Avviso di fine del supporto: il 30 ottobre 2026, AWS terminerà il supporto per Amazon Pinpoint. Dopo il 30 ottobre 2026, non potrai più accedere alla console Amazon Pinpoint o alle risorse Amazon Pinpoint (endpoint, segmenti, campagne, percorsi e analisi). Per ulteriori informazioni, consulta la pagina relativa alla fine del supporto di Amazon Pinpoint. Nota: per quanto APIs riguarda gli SMS, i comandi vocali, i messaggi push su dispositivi mobili, l'OTP e la convalida del numero di telefono non sono interessati da questa modifica e sono supportati da AWS End User Messaging.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Come Amazon Pinpoint funziona con IAM
Per utilizzare Amazon Pinpoint, gli utenti del tuo AWS account richiedono autorizzazioni che consentano loro di visualizzare dati di analisi, creare progetti, definire segmenti di utenti, distribuire campagne e altro ancora. Se integri un'app per dispositivi mobili o Web con Amazon Pinpoint, anche gli utenti dell'app richiedono l'accesso ad Amazon Pinpoint. Questo accesso consente all'app di registrare gli endpoint e di segnalare i dati di utilizzo ad Amazon Pinpoint. Per concedere l'accesso alle funzionalità di Amazon Pinpoint, crea policy AWS Identity and Access Management (IAM) che consentano azioni Amazon Pinpoint per identità IAM o risorse Amazon Pinpoint.
IAM è un servizio che aiuta gli amministratori a controllare in modo sicuro l'accesso alle risorse. AWS Le policy IAM includono istruzioni che consentono o negano azioni specifiche per risorse o utenti specifici. In Amazon Pinpoint è disponibile una serie di azioni che è possibile utilizzare nelle policy IAM per specificare autorizzazioni granulari per utenti e risorse Amazon Pinpoint. Questo significa che puoi concedere il livello appropriato di accesso ad Amazon Pinpoint senza creare policy troppo permissive che potrebbero esporre dati importanti o compromettere le tue risorse. Ad esempio, puoi concedere l'accesso illimitato a un amministratore Amazon Pinpoint e in sola lettura a coloro che devono accedere solo a uno specifico progetto.
Prima di utilizzare IAM per gestire l'accesso ad Amazon Pinpoint, è necessario comprendere quali funzionalità IAM sono disponibili per l'uso con Amazon Pinpoint. Per avere una visione di alto livello di come Amazon Pinpoint e AWS altri servizi funzionano con IAM, AWS consulta i servizi che funzionano con IAM nella IAM User Guide.
Argomenti
Policy basate su identità Amazon Pinpoint
Con le policy basate su identità di IAM, è possibile specificare quali azioni e risorse sono consentite o rifiutate, nonché le condizioni in base alle quali le azioni sono consentite o rifiutate. Amazon Pinpoint supporta specifiche azioni, risorse e chiavi di condizione. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta Guida di riferimento agli elementi delle policy JSON IAM nella Guida per l'utente di IAM.
Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.
L'elemento Action
di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso a un criterio. Le azioni politiche in genere hanno lo stesso nome dell'operazione AWS API associata. Ci sono alcune eccezioni, ad esempio le operazioni di sola autorizzazione che non hanno un'operazione API corrispondente. Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate operazioni dipendenti.
Includi le operazioni in una policy per concedere le autorizzazioni a eseguire l'operazione associata.
Ciò significa che le azioni delle policy controllano ciò che gli utenti possono eseguire sulla console Amazon Pinpoint. Controllano anche ciò che gli utenti possono fare a livello di codice utilizzando AWS SDKs direttamente, the AWS Command Line Interface (AWS CLI) o Amazon APIs Pinpoint.
Le azioni di policy in Amazon Pinpoint utilizzano i seguenti prefissi:
-
mobiletargeting
: per le azioni che derivano dall'API Amazon Pinpoint, che è l'API primaria per Amazon Pinpoint. -
sms-voice
: per le azioni che derivano dalla API SMS e Voce di Amazon Pinpoint, che è un'API supplementare che fornisce opzioni avanzate per l'utilizzo e la gestione dei canali SMS e voce in Amazon Pinpoint.
