Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh kebijakan identitas di Amazon SES
Otorisasi identitas memungkinkan Anda menentukan kondisi berbutir halus di mana Anda mengizinkan atau menolak tindakan API untuk identitas.
Contoh berikut menunjukkan cara menulis kebijakan untuk mengontrol berbagai aspek tindakan API:
Menentukan kepala sekolah
Prinsipal, yang merupakan entitas tempat Anda memberikan izin, dapat berupa Akun AWS, pengguna AWS Identity and Access Management (IAM), atau AWS layanan yang dimiliki oleh akun yang sama.
Contoh berikut menunjukkan kebijakan sederhana yang memungkinkan AWS ID 123456789012 untuk mengontrol identitas terverifikasi example.com yang juga dimiliki oleh 123456789012. Akun AWS
{ "Id":"SampleAuthorizationPolicy", "Version":"2012-10-17", "Statement":[ { "Sid":"AuthorizeMarketer", "Effect":"Allow", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com", "Principal":{ "AWS":[ "123456789012" ] }, "Action":[ "ses:DeleteEmailIdentity", "ses:PutEmailIdentityDkimSigningAttributes" ] } ] }
Contoh kebijakan berikut memberikan izin kepada dua pengguna untuk mengontrol identitas terverifikasi example.com. Pengguna ditentukan oleh Nama Sumber Daya Amazon (ARN) mereka.
{ "Id":"ExampleAuthorizationPolicy", "Version":"2012-10-17", "Statement":[ { "Sid":"AuthorizeIAMUser", "Effect":"Allow", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com", "Principal":{ "AWS":[ "arn:aws:iam::123456789012:user/John", "arn:aws:iam::123456789012:user/Jane" ] }, "Action":[ "ses:DeleteEmailIdentity", "ses:PutEmailIdentityDkimSigningAttributes" ] } ] }
Membatasi tindakan
Ada beberapa tindakan yang dapat ditentukan dalam kebijakan otorisasi identitas tergantung pada tingkat kontrol yang ingin Anda otorisasi:
"BatchGetMetricData", "ListRecommendations", "CreateDeliverabilityTestReport", "CreateEmailIdentityPolicy", "DeleteEmailIdentity", "DeleteEmailIdentityPolicy", "GetDomainStatisticsReport", "GetEmailIdentity", "GetEmailIdentityPolicies", "PutEmailIdentityConfigurationSetAttributes", "PutEmailIdentityDkimAttributes", "PutEmailIdentityDkimSigningAttributes", "PutEmailIdentityFeedbackAttributes", "PutEmailIdentityMailFromAttributes", "TagResource", "UntagResource", "UpdateEmailIdentityPolicy"
Kebijakan otorisasi identitas juga memungkinkan Anda membatasi prinsipal hanya pada salah satu tindakan tersebut.
{ "Id":"ExamplePolicy", "Version":"2012-10-17", "Statement":[ { "Sid":"ControlAction", "Effect":"Allow", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com", "Principal":{ "AWS":[ "123456789012" ] }, "Action":[ "ses:PutEmailIdentityMailFromAttributes ] } ] }
Menggunakan beberapa pernyataan
Kebijakan otorisasi identitas Anda dapat mencakup beberapa pernyataan. Contoh kebijakan berikut ini memiliki dua pernyataan. Pernyataan pertama menyangkal dua pengguna untuk mengakses getemailidentity dari sender@example.com dalam akun 123456789012 yang sama. Pernyataan kedua menyangkal UpdateEmailIdentityPolicy kepala sekolah, Jack, dalam akun 123456789012 yang sama.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"DenyGet", "Effect":"Deny", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com", "Principal":{ "AWS":[ "arn:aws:iam::123456789012:user/John", "arn:aws:iam::123456789012:user/Jane" ] }, "Action":[ "ses:GetEmailIdentity" ] }, { "Sid":"DenyUpdate", "Effect":"Deny", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com", "Principal":{ "AWS":"arn:aws:iam::123456789012:user/Jack" }, "Action":[ "ses:UpdateEmailIdentityPolicy" ] } ] }
