So funktioniert Amazon Pinpoint mit IAM

Um Amazon Pinpoint verwenden zu können, benötigen Benutzer in Ihrem AWS Konto Berechtigungen, die es ihnen ermöglichen, Analysedaten einzusehen, Projekte zu erstellen, Benutzersegmente zu definieren, Kampagnen bereitzustellen und vieles mehr. Wenn Sie eine Mobil- oder Web-App in Amazon Pinpoint integrieren, benötigen Benutzer Ihrer App auch Zugriff auf Amazon Pinpoint. Dieser Zugriff ermöglicht es Ihrer App, Endpunkte zu registrieren und Nutzungsdaten an Amazon Pinpoint zu melden. Um Zugriff auf Amazon Pinpoint Pinpoint-Funktionen zu gewähren, erstellen Sie AWS Identity and Access Management (IAM) -Richtlinien, die Amazon Pinpoint Pinpoint-Aktionen für IAM Identitäten oder Amazon Pinpoint Pinpoint-Ressourcen zulassen.

IAMist ein Service, der Administratoren hilft, den Zugriff auf Ressourcen sicher zu kontrollieren. AWS IAMRichtlinien beinhalten Aussagen, die bestimmte Aktionen bestimmter Benutzer oder für bestimmte Ressourcen zulassen oder verweigern. Amazon Pinpoint bietet eine Reihe von Aktionen, die Sie in IAM Richtlinien verwenden können, um detaillierte Berechtigungen für Amazon Pinpoint Pinpoint-Benutzer und -Ressourcen festzulegen. Sie können den angemessenen Zugriffsgrad für Amazon Pinpoint gewähren, ohne übermäßig lockere Richtlinien zu erstellen, die möglicherweise wichtige Daten gefährden oder Ihre Ressourcen beeinträchtigen könnten. Beispielsweise können Sie einem Amazon-Pinpoint-Administrator uneingeschränkten Zugriff und Personen, die nur Zugriff auf ein spezifisches Projekt benötigen, Lesezugriff erteilen.

Bevor Sie IAM den Zugriff auf Amazon Pinpoint verwalten, sollten Sie wissen, welche IAM Funktionen für die Verwendung mit Amazon Pinpoint verfügbar sind. Einen allgemeinen Überblick darüber, wie Amazon Pinpoint und andere AWS Services zusammenarbeitenIAM, finden Sie IAM im IAMBenutzerhandbuch unter AWS Services, die mit funktionieren.

Identitätsbasierte Amazon-Pinpoint-Richtlinien

Mit IAM identitätsbasierten Richtlinien können Sie zulässige oder verweigerte Aktionen und Ressourcen sowie die Bedingungen angeben, unter denen Aktionen zulässig oder verweigert werden. Amazon Pinpoint unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Weitere Informationen zu allen Elementen, die Sie in einer JSON Richtlinie verwenden können, finden Sie im IAMBenutzerhandbuch unter Referenz zu IAM JSON Richtlinienelementen.

Aktionen

Administratoren können mithilfe von AWS JSON Richtlinien festlegen, wer Zugriff auf was hat. Das bedeutet, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.

Das Action Element einer JSON Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Richtlinienaktionen haben normalerweise denselben Namen wie der zugehörige AWS API Vorgang. Es gibt einige Ausnahmen, z. B. Aktionen, für die nur eine Genehmigung erforderlich ist und für die es keinen entsprechenden Vorgang gibt. API Es gibt auch einige Operationen, die mehrere Aktionen in einer Richtlinie erfordern. Diese zusätzlichen Aktionen werden als abhängige Aktionen bezeichnet.

Schließen Sie Aktionen in eine Richtlinie ein, um Berechtigungen zur Durchführung der zugeordneten Operation zu erteilen.

