al interactuar con los recursos de AWS End User Messaging SMS, como el envío de mensajes SMS.

  1. Si no utiliza un rol de administrador, asocie una política de IAM que incluya las API de sms-voice.

    Si trabaja en un entorno de pruebas, puede empezar a enviar mensajes SMS a números de teléfono de destino verificados sin necesidad de establecer políticas de recursos adicionales.

  2. Si ha solicitado una nueva identidad de origen, seleccione la política correspondiente en la consola. Esto concede a Amazon SNS y AWS End User Messaging SMS acceso al recurso.

  3. Si desea utilizar las exclusiones, la lista de exclusión predeterminada no tiene una política de recursos predeterminada. Debe configurar manualmente una política de recursos en el AWS End User Messaging SMS para usar las API de Amazon SNS.

Utilice la siguiente política de IAM para acceder a todas las API relacionadas con los SMS en SNS:

nota

sms-voice:SendTextMessage y las API de exclusión no están presentes en el siguiente ejemplo.

{
    "Effect": "Allow",
    "Principal": { "Service": "sns.amazonaws.com" },
    "Action": [
        "sns:*",
        "sms-voice:CreateVerifiedDestinationPhoneNumber",
        "sms-voice:DeleteVerifiedDestinationPhoneNumber",
        "sms-voice:GetAccountTier",
        "sms-voice:DescribePhoneNumbers",
        "sms-voice:DescribeDestinationPhoneNumbers",
        "sms-voice:VerifyDestinationPhoneNumber",
        "sms-voice:DescribePhoneNumbers",
        "sms-voice:DescribeSpendLimits",
        "sms-voice:DescribeConfigurationSets",
        "sms-voice:SetTextMessageSpendLimitOverride", 
        "sms-voice:UpdateRouteType", 
        "sms-voice:UpdateSenderId"
     ]
    "Resource": "*",
    "Condition": { "StringEquals": { "aws:SourceAccount": "<owner account>" } }
}

Utilice la siguiente política de IAM para acceder a todas las funciones relacionadas con los SMS (publicación directa) en SNS:

{
    "Effect": "Allow",
    "Principal": { "Service": "sns.amazonaws.com" },
    "Action": [
        "sns:CreateSMSSandboxPhoneNumber",
        "sns:DeleteSMSSandboxPhoneNumber",
        "sns:GetSMSSandboxPhoneNumber",
        "sns:ListSMSSandboxPhoneNumber",
        "sns:VerifySMSSandboxPhoneNumber",
        "sns:ListOriginationNumbers",
        "sns:CheckIfPhoneNumberIsOptedOut",
        "sns:GetSMSAttributes",
        "sns:SetSMSAttributes",
        "sns:Publish",
        "sms-voice:CreateVerifiedDestinationPhoneNumber",
        "sms-voice:DeleteVerifiedDestinationPhoneNumber",
        "sms-voice:GetAccountTier",
        "sms-voice:DescribePhoneNumbers",
        "sms-voice:DescribeDestinationPhoneNumbers",
        "sms-voice:VerifyDestinationPhoneNumber",
        "sms-voice:DescribePhoneNumbers",
        "sms-voice:DescribeSpendLimits",
        "sms-voice:DescribeConfigurationSets",
        "sms-voice:SetTextMessageSpendLimitOverride", 
        "sms-voice:UpdateRouteType", 
        "sms-voice:UpdateSenderId"
     ]
    "Resource": "*"
}

Administración de políticas de IAM personalizadas de Amazon SNS

Las políticas de IAM personalizadas le permiten especificar permisos para usuarios, grupos o roles individuales de IAM, concediendo o restringiendo el acceso a recursos y acciones específicos de AWS. Al administrar los recursos de Amazon SNS, las políticas de IAM personalizadas le permiten personalizar los permisos de acceso de acuerdo con los requisitos operativos y de seguridad de su organización.

Siga estos pasos para administrar políticas de IAM personalizadas para Amazon SNS:

  1. Inicie sesión en AWS Management Console Management Console y abra la consola IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Políticas.

  3. Para crear una nueva política de IAM personalizada, seleccione Crear política y, a continuación, elija SNS. Para editar una política existente, selecciónela de la lista y elija Editar política.

  4. En el editor de políticas, defina los permisos para acceder a los recursos de Amazon SNS. Puede especificar acciones, recursos y condiciones en función de sus requisitos específicos.

  5. Para conceder permisos para las acciones de Amazon SNS, incluya las acciones de Amazon SNS pertinentes, como sns:Publish, sns:Subscribe y sns:DeleteTopic, en su política de IAM. Defina el ARN (Nombre de recurso de Amazon) de los temas de Amazon SNS a los que se aplican los permisos.

  6. Especifique los usuarios, grupos o roles de IAM a los que se debe asociar la política. Puede asociar la política directamente a los usuarios o grupos de IAM o asociarla a los roles de IAM usados por Servicios de AWS o las aplicaciones.

  7. Revise la configuración de las políticas de IAM para asegurarse de que se ajusta a sus requisitos de control de acceso. Una vez verificadas, guarde los cambios realizados en ellas.

  8. Asocie la política de IAM personalizada a los usuarios, grupos o roles de IAM pertinentes de su Cuenta de AWS. Esto les concede los permisos definidos en la política para administrar los recursos de Amazon SNS.

Políticas basadas en recursos

Las políticas basadas en recursos de Amazon SNS se utilizan para controlar el acceso a los recursos de mensajería SMS y administrar los permisos para enviar mensajes en su nombre. Estas políticas definen quién puede realizar acciones en los recursos de mensajería SMS, como enviar mensajes o administrar las identidades de origen.

Al configurar políticas basadas en recursos, puede especificar qué identidades o cuentas de AWS tienen permisos para acceder a la funcionalidad de mensajería SMS de Amazon SNS e interactuar con ella. Esto ayuda a garantizar la seguridad y el cumplimiento al restringir el acceso a los usuarios o sistemas autorizados y, al mismo tiempo, les permite utilizar las funciones de mensajería SMS que ofrece Amazon SNS.

Identidades de origen

Cuando envía mensajes SMS mediante Amazon SNS, puede identificarse ante sus destinatarios usando una identidad de origen. Utilice la siguiente política basada en recursos para enviar mensajes SMS con una identidad de origen:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "sns.amazonaws.com"
            },
            "Action": "sms-voice:SendTextMessage",
            "Resource": "arn:aws:sms-voice:us-east-1:555555555555:phone-number/phone-11aa2b3333c44444d55e6ffff77gggg8",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111111111111"
                }
            }
        }
    ]
}