Bagaimana Amazon Pinpoint bekerja dengan IAM - Amazon Pinpoint
Amazon Pinpoint kebijakan berbasis identitasAmazon Pinpoint kebijakan izin berbasis sumber dayaOtorisasi berdasarkan tag Amazon PinpointAmazon Pinpoint peran IAM

Pemberitahuan akhir dukungan: Pada 30 Oktober 2026, AWS akan mengakhiri dukungan untuk Amazon Pinpoint. Setelah 30 Oktober 2026, Anda tidak akan lagi dapat mengakses konsol Amazon Pinpoint atau sumber daya Amazon Pinpoint (titik akhir, segmen, kampanye, perjalanan, dan analitik). Untuk informasi selengkapnya, lihat Amazon Pinpoint akhir dukungan. Catatan: APIs terkait dengan SMS, suara, push seluler, OTP, dan validasi nomor telepon tidak terpengaruh oleh perubahan ini dan didukung oleh AWS End User Messaging.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagaimana Amazon Pinpoint bekerja dengan IAM

Untuk menggunakan Amazon Pinpoint, pengguna di AWS akun Anda memerlukan izin yang memungkinkan mereka melihat data analitik, membuat proyek, menentukan segmen pengguna, menyebarkan kampanye, dan banyak lagi. Jika Anda mengintegrasikan aplikasi seluler atau web dengan Amazon Pinpoint, pengguna aplikasi Anda juga memerlukan akses ke Amazon Pinpoint. Akses ini memungkinkan aplikasi Anda mendaftarkan titik akhir dan melaporkan data penggunaan ke Amazon Pinpoint. Untuk memberikan akses ke fitur Amazon Pinpoint, buat kebijakan AWS Identity and Access Management (IAM) yang mengizinkan tindakan Amazon Pinpoint untuk identitas IAM atau sumber daya Amazon Pinpoint.

IAM adalah layanan yang membantu administrator mengontrol akses ke sumber daya dengan aman. AWS Kebijakan IAM mencakup pernyataan yang mengizinkan atau menolak tindakan tertentu oleh pengguna tertentu atau untuk sumber daya tertentu. Amazon Pinpoint menyediakan serangkaian tindakan yang dapat Anda gunakan dalam kebijakan IAM untuk menentukan izin terperinci bagi pengguna dan sumber daya Amazon Pinpoint. Ini berarti Anda dapat memberikan tingkat akses yang sesuai ke Amazon Pinpoint tanpa membuat kebijakan yang terlalu permisif yang mungkin mengekspos data penting atau membahayakan sumber daya Anda. Misalnya, Anda dapat memberikan akses tidak terbatas ke administrator Amazon Pinpoint, dan memberikan akses hanya-baca kepada individu yang hanya memerlukan akses ke proyek tertentu.

Sebelum Anda menggunakan IAM untuk mengelola akses ke Amazon Pinpoint, Anda harus memahami fitur IAM apa yang tersedia untuk digunakan dengan Amazon Pinpoint. Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja Amazon Pinpoint dan layanan AWS lainnya dengan IAM, AWS lihat layanan yang bekerja dengan IAM di Panduan Pengguna IAM.

Amazon Pinpoint kebijakan berbasis identitas

Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Amazon Pinpoint mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat referensi elemen kebijakan IAM JSON di Panduan Pengguna IAM.

Tindakan

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Artinya, prinsipal manakah yang dapat melakukan tindakan pada sumber daya apa, dan dengan kondisi apa.

Elemen Action dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan operasi AWS API terkait. Ada beberapa pengecualian, misalnya tindakan hanya izin yang tidak memiliki operasi API yang cocok. Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut tindakan dependen.

Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.

Ini berarti tindakan kebijakan mengontrol apa yang dapat dilakukan pengguna di konsol Amazon Pinpoint. Mereka juga mengontrol apa yang dapat dilakukan pengguna secara terprogram dengan menggunakan AWS SDKs, the AWS Command Line Interface (AWS CLI), atau Amazon APIs Pinpoint secara langsung.

Tindakan kebijakan di Amazon Pinpoint menggunakan awalan berikut:

  • mobiletargeting— Untuk tindakan yang berasal dari Amazon Pinpoint API, yang merupakan API utama untuk Amazon Pinpoint.

  • sms-voice— Untuk tindakan yang berasal dari Amazon Pinpoint SMS dan Voice API, yang merupakan API tambahan yang menyediakan opsi lanjutan untuk menggunakan dan mengelola saluran SMS dan suara di Amazon Pinpoint.

Misalnya, untuk memberikan izin kepada seseorang untuk melihat informasi tentang semua segmen proyek, yang merupakan tindakan yang sesuai dengan GetSegments operasi di Amazon Pinpoint API, sertakan mobiletargeting:GetSegments tindakan tersebut dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen Action atau NotAction. Amazon Pinpoint mendefinisikan serangkaian tindakannya sendiri yang menggambarkan tugas yang dapat dilakukan pengguna dengannya.

