**支援結束通知:**2026 年 10 月 30 日, AWS 將結束對 Amazon Pinpoint 的支援。2026 年 10 月 30 日之後,您將無法再存取 Amazon Pinpoint 主控台或 Amazon Pinpoint 資源 (端點、區段、行銷活動、旅程和分析)。如需詳細資訊,請參閱 [Amazon Pinpoint 終止支援](https://docs.aws.amazon.com/console/pinpoint/migration-guide)。**注意:**與 SMS、語音、行動推播、OTP 和電話號碼驗證相關的 APIs 不受此變更影響,並受 AWS 最終使用者傳訊支援。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon Pinpoint 身分型政策範例
使用者和角色預設不具備建立或修改 Amazon Pinpoint 資源的許可。他們也無法使用 AWS 管理主控台 AWS CLI或 AWS API 執行任務。IAM 管理員必須建立 IAM 政策,授予使用者和角色許可,讓他們對所需的資源執行特定的 API 操作。管理員接著必須將這些政策連接至需要這些許可的使用者或群組。
若要了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《IAM 使用者指南》**中的[在 JSON 標籤上建立政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)。
**Topics**
+ [政策最佳實務](#security_iam_service-with-iam-policy-best-practices)
+ [使用 Amazon Pinpoint 主控台](#permissions-actions-examples-console-readonly)
+ [範例:存取單一 Amazon Pinpoint 專案](#security_iam_id-based-policy-examples-access-one-project)
+ [範例:根據標籤檢視 Amazon Pinpoint 資源](#security_iam_id-based-policy-examples-view-resource-tags)
+ [範例:允許使用者檢視他們自己的許可](#security_iam_id-based-policy-examples-view-own-permissions)
+ [範例:提供 Amazon Pinpoint API 動作的存取權](#permissions-actions-examples-pin-api)
+ [範例:提供 Amazon Pinpoint SMS 和語音 API 動作的存取權](#permissions-actions-examples-pin-sms-voice-api)
+ [範例:限制 Amazon Pinpoint 專案存取特定 IP 地址](#security_iam_resource-based-policy-examples-restrict-project-access-by-ip)
+ [範例:根據標籤限制 Amazon Pinpoint 存取權](#security_iam_resource-based-policy-examples-restrict-access-by-tag)
+ [範例:允許 Amazon Pinpoint 使用在 Amazon SES 中驗證的身分傳送電子郵件](#security_iam_resource-based-policy-examples-access-ses-identities)
## 政策最佳實務
身分型政策會判斷您帳戶中的某個人員是否可以建立、存取或刪除 Amazon Pinpoint 資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
+ **開始使用 AWS 受管政策並邁向最低權限許可** – 若要開始將許可授予您的使用者和工作負載,請使用將許可授予許多常見使用案例的 *AWS 受管政策*。它們可在您的 中使用 AWS 帳戶。我們建議您定義特定於使用案例 AWS 的客戶受管政策,以進一步減少許可。如需更多資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **套用最低權限許可** – 設定 IAM 政策的許可時,請僅授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為*最低權限許可*。如需使用 IAM 套用許可的更多相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 政策中的條件進一步限制存取權** – 您可以將條件新增至政策,以限制動作和資源的存取。例如,您可以撰寫政策條件,指定必須使用 SSL 傳送所有請求。如果透過特定 等使用服務動作 AWS 服務,您也可以使用條件來授予其存取權 CloudFormation。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作** – IAM Access Analyzer 驗證新政策和現有政策,確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議,可協助您撰寫安全且實用的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 IAM Access Analyzer 驗證政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重要素驗證 (MFA)** – 如果您的案例需要 IAM 使用者或 中的根使用者 AWS 帳戶,請開啟 MFA 以提高安全性。如需在呼叫 API 操作時請求 MFA,請將 MFA 條件新增至您的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[透過 MFA 的安全 API 存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
如需 IAM 中最佳實務的相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 使用 Amazon Pinpoint 主控台
若要存取 Amazon Pinpoint 主控台,您必須擁有最基本的許可。這些許可必須允許您列出和檢視 AWS 帳戶中 Amazon Pinpoint 資源的詳細資訊。如果您建立的身分型政策,套用的許可比所需的最低權限更嚴格,那麼使用該政策的實體 (使用者或角色),其主控台將不能正常運作。若要確保這些實體可以使用 Amazon Pinpoint 主控台,請將政策連接到實體。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[新增許可到使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)。
