**サポート終了通知:** 2026 年 10 月 30 日に、 AWS は Amazon Pinpoint のサポートを終了します。2026 年 10 月 30 日を過ぎると、Amazon Pinpoint コンソールまたは Amazon Pinpoint のリソース (エンドポイント、セグメント、キャンペーン、ジャーニー、分析) にアクセスできなくなります。詳細については、「[Amazon Pinpoint のサポート終了](https://docs.aws.amazon.com/console/pinpoint/migration-guide)」を参照してください。**注:** SMS、音声、モバイルプッシュ、OTP、電話番号の検証に関連する APIs は、この変更の影響を受けず、 AWS エンドユーザーメッセージングでサポートされています。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Pinpoint で IAM が機能する仕組み
Amazon Pinpoint を使用するには、 AWS アカウントのユーザーには、分析データの表示、プロジェクトの作成、ユーザーセグメントの定義、キャンペーンのデプロイなどを許可するアクセス許可が必要です。モバイルアプリケーションまたはウェブアプリケーションを Amazon Pinpoint と統合する場合、アプリケーションのユーザーは Amazon Pinpoint へのアクセスも必要とします。このアクセスにより、アプリケーションはエンドポイントを登録し、使用状況データを Amazon Pinpoint にレポートできます。Amazon Pinpoint 機能へのアクセスを許可するには、IAM ID または Amazon Pinpoint リソースの Amazon Pinpoint アクションを許可する AWS Identity and Access Management (IAM) ポリシーを作成します。
IAM は、管理者が AWS リソースへのアクセスを安全に制御するのに役立つサービスです。IAM ポリシーには、特定のリソースでユーザーが実行できる特定のアクションを許可または拒否するステートメントが含まれています。Amazon Pinpoint は、 ポリシーの[一連のアクション](permissions-actions.md)を提供し、Amazon Pinpoint ユーザーの詳細なアクセス権限を指定できます。これにより、重要なデータの漏洩やリソースの侵害を起こすような過度に寛容なポリシーを作成することなく、Amazon Pinpoint への適切なレベルのアクセスを付与できます。例えば、Amazon Pinpoint の管理者には無制限のアクセスを許可する一方で、特定のプロジェクトにのみアクセスする必要のある個人には読み取り専用アクセスを付与できます。
IAM を使用して Amazon Pinpoint へのアクセスを管理する前に、Amazon Pinpoint で使用できる IAM 機能について理解しておく必要があります。Amazon Pinpoint およびその他の AWS のサービスが IAM と連携する方法の概要を把握するには、「IAM *ユーザーガイド*」の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
**Topics**
+ [Amazon Pinpoint アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies)
+ [Amazon Pinpoint リソースベースのアクセス許可ポリシー](#security_iam_service-with-iam-resource-based-policies)
+ [Amazon Pinpoint タグに基づいた認可](#security_iam_service-with-iam-tags)
+ [Amazon Pinpoint IAM ロール](#security_iam_service-with-iam-roles)
## Amazon Pinpoint アイデンティティベースのポリシー
IAM アイデンティティベースのポリシーでは許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。Amazon Pinpoint は、特定のアクション、リソース、および条件キーをサポートしています。JSON ポリシーで使用できるすべての要素について学ぶには、『*IAM ユーザーガイド*』の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### アクション
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
つまり、ポリシーアクションによって、ユーザーが Amazon Pinpoint コンソールで実行できる操作が制御されます。また、 AWS SDKs、 AWS Command Line Interface (AWS CLI)、または Amazon Pinpoint APIsを直接使用して、ユーザーがプログラムで実行できる操作も制御します。
Amazon Pinpoint のポリシーアクションでは、次のプレフィックスを使用します。
+ **`mobiletargeting`** – Amazon Pinpoint API (Amazon Pinpoint のプライマリ API) から派生するアクション用。
+ **`sms-voice`** – Amazon Pinpoint SMS および音声 API から派生するアクション用。これは、Amazon Pinpoint の SMS チャンネルおよび音声チャンネルを使用および管理するための高度なオプションを提供する補足 API です。
