Bagaimana Amazon Pinpoint bekerja dengan IAM - Amazon Pinpoint
Amazon Pinpoint kebijakan berbasis identitasAmazon Pinpoint kebijakan izin berbasis sumber dayaOtorisasi berdasarkan tag Amazon PinpointPeran Amazon Pinpoint IAM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagaimana Amazon Pinpoint bekerja dengan IAM

Untuk menggunakan Amazon Pinpoint, pengguna di AWS akun Anda memerlukan izin yang memungkinkan mereka melihat data analitik, membuat proyek, menentukan segmen pengguna, menyebarkan kampanye, dan banyak lagi. Jika Anda mengintegrasikan aplikasi seluler atau web dengan Amazon Pinpoint, pengguna aplikasi Anda juga memerlukan akses ke Amazon Pinpoint. Akses ini memungkinkan aplikasi Anda mendaftarkan titik akhir dan melaporkan data penggunaan ke Amazon Pinpoint. Untuk memberikan akses ke fitur Amazon Pinpoint, buat AWS Identity and Access Management (IAM) kebijakan yang mengizinkan tindakan Amazon Pinpoint IAM untuk identitas atau sumber daya Amazon Pinpoint.

IAMadalah layanan yang membantu administrator mengontrol akses ke sumber daya dengan aman. AWS IAMkebijakan mencakup pernyataan yang mengizinkan atau menolak tindakan tertentu oleh pengguna tertentu atau untuk sumber daya tertentu. Amazon Pinpoint menyediakan serangkaian tindakan yang dapat Anda gunakan dalam IAM kebijakan untuk menentukan izin terperinci bagi pengguna dan sumber daya Amazon Pinpoint. Ini berarti Anda dapat memberikan tingkat akses yang sesuai ke Amazon Pinpoint tanpa membuat kebijakan yang terlalu permisif yang mungkin mengekspos data penting atau membahayakan sumber daya Anda. Misalnya, Anda dapat memberikan akses tidak terbatas ke administrator Amazon Pinpoint, dan memberikan akses hanya-baca kepada individu yang hanya memerlukan akses ke proyek tertentu.

Sebelum Anda menggunakan IAM untuk mengelola akses ke Amazon Pinpoint, Anda harus memahami IAM fitur apa yang tersedia untuk digunakan dengan Amazon Pinpoint. Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja IAM Amazon Pinpoint dan layanan AWS lainnya, AWS lihat layanan yang berfungsi di IAM Panduan PenggunaIAM.

Amazon Pinpoint kebijakan berbasis identitas

Dengan kebijakan IAM berbasis identitas, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak serta kondisi di mana tindakan diizinkan atau ditolak. Amazon Pinpoint mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam JSON kebijakan, lihat referensi elemen IAM JSON kebijakan di Panduan IAM Pengguna.

Tindakan

Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, principal dapat melakukan tindakan pada suatu sumber daya, dan dalam suatu syarat.

ActionElemen JSON kebijakan menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan AWS API operasi terkait. Ada beberapa pengecualian, seperti tindakan khusus izin yang tidak memiliki operasi yang cocok. API Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut tindakan dependen.

Menyertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.

Ini berarti tindakan kebijakan mengontrol apa yang dapat dilakukan pengguna di konsol Amazon Pinpoint. Mereka juga mengontrol apa yang dapat dilakukan pengguna secara terprogram dengan menggunakan AWS SDKs, the AWS Command Line Interface (AWS CLI), atau Amazon APIs Pinpoint secara langsung.

Tindakan kebijakan di Amazon Pinpoint menggunakan awalan berikut:

  • mobiletargeting— Untuk tindakan yang berasal dari Amazon API Pinpoint, yang merupakan yang API utama untuk Amazon Pinpoint.

  • sms-voice— Untuk tindakan yang berasal dari Amazon SMS Pinpoint dan API Voice, yang merupakan API tambahan yang menyediakan opsi lanjutan untuk menggunakan dan mengelola SMS saluran suara dan di Amazon Pinpoint.

Misalnya, untuk memberikan izin kepada seseorang untuk melihat informasi tentang semua segmen proyek, yang merupakan tindakan yang sesuai dengan GetSegments operasi di Amazon PinpointAPI, sertakan mobiletargeting:GetSegments tindakan tersebut dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen Action atau NotAction. Amazon Pinpoint mendefinisikan serangkaian tindakannya sendiri yang menggambarkan tugas yang dapat dilakukan pengguna dengannya.