下列範例政策提供特定 AWS 區域中 Amazon Pinpoint 主控台的唯讀存取權。該唯讀存取權限包含了 Amazon Pinpoint 主控台仰賴的其他服務的唯讀存取權限,例如 Amazon Simple Email Service (Amazon SES)、IAM 和 Amazon Kinesis。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "UseConsole",
"Effect": "Allow",
"Action": [
"mobiletargeting:Get*",
"mobiletargeting:List*"
],
"Resource": "arn:aws:mobiletargeting:{{us-east-1}}:{{111122223333}}:*"
},
{
"Effect": "Allow",
"Action": [
"firehose:ListDeliveryStreams",
"iam:ListRoles",
"kinesis:ListStreams",
"s3:List*",
"ses:Describe*",
"ses:Get*",
"ses:List*",
"sns:ListTopics"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{accountId}}"
}
}
}
]
}
```
------
在上述政策範例中,以{{區域}}名稱取代 AWS 區域,並以 AWS 您的帳戶 ID 取代 {{accountId}}。
對於僅呼叫 AWS CLI 或 AWS API 的使用者,您不需要允許最低主控台許可。反之,只需允許存取符合他們嘗試執行之 API 操作的動作就可以了。
## 範例:存取單一 Amazon Pinpoint 專案
您也可以建立唯讀政策,只存取特定專案。以下範例政策可讓使用者登入主控台,並檢視專案清單。它也讓使用者檢視 Amazon Pinpoint 主控台仰賴的其他 AWS 服務 (例如 Amazon SES、IAM 和 Amazon Kinesis) 的相關資源的資訊。不過,此政策只讓使用者檢視政策中所指定之專案的相關資訊。您可以修改此政策,以允許存取其他專案或 AWS 區域。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ViewProject",
"Effect": "Allow",
"Action": "mobiletargeting:GetApps",
"Resource": "arn:aws:mobiletargeting:{{us-east-1}}:{{111122223333}}:*"
},
{
"Effect": "Allow",
"Action": [
"mobiletargeting:Get*",
"mobiletargeting:List*"
],
"Resource": [
"arn:aws:mobiletargeting:{{us-east-1}}:{{111122223333}}:apps/{{projectId}}",
"arn:aws:mobiletargeting:{{us-east-1}}:{{111122223333}}:apps/{{projectId}}/*",
"arn:aws:mobiletargeting:{{us-east-1}}:{{111122223333}}:reports"
]
},
{
"Effect": "Allow",
"Action": [
"ses:Get*",
"kinesis:ListStreams",
"firehose:ListDeliveryStreams",
"iam:ListRoles",
"ses:List*",
"sns:ListTopics",
"ses:Describe*",
"s3:List*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{accountId}}"
}
}
}
]
}
```
------
在上述範例中,將{{區域}}取代為 AWS 區域名稱、將 {{accountId}} 取代為 AWS 您的帳戶 ID,並將 {{projectId}} 取代為您要提供存取權的 Amazon Pinpoint 專案 ID。
同樣地,您可以建立政策,授予 AWS 您帳戶中對其中一個 Amazon Pinpoint 專案具有有限寫入存取權的使用者,例如具有專案 ID 的`810c7aab86d42fb2b56c8c966example`專案。在此情況下,您希望允許使用者檢視、新增和更新專案元件 (例如區段和促銷活動),但不能刪除任何元件。
除了授與 `mobiletargeting:Get` 和 `mobiletargeting:List` 動作的許可之外,也請建立授與下列動作許可的政策:`mobiletargeting:Create`、`mobiletargeting:Update` 和 `mobiletargeting:Put`。這些是建立和管理大多數專案元件所需的額外許可。例如:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LimitedWriteProject",
"Effect": "Allow",
"Action": "mobiletargeting:GetApps",
"Resource": "arn:aws:mobiletargeting:{{us-east-1}}:{{111122223333}}:*"
},
{
"Effect": "Allow",
"Action": [
"mobiletargeting:Get*",
"mobiletargeting:List*",
"mobiletargeting:Create*",
"mobiletargeting:Update*",
"mobiletargeting:Put*"
],
"Resource": [
"arn:aws:mobiletargeting:{{us-east-1}}:{{111122223333}}:apps/{{810c7aab86d42fb2b56c8c966example}}",
"arn:aws:mobiletargeting:{{us-east-1}}:{{111122223333}}:apps/{{810c7aab86d42fb2b56c8c966example}}/*",
"arn:aws:mobiletargeting:{{us-east-1}}:{{111122223333}}:reports"
]
},
{
"Effect": "Allow",
"Action": [
"ses:Get*",
