用于导入端点或分段的 IAM 角色 - Amazon Pinpoint
创建 IAM 角色(AWS CLI)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

用于导入端点或分段的 IAM 角色

借助 Amazon Pinpoint,您可以通过从账户中的亚马逊简单存储服务 (Amazon S3) 存储桶导入终端节点定义来定义用户细分。 AWS 导入之前,必须向 Amazon Pinpoint 委派所需权限。为此,您需要创建一个 AWS Identity and Access Management (IAM) 角色并将以下策略附加到该角色:

  • AmazonS3ReadOnlyAccess AWS 托管策略。此策略由创建和管理 AWS,它授予对您的 Amazon S3 存储桶的只读访问权限。

  • 允许 Amazon Pinpoint 代入角色的信任策略。

在创建该角色之后,您可以使用 Amazon Pinpoint 从 Amazon S3 存储桶导入分段。有关使用控制台创建存储桶、创建端点文件以及导入分段的信息,请参阅《Amazon Pinpoint 用户指南》中的导入分段。有关如何使用以编程方式导入区段的示例 AWS SDK for Java,请参阅本指南将客户细分导入 Amazon Pinpoint。中的。

创建 IAM 角色(AWS CLI)

完成以下步骤,使用 AWS Command Line Interface (AWS CLI) 创建 IAM 角色。如果您尚未安装 AWS CLI,请参阅《AWS Command Line Interface 用户指南》 AWS CLI中的 “安装”。

使用创建 IAM 角色 AWS CLI

  1. 创建包含角色的信任策略的 JSON 文件,并在本地保存该文件。您可以使用以下信任策略。

    {
     "Version": "2012-10-17", 
     "Statement": [
          {
               "Action": "sts:AssumeRole", 
               "Effect": "Allow", 
               "Principal": {
                    "Service": "pinpoint.amazonaws.com"
               },
               "Condition": {
                    "StringEquals": {
                         "aws:SourceAccount": "accountId"
                    },
               "ArnLike": {
                    "arn:aws:mobiletargeting:region:accountId:apps/application-id"
                    }
               }
          }
     ]
}

    在上述示例中,执行以下操作:

    • region替换为您使用 Amazon Pinpoint 所在的 AWS 区域。

    • accountId替换为 AWS 账户的唯一 ID。

    • application-id替换为项目的唯一 ID。

  2. 在命令行上,使用 create-role 命令创建角色并附加信任策略:

    aws iam create-role --role-name PinpointSegmentImport --assume-role-policy-document file://PinpointImportTrustPolicy.json

    file:// 前缀后面,指定包含信任策略的 JSON 文件的路径。

    运行此命令后,您会在终端上看到类似如下的输出:

    {
    "Role": {
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17", 
            "Statement": [
                {
                    "Action": "sts:AssumeRole", 
                    "Effect": "Allow", 
                    "Principal": {
                        "Service": "pinpoint.amazonaws.com"
                    },
                    "Condition": {
                        "StringEquals": {
                            "aws:SourceAccount": "accountId"
                         },
                         "ArnLike": {
                            "aws:SourceArn": "arn:aws:mobiletargeting:region:accountId:apps/application-id"
                         }
                    }
                }
            ]
        }, 
        "RoleId": "AIDACKCEVSQ6C2EXAMPLE", 
        "CreateDate": "2016-12-20T00:44:37.406Z", 
        "RoleName": "PinpointSegmentImport", 
        "Path": "/", 
        "Arn": "arn:aws:iam::accountId:role/PinpointSegmentImport"
    }
}

  3. 使用attach-role-policy命令将AmazonS3ReadOnlyAccess AWS 托管策略附加到角色:

    aws iam attach-role-policy --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess --role-name PinpointSegmentImport