Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Anatomía de las políticas de Amazon SES
Las directivas se adhieren a una estructura específica, contienen elementos y deben cumplir ciertos requisitos.
Estructura de la política
Cada política de autorización es un documento JSON asociado a una identidad. Cada política incluye las siguientes secciones.
-
Información aplicable a toda la política en la parte superior del documento.
-
Una o varias instrucciones individuales, cada una de las cuales describe un conjunto de permisos.
La siguiente política de ejemplo otorga al ID de cuenta de AWS 123456789012 los permisos especificados en la sección Acción para el dominio verificado example.com.
{ "Id":"ExampleAuthorizationPolicy", "Version":"2012-10-17", "Statement":[ { "Sid":"AuthorizeAccount", "Effect":"Allow", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com", "Principal":{ "AWS":[ "123456789012" ] }, "Action":[ "ses:GetEmailIdentity", "ses:UpdateEmailIdentityPolicy", "ses:ListRecommendations", "ses:CreateEmailIdentityPolicy", "ses:DeleteEmailIdentity" ] } ] }
Encontrará más ejemplos de política de autorización en Ejemplos de políticas de identidad.
Elementos de una política
Esta sección describe los elementos que contienen las políticas de autorización de identidad. En primer lugar, describimos elementos aplicables a toda la política y, a continuación, describimos los elementos que se aplican únicamente a la instrucción en la que están incluidos. Se sigue con una exposición sobre cómo añadir condiciones a sus instrucciones.
Para obtener información específica acerca de la sintaxis de los elementos, consulte Gramática del lenguaje de las políticas de IAM en la Guía del usuario de IAM.
Información aplicable a toda la política
Existen dos elementos a escala de política: Id y Version. La tabla siguiente proporciona información acerca de estos elementos.
|
Nombre |
Descripción |
Obligatorio |
Valores válidos |
|---|---|---|---|
|
|
Identifica de forma exclusiva la política. |
No |
Cualquier cadena |
|
|
Especifica la versión de idioma de acceso de la política. |
No |
Cualquier cadena. Como práctica recomendada, le aconsejamos que incluya este campo con un valor de "2012-10-17". |
Instrucciones específicas de la política
Las políticas de autorización de identidad requieren al menos una instrucción. Cada instrucción puede incluir los elementos que se describen en la siguiente tabla.
|
Nombre |
Descripción |
Obligatorio |
Valores válidos |
|---|---|---|---|
|
|
Identifica de forma exclusiva la instrucción. |
No |
Cualquier cadena. |
|
|
Especifica el resultado que desea que devuelva la instrucción de política en tiempo de evaluación. |
Sí |
"Allow" o "Deny". |
|
|
Especifica la identidad a la que se aplica la política. (Esta es la dirección de correo electrónico o dominio que el propietario de identidad autoriza utilizar al remitente delegado para autorización de envío). |
Sí |
El nombre de recurso de Amazon (ARN) de la identidad. |
|
|
Especifica la Cuenta de AWS, el usuario o el servicio de AWS que recibe el permiso en la instrucción. |
Sí |
ID de Cuenta de AWS válido, ARN de usuario o servicio de AWS. Cuenta de AWS Los ID y ARN de usuario se especifican mediante Para ver ejemplos del formato de los ARN de usuario, consulte la Referencia general de AWS. |
|
|
Especifica la acción a la que se refiere la instrucción. |
Sí |
"ses:BatchGetMetricData", "ses:CancelExportJob", "ses:CreateDeliverabilityTestReport", "ses:CreateEmailIdentityPolicy", "ses:CreateExportJob", "ses:DeleteEmailIdentity", "ses:DeleteEmailIdentityPolicy", "ses:GetDomainStatisticsReport", "ses:GetEmailIdentity","ses:GetEmailIdentityPolicies", "ses:GetExportJob", "ses:ListExportJobs", "ses:ListRecommendations", "ses:PutEmailIdentityConfigurationSetAttributes", "ses:PutEmailIdentityDkimAttributes", "ses:PutEmailIdentityDkimSigningAttributes", "ses:PutEmailIdentityFeedbackAttributes", "ses:PutEmailIdentityMailFromAttributes", "ses:TagResource", "ses:UntagResource", "ses:UpdateEmailIdentityPolicy" (Acciones Autorización de envío: "ses:SendEmail", "ses:SendRawEmail", "ses:SendTemplatedEmail", "ses:SendBulkTemplatedEmail") Puede especificar una o varias de estas operaciones. |
|
|
Especifica alguna limitación o información sobre el permiso. |
No |
Consulte la información acerca de las condiciones siguiendo esta tabla. |
Condiciones
Una condición es cualquier restricción sobre el permiso en la instrucción. La parte de la instrucción que especifica las condiciones puede ser la más detallada de todas las partes. Una clave es la característica específica que es la base para la restricción de acceso, como la fecha y hora de la solicitud.
Las condiciones y las claves se utilizan conjuntamente para expresar la restricción. Por ejemplo, si desea impedir que el remitente delegado realice solicitudes a Amazon SES en su nombre después del 30 de julio de 2019, utilice la condición denominada DateLessThan. Usted utiliza la clave denominada aws:CurrentTime y la define con el valor 2019-07-30T00:00:00Z.
SES implementa solo las claves de políticas a escala de AWS que se indican a continuación:
-
aws:CurrentTime -
aws:EpochTime -
aws:SecureTransport -
aws:SourceIp -
aws:SourceVpc -
aws:SourceVpce -
aws:UserAgent -
aws:VpcSourceIp
Para obtener más información acerca de estas claves, consulte la Guía del usuario de IAM.
Requisitos de política
Las políticas deben cumplir todos los requisitos siguientes:
-
Cada política tiene que incluir al menos una instrucción.
-
Cada política tiene que incluir al menos una entidad principal válida.
-
Cada política tiene que especificar un recurso y ese recurso debe ser el ARN de la identidad a la que está asociada la política.
-
Los propietarios de identidad pueden asociar hasta 20 políticas con cada identidad única.
-
Las políticas no pueden tener más de 4 kilobytes (KB) de tamaño.
-
Los nombres de política no pueden superar los 64 caracteres. Además, solo pueden incluir caracteres alfanuméricos, guiones y guiones bajos.