Untuk menentukan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma:

"Action": [
      "mobiletargeting:action1",
      "mobiletargeting:action2"

Anda juga dapat menentukan beberapa tindakan dengan menggunakan wildcard (*). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata Get, sertakan tindakan berikut:

"Action": "mobiletargeting:Get*"

Namun, sebagai praktik terbaik, Anda harus membuat kebijakan yang mengikuti prinsip hak istimewa paling sedikit. Dengan kata lain, Anda harus membuat kebijakan yang hanya menyertakan izin yang diperlukan untuk melakukan tindakan tertentu.

Untuk daftar tindakan Amazon Pinpoint yang dapat Anda gunakan dalam kebijakan IAM, lihat. Tindakan Amazon Pinpoint untuk kebijakan IAM

Sumber daya

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Artinya, prinsipal manakah yang dapat melakukan tindakan pada sumber daya apa, dan dengan kondisi apa.

Elemen kebijakan JSON Resource menentukan objek yang menjadi target penerapan tindakan. Pernyataan harus menyertakan elemen Resource atau NotResource. Praktik terbaiknya, tentukan sumber daya menggunakan Amazon Resource Name (ARN). Anda dapat melakukan ini untuk tindakan yang mendukung jenis sumber daya tertentu, yang dikenal sebagai izin tingkat sumber daya.

Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, misalnya operasi pencantuman, gunakan wildcard (*) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.

"Resource": "*"

Misalnya, mobiletargeting:GetSegments tindakan mengambil informasi tentang semua segmen yang terkait dengan proyek Amazon Pinpoint tertentu. Anda mengidentifikasi proyek dengan ARN dalam format berikut:

arn:aws:mobiletargeting:${Region}:${Account}:apps/${projectId}

Untuk informasi selengkapnya tentang format ARNs, lihat Amazon Resource Names (ARNs) di Referensi Umum AWS.

Dalam kebijakan IAM, Anda dapat menentukan ARNs jenis sumber daya Amazon Pinpoint berikut:

  • Kampanye

  • Perjalanan

  • Template pesan (disebut sebagai template dalam beberapa konteks)

  • Proyek (disebut sebagai aplikasi atau aplikasi dalam beberapa konteks)

  • Model pemberi rekomendasi (disebut sebagai pemberi rekomendasi dalam beberapa konteks)

  • Segmen

Misalnya, untuk membuat pernyataan kebijakan untuk proyek yang memiliki ID proyek810c7aab86d42fb2b56c8c966example, gunakan ARN berikut:

"Resource": "arn:aws:mobiletargeting:us-east-1:123456789012:apps/810c7aab86d42fb2b56c8c966example"

Untuk menentukan semua proyek milik akun tertentu, gunakan wildcard (*):

"Resource": "arn:aws:mobiletargeting:us-east-1:123456789012:apps/*"

Beberapa tindakan Amazon Pinpoint, seperti tindakan tertentu untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (*):

"Resource": "*"

Dalam kebijakan IAM, Anda juga dapat menentukan jenis ARNs sumber daya Amazon Pinpoint SMS dan Voice berikut:

  • Set Konfigurasi

  • Daftar Keluar

  • Nomor Telepon

  • Kolam renang

  • Id Pengirim

Misalnya, untuk membuat pernyataan kebijakan untuk nomor telepon yang memiliki ID nomor telepon, phone-12345678901234567890123456789012 gunakan ARN berikut: 

"Resource": "arn:aws:sms-voice:us-east-1:123456789012:phone-number/phone-12345678901234567890123456789012"

Untuk menentukan semua nomor telepon milik akun tertentu, gunakan wildcard (*) sebagai pengganti ID nomor telepon:

"Resource": "arn:aws:sms-voice:us-east-1:123456789012:phone-number/*"

Beberapa tindakan Amazon Pinpoint SMS dan Voice tidak dilakukan pada sumber daya tertentu, seperti untuk mengelola pengaturan tingkat akun seperti batas pengeluaran. Dalam kasus tersebut, Anda harus menggunakan wildcard (*):

"Resource": "*"

Beberapa tindakan Amazon Pinpoint API melibatkan banyak sumber daya. Misalnya, TagResource tindakan dapat menambahkan tag ke beberapa proyek. Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma:

"Resource": [
      "resource1",
      "resource2"

Untuk melihat daftar jenis sumber daya Amazon Pinpoint dan jenisnya ARNs, lihat Sumber Daya yang Ditentukan oleh Amazon Pinpoint di Panduan Pengguna IAM. Untuk mempelajari tindakan mana yang dapat Anda tentukan dengan ARN dari setiap jenis sumber daya, lihat Tindakan yang Ditentukan oleh Amazon Pinpoint di Panduan Pengguna IAM.