例えば、プロジェクトのすべてのセグメントに関する情報を表示するためのアクセス許可をユーザーに付与するには、ポリシーに `mobiletargeting:GetSegments` アクションを含めます (これは、Amazon Pinpoint API の `GetSegments` オペレーションに対応するアクションです)。ポリシーステートメントには`Action` または `NotAction` 要素を含める必要があります。Amazon Pinpoint は、ユーザーが実行できるタスクを記述した独自のアクションのセットを定義します。
単一のステートメントで複数のアクションを指定するには、アクション間をコンマで区切ります。
```
"Action": [
"mobiletargeting:action1",
"mobiletargeting:action2"
```
ワイルドカード (\$1) を使用して複数のアクションを指定することもできます。例えば、`Get` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。
```
"Action": "mobiletargeting:Get*"
```
ただしベストプラクティスとして、*最小特権* の原則に準拠したポリシーを作成してください。つまり、特定のアクションを実行するために必要なアクセス許可のみが含まれたポリシーを作成します。
ポリシーで使用できる Amazon Pinpoint アクションのリストについては、[IAM ポリシーの Amazon Pinpointアクション](permissions-actions.md) を参照してください。
### リソース
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
例えば、`mobiletargeting:GetSegments` アクションは、特定の Amazon Pinpoint プロジェクトに関連付けられているすべてのセグメントに関する情報を取得します。プロジェクトを識別するには、次の形式の ARN を使用します。
```
arn:aws:mobiletargeting:${Region}:${Account}:apps/${projectId}
```
ARN の形式の詳細については、「*AWS 全般のリファレンス*」の「[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。
IAM ポリシーでは、次のタイプの Amazon Pinpoint リソースに対して ARN を指定できます。
+ キャンペーン
+ Journeys
+ メッセージテンプレート (一部のコンテキストでは*テンプレート*と呼ばれます)
+ プロジェクト (一部のコンテキストでは*アプリ*または*アプリケーション*と呼ばれます)
+ 推奨モデル (一部のコンテキストでは *推奨*と呼ばれます)
+ セグメント
例えば、プロジェクト ID `810c7aab86d42fb2b56c8c966example` を持つプロジェクトのポリシーステートメントを作成するには、次の ARN を使用します。
```
"Resource": "arn:aws:mobiletargeting:us-east-1:123456789012:apps/810c7aab86d42fb2b56c8c966example"
```
特定のアカウントに属するすべてのプロジェクトを指定するには、ワイルドカード (\$1) を使用します。
```
"Resource": "arn:aws:mobiletargeting:us-east-1:123456789012:apps/*"
```
リソースを作成するための特定のアクションなど、一部の Amazon Pinpoint アクションは、特定のリソースに対して実行できません。このような場合は、ワイルドカード (\$1) を使用する必要があります。
```
"Resource": "*"
```
IAM ポリシーでは、次のタイプの Amazon Pinpoint SMS および音声リソースに対しても ARN を指定できます。
+ 設定セット
+ オプトアウトリスト
+ 電話番号
+ プール
+ 送信者 ID
例えば、電話番号 ID が `phone-12345678901234567890123456789012` の電話番号についてポリシーステートメントを作成するには、次の ARN を使用します。
```
"Resource": "arn:aws:sms-voice:us-east-1:123456789012:phone-number/phone-12345678901234567890123456789012"
```
特定のアカウントに属するすべての電話番号を指定するには、電話番号 ID の代わりにワイルドカード (\$1) を使用します。
```
"Resource": "arn:aws:sms-voice:us-east-1:123456789012:phone-number/*"
```
Amazon Pinpoint SMS および音声アクションの中には、使用限度のようなアカウントレベルの設定管理に関するアクションなど、特定のリソースに対して実行されないものもあります。このような場合は、ワイルドカード (\$1) を使用する必要があります。
```
"Resource": "*"
```
一部の Amazon Pinpoint API アクションには、複数のリソースが関連します。例えば、`TagResource` アクションは複数のプロジェクトにタグを追加できます。単一のステートメントで複数のリソースを指定するには、ARN 間をカンマで区切ります。
```
"Resource": [
"resource1",
"resource2"
```
Amazon Pinpoint のリソースタイプとそれらの ARN のリストを確認するには、『*IAM ユーザーガイド*』の「[Amazon Pinpoint で定義されるリソースタイプ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpinpoint.html#amazonpinpoint-resources-for-iam-policies)」を参照してください。どのアクションで各リソースタイプの ARN を指定できるかについては、『*IAM ユーザーガイド*』の[「Amazon Pinpoint で定義されるアクション」](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpinpoint.html#amazonpinpoint-actions-as-permissions)を参照してください。
