IAM-Rolle für das Exportieren von Endpunkten oder Segmenten - Amazon Pinpoint
Schritt 1: Erstellen der IAM-RichtlinieSchritt 2: Erstellen der IAM-Rolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Rolle für das Exportieren von Endpunkten oder Segmenten

Sie können eine Liste der Endpunkte abrufen, indem Sie einen Exportauftrag erstellen. Wenn Sie einen Exportauftrag erstellen, müssen Sie eine Projekt-ID angeben. Optional können Sie auch eine Segment-ID festlegen. Amazon Pinpoint exportiert dann eine Liste der mit dem Projekt oder Segment verknüpften Endpunkte in einen Amazon Simple Storage Service (Amazon S3)-Bucket. Die resultierende Datei enthält eine JSON-formatierte Liste von Endpunkten und deren Attribute (wie z. B. Channel, Adresse, An-/Abmeldungsstatus, Erstellungsdatum und Endpunkt-ID).

Zum Erstellen eines Exportauftrags müssen Sie eine IAM-Rolle konfigurieren, mit der Amazon Pinpoint Daten in einen Amazon-S3-Bucket schreiben darf. Die Konfiguration der Rolle besteht aus zwei Schritten:

  1. Erstellen Sie eine IAM-Richtlinie, mit der eine Entity (in diesem Fall Amazon Pinpoint) Daten in einen bestimmten Amazon-S3-Bucket schreiben darf.

  2. Erstellen Sie eine IAM-Rolle und fügen Sie sie der Richtlinie an.

In diesem Abschnitt werden Verfahren für die Durchführung dieser beiden Schritte beschrieben. In diesem Verfahren wird davon ausgegangen, dass Sie bereits einen Amazon-S3-Bucket sowie einen Ordner innerhalb dieses Buckets zum Speichern von exportierten Segmenten erstellt haben. Weitere Informationen zum Erstellen eines Buckets finden Sie unter Erstellen von Buckets im Benutzerhandbuch für Amazon Simple Storage Service.

Bei diesen Verfahren wird vorausgesetzt, dass Sie die AWS Command Line Interface (AWS CLI) bereits installiert und konfiguriert haben. Informationen zur Einrichtung von finden Sie unter Installation von AWS CLI im AWS Command Line Interface Benutzerhandbuch. AWS CLI

Schritt 1: Erstellen der IAM-Richtlinie

Eine IAM-Richtlinie definiert die Berechtigungen für eine Entity, wie z. B. eine Identität oder Ressource. Zum Erstellen einer Rolle für das Exportieren von Amazon-Pinpoint-Endpunkten müssen Sie eine Richtlinie erstellen, die die Berechtigung zum Schreiben von Daten in einen bestimmten Ordner eines spezifischen Amazon-S3-Buckets erteilt. Das folgende Richtlinienbeispiel befolgt die Sicherheitsmaßnahme, die für das Erteilen von geringsten Rechten gilt, d. h., es werden nur die Berechtigungen erteilt, die zum Durchführen einer einzelnen Aufgabe erforderlich sind.

So erstellen Sie die -IAM-Richtlinie

  1. Erstellen Sie in einem Texteditor eine neue Datei. Fügen Sie folgenden Code in die Datei ein:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowUserToSeeBucketListInTheConsole",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": [ "arn:aws:s3:::*" ]
        },
        {
            "Sid": "AllowRootAndHomeListingOfBucket",
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [ "arn:aws:s3:::example-bucket" ],
            "Condition": {
                "StringEquals": {
                    "s3:delimiter": [ "/" ],
                    "s3:prefix": [
                        "",
                        "Exports/"
                    ]
                }
            }
        },
        {
            "Sid": "AllowListingOfUserFolder",
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [ "arn:aws:s3:::example-bucket" ],
            "Condition": {
                "StringLike": {
                    "s3:prefix": [
                        "Exports/*"
                    ]
                }
            }    
        },
        {
            "Sid": "AllowAllS3ActionsInUserFolder",
            "Action": [ "s3:*" ],
            "Effect": "Allow",
            "Resource": [ "arn:aws:s3:::example-bucket/Exports/*" ]
        }
    ]
}

    Ersetzen Sie im vorangegangenen Code alle Instances von example-bucket durch den Namen des Amazon-S3-Buckets, in dem sich der Ordner befindet, in den Sie die Segmentinformationen exportieren möchten. Ersetzen Sie außerdem alle Instances von Exports durch den Namen des Ordners.