"kinesis:ListStreams",
"firehose:ListDeliveryStreams",
"iam:ListRoles",
"ses:List*",
"sns:ListTopics",
"ses:Describe*",
"s3:List*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{111122223333}}"
}
}
}
]
}
```
------
## 範例:根據標籤檢視 Amazon Pinpoint 資源
您可以在身分型政策中使用條件,並根據標籤控制 Amazon Pinpoint 資源的存取權。此範例政策說明如何建立這類政策,才能允許檢視 Amazon Pinpoint 資源。但是,只有在資源標籤 `Owner` 的值是該使用者的使用者名稱時,才會授予該許可。此政策也會授予在主控台完成此動作的必要許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListResources",
"Effect": "Allow",
"Action": [
"mobiletargeting:Get*",
"mobiletargeting:List*"
],
"Resource": "*"
},
{
"Sid": "ViewResourceIfOwner",
"Effect": "Allow",
"Action": [
"mobiletargeting:Get*",
"mobiletargeting:List*"
],
"Resource": "arn:aws:mobiletargeting:*:*:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "{{userName}}"
},
"StringEquals": {
"aws:SourceAccount": "{{111122223333}}"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:mobiletargeting:{{us-east-1}}:{{111122223333}}:*"
}
}
}
]
}
```
------
您可以將此政策類型連接到您帳戶中的 使用者。如果 `richard-roe` 使用者嘗試檢視 Amazon Pinpoint 資源,必須將資源標記為 `Owner=richard-roe` 或 `owner=richard-roe`。否則他便會被拒絕存取。條件標籤鍵 `Owner` 符合 `Owner` 和 `owner`,因為條件索引鍵名稱不區分大小寫。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
## 範例:允許使用者檢視他們自己的許可
此範例會示範如何建立政策,允許 IAM 使用者檢視連接到他們使用者身分的內嵌及受管政策。此政策包含在主控台或使用 或 AWS CLI AWS API 以程式設計方式完成此動作的許可。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 範例:提供 Amazon Pinpoint API 動作的存取權
本節提供的範例政策,可讓您存取 Amazon Pinpoint API 中各項功能的範例政策;Amazon Pinpoint API 是 Amazon Pinpoint 的主要 API。若要進一步了解此 API,請參閱 [Amazon Pinpoint API 參考](https://docs.aws.amazon.com/pinpoint/latest/apireference/)。
### 唯讀存取
下列範例政策允許唯讀存取特定 AWS 區域中 Amazon Pinpoint 帳戶中的所有資源。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ViewAllResources",
"Effect": "Allow",
"Action": [
"mobiletargeting:Get*",
"mobiletargeting:List*"
],
"Resource": "arn:aws:mobiletargeting:{{us-east-1}}:{{111122223333}}:*"
}
]
}
```
------
在上述範例中,將{{區域}}取代為 AWS 區域名稱,並將 {{accountId}} 取代為您的帳戶 AWS ID。
### 管理員存取
以下範例政策可完全存取您 Amazon Pinpoint 帳戶中的所有 Amazon Pinpoint 動作和資源:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "FullAccess",
"Effect": "Allow",
"Action": [
"mobiletargeting:*"
],
"Resource": "arn:aws:mobiletargeting:{{us-east-1}}:{{111122223333}}:*"
}
]
}
```
------
請在以上的範例中,將 {{accountId}} 替換成您的 AWS 帳戶 ID。
## 範例:提供 Amazon Pinpoint SMS 和語音 API 動作的存取權
本節提供的範例政策,可讓您存取 Amazon Pinpoint SMS 和語音 API 中各項功能。這是補充 API,提供進階選項,讓您使用和管理 Amazon Pinpoint 中的 SMS 和語音管道。若要進一步了解此 API,請參閱 [Amazon Pinpoint SMS 和語音 API 參考](https://docs.aws.amazon.com/pinpoint-sms-voice/latest/APIReference/)。
### 唯讀存取
下列範例政策允許唯讀存取您 AWS 帳戶中的所有 Amazon Pinpoint SMS 和語音 API 動作和資源:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SMSVoiceReadOnly",
"Effect": "Allow",
"Action": [
"sms-voice:Get*",
"sms-voice:List*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{111122223333}}"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:sms-voice:{{us-east-1}}:{{111122223333}}:*"
}
}
}
]
}
```
------
