Come funziona Amazon Pinpoint con IAM

Per utilizzare Amazon Pinpoint, gli utenti del tuo AWS account richiedono autorizzazioni che consentano loro di visualizzare dati di analisi, creare progetti, definire segmenti di utenti, distribuire campagne e altro ancora. Se integri un'app per dispositivi mobili o Web con Amazon Pinpoint, anche gli utenti dell'app richiedono l'accesso ad Amazon Pinpoint. Questo accesso consente all'app di registrare gli endpoint e di segnalare i dati di utilizzo ad Amazon Pinpoint. Per concedere l'accesso alle funzionalità di Amazon Pinpoint, crea AWS Identity and Access Management (IAM) policy che consentano azioni Amazon Pinpoint IAM per identità o risorse Amazon Pinpoint.

IAMè un servizio che aiuta gli amministratori a controllare in modo sicuro l'accesso alle risorse. AWS IAMle politiche includono dichiarazioni che consentono o negano azioni specifiche da parte di utenti specifici o per risorse specifiche. Amazon Pinpoint fornisce una serie di azioni che puoi utilizzare nelle IAM policy per specificare autorizzazioni granulari per utenti e risorse Amazon Pinpoint. Questo significa che puoi concedere il livello appropriato di accesso ad Amazon Pinpoint senza creare policy troppo permissive che potrebbero esporre dati importanti o compromettere le tue risorse. Ad esempio, puoi concedere l'accesso illimitato a un amministratore Amazon Pinpoint e in sola lettura a coloro che devono accedere solo a uno specifico progetto.

Prima di utilizzare IAM per gestire l'accesso ad Amazon Pinpoint, è necessario comprendere quali IAM funzionalità sono disponibili per l'uso con Amazon Pinpoint. Per una panoramica generale del funzionamento di Amazon Pinpoint e di AWS altri servizi, AWS consulta i servizi che funzionano IAM IAM con nella Guida per IAMl'utente.

Policy basate su identità Amazon Pinpoint

Con le policy IAM basate sull'identità, puoi specificare azioni e risorse consentite o negate, nonché le condizioni in base alle quali le azioni sono consentite o negate. Amazon Pinpoint supporta specifiche azioni, risorse e chiavi di condizione. Per ulteriori informazioni su tutti gli elementi che è possibile utilizzare in una JSON politica, vedere il riferimento agli elementi IAM JSON della politica nella Guida per l'IAMutente.

Azioni

Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.

L'Actionelemento di una JSON policy descrive le azioni che è possibile utilizzare per consentire o negare l'accesso a una policy. Le azioni politiche in genere hanno lo stesso nome dell' AWS APIoperazione associata. Esistono alcune eccezioni, come le azioni basate solo sulle autorizzazioni che non hanno un'operazione corrispondente. API Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate operazioni dipendenti.

Includi le operazioni in una policy per concedere le autorizzazioni a eseguire l'operazione associata.

Ciò significa che le azioni delle policy controllano ciò che gli utenti possono eseguire sulla console Amazon Pinpoint. Controllano anche ciò che gli utenti possono fare a livello di codice utilizzando AWS SDKs direttamente, the AWS Command Line Interface (AWS CLI) o Amazon APIs Pinpoint.

Le azioni di policy in Amazon Pinpoint utilizzano i seguenti prefissi:

• mobiletargeting— Per le azioni che derivano da Amazon API Pinpoint, che è il API principale per Amazon Pinpoint.

• sms-voice— Per le azioni che derivano da Amazon SMS Pinpoint and API Voice, un API supplemento che fornisce opzioni avanzate per l'utilizzo e SMS la gestione dei canali vocali di Amazon Pinpoint.

Ad esempio, per concedere a qualcuno il permesso di visualizzare le informazioni su tutti i segmenti di un progetto, che è un'azione che corrisponde all'GetSegmentsoperazione in Amazon API Pinpoint, includi mobiletargeting:GetSegments l'azione nella sua politica. Le istruzioni della policy devono includere un elemento Action o NotAction. Amazon Pinpoint definisce un proprio set di azioni che descrivono le attività che puoi eseguire.