    Wenn Sie fertig sind, speichern Sie die Datei unter s3policy.json.

  2. Navigieren Sie mithilfe von zu dem Verzeichnis AWS CLI, in dem sich die s3policy.json Datei befindet. Geben Sie dann den folgenden Befehl ein, um die Richtlinie zu erstellen:

    aws iam create-policy --policy-name s3ExportPolicy --policy-document file://s3policy.json

    Wenn die Richtlinie erfolgreich ausgeführt wurde, sehen Sie eine Ausgabe ähnlich der folgenden:

    {
    "Policy": {
        "CreateDate": "2018-04-11T18:44:34.805Z",
        "IsAttachable": true,
        "DefaultVersionId": "v1",
        "AttachmentCount": 0,
        "PolicyId": "ANPAJ2YJQRJCG3EXAMPLE",
        "UpdateDate": "2018-04-11T18:44:34.805Z",
        "Arn": "arn:aws:iam::123456789012:policy/s3ExportPolicy",
        "PolicyName": "s3ExportPolicy",
        "Path": "/"
    }
}

    Kopieren Sie den Amazon-Ressourcennamen (ARN) der Richtlinie (arn:aws:iam::123456789012:policy/s3ExportPolicy im vorherigen Beispiel). Im nächsten Abschnitt müssen Sie diesen ARN angeben, wenn Sie die Rolle erstellen.

    Anmerkung

    Wenn eine Meldung angezeigt wird, die besagt, dass Ihr Konto für die CreatePolicy-Operation nicht autorisiert ist, müssen Sie Ihrem Benutzerkonto eine Richtlinie anfügen, mit der Sie neue IAM-Richtlinien und -Rollen erstellen können. Informationen finden Sie im Abschnitt Hinzufügen und Entfernen von IAM-Identitätsberechtigungen im -IAM-Benutzerhandbuch.

Schritt 2: Erstellen der IAM-Rolle

Nachdem Sie eine IAM-Richtlinie erstellt haben, können Sie eine Rolle erstellen und dieser die Richtlinie anfügen. Jede IAM-Rolle enthält eine Vertrauensrichtlinie. Hierbei handelt es sich um eine Reihe von Regeln, die angibt, welche Entitys die Rolle übernehmen dürfen. In diesem Abschnitt erstellen Sie eine Vertrauensrichtlinie, die Amazon Pinpoint ermöglicht, die Rolle zu übernehmen. Als Nächstes erstellen Sie die eigentliche Rolle und fügen die Richtlinie an, die Sie im vorherigen Abschnitt erstellt haben.

So erstellen Sie die IAM-Rolle

  1. Erstellen Sie in einem Texteditor eine neue Datei. Fügen Sie folgenden Code in die Datei ein:

    {
    "Version":"2012-10-17",
    "Statement":[
        {
            "Effect":"Allow",
            "Principal":{
                "Service":"pinpoint.amazonaws.com"
            },
            "Action":"sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "accountId"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:mobiletargeting:region:accountId:apps/applicationId"
                }
            }
        }
    ]
}

    Speichern Sie die Datei als trustpolicy.json.

  2. Navigieren Sie mithilfe von zu dem Verzeichnis AWS CLI, in dem sich die trustpolicy.json Datei befindet. Geben Sie den folgenden Befehl ein, um eine neue Rolle zu erstellen.

    aws iam create-role --role-name s3ExportRole --assume-role-policy-document file://trustpolicy.json

  3. Geben Sie in der Befehlszeile den folgenden Befehl ein, um die Richtlinie, die Sie im vorherigen Abschnitt erstellt haben, der Rolle anzufügen, die Sie gerade erstellt haben:

    aws iam attach-role-policy --policy-arn arn:aws:iam::123456789012:policy/s3ExportPolicy --role-name s3ExportRole

    Ersetzen Sie im vorherigen Befehl arn:aws:iam: :123456789012:policy/s3 ExportPolicy durch den ARN der Richtlinie, die Sie im vorherigen Abschnitt erstellt haben.