Untuk menentukan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma:

"Action": [
      "mobiletargeting:action1",
      "mobiletargeting:action2"

Anda juga dapat menentukan beberapa tindakan dengan menggunakan wildcard (*). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata Get, sertakan tindakan berikut:

"Action": "mobiletargeting:Get*"

Namun, sebagai praktik terbaik, Anda harus membuat kebijakan yang mengikuti prinsip hak istimewa paling sedikit. Dengan kata lain, Anda harus membuat kebijakan yang hanya menyertakan izin yang diperlukan untuk melakukan tindakan tertentu.

Untuk daftar tindakan Amazon Pinpoint yang dapat Anda gunakan dalam IAM kebijakan, lihat. Tindakan Amazon Pinpoint untuk kebijakan IAM

Sumber daya

Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, principal dapat melakukan tindakan pada suatu sumber daya, dan dalam suatu syarat.

Elemen Resource JSON kebijakan menentukan objek atau objek yang tindakan tersebut berlaku. Pernyataan harus menyertakan elemen Resource atau NotResource. Sebagai praktik terbaik, tentukan sumber daya menggunakan Amazon Resource Name (ARN). Anda dapat melakukan ini untuk tindakan yang mendukung jenis sumber daya tertentu, yang dikenal sebagai izin tingkat sumber daya.

Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, misalnya operasi pencantuman, gunakan wildcard (*) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.

"Resource": "*"

Misalnya, mobiletargeting:GetSegments tindakan mengambil informasi tentang semua segmen yang terkait dengan proyek Amazon Pinpoint tertentu. Anda mengidentifikasi proyek dengan ARN format berikut:

arn:aws:mobiletargeting:${Region}:${Account}:apps/${projectId}

Untuk informasi selengkapnya tentang formatARNs, lihat Amazon Resource Names (ARNs) di Referensi Umum AWS.

Dalam IAM kebijakan, Anda dapat menentukan ARNs jenis sumber daya Amazon Pinpoint berikut:

  • Kampanye

  • Perjalanan

  • Template pesan (disebut sebagai template dalam beberapa konteks)

  • Proyek (disebut sebagai aplikasi atau aplikasi dalam beberapa konteks)

  • Model pemberi rekomendasi (disebut sebagai pemberi rekomendasi dalam beberapa konteks)

  • Segmen

Misalnya, untuk membuat pernyataan kebijakan untuk proyek yang memiliki ID proyek810c7aab86d42fb2b56c8c966example, gunakan yang berikut iniARN:

"Resource": "arn:aws:mobiletargeting:us-east-1:123456789012:apps/810c7aab86d42fb2b56c8c966example"

Untuk menentukan semua proyek milik akun tertentu, gunakan wildcard (*):

"Resource": "arn:aws:mobiletargeting:us-east-1:123456789012:apps/*"

Beberapa tindakan Amazon Pinpoint, seperti tindakan tertentu untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (*):

"Resource": "*"

Dalam IAM kebijakan, Anda juga dapat menentukan ARNs jenis sumber daya Amazon Pinpoint SMS dan Voice berikut:

  • Set Konfigurasi

  • Daftar Keluar

  • Nomor Telepon

  • Kolam

  • Id Pengirim

Misalnya, untuk membuat pernyataan kebijakan untuk nomor telepon yang memiliki ID nomor telepon, phone-12345678901234567890123456789012 gunakan yang berikut iniARN: 

"Resource": "arn:aws:sms-voice:us-east-1:123456789012:phone-number/phone-12345678901234567890123456789012"

Untuk menentukan semua nomor telepon milik akun tertentu, gunakan wildcard (*) sebagai pengganti ID nomor telepon:

"Resource": "arn:aws:sms-voice:us-east-1:123456789012:phone-number/*"

Beberapa tindakan Amazon Pinpoint SMS dan Voice tidak dilakukan pada sumber daya tertentu, seperti untuk mengelola pengaturan tingkat akun seperti batas pengeluaran. Dalam kasus tersebut, Anda harus menggunakan wildcard (*):

"Resource": "*"

Beberapa API tindakan Amazon Pinpoint melibatkan banyak sumber daya. Misalnya, TagResource tindakan dapat menambahkan tag ke beberapa proyek. Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma:

"Resource": [
      "resource1",
      "resource2"

Untuk melihat daftar jenis sumber daya Amazon Pinpoint dan jenisnyaARNs, lihat Sumber Daya yang Ditentukan oleh Amazon Pinpoint di IAM Panduan Pengguna. Untuk mempelajari tindakan yang dapat Anda tentukan dengan setiap ARN jenis sumber daya, lihat Tindakan yang Ditentukan oleh Amazon Pinpoint di IAMPanduan Pengguna.

