Perfil do IAM para importação de endpoints ou segmentos
Com o Amazon Pinpoint, você pode definir um segmento de usuário ao importar definições de endpoint de um bucket do Amazon Simple Storage Service (Amazon S3) na conta da AWS. Antes de importar, você deve delegar as permissões necessárias para o Amazon Pinpoint. Para fazer isso, crie um perfil do AWS Identity and Access Management (IAM) e anexe as seguintes políticas a ele:
-
A política gerenciada pela AWS
AmazonS3ReadOnlyAccess. Essa política é criada e gerenciada pelo AWS e concede acesso somente leitura ao seu bucket do Amazon S3. -
Uma política de confiança que permita que Amazon Pinpoint assuma o perfil.
Depois de criar o perfil, você pode usar o Amazon Pinpoint para importar segmentos de um bucket do Amazon S3. Para obter informações sobre como criar o bucket, criar arquivos de endpoint e importar um segmento usando o console, consulte Importação de segmentos no Guia do usuário do Amazon Pinpoint. Para obter um exemplo de como importar um segmento programaticamente usando o AWS SDK for Java, consulte Importar segmentos no Amazon Pinpoint neste guia.
Criação do perfil do IAM (AWS CLI)
Complete as seguintes etapas para criar o perfil do IAM usando a AWS Command Line Interface (AWS CLI). Caso não tenha instalado a AWS CLI, consulte Instalar a AWS CLI no Guia do usuário da AWS Command Line Interface.
Para criar o perfil do IAM usando a AWS CLI
-
Crie um arquivo JSON que contenha a política de confiança para a sua função, e salve-o localmente. Você pode usar a seguinte política de confiança.
{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "pinpoint.amazonaws.com" }, "Condition": { "StringEquals": { "aws:SourceAccount": "accountId" }, "ArnLike": { "arn:aws:mobiletargeting:region:accountId:apps/application-id" } } } ] }No exemplo anterior, faça o seguinte:
-
Substitua
regionpela Região da AWS em que você usa o Amazon Pinpoint. -
Substitua
accountIdpelo ID exclusivo da sua conta da AWS. -
Substitua
application-idpelo ID exclusivo do projeto.
-
-
Na linha de comando, use o comando
create-rolepara criar a função e anexar a política de confiança:aws iam create-role --role-namePinpointSegmentImport--assume-role-policy-document file://PinpointImportTrustPolicy.jsonSeguindo o prefixo
file://, especifique o caminho de acesso ao arquivo JSON que contém a política de confiança.Depois de executar este comando, você verá uma saída semelhante à seguinte no terminal:
{ "Role": { "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "pinpoint.amazonaws.com" }, "Condition": { "StringEquals": { "aws:SourceAccount": "accountId" }, "ArnLike": { "aws:SourceArn": "arn:aws:mobiletargeting:region:accountId:apps/application-id" } } } ] }, "RoleId": "AIDACKCEVSQ6C2EXAMPLE", "CreateDate": "2016-12-20T00:44:37.406Z", "RoleName": "PinpointSegmentImport", "Path": "/", "Arn": "arn:aws:iam::accountId:role/PinpointSegmentImport" } } -
Use o comando
attach-role-policypara anexar aAmazonS3ReadOnlyAccesspolítica gerenciada pelo AWS à função:aws iam attach-role-policy --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess --role-namePinpointSegmentImport