Kunci syarat

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Artinya, prinsipal manakah yang dapat melakukan tindakan pada sumber daya apa, dan dengan kondisi apa.

Elemen Condition (atau blok Condition) akan memungkinkan Anda menentukan kondisi yang menjadi dasar suatu pernyataan berlaku. Elemen Condition bersifat opsional. Anda dapat membuat ekspresi bersyarat yang menggunakan operator kondisi, misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta.

Jika Anda menentukan beberapa elemen Condition dalam sebuah pernyataan, atau beberapa kunci dalam elemen Condition tunggal, maka AWS akan mengevaluasinya menggunakan operasi AND logis. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi menggunakan OR operasi logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.

Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Sebagai contoh, Anda dapat memberikan izin kepada pengguna IAM untuk mengakses sumber daya hanya jika izin tersebut mempunyai tanda yang sesuai dengan nama pengguna IAM mereka. Untuk informasi selengkapnya, lihat Elemen kebijakan IAM: variabel dan tanda dalam Panduan Pengguna IAM.

AWS mendukung kunci kondisi global dan kunci kondisi khusus layanan. Untuk melihat semua kunci kondisi AWS global, lihat kunci konteks kondisi AWS global di Panduan Pengguna IAM.

Amazon Pinpoint mendefinisikan kumpulan kunci kondisinya sendiri dan juga mendukung beberapa kunci kondisi global. Untuk melihat daftar semua kunci kondisi AWS global, lihat kunci konteks kondisi AWS global di Panduan Pengguna IAM. Untuk melihat daftar kunci kondisi Amazon Pinpoint, lihat Kunci Kondisi untuk Amazon Pinpoint di Panduan Pengguna IAM. Untuk mempelajari tindakan dan sumber daya yang dapat digunakan untuk menggunakan kunci kondisi, lihat Tindakan yang Ditentukan oleh Amazon Pinpoint di Panduan Pengguna IAM.

Contoh

Untuk melihat contoh kebijakan berbasis identitas Amazon Pinpoint, lihat. Amazon Pinpoint contoh kebijakan berbasis identitas

Amazon Pinpoint kebijakan izin berbasis sumber daya

Kebijakan izin berbasis sumber daya adalah dokumen kebijakan JSON yang menentukan tindakan apa yang dapat dilakukan oleh prinsipal tertentu pada sumber daya Amazon Pinpoint dan dalam kondisi apa. Amazon Pinpoint mendukung kebijakan izin berbasis sumber daya untuk kampanye, perjalanan, templat pesan (templat), model pemberi rekomendasi (pemberi rekomendasi), proyek (aplikasi), dan segmen.

Contoh

Untuk melihat contoh kebijakan berbasis sumber daya Amazon Pinpoint, lihat. Amazon Pinpoint contoh kebijakan berbasis identitas

Otorisasi berdasarkan tag Amazon Pinpoint

Anda dapat mengaitkan tag dengan jenis sumber daya Amazon Pinpoint tertentu atau meneruskan tag dalam permintaan ke Amazon Pinpoint. Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di elemen kondisi dari kebijakan menggunakan kunci kondisi aws:ResourceTag/${TagKey}, aws:RequestTag/${TagKey}, atau aws:TagKeys.

Untuk informasi tentang menandai sumber daya Amazon Pinpoint, termasuk contoh kebijakan IAM, lihat. Mengelola tag sumber daya Amazon Pinpoint

Amazon Pinpoint peran IAM

Peran IAM adalah entitas di dalam akun AWS Anda yang memiliki izin tertentu.

Menggunakan kredensi sementara dengan Amazon Pinpoint

Anda dapat menggunakan kredensial sementara untuk masuk ke federasi, mengasumsikan peran IAM, atau mengasumsikan peran lintas akun. Anda memperoleh kredensyal keamanan sementara dengan memanggil AWS Security Token Service (AWS STS) operasi API seperti AssumeRoleatau. GetFederationToken

Amazon Pinpoint mendukung penggunaan kredensil sementara.

Peran terkait layanan

Peran terkait AWS layanan memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator IAM dapat melihat tetapi tidak dapat mengedit izin untuk peran terkait layanan.

Amazon Pinpoint tidak menggunakan peran terkait layanan.

Peran layanan

Fitur ini memungkinkan layanan untuk menerima peran layanan atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di akun IAM Anda dan dimiliki oleh akun tersebut. Ini berarti administrator IAM dapat mengubah izin untuk peran ini. Namun, melakukan hal itu dapat merusak fungsionalitas layanan.

Amazon Pinpoint mendukung penggunaan peran layanan.