Dies bedeutet, dass Richtlinienaktionen steuern, was Benutzer auf der Amazon-Pinpoint-Konsole tun können. Sie kontrollieren auch, was Benutzer programmgesteuert tun können, indem sie den AWS SDKs, AWS Command Line Interface (AWS CLI) oder den Amazon APIs Pinpoint direkt verwenden.

Richtlinienaktionen in Amazon Pinpoint verwenden die folgenden Präfixe:

• mobiletargeting— Für Aktionen, die vom Amazon Pinpoint abgeleitet werdenAPI, der primär API für Amazon Pinpoint ist.

• sms-voice— Für Aktionen, die von Amazon Pinpoint SMS und Voice abgeleitet werden. Dabei handelt es sich um eine ErgänzungAPI, die erweiterte Optionen für API die Nutzung und Verwaltung der SMS Sprachkanäle und -Sprachkanäle in Amazon Pinpoint bietet.

Um beispielsweise jemandem die Erlaubnis zu erteilen, Informationen zu allen Segmenten eines Projekts einzusehen, was eine Aktion ist, die dem GetSegments Vorgang in Amazon Pinpoint entsprichtAPI, nehmen Sie die mobiletargeting:GetSegments Aktion in seine Richtlinie auf. Richtlinienanweisungen müssen entweder ein – Actionoder ein NotAction-Element enthalten. Amazon Pinpoint definiert eine eigene Gruppe von Aktionen, die Aufgaben beschreiben, die Benutzer damit durchführen können.

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:

"Action": [
      "mobiletargeting:action1",
      "mobiletargeting:action2"

Sie können auch mehrere Aktionen mittels Platzhaltern (*) angeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort Get beginnen, einschließlich der folgenden Aktion:

"Action": "mobiletargeting:Get*"

Als bewährte Methode sollten Sie jedoch Richtlinien erstellen, die dem Prinzip der geringsten Rechte folgen. Mit anderen Worten: Sie sollten Richtlinien erstellen, die nur die Berechtigungen enthalten, die zum Ausführen einer bestimmten Aktion erforderlich sind.

Eine Liste der Amazon Pinpoint Pinpoint-Aktionen, die Sie in IAM Richtlinien verwenden können, finden Sie unterAmazon Pinpoint Pinpoint-Aktionen für Richtlinien IAM.

Ressourcen

Administratoren können mithilfe von AWS JSON Richtlinien angeben, wer Zugriff auf was hat. Das bedeutet, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.

Das Resource JSON Richtlinienelement gibt das Objekt oder die Objekte an, für die die Aktion gilt. Anweisungen müssen entweder ein – Resourceoder ein NotResource-Element enthalten. Es hat sich bewährt, eine Ressource mit ihrem Amazon-Ressourcennamen (ARN) anzugeben. Sie können dies für Aktionen tun, die einen bestimmten Ressourcentyp unterstützen, der als Berechtigungen auf Ressourcenebene bezeichnet wird.

Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, z. B. Auflistungsoperationen, einen Platzhalter (*), um anzugeben, dass die Anweisung für alle Ressourcen gilt.

"Resource": "*"

Beispielsweise ruft die mobiletargeting:GetSegments-Aktion Informationen über alle Segmente ab, die einem bestimmten Amazon-Pinpoint-Projekt zugeordnet sind. Sie identifizieren ein Projekt mit einem ARN im folgenden Format:

arn:aws:mobiletargeting:${Region}:${Account}:apps/${projectId}

Weitere Informationen zum Format von ARNs finden Sie unter Amazon Resource Names (ARNs) in der Allgemeine AWS-Referenz.

