IAM用於匯入端點或區段的角色

使用 Amazon Pinpoint，您可以透過從 AWS 帳戶中的 Amazon Simple Storage Service (Amazon S3) 儲存貯體匯入端點定義來定義使用者細分。匯入之前，必須先將所需的許可委派給 Amazon Pinpoint。若要這麼做，您可以建立 AWS Identity and Access Management (IAM) 角色，並將下列原則附加至該角色：

• AmazonS3ReadOnlyAccess AWS 受管政策。此政策由建立和管理 AWS，並授予對 Amazon S3 儲存貯體的唯讀存取權。

• 允許 Amazon Pinpoint 擔任角色的信任政策。

建立角色後，您可以使用 Amazon Pinpoint 從 Amazon S3 儲存貯體匯入客群。如需使用主控台建立儲存貯體、建立端點檔案以及匯入客群的相關資訊，請參閱 Amazon Pinpoint 使用者指南中的匯入客群。如需如何使用以程式設計方式匯入區段的範例 AWS SDK for Java，請參閱本指南匯入客群中的〈〉。

建立 IAM 角色 (AWS CLI)

請使用 AWS Command Line Interface () 完成下列步驟來建立IAM角AWS CLI色。如果您尚未安裝 AWS CLI，請參閱《AWS Command Line Interface 使用者指南》 AWS CLI中的〈安裝〉。

若要使用建立IAM角色 AWS CLI

1. 建立包含角色信任原則的JSON檔案，並將檔案儲存在本機。您可以使用下列信任原則。

   {
        "Version": "2012-10-17", 
        "Statement": [
             {
                  "Action": "sts:AssumeRole", 
                  "Effect": "Allow", 
                  "Principal": {
                       "Service": "pinpoint.amazonaws.com"
                  },
                  "Condition": {
                       "StringEquals": {
                            "aws:SourceAccount": "accountId"
                       },
                  "ArnLike": {
                       "arn:aws:mobiletargeting:region:accountId:apps/application-id"
                       }
                  }
             }
        ]
   }

   在上述範例中，執行下列動作：

   • Replace (取代) region 與您使用 Amazon Pinpoint 的 AWS 區域。

   • Replace (取代) accountId 使用您 AWS 帳戶的唯一 ID。

   • Replace (取代) application-id 具有項目的唯一 ID。

2. 在命令行中，使用 create-role 命令來建立角色，並連接信任政策：

   aws iam create-role --role-name PinpointSegmentImport --assume-role-policy-document file://PinpointImportTrustPolicy.json

   在file://前置詞之後，指定包含信任原則之JSON檔案的路徑。

   執行這個命令之後，您會在終端機中看到類似下列的輸出：

   {
       "Role": {
           "AssumeRolePolicyDocument": {
               "Version": "2012-10-17", 
               "Statement": [
                   {
                       "Action": "sts:AssumeRole", 
                       "Effect": "Allow", 
                       "Principal": {
                           "Service": "pinpoint.amazonaws.com"
                       },
                       "Condition": {
                           "StringEquals": {
                               "aws:SourceAccount": "accountId"
                            },
                            "ArnLike": {
                               "aws:SourceArn": "arn:aws:mobiletargeting:region:accountId:apps/application-id"
                            }
                       }
                   }
               ]
           }, 
           "RoleId": "AIDACKCEVSQ6C2EXAMPLE", 
           "CreateDate": "2016-12-20T00:44:37.406Z", 
           "RoleName": "PinpointSegmentImport", 
           "Path": "/", 
           "Arn": "arn:aws:iam::accountId:role/PinpointSegmentImport"
       }
   }

3. 使用命attach-role-policy令將AmazonS3ReadOnlyAccess AWS 受管理的策略附加到角色：

   aws iam attach-role-policy --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess --role-name PinpointSegmentImport