Per specificare più operazioni in una sola istruzione, separarle con la virgola:

"Action": [
      "mobiletargeting:action1",
      "mobiletargeting:action2"

Puoi anche specificare più operazioni utilizzando i caratteri jolly (*). Ad esempio, per specificare tutte le azioni che iniziano con la parola Get, includi la seguente azione:

"Action": "mobiletargeting:Get*"

Tuttavia, è consigliabile definire policy in grado di seguire il principio del privilegio minimo. In altre parole, è necessario creare policy che includano solo le autorizzazioni necessarie per eseguire un'operazione specifica.

Per un elenco delle azioni di Amazon Pinpoint che puoi utilizzare nelle IAM politiche, consulta. Azioni di Amazon Pinpoint per le politiche IAM

Risorse

Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.

L'elemento Resource JSON policy specifica l'oggetto o gli oggetti a cui si applica l'azione. Le istruzioni devono includere un elemento Resourceo un elemento NotResource. Come best practice, specifica una risorsa utilizzando il relativo Amazon Resource Name (ARN). Puoi eseguire questa operazione per azioni che supportano un tipo di risorsa specifico, note come autorizzazioni a livello di risorsa.

Per le azioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (*) per indicare che l'istruzione si applica a tutte le risorse.

"Resource": "*"

Ad esempio, l'azione mobiletargeting:GetSegments recupera le informazioni su tutti i segmenti associati a un progetto Amazon Pinpoint specifico. Identifichi un progetto con un ARN nel seguente formato:

arn:aws:mobiletargeting:${Region}:${Account}:apps/${projectId}

Per ulteriori informazioni sul formato diARNs, consulta Amazon Resource Names (ARNs) nel Riferimenti generali di AWS.

Nelle IAM policy, puoi specificare ARNs i seguenti tipi di risorse Amazon Pinpoint:

• Campagne

• Percorsi

• Modelli di messaggio (denominati modelli in alcuni contesti)

• Progetti (denominati app o applicazioni in alcuni contesti)

• Modelli di raccomandazioni (indicati come raccomandatori in alcuni contesti)

• Segmenti

Ad esempio, per creare una dichiarazione politica per il progetto con l'ID del progetto810c7aab86d42fb2b56c8c966example, utilizza quanto segue: ARN

"Resource": "arn:aws:mobiletargeting:us-east-1:123456789012:apps/810c7aab86d42fb2b56c8c966example"

Per specificare tutti i progetti che appartengono ad un account specifico, utilizza il carattere jolly (*):

"Resource": "arn:aws:mobiletargeting:us-east-1:123456789012:apps/*"

Alcune azioni Amazon Pinpoint, ad esempio la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (*).

"Resource": "*"

Nelle IAM policy, puoi anche specificare ARNs i seguenti tipi di risorse Amazon Pinpoint SMS e Voice:

• Set di configurazione

• Elenco di esclusione

• Numero di telefono

• Pool

• ID mittente

Ad esempio, per creare una dichiarazione politica per un numero di telefono con l'ID del numero di telefono, phone-12345678901234567890123456789012 utilizza quanto segue: ARN

"Resource": "arn:aws:sms-voice:us-east-1:123456789012:phone-number/phone-12345678901234567890123456789012"

Per specificare tutti i numeri di telefono appartenenti a un account specifico, utilizza un carattere jolly (*) al posto dell'ID del numero di telefono:

"Resource": "arn:aws:sms-voice:us-east-1:123456789012:phone-number/*"

Alcune azioni di Amazon Pinpoint SMS e Voice non vengono eseguite su una risorsa specifica, come quelle per la gestione delle impostazioni a livello di account come i limiti di spesa. In questi casi, è necessario utilizzare il carattere jolly (*).

"Resource": "*"

Alcune API azioni di Amazon Pinpoint coinvolgono più risorse. Ad esempio, l'operazione TagResource può aggiungere un tag a più progetti. Per specificare più risorse in una singola istruzione, separale ARNs con una virgola:

"Resource": [
      "resource1",
      "resource2"

Per visualizzare un elenco dei tipi di risorse Amazon Pinpoint e relativiARNs, consulta Resources Defined by Amazon Pinpoint nella IAM Guida per l'utente. Per sapere quali azioni puoi specificare con ogni tipo ARN di risorsa, consulta Actions Defined by Amazon Pinpoint nella Guida per l'IAMutente.