Ad esempio, per concedere l'autorizzazione per visualizzare le informazioni su tutti i segmenti di un progetto, ovvero un'operazione che corrisponde all'operazione GetSegments
nell'API Amazon Pinpoint, includi l'operazione mobiletargeting:GetSegments
nella policy. Le istruzioni della policy devono includere un elemento Action
o NotAction
. Amazon Pinpoint definisce un proprio set di azioni che descrivono le attività che puoi eseguire.
Per specificare più operazioni in una sola istruzione, separarle con la virgola:
"Action": [ "mobiletargeting:action1", "mobiletargeting:action2"
Puoi anche specificare più operazioni utilizzando i caratteri jolly (*). Ad esempio, per specificare tutte le azioni che iniziano con la parola Get
, includi la seguente azione:
"Action": "mobiletargeting:Get*"
Tuttavia, è consigliabile definire policy in grado di seguire il principio del privilegio minimo. In altre parole, è necessario creare policy che includano solo le autorizzazioni necessarie per eseguire un'operazione specifica.
Per un elenco delle azioni Amazon Pinpoint che puoi utilizzare nelle policy IAM, consulta Azioni di Amazon Pinpoint per le policy IAM.
Risorse
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.
L'elemento JSON Resource
della policy specifica l'oggetto o gli oggetti ai quali si applica l'operazione. Le istruzioni devono includere un elemento Resource
o un elemento NotResource
. Come best practice, specifica una risorsa utilizzando il suo nome della risorsa Amazon (ARN). È possibile eseguire questa operazione per operazioni che supportano un tipo di risorsa specifico, note come autorizzazioni a livello di risorsa.
Per le azioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (*) per indicare che l'istruzione si applica a tutte le risorse.
"Resource": "*"
Ad esempio, l'azione mobiletargeting:GetSegments
recupera le informazioni su tutti i segmenti associati a un progetto Amazon Pinpoint specifico. Identifica un progetto con un ARN nel seguente formato:
arn:aws:mobiletargeting:${Region}:${Account}:apps/${projectId}
Per ulteriori informazioni sul formato di ARNs, consulta Amazon Resource Names (ARNs) nel Riferimenti generali di AWS.
Nelle policy IAM, puoi specificare ARNs i seguenti tipi di risorse Amazon Pinpoint:
-
Campagne
-
Percorsi
-
Modelli di messaggio (denominati modelli in alcuni contesti)
-
Progetti (denominati app o applicazioni in alcuni contesti)
-
Modelli di raccomandazioni (indicati come raccomandatori in alcuni contesti)
-
Segmenti
Ad esempio, per creare un'istruzione di policy per il progetto con ID progetto 810c7aab86d42fb2b56c8c966example
, utilizza il seguente ARN:
"Resource": "arn:aws:mobiletargeting:us-east-1:123456789012:apps/810c7aab86d42fb2b56c8c966example"
Per specificare tutti i progetti che appartengono ad un account specifico, utilizza il carattere jolly (*):
"Resource": "arn:aws:mobiletargeting:us-east-1:123456789012:apps/*"
Alcune azioni Amazon Pinpoint, ad esempio la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (*).
"Resource": "*"
Nelle policy IAM, puoi anche specificare ARNs i seguenti tipi di risorse Amazon Pinpoint SMS e Voice:
-
Set di configurazione
-
Elenco di esclusione
-
Numero di telefono
-
Pool
-
ID mittente
Ad esempio, in una policy per creare un'istruzione per un numero di telefono associato l'ID phone-12345678901234567890123456789012
, utilizza il seguente ARN:
"Resource": "arn:aws:sms-voice:us-east-1:123456789012:phone-number/phone-12345678901234567890123456789012"
Per specificare tutti i numeri di telefono appartenenti a un account specifico, utilizza un carattere jolly (*) al posto dell'ID del numero di telefono:
"Resource": "arn:aws:sms-voice:us-east-1:123456789012:phone-number/*"
Alcune azioni di tipo SMS e Voce di Amazon Pinpoint non vengono eseguite su una risorsa specifica, ad esempio le azioni di gestione delle impostazioni a livello di account come i limiti di spesa. In questi casi, è necessario utilizzare il carattere jolly (*).
