Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Peran IAM untuk mengekspor titik akhir atau segmen
Anda dapat memperoleh daftar titik akhir dengan membuat pekerjaan ekspor. Saat membuat pekerjaan ekspor, Anda harus menentukan ID proyek, dan Anda dapat menentukan ID segmen secara opsional. Amazon Pinpoint kemudian mengekspor daftar titik akhir yang terkait dengan proyek atau segmen ke bucket Amazon Simple Storage Service (Amazon S3). File yang dihasilkan berisi daftar titik akhir yang diformat JSON dan atributnya, seperti saluran, alamat, status opt-in/opt-out, tanggal pembuatan, dan ID titik akhir.
Untuk membuat pekerjaan ekspor, Anda harus mengonfigurasi peran IAM yang memungkinkan Amazon Pinpoint menulis ke bucket Amazon S3. Proses mengkonfigurasi peran terdiri dari dua langkah:
-
Buat kebijakan IAM yang memungkinkan entitas (dalam hal ini, Amazon Pinpoint) untuk menulis ke bucket Amazon S3 tertentu.
-
Buat peran IAM dan lampirkan kebijakan padanya.
Topik ini berisi prosedur untuk menyelesaikan kedua langkah ini. Prosedur ini mengasumsikan bahwa Anda telah membuat bucket Amazon S3, dan folder di bucket tersebut, untuk menyimpan segmen yang diekspor. Untuk informasi tentang membuat bucket, lihat Membuat bucket di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.
Prosedur ini juga mengasumsikan bahwa Anda telah menginstal dan mengkonfigurasi AWS Command Line Interface (AWS CLI). Untuk informasi tentang pengaturan AWS CLI, lihat Menginstal AWS CLI di Panduan AWS Command Line Interface Pengguna.
Langkah 1: Buat kebijakan IAM
Kebijakan IAM mendefinisikan izin untuk entitas, seperti identitas atau sumber daya. Untuk membuat peran untuk mengekspor titik akhir Amazon Pinpoint, Anda harus membuat kebijakan yang memberikan izin untuk menulis ke folder tertentu di bucket Amazon S3 tertentu. Contoh kebijakan berikut mengikuti praktik keamanan pemberian hak istimewa paling sedikit—yaitu, hanya memberikan izin yang diperlukan untuk melakukan satu tugas.
Untuk membuat kebijakan IAM
-
Di editor teks, buat file baru. Tempel kode berikut ke file:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUserToSeeBucketListInTheConsole", "Action": [ "s3:ListAllMyBuckets", "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::*" ] }, { "Sid": "AllowRootAndHomeListingOfBucket", "Action": [ "s3:ListBucket" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::example-bucket" ], "Condition": { "StringEquals": { "s3:delimiter": [ "/" ], "s3:prefix": [ "", "Exports/" ] } } }, { "Sid": "AllowListingOfUserFolder", "Action": [ "s3:ListBucket" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::example-bucket" ], "Condition": { "StringLike": { "s3:prefix": [ "Exports/*" ] } } }, { "Sid": "AllowAllS3ActionsInUserFolder", "Action": [ "s3:*" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::example-bucket/Exports/*" ] } ] }Pada kode sebelumnya, ganti semua instance
example-bucket dengan nama bucketAmazon S3 yang berisi folder tempat Anda ingin mengekspor informasi segmen. Juga, ganti semua contohEkspordengan nama folder itu sendiri.Setelah selesai, simpan file sebagai
s3policy.json. -
Dengan menggunakan AWS CLI, navigasikan ke direktori tempat
s3policy.jsonfile berada. Kemudian masukkan perintah berikut untuk membuat kebijakan:aws iam create-policy --policy-name s3ExportPolicy --policy-document file://s3policy.jsonJika kebijakan berhasil dibuat, Anda akan melihat output yang mirip dengan berikut ini:
{ "Policy": { "CreateDate": "2018-04-11T18:44:34.805Z", "IsAttachable": true, "DefaultVersionId": "v1", "AttachmentCount": 0, "PolicyId": "ANPAJ2YJQRJCG3EXAMPLE", "UpdateDate": "2018-04-11T18:44:34.805Z", "Arn": "arn:aws:iam::123456789012:policy/s3ExportPolicy", "PolicyName": "s3ExportPolicy", "Path": "/" } }Salin Nama Sumber Daya Amazon (ARN) kebijakan (
arn:aws:iam::123456789012:policy/s3ExportPolicydalam contoh sebelumnya). Di bagian selanjutnya, Anda harus menyediakan ARN ini saat Anda membuat peran.catatan
Jika Anda melihat pesan yang menyatakan bahwa akun Anda tidak diizinkan untuk melakukan
CreatePolicyoperasi, Anda harus melampirkan kebijakan ke pengguna yang memungkinkan Anda membuat kebijakan dan peran IAM baru. Untuk informasi lebih lanjut, lihat Menambahkan dan menghapus izin identitas IAM dalam Panduan Pengguna IAM.
Langkah 2: Buat peran IAM
Setelah membuat kebijakan IAM, Anda dapat membuat peran dan melampirkan kebijakan tersebut. Setiap peran IAM berisi kebijakan kepercayaan — seperangkat aturan yang menentukan entitas mana yang diizinkan untuk mengambil peran tersebut. Di bagian ini, Anda membuat kebijakan kepercayaan yang memungkinkan Amazon Pinpoint untuk mengambil peran tersebut. Selanjutnya, Anda membuat peran itu sendiri, lalu lampirkan kebijakan yang Anda buat di bagian sebelumnya.
Untuk membuat peran IAM
-
Di editor teks, buat file baru. Tempel kode berikut ke file:
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"pinpoint.amazonaws.com" }, "Action":"sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "accountId" }, "ArnLike": { "aws:SourceArn": "arn:aws:mobiletargeting:region:accountId:apps/applicationId" } } } ] }Simpan file sebagai
trustpolicy.json. -
Dengan menggunakan AWS CLI, navigasikan ke direktori tempat
trustpolicy.jsonfile berada. Kemudian masukkan perintah berikut untuk membuat peran baru:aws iam create-role --role-name s3ExportRole --assume-role-policy-document file://trustpolicy.json -
Di baris perintah, masukkan perintah berikut untuk melampirkan kebijakan yang Anda buat di bagian sebelumnya ke peran yang baru saja Anda buat:
aws iam attach-role-policy --policy-arnarn:aws:iam::123456789012:policy/s3ExportPolicy--role-name s3ExportRolePada perintah sebelumnya, ganti
arn:aws:iam: ExportPolicy :123456789012:policy/s3dengan ARN kebijakan yang Anda buat di bagian sebelumnya.