### 管理員存取
下列範例政策允許完整存取您 AWS 帳戶中的所有 Amazon Pinpoint SMS 和語音 API 動作和資源:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SMSVoiceFullAccess",
"Effect": "Allow",
"Action": [
"sms-voice:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{111122223333}}"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:sms-voice:{{us-east-1}}:{{111122223333}}:*"
}
}
}
]
}
```
------
## 範例:限制 Amazon Pinpoint 專案存取特定 IP 地址
以下範例政策允許任何使用者對指定項目 ({{projectId}}) 執行任何 Amazon Pinpoint 動作。不過,要求必須源自於條件中所指定的 IP 地址範圍。
此陳述式中的條件會識別允許之 Internet Protocol version 4 (IPv4) 地址的範圍 `54.240.143.*`,但有一個例外:`54.240.143.188`。`Condition` 區塊使用 `IpAddress`和 `NotIpAddress`條件和 `aws:SourceIp` 條件金鑰,這是 AWS全局條件金鑰。如需這些條件金鑰的詳細資訊,請參閱[政策 IAM 使用者指南中的指定條件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html)。 **`aws:SourceIp` IPv4 值會使用標準 CIDR 表示法。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [IP 位址條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id":"AMZPinpointPolicyId1",
"Statement":[
{
"Sid":"IPAllow",
"Effect":"Allow",
"Principal":"*",
"Action":"mobiletargeting:*",
"Resource":[
"arn:aws:mobiletargeting:{{us-east-1}}:{{111122223333}}:apps/{{projectId}}",
"arn:aws:mobiletargeting:{{us-east-1}}:{{111122223333}}:apps/{{projectId}}/*"
],
"Condition":{
"IpAddress":{
"aws:SourceIp":"54.240.143.0/24"
},
"NotIpAddress":{
"aws:SourceIp":"54.240.143.188/32"
}
}
}
]
}
```
------
## 範例:根據標籤限制 Amazon Pinpoint 存取權
以下範例政策授予對指定項目 ({{projectId}}) 執行任何 Amazon Pinpoint 動作的許可。不過,只有當請求來自其名稱是專案 `Owner` 資源標籤中之值 (如條件中所指定) 的使用者時,才會授與許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ModifyResourceIfOwner",
"Effect": "Allow",
"Action": "mobiletargeting:*",
"Resource": [
"arn:aws:mobiletargeting:{{us-east-1}}:{{111122223333}}:apps/{{projectId}}",
"arn:aws:mobiletargeting:{{us-east-1}}:{{111122223333}}:apps/{{projectId}}/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "{{userName}}"
}
}
}
]
}
```
------
## 範例:允許 Amazon Pinpoint 使用在 Amazon SES 中驗證的身分傳送電子郵件
透過 Amazon Pinpoint 主控台驗證電子郵件身份 (例如電子郵件地址或網域) 時,系統會設定讓 Amazon Pinpoint 和 Amazon SES 都可以自動使用該身分。但如果您透過 Amazon SES 驗證電子郵件身分,而且想將該身分與 Amazon Pinpoint 搭配使用,就必須對該身分套用政策。
以下範例政策授予 Amazon Pinpoint 使用透過 Amazon SES 驗證的電子郵件身分傳送電子郵件的權限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"PinpointEmail",
"Effect":"Allow",
"Principal":{
"Service":"pinpoint.amazonaws.com"
},
"Action":"ses:*",
"Resource":"arn:aws:ses:{{us-east-1}}:{{111122223333}}:identity/{{emailId}}",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"{{111122223333}}"
},
"ArnLike":{
"aws:SourceArn":"arn:aws:mobiletargeting:{{us-east-1}}:{{111122223333}}:apps/{{*}}"
}
}
}
]
}
```
------
如果您在 AWS GovCloud (美國西部) 區域使用 Amazon Pinpoint,請改用下列政策範例:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"PinpointEmail",
"Effect":"Allow",
"Principal":{
"Service":"pinpoint.amazonaws.com"
},
"Action":"ses:*",
"Resource":"arn:aws-us-gov:ses:us-gov-west-1:{{111122223333}}:identity/{{emailId}}",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"{{111122223333}}"
},
"ArnLike":{
"aws:SourceArn":"arn:aws-us-gov:mobiletargeting:us-gov-west-1:{{111122223333}}:apps/{{*}}"
}
}
}
]
}
```
------