Chiavi di condizione

Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire azioni su quali risorse, e in quali condizioni.

L'elemento Condition(o blocco Condition) consente di specificare le condizioni in cui un'istruzione è in vigore. L'elemento Conditionè facoltativo. Puoi compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.

Se specifichi più elementi Conditionin un'istruzione o più chiavi in un singolo elemento Condition, questi vengono valutati da AWS utilizzando un'operazione ANDlogica. Se si specificano più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione logicaOR. Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse.

Puoi anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, è possibile concedere a un IAM utente l'autorizzazione ad accedere a una risorsa solo se è contrassegnata con il suo nome IAM utente. Per ulteriori informazioni, consulta gli elementi IAM della politica: variabili e tag nella Guida IAM per l'utente.

AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'IAMutente.

Amazon Pinpoint definisce il proprio set di chiavi di condizione, nonché supporta alcune chiavi di condizione globali. Per visualizzare un elenco di tutte le chiavi di condizione AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'IAMutente. Per visualizzare un elenco di chiavi di condizione di Amazon Pinpoint, consulta Condition Keys for Amazon Pinpoint nella IAM Guida per l'utente. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta Actions Defined by Amazon Pinpoint nella Guida per l'IAMutente.

Esempi

Per visualizzare esempi di policy basate su identità Amazon Pinpoint, consulta Esempi di policy basate su identità Amazon Pinpoint.

Policy di autorizzazione basate su risorse di Amazon Pinpoint

Le politiche di autorizzazione basate sulle risorse sono documenti di JSON policy che specificano quali azioni uno specifico mandante può eseguire su una risorsa Amazon Pinpoint e in quali condizioni. Amazon Pinpoint supporta policy di autorizzazione basate su risorse per campagne, percorsi, modelli di messaggi (modelli), modelli di raccomandazione, progetti (app) e segmenti.

Esempi

Per visualizzare esempi di policy basate su risorse Amazon Pinpoint, consulta Esempi di policy basate su identità Amazon Pinpoint.

Autorizzazione basata sui tag Amazon Pinpoint

Puoi associare i tag a determinati tipi di risorse Amazon Pinpoint o passare i tag in una richiesta ad Amazon Pinpoint. Per controllare l'accesso basato su tag, fornisci informazioni sui tag nell'elemento condizione di una policy utilizzando le chiavi di condizione aws:ResourceTag/${TagKey}, aws:RequestTag/${TagKey} o aws:TagKeys.

Per informazioni sull'etichettatura delle risorse di Amazon Pinpoint, inclusa una policy di IAM esempio, consulta. Gestione dei tag delle risorse di Amazon Pinpoint

Ruoli di Amazon Pinpoint IAM

Un IAMruolo è un'entità all'interno del tuo AWS account che dispone di autorizzazioni specifiche.

Utilizzo di credenziali temporanee con Amazon Pinpoint

Puoi utilizzare credenziali temporanee per accedere con la federazione, assumere un IAM ruolo o assumere un ruolo tra account. È possibile ottenere credenziali di sicurezza temporanee chiamando AWS Security Token Service (AWS STS) API operazioni come o. AssumeRoleGetFederationToken

Amazon Pinpoint supporta l'uso di credenziali temporanee.

Ruoli collegati ai servizi

I ruoli collegati ai AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi vengono visualizzati nell'IAMaccount e sono di proprietà del servizio. Un IAM amministratore può visualizzare ma non modificare le autorizzazioni per i ruoli collegati al servizio.

Amazon Pinpoint non utilizza ruoli collegati ai servizi.

Ruoli dei servizi

Questa caratteristica consente a un servizio di assumere un ruolo di servizio per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli di servizio vengono visualizzati nell'IAMaccount e sono di proprietà dell'account. Ciò significa che un IAM amministratore può modificare le autorizzazioni per questo ruolo. Tuttavia, il farlo potrebbe pregiudicare la funzionalità del servizio.

Amazon Pinpoint supporta l'utilizzo dei ruoli di servizio.