"Resource": "*"
Molte azioni API Amazon Pinpoint interessano più risorse. Ad esempio, l'operazione TagResource
può aggiungere un tag a più progetti. Per specificare più risorse in una singola istruzione, separale ARNs con virgole:
"Resource": [ "resource1", "resource2"
Per visualizzare un elenco dei tipi di risorse Amazon Pinpoint e relativi ARNs, consulta Resources Defined by Amazon Pinpoint nella IAM User Guide. Per informazioni sulle azioni che è possibile specificare con l'ARN di ogni tipo di risorsa, consulta Operazioni definite da Amazon Pinpoint nella Guida per l'utente di IAM.
Chiavi di condizione
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.
L'elemento Condition
(o blocco Condition
) consente di specificare le condizioni in cui un'istruzione è in vigore. L'elemento Condition
è facoltativo. È possibile compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.
Se specifichi più elementi Condition
in un'istruzione o più chiavi in un singolo elemento Condition
, questi vengono valutati da AWS utilizzando un'operazione AND
logica. Se si specificano più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione logica. OR
Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse.
È possibile anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, è possibile autorizzare un utente IAM ad accedere a una risorsa solo se è stata taggata con il relativo nome utente IAM. Per ulteriori informazioni, consulta Elementi delle policy IAM: variabili e tag nella Guida per l'utente di IAM.
AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'utente IAM.
Amazon Pinpoint definisce il proprio set di chiavi di condizione, nonché supporta alcune chiavi di condizione globali. Per visualizzare un elenco di tutte le chiavi di condizione AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'utente IAM. Per visualizzare l'elenco delle chiavi condizione di Amazon Pinpoint, consulta Chiavi di condizione per Amazon Pinpoint nella Guida dell'utente di IAM. Per informazioni su azioni e risorse con cui è possibile utilizzare una chiave di condizione, consulta Operazioni definite da Amazon Pinpoint nella Guida dell'utente di IAM.
Esempi
Per visualizzare esempi di policy basate su identità Amazon Pinpoint, consulta Esempi di policy basate su identità Amazon Pinpoint.
Policy di autorizzazione basate su risorse di Amazon Pinpoint
Le policy di autorizzazione basate su risorse sono documenti di policy JSON che specificano le azioni che possono essere eseguite da un'entità principale specificata su una risorsa Amazon Pinpoint e in base a quali condizioni. Amazon Pinpoint supporta policy di autorizzazione basate su risorse per campagne, percorsi, modelli di messaggi (modelli), modelli di raccomandazione, progetti (app) e segmenti.
Esempi
Per visualizzare esempi di policy basate su risorse Amazon Pinpoint, consulta Esempi di policy basate su identità Amazon Pinpoint.
Autorizzazione basata sui tag Amazon Pinpoint
Puoi associare i tag a determinati tipi di risorse Amazon Pinpoint o passare i tag in una richiesta ad Amazon Pinpoint. Per controllare l'accesso basato su tag, fornisci informazioni sui tag nell'elemento condizione di una policy utilizzando le chiavi di condizione aws:ResourceTag/${TagKey}
, aws:RequestTag/${TagKey}
o aws:TagKeys
.
Per informazioni sull'assegnazione di tag alle risorse Amazon Pinpoint, inclusa una policy IAM di esempio, consulta Gestione dei tag delle risorse di Amazon Pinpoint.
Ruoli IAM Amazon Pinpoint
Un ruolo IAM è un'entità all'interno dell'account AWS che dispone di autorizzazioni specifiche.
Utilizzo di credenziali temporanee con Amazon Pinpoint
Puoi utilizzare le credenziali temporanee per effettuare l'accesso utilizzando la federazione, assumere un ruolo IAM o assumere un ruolo tra più account. È possibile ottenere credenziali di sicurezza temporanee chiamando operazioni API AWS Security Token Service (AWS STS) come AssumeRoleo GetFederationToken.
Amazon Pinpoint supporta l'uso di credenziali temporanee.
Ruoli collegati ai servizi
I ruoli collegati ai AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non può modificarle.
Amazon Pinpoint non utilizza ruoli collegati ai servizi.
Ruoli dei servizi
Questa caratteristica consente a un servizio di assumere un ruolo di servizio per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore IAM può modificare le autorizzazioni per questo ruolo. Tuttavia, questo potrebbe pregiudicare la funzionalità del servizio.
Amazon Pinpoint supporta l'utilizzo dei ruoli di servizio.