Kunci syarat

Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana utama dapat melakukan tindakan pada sumber daya, dan dalam kondisi apa.

Elemen Condition (atau blok Condition) akan memungkinkan Anda menentukan kondisi yang menjadi dasar suatu pernyataan berlaku. Elemen Condition bersifat opsional. Anda dapat membuat ekspresi bersyarat yang menggunakan operator kondisi, misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta.

Jika Anda menentukan beberapa elemen Condition dalam sebuah pernyataan, atau beberapa kunci dalam elemen Condition tunggal, maka AWS akan mengevaluasinya menggunakan operasi AND logis. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi menggunakan OR operasi logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.

Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Misalnya, Anda dapat memberikan izin IAM pengguna untuk mengakses sumber daya hanya jika ditandai dengan nama IAM pengguna mereka. Untuk informasi selengkapnya, lihat elemen IAM kebijakan: variabel dan tag di Panduan IAM Pengguna.

AWS mendukung kunci kondisi global dan kunci kondisi khusus layanan. Untuk melihat semua kunci kondisi AWS global, lihat kunci konteks kondisi AWS global di Panduan IAM Pengguna.

Amazon Pinpoint mendefinisikan kumpulan kunci kondisinya sendiri dan juga mendukung beberapa kunci kondisi global. Untuk melihat daftar semua kunci kondisi AWS global, lihat kunci konteks kondisi AWS global di Panduan IAM Pengguna. Untuk melihat daftar kunci kondisi Amazon Pinpoint, lihat Kunci Kondisi untuk Amazon Pinpoint di IAM Panduan Pengguna. Untuk mempelajari tindakan dan sumber daya yang dapat digunakan untuk menggunakan kunci kondisi, lihat Tindakan yang Ditentukan oleh Amazon Pinpoint di IAMPanduan Pengguna.

Contoh

Untuk melihat contoh kebijakan berbasis identitas Amazon Pinpoint, lihat. Amazon Pinpoint contoh kebijakan berbasis identitas

Amazon Pinpoint kebijakan izin berbasis sumber daya

Kebijakan izin berbasis sumber daya adalah dokumen JSON kebijakan yang menentukan tindakan apa yang dapat dilakukan oleh prinsipal tertentu pada sumber daya Amazon Pinpoint dan dalam kondisi apa. Amazon Pinpoint mendukung kebijakan izin berbasis sumber daya untuk kampanye, perjalanan, templat pesan (templat), model pemberi rekomendasi (pemberi rekomendasi), proyek (aplikasi), dan segmen.

Contoh

Untuk melihat contoh kebijakan berbasis sumber daya Amazon Pinpoint, lihat. Amazon Pinpoint contoh kebijakan berbasis identitas

Otorisasi berdasarkan tag Amazon Pinpoint

Anda dapat mengaitkan tag dengan jenis sumber daya Amazon Pinpoint tertentu atau meneruskan tag dalam permintaan ke Amazon Pinpoint. Untuk mengendalikan akses berdasarkan tag, berikan informasi tentang tag di elemen kondisi dari kebijakan menggunakan kunci kondisi aws:ResourceTag/${TagKey}, aws:RequestTag/${TagKey}, atau aws:TagKeys.

Untuk informasi tentang menandai sumber daya Amazon Pinpoint, termasuk kebijakan IAM contoh, lihat. Mengelola tag sumber daya Amazon Pinpoint

Peran Amazon Pinpoint IAM

IAMPeran adalah entitas dalam AWS akun Anda yang memiliki izin khusus.

Menggunakan kredensi sementara dengan Amazon Pinpoint

Anda dapat menggunakan kredensi sementara untuk masuk dengan federasi, mengambil IAM peran, atau mengambil peran lintas akun. Anda memperoleh kredensi keamanan sementara dengan memanggil AWS Security Token Service (AWS STS) API operasi seperti AssumeRoleatau. GetFederationToken

Amazon Pinpoint mendukung penggunaan kredensi sementara.

Peran terkait layanan

Peran terkait AWS layanan memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di IAM akun Anda dan dimiliki oleh layanan. IAMAdministrator dapat melihat tetapi tidak mengedit izin untuk peran terkait layanan.

Amazon Pinpoint tidak menggunakan peran terkait layanan.

Peran layanan

Fitur ini memungkinkan layanan untuk menerima peran layanan atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di IAM akun Anda dan dimiliki oleh akun. Ini berarti bahwa IAM administrator dapat mengubah izin untuk peran ini. Namun, melakukan hal itu dapat merusak fungsionalitas layanan.

Amazon Pinpoint mendukung penggunaan peran layanan.