Políticas do IAM para consulta de dados de análise do Amazon Pinpoint - Amazon Pinpoint

Aviso de fim do suporte: em 30 de outubro de 2026, AWS encerrará o suporte para o Amazon Pinpoint. Depois de 30 de outubro de 2026, você não poderá mais acessar o console do Amazon Pinpoint ou os recursos do Amazon Pinpoint (endpoints, segmentos, campanhas, viagens e análises). Para obter mais informações, consulte Fim do suporte do Amazon Pinpoint. Observação: APIs relacionados a SMS, voz, push móvel, OTP e validação de número de telefone não são afetados por essa alteração e são compatíveis com o AWS End User Messaging.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas do IAM para consulta de dados de análise do Amazon Pinpoint

Ao usar a API do Amazon Pinpoint, você pode consultar dados analíticos para um subconjunto de métricas padrão, também chamadas de indicadores-chave de desempenho (KPIs) que se aplicam aos projetos, campanhas e jornadas do Amazon Pinpoint. Essas métricas podem ajudá-lo a monitorar e avaliar o desempenho de projetos, campanhas e jornadas.

Para gerenciar o acesso a esses dados, você pode criar políticas AWS Identity and Access Management (IAM) que definam permissões para funções do IAM ou usuários autorizados a acessar os dados. Para oferecer suporte ao controle granular de acesso a esses dados, o Amazon Pinpoint fornece várias ações distintas que você pode especificar em políticas do IAM. Há uma ação distinta para visualizar dados analíticos no console do Amazon Pinpoint (mobiletargeting:GetReports) e há outras ações para acessar dados analíticos programaticamente usando a API do Amazon Pinpoint.

Para criar políticas do IAM que gerenciam o acesso aos dados de análise, você pode usar a AWS Management Console API AWS CLI, a ou a API IAM. Observe que a guia Editor visual no AWS Management Console atualmente não inclui ações para visualização ou consulta de dados analíticos do Amazon Pinpoint. No entanto, você pode adicionar as ações necessárias às políticas do IAM manualmente usando a guia JSON no console.

Por exemplo, a política a seguir permite acesso programático a todos os dados analíticos de todos os seus projetos, campanhas e jornadas em todas as AWS regiões:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QueryAllAnalytics",
            "Effect": "Allow",
            "Action": [
                "mobiletargeting:GetApplicationDateRangeKpi",
                "mobiletargeting:GetCampaignDateRangeKpi",
                "mobiletargeting:GetJourneyDateRangeKpi",
                "mobiletargeting:GetJourneyExecutionMetrics",
                "mobiletargeting:GetJourneyExecutionActivityMetrics"
            ],
            "Resource": [
                "arn:aws:mobiletargeting:*:accountId:apps/*/kpis/*",
                "arn:aws:mobiletargeting:*:accountId:apps/*/campaigns/*/kpis/*",
                "arn:aws:mobiletargeting:*:accountId:apps/*/journeys/*/kpis/*",
                "arn:aws:mobiletargeting:*:accountId:apps/*/journeys/*/execution-metrics",
                "arn:aws:mobiletargeting:*:accountId:apps/*/journeys/*/activities/*/execution-metrics"
            ]
        }
    ]
}

Onde accountId está o ID AWS da sua conta.

No entanto, como prática recomendada, você deve criar políticas que sigam o princípio de privilégio mínimo. Em outras palavras, você deve criar políticas que incluem somente as permissões necessárias para executar uma tarefa específica. Para apoiar essa prática e implementar um controle mais granular, você pode restringir o acesso programático aos dados analíticos somente para um projeto específico em uma AWS região específica, por exemplo:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QueryProjectAnalytics",
            "Effect": "Allow",
            "Action": [
                "mobiletargeting:GetApplicationDateRangeKpi",
                "mobiletargeting:GetCampaignDateRangeKpi",
                "mobiletargeting:GetJourneyDateRangeKpi",
                "mobiletargeting:GetJourneyExecutionMetrics",
                "mobiletargeting:GetJourneyExecutionActivityMetrics"
            ],
            "Resource": [
                "arn:aws:mobiletargeting:region:accountId:apps/projectId/kpis/*",
                "arn:aws:mobiletargeting:region:accountId:apps/projectId/campaigns/*/kpis/*",
                "arn:aws:mobiletargeting:region:accountId:apps/projectId/journeys/*/kpis/*",
                "arn:aws:mobiletargeting:region:accountId:apps/projectId/journeys/*/execution-metrics",
                "arn:aws:mobiletargeting:region:accountId:apps/projectId/journeys/*/activities/*/execution-metrics"
            ]
        }
    ]
}

Em que:

  • regioné o nome da AWS região que hospeda o projeto.

  • accountIdé o ID AWS da sua conta.

  • projectIdé o identificador do projeto ao qual você deseja fornecer acesso.

Da mesma forma, a política de exemplo a seguir permite acesso programático aos dados analíticos apenas para uma campanha específica:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QueryCampaignAnalytics",
            "Effect": "Allow",
            "Action": "mobiletargeting:GetCampaignDateRangeKpi",
            "Resource": "arn:aws:mobiletargeting:region:accountId:apps/projectId/campaigns/campaignId/kpis/*"
        }
    ]
}

Em que:

  • regioné o nome da AWS região que hospeda o projeto.

  • accountIdé sua Conta da AWS identidade.

  • projectIdé o identificador do projeto associado à campanha.

  • campaignIdé o identificador da campanha à qual você deseja fornecer acesso.

E a política de exemplo a seguir permite o acesso programático a todos os dados analíticos, tanto de engajamento quanto de execução, para uma determinada jornada e as atividades que compõem essa jornada:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QueryJourneyAnalytics",
            "Effect": "Allow",
            "Action": [
                "mobiletargeting:GetJourneyDateRangeKpi",
                "mobiletargeting:GetJourneyExecutionMetrics",
                "mobiletargeting:GetJourneyExecutionActivityMetrics"
            ],
            "Resource": [
                "arn:aws:mobiletargeting:region:accountId:apps/projectId/journeys/journeyId/kpis/*",
                "arn:aws:mobiletargeting:region:accountId:apps/projectId/journeys/journeyId/execution-metrics",
                "arn:aws:mobiletargeting:region:accountId:apps/projectId/journeys/journeyId/activities/*/execution-metrics"
            ]
        }
    ]
}

Em que:

  • regioné o nome da AWS região que hospeda o projeto.

  • accountIdé o ID AWS da sua conta.

  • projectIdé o identificador do projeto associado à jornada.

  • journeyIdé o identificador da viagem à qual você deseja fornecer acesso.

Para obter uma lista completa de ações da API do Amazon Pinpoint que você pode usar em políticas do IAM, consulte Ações do Amazon Pinpoint para políticas do IAM. Para obter informações detalhadas sobre como criar e gerenciar políticas do IAM, consulte o Guia do usuário do IAM.