Amazon Pinpoint 分析データのクエリ実行用の IAM ポリシー - Amazon Pinpoint

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Pinpoint 分析データのクエリ実行用の IAM ポリシー

Amazon Pinpoint API を使用して、標準メトリクスのサブセットの分析データをクエリできます。重要業績評価指標標 (KPI) Amazon Pinpoint プロジェクト、キャンペーン、およびジャーニーに適用されます。標準メトリクスは、プロジェクト、キャンペーン、およびジャーニーのパフォーマンスを監視および評価する際に役立ちます。

データへのアクセスは、データのアクセス権を持つ ロールまたはユーザーの権限を定義するための AWS Identity and Access Management (IAM) ポリシーを作成することで、管理することができます。データアクセス時の管理をきめ細かくサポートできるように、Amazon Pinpoint には、IAM ポリシーで指定できる個別のアクションが提供されています。Amazon Pinpoint コンソールで分析データを表示するための特定のアクションが Amazon Pinpoint コンソール (mobiletargeting:GetReports) に提供されています。Amazon Pinpoint API を使用して、プログラムにより分析データにアクセスするためのアクションも提供されています。

分析データへのアクセスを管理する IAM ポリシーを作成するには、AWS Management Console、AWS CLI、または IAM API を使用します。なお、AWS Management Console の [Visual editor] タブには、現在 Amazon Pinpoint の分析データを表示したり、問い合わせたりするためのアクションは含まれていません。ただし、コンソールの [JSON] タブを使用して、必要なアクションを IAM ポリシーに手動で追加できます。

例えば、次のポリシーでは、すべての AWS リージョンにおける、お客様のすべてのプロジェクト、キャンペーン、およびジャーニーのすべての分析データに、プログラムによりアクセスすることができます。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "QueryAllAnalytics", "Effect": "Allow", "Action": [ "mobiletargeting:GetApplicationDateRangeKpi", "mobiletargeting:GetCampaignDateRangeKpi", "mobiletargeting:GetJourneyDateRangeKpi", "mobiletargeting:GetJourneyExecutionMetrics", "mobiletargeting:GetJourneyExecutionActivityMetrics" ], "Resource": [ "arn:aws:mobiletargeting:*:accountId:apps/*/kpis/*", "arn:aws:mobiletargeting:*:accountId:apps/*/campaigns/*/kpis/*", "arn:aws:mobiletargeting:*:accountId:apps/*/journeys/*/kpis/*", "arn:aws:mobiletargeting:*:accountId:apps/*/journeys/*/execution-metrics", "arn:aws:mobiletargeting:*:accountId:apps/*/journeys/*/activities/*/execution-metrics" ] } ] }

accountId はお客様の AWS アカウント ID です。

ただしベストプラクティスとして、最小特権の原則に準拠したポリシーを作成してください。別の言い方をすると、特定タスクの実行にのみ必要とされる権限のみが含まれたポリシーを作成してください。権限の制限をサポートし、よりきめ細かい管理を行うために、プログラムによる分析データへのアクセスを、特定の AWS リージョンの特定のプロジェクトにのみに制限します。以下の例をご確認ください。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "QueryProjectAnalytics", "Effect": "Allow", "Action": [ "mobiletargeting:GetApplicationDateRangeKpi", "mobiletargeting:GetCampaignDateRangeKpi", "mobiletargeting:GetJourneyDateRangeKpi", "mobiletargeting:GetJourneyExecutionMetrics", "mobiletargeting:GetJourneyExecutionActivityMetrics" ], "Resource": [ "arn:aws:mobiletargeting:region:accountId:apps/projectId/kpis/*", "arn:aws:mobiletargeting:region:accountId:apps/projectId/campaigns/*/kpis/*", "arn:aws:mobiletargeting:region:accountId:apps/projectId/journeys/*/kpis/*", "arn:aws:mobiletargeting:region:accountId:apps/projectId/journeys/*/execution-metrics", "arn:aws:mobiletargeting:region:accountId:apps/projectId/journeys/*/activities/*/execution-metrics" ] } ] }

実行する条件は以下のとおりです。

  • region は、プロジェクトをホストする AWS リージョンの名前です。

  • accountId は、お客様の AWS アカウント ID です。

  • projectId は、アクセス権限を提供したいプロジェクトの識別子です。

同様に、次のポリシーの例は、特定のキャンペーンの分析データにのみ、プログラムによるアクセスを許可します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "QueryCampaignAnalytics", "Effect": "Allow", "Action": "mobiletargeting:GetCampaignDateRangeKpi", "Resource": "arn:aws:mobiletargeting:region:accountId:apps/projectId/campaigns/campaignId/kpis/*" } ] }

実行する条件は以下のとおりです。

  • region は、プロジェクトをホストする AWS リージョンの名前です。

  • accountIdは、お客様の AWS アカウント ID です。

  • projectId は、キャンペーンに関連付けられているプロジェクトの識別子です。

  • campaignId は、アクセス権限を提供したいキャンペーンの識別子です。

また、次のポリシー例では、特定のジャーニーとそのジャーニーを構成するアクティビティについて、エンゲージメントデータと実行データの両方のすべての分析データへのプログラムによるアクセスを許可します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "QueryJourneyAnalytics", "Effect": "Allow", "Action": [ "mobiletargeting:GetJourneyDateRangeKpi", "mobiletargeting:GetJourneyExecutionMetrics", "mobiletargeting:GetJourneyExecutionActivityMetrics" ], "Resource": [ "arn:aws:mobiletargeting:region:accountId:apps/projectId/journeys/journeyId/kpis/*", "arn:aws:mobiletargeting:region:accountId:apps/projectId/journeys/journeyId/execution-metrics", "arn:aws:mobiletargeting:region:accountId:apps/projectId/journeys/journeyId/activities/*/execution-metrics" ] } ] }

実行する条件は以下のとおりです。

  • region は、プロジェクトをホストする AWS リージョンの名前です。

  • accountId は、お客様の AWS アカウント ID です。

  • projectId は、ジャーニーに関連付けられているプロジェクトの識別子です。

  • journeyId は、アクセス権限を提供したいジャーニーの識別子です。

IAM ポリシーで使用できる Amazon Pinpoint API アクションの全リストについては、IAM ポリシーの Amazon Pinpointアクション をご参照ください。IAM ポリシーの作成と管理の詳細については、『IAM ユーザーガイド』をご参照ください。