**终止支持通知：** AWS 将于 2026 年 10 月 30 日终止对亚马逊 Pinpoint 的支持。2026 年 10 月 30 日之后，您将不再能够访问 Amazon Pinpoint 控制台或 Amazon Pinpoint 资源（端点、分段、活动、旅程和分析）。有关更多信息，请参阅 [Amazon Pinpoint 终止支持](https://docs.aws.amazon.com/console/pinpoint/migration-guide)。**注意：** APIs 与短信相关、语音、移动推送、OTP 和电话号码验证不受此更改的影响，并受 AWS 最终用户消息的支持。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 创建 IAM 策略和角色以用于 Amazon Pinpoint 中的短信
<a name="tutorials-two-way-sms-part-2"></a>

在 Amazon Pinpoint 中实施短信注册解决方案的下一步是在 AWS Identity and Access Management (IAM) 中配置策略和角色。对于此解决方案，您需要创建一个策略，该策略提供对与 Amazon Pinpoint 相关的某些资源的访问权限。然后，创建一个角色并将策略附加到该角色。在本教程的后面部分，您将创建一个 AWS Lambda 函数，该函数使用此角色在 Amazon Pinpoint API 中调用某些操作。

## 创建 IAM 策略
<a name="tutorials-two-way-sms-part-2-create-policy"></a>

此部分将向您介绍如何创建 IAM 策略。使用此策略的用户和角色可以执行以下操作：
+ 使用电话号码验证功能
+ 查看、创建和更新 Amazon Pinpoint 端点
+ 向 Amazon Pinpoint 端点发送消息

在本教程中，您需要使 Lambda 能够执行这些任务。但是，为了提高安全性，此策略使用授予*最低权限*的原则。也就是说，它只授予完成此解决方案所需的权限，而不授予任何其他权限。此策略受以下几方面的限制：
+ 您只能用它来调用特定区域内的电话号码验证 API。
+ 您只能用它来查看、创建或更新与特定 Amazon Pinpoint 项目关联的端点。
+ 您只能用它将消息发送到与特定 Amazon Pinpoint 项目关联的端点。

**创建策略**

1. 登录 AWS 管理控制台 并打开 IAM 控制台，网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在导航窗格中，选择 **策略**，然后选择 **创建策略**。

1. 在 **JSON** 选项卡上，粘贴以下代码。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "logs:CreateLogStream",
                   "logs:PutLogEvents",
                   "logs:CreateLogGroup"
               ],
               "Resource": "arn:aws:logs:*:*:*"
           },
           {
               "Effect": "Allow",
               "Action": "mobiletargeting:SendMessages",
               "Resource": "arn:aws:mobiletargeting:us-east-1:111122223333:apps/projectId/*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "mobiletargeting:GetEndpoint",
                   "mobiletargeting:UpdateEndpoint",
                   "mobiletargeting:PutEvents"
               ],
               "Resource": "arn:aws:mobiletargeting:us-east-1:111122223333:apps/projectId/endpoints/*"
           },
           {
               "Effect": "Allow",
               "Action": "mobiletargeting:PhoneNumberValidate",
               "Resource": "arn:aws:mobiletargeting:us-east-1:111122223333:phone/number/validate"
           }
       ]
   }
   ```

------

   在上述示例中，执行以下操作：
   + *region*替换为您使用 Amazon Pinpoint 的 AWS 区域，例如`us-east-1`或。`eu-central-1`
**提示**  
有关提供 Amazon Pinpoint 的 AWS 地区的完整列表，请参阅中的[AWS 区域和终端节点](https://docs.aws.amazon.com/general/latest/gr/rande.html#pinpoint_region)。*AWS 一般参考*
   + *accountId*替换为 AWS 账户的唯一 ID。
   + *projectId*替换为您在本教程的创建 [Amazon Pinpoint 项目中创建的项目的](tutorials-two-way-sms-part-1.md#tutorials-two-way-sms-part-1-create-project)唯一 ID。
**注意**  
这些`logs`操作使 Lambda 能够将其输出记录在日志中。 CloudWatch 

1. 选择**下一步**。

1. 对于**策略名称**，输入策略的名称，如 **RegistrationFormPolicy**。选择**创建策略**。

## 创建一个 IAM 角色
<a name="tutorials-two-way-sms-part-2-create-role"></a>

**创建角色**

1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1. 在 IAM 控制台的导航窗格中，选择**角色**，然后选择**创建角色**。

1. 在**可信实体类型**下选择 **AWS 服务**，然后对于**服务或用户案例**，从下拉列表中选择 **Lambda**。

1. 选择**下一步**。

1. 在**权限策略**下，选择或搜索您在上一部分中创建的策略，然后选择**下一步**。

1. 在**角色详细信息**下，对于**角色名称**，请为角色输入名称，例如 **SMSRegistrationForm**。选择**创建角色**。

**下一步**：[创建 Lambda 函数](tutorials-two-way-sms-part-3.md)