### 条件キー
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
Amazon Pinpoint は一連の独自の条件キーを定義し、一部のグローバル条件キーもサポートします。すべての AWS グローバル条件キーのリストを確認するには、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。Amazon Pinpoint 条件キーのリストについては、『*IAM ユーザーガイド*』の「[Amazon Pinpoint の条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpinpoint.html#amazonpinpoint-policy-keys)」を参照してください。条件キーを使用できるアクションとリソースについては、『*IAM ユーザーガイド*』の「[Amazon Pinpoint で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonpinpoint.html#amazonpinpoint-actions-as-permissions)」を参照してください。
### 例
Amazon Pinpoint でのアイデンティティベースのポリシーの例は、「[Amazon Pinpoint のアイデンティティベースポリシーの例](security_iam_id-based-policy-examples.md)」でご確認ください。
## Amazon Pinpoint リソースベースのアクセス許可ポリシー
リソースベースのアクセス許可ポリシーとは、指定されたプリンシパルが Amazon Pinpoint リソースに対して、どのアクションをどの条件で実行できるかを指定する JSON ポリシードキュメントです。Amazon Pinpoint は、キャンペーン、ジャーニー、メッセージテンプレート (*テンプレート*)、レコメンダーモデル (*レコメンダー*)、プロジェクト (*アプリケーション*)、セグメントに対するリソースベースのパーミッションポリシーをサポートしています。
### 例
Amazon Pinpoint リソースベースのポリシーの例を表示するには、「[Amazon Pinpoint のアイデンティティベースポリシーの例](security_iam_id-based-policy-examples.md)」を参照してください。
## Amazon Pinpoint タグに基づいた認可
タグは、特定のタイプの Amazon Pinpoint リソースに関連付けたり、Amazon Pinpoint へのリクエストに渡したりすることができます。タグに基づいてアクセスを管理するには、`aws:ResourceTag/${TagKey}`、`aws:RequestTag/${TagKey}`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。
Amazon Pinpoint リソースのタグ付けの詳細 (IAM ポリシーの例を含む) については、[Amazon Pinpoint リソースタグの管理](tagging-resources.md) を参照してください。
## Amazon Pinpoint IAM ロール
[IAM 役割](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) は特定のアクセス許可を持つ、 AWS アカウント内のエンティティです。
### Amazon Pinpoint での一時的な認証情報の使用
一時的な認証情報を使用して、フェデレーションでサインインする、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。テンポラリセキュリティ認証情報を取得するには、[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) または [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) などの AWS Security Token Service AWS STS API オペレーションを呼び出します。
Amazon Pinpoint は、一時的な認証情報の使用をサポートします。
### サービスリンクロール
[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用すると、 AWS サービスは他の サービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスリンクロールは IAM アカウント内に表示され、サービスによって所有されます。IAM 管理者は、サービスリンクロールの許可を表示できますが、編集することはできません。
Amazon Pinpoint は、サービスにリンクされたロールを使用しません。
### サービス役割
この機能により、ユーザーに代わってサービスが[サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)を引き受けることが許可されます。この役割により、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールはIAM アカウントに表示され、アカウントによって所有されます。つまり、IAM 管理者はこの役割の権限を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。
Amazon Pinpoint は、サービスロールの使用をサポートしています。