In IAM Richtlinien können Sie ARNs für die folgenden Arten von Amazon Pinpoint Pinpoint-Ressourcen angeben:

• Kampagnen

• Journeys

• Nachrichtenvorlagen (in manchen Kontexten als Vorlagen bezeichnet)

• Projekte (in manchen Kontexten als Apps oder Anwendungen bezeichnet)

• Empfehlungsmodelle (in manchen Kontexten als Empfehlungsgeber bezeichnet)

• Segmente

Um beispielsweise eine Richtlinienerklärung für das Projekt mit der Projekt-ID zu erstellen810c7aab86d42fb2b56c8c966example, verwenden Sie Folgendes: ARN

"Resource": "arn:aws:mobiletargeting:us-east-1:123456789012:apps/810c7aab86d42fb2b56c8c966example"

Um alle Projekte anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (*):

"Resource": "arn:aws:mobiletargeting:us-east-1:123456789012:apps/*"

Einige Amazon-Pinpoint-Aktionen, z. B. zum Erstellen von Ressourcen, können auf bestimmten Ressourcen nicht ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (*) verwenden:

"Resource": "*"

In IAM Richtlinien können Sie auch die folgenden Arten von Amazon Pinpoint SMS - und Voice-Ressourcen angebenARNs:

• Konfigurationssatz

• Abmeldeliste

• Telefonnummer

• Pool

• Sender-ID

Um beispielsweise eine Grundsatzerklärung für eine Telefonnummer mit der Rufnummern-ID zu erstellen, phone-12345678901234567890123456789012 verwenden Sie Folgendes: ARN

"Resource": "arn:aws:sms-voice:us-east-1:123456789012:phone-number/phone-12345678901234567890123456789012"

Um alle Telefonnummern anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie einen Platzhalter (*) anstelle der Rufnummer-ID:

"Resource": "arn:aws:sms-voice:us-east-1:123456789012:phone-number/*"

Einige Amazon Pinpoint SMS - und Voice-Aktionen werden nicht für eine bestimmte Ressource ausgeführt, z. B. Aktionen zur Verwaltung von Einstellungen auf Kontoebene wie Ausgabenlimits. In diesen Fällen müssen Sie den Platzhalter (*) verwenden:

"Resource": "*"

Einige Amazon Pinpoint API Pinpoint-Aktionen umfassen mehrere Ressourcen. Beispielsweise kann die TagResource-Aktion mehreren Projekten ein Tag hinzufügen. Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas:

"Resource": [
      "resource1",
      "resource2"

Eine Liste der Amazon Pinpoint-Ressourcentypen und ihrer Eigenschaften ARNs finden Sie unter Von Amazon Pinpoint definierte Ressourcen im IAMBenutzerhandbuch. Informationen darüber, welche Aktionen Sie für die ARN einzelnen Ressourcentypen angeben können, finden Sie unter Von Amazon Pinpoint definierte Aktionen im IAMBenutzerhandbuch.

Bedingungsschlüssel

Administratoren können mithilfe von AWS JSON Richtlinien festlegen, wer Zugriff auf was hat. Das heißt, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.

Das Element Condition (oder Condition block) ermöglicht Ihnen die Angabe der Bedingungen, unter denen eine Anweisung wirksam ist. Das Element Condition ist optional. Sie können bedingte Ausdrücke erstellen, die Bedingungsoperatoren verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt.

Wenn Sie mehrere Condition-Elemente in einer Anweisung oder mehrere Schlüssel in einem einzelnen Condition-Element angeben, wertet AWS diese mittels einer logischen AND-Operation aus. Wenn Sie mehrere Werte für einen einzelnen Bedingungsschlüssel angeben, AWS wertet die Bedingung mithilfe einer logischen OR Operation aus. Alle Bedingungen müssen erfüllt werden, bevor die Berechtigungen der Anweisung gewährt werden.

Sie können auch Platzhaltervariablen verwenden, wenn Sie Bedingungen angeben. Sie können einem IAM Benutzer beispielsweise nur dann Zugriff auf eine Ressource gewähren, wenn sie mit seinem IAM Benutzernamen gekennzeichnet ist. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMRichtlinienelemente: Variablen und Tags.

AWS unterstützt globale Bedingungsschlüssel und dienstspezifische Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter Kontext-Schlüssel für AWS globale Bedingungen im IAMBenutzerhandbuch.

Amazon Pinpoint definiert einen eigenen Satz von Bedingungsschlüsseln und unterstützt auch einige globale Bedingungsschlüssel. Eine Liste aller AWS globalen Bedingungsschlüssel finden Sie im IAMBenutzerhandbuch unter Kontextschlüssel für AWS globale Bedingungen. Eine Liste der Amazon Pinpoint-Bedingungsschlüssel finden Sie unter Bedingungsschlüssel für Amazon Pinpoint im IAMBenutzerhandbuch. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter Von Amazon Pinpoint definierte Aktionen im IAMBenutzerhandbuch.

Beispiele

Beispiele für identitätsbasierte Amazon-Pinpoint-Richtlinien finden Sie unter Beispiele für identitätsbasierte Amazon-Pinpoint-Richtlinien.

Amazon-Pinpoint-Richtlinien auf Basis von Ressourcenberechtigungen

Ressourcenbasierte Berechtigungsrichtlinien sind JSON Richtliniendokumente, die festlegen, welche Aktionen ein bestimmter Principal auf einer Amazon Pinpoint Pinpoint-Ressource ausführen kann und unter welchen Bedingungen. Amazon Pinpoint unterstützt Richtlinien auf Basis von Ressourcenberechtigungen für Kampagnen, Journeys, Nachrichtenvorlagen (Vorlagen), Empfehlungsmodelle (Empfehlungen), Projekte (Apps) und Segmente.

Beispiele

Beispiele für ressourcenbasierte Amazon-Pinpoint-Richtlinien finden Sie unter Beispiele für identitätsbasierte Amazon-Pinpoint-Richtlinien,

Autorisierung basierend auf Amazon-Pinpoint-Tags

Sie können Tags bestimmten Arten von Amazon-Pinpoint-Ressourcen zuordnen oder Tags in einer Anforderung an Amazon Pinpoint übergeben. Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer Richtlinie Tag-Informationen an, indem Sie die Schlüssel aws:ResourceTag/${TagKey}, aws:RequestTag/${TagKey}, oder Bedingung aws:TagKeys verwenden.

Informationen zum Taggen von Amazon Pinpoint Pinpoint-Ressourcen, einschließlich einer IAM Beispielrichtlinie, finden Sie unter. Markieren von Amazon-Pinpoint-Ressourcen

Rollen bei Amazon Pinpoint IAM

Eine IAMRolle ist eine Entität innerhalb Ihres AWS Kontos, die über bestimmte Berechtigungen verfügt.

Verwenden temporärer Anmeldeinformationen mit Amazon Pinpoint

Sie können temporäre Anmeldeinformationen verwenden, um sich bei Federation anzumelden, eine IAM Rolle oder eine kontoübergreifende Rolle zu übernehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS Security Token Service (AWS STS) API -Operationen wie AssumeRoleoder GetFederationTokenaufrufen.

Amazon Pinpoint unterstützt die Verwendung temporärer Anmeldeinformationen.

Service-verknüpfte Rollen

Mit dienstbezogenen Rollen können AWS Dienste auf Ressourcen in anderen Diensten zugreifen, um eine Aktion in Ihrem Namen auszuführen. Mit Diensten verknüpfte Rollen werden in Ihrem IAM Konto angezeigt und gehören dem Dienst. Ein IAM Administrator kann die Berechtigungen für dienstbezogene Rollen anzeigen, aber nicht bearbeiten.

Amazon Pinpoint verwendet keine serviceverknüpften Rollen.

Servicerollen

Dieses Feature ermöglicht einem Service das Annehmen einer Servicerolle in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM Konto angezeigt und gehören dem Konto. Das bedeutet, dass ein IAM Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.

Amazon Pinpoint unterstützt die Verwendung von Servicerollen.