Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Anatomi kebijakan Amazon SES
Kebijakan mematuhi struktur tertentu, mengandung elemen, dan harus memenuhi persyaratan tertentu.
Struktur kebijakan
Setiap kebijakan otorisasi adalah dokumen JSON yang dilampirkan pada identitas. Setiap kebijakan mencakup bagian berikut:
-
Informasi untuk seluruh kebijakan di bagian atas dokumen.
-
Satu atau beberapa pernyataan individu, masing-masing menjelaskan satu set izin.
Contoh hibah kebijakan berikutAWSID akun123456789012izin yang ditentukan dalamAksibagian untuk domain yang diverifikasiexample.com.
{ "Id":"ExampleAuthorizationPolicy", "Version":"2012-10-17", "Statement":[ { "Sid":"AuthorizeAccount", "Effect":"Allow", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com", "Principal":{ "AWS":[ "123456789012" ] }, "Action":[ "ses:GetEmailIdentity", "ses:UpdateEmailIdentityPolicy", "ses:ListRecommendations", "ses:CreateEmailIdentityPolicy", "ses:DeleteEmailIdentity" ] } ] }
Anda dapat menemukan lebih banyak contoh kebijakan otorisasi diContoh kebijakan identitas.
Elemen kebijakan
Bagian ini menjelaskan elemen-elemen yang terkandung dalam kebijakan otorisasi identitas. Pertama kami menjelaskan elemen kebijakan secara keseluruhan, lalu kami menjelaskan elemen yang hanya berlaku untuk pernyataan tempat elemen tersebut disertakan. Kami selanjutnya mengadakan diskusi tentang cara menambahkan syarat untuk pernyataan Anda.
Untuk informasi spesifik tentang sintaksis elemen, lihat Tata Bahasa Kebijakan IAM di Panduan Pengguna IAM.
Informasi kebijakan keseluruhan
Ada dua elemen kebijakan secara keseluruhan: Id
dan Version
. Tabel berikut memberikan informasi tentang elemen-elemen ini.
Nama |
Deskripsi |
Wajib |
Nilai valid |
---|---|---|---|
|
Secara unik mengidentifikasi kebijakan. |
Tidak |
String apa pun |
|
Menentukan versi bahasa akses kebijakan. |
Tidak |
String apa pun. Sebagai praktik terbaik, sebaiknya sertakan bidang ini dengan nilai "2012-10-17". |
Pernyataan khusus untuk kebijakan
Kebijakan otorisasi identitas memerlukan setidaknya satu pernyataan. Setiap pernyataan dapat mencakup elemen yang dijelaskan di tabel berikut.
Nama |
Deskripsi |
Wajib |
Nilai valid |
---|---|---|---|
|
Secara unik mengidentifikasi pernyataan. |
Tidak |
String apa pun. |
|
Menentukan hasil yang Anda inginkan dikembalikan oleh pernyataan kebijakan pada waktu evaluasi. |
Ya |
"Izinkan" atau "Tolak". |
|
Menentukan identitas dengan kebijakan yang berlaku. (Untukmengirim otorisasi, ini adalah alamat email atau domain yang pemilik identitas memberi wewenang kepada pengirim delegasi untuk digunakan.) |
Ya |
Nama Sumber Daya Amazon (ARN) dari identitas. |
|
MenentukanAkun AWS, pengguna, atauAWSlayanan yang menerima izin dalam pernyataan. |
Ya |
ValidAkun AWSID, pengguna ARN, atauAWSlayanan.Akun AWS ID dan ARN pengguna ditentukan menggunakan Untuk contoh format ARN pengguna, lihatReferensi Umum AWS. |
|
Menentukan tindakan yang berlaku untuk pernyataan tersebut. |
Ya |
“ses:BatchGetMetricData“, “Ses:CancelExportJob“, “Ses:CreateDeliverabilityTestReport“, “Ses:CreateEmailIdentityPolicy“, “Ses:CreateExportJob“, “Ses:DeleteEmailIdentity“, “Ses:DeleteEmailIdentityPolicy“, “Ses:GetDomainStatisticsReport“, “Ses:GetEmailIdentity“, "Ses:GetEmailIdentityPolicies“, “Ses:GetExportJob“, “Ses:ListExportJobs“, “Ses:ListRecommendations“, “Ses:PutEmailIdentityConfigurationSetAttributes“, “Ses:PutEmailIdentityDkimAttributes“, “Ses:PutEmailIdentityDkimSigningAttributes“, “Ses:PutEmailIdentityFeedbackAttributes“, “Ses:PutEmailIdentityMailFromAttributes“, “Ses:TagResource“, “Ses:UntagResource“, “Ses:UpdateEmailIdentityPolicy“ (Mengirim otorisasitindakan: “ses:SendEmail“, “Ses:SendRawEmail“, “Ses:SendTemplatedEmail“, “Ses:SendBulkTemplatedEmail“) Anda dapat menentukan satu atau beberapa operasi ini. |
|
Menentukan pembatasan atau detail tentang izin. |
Tidak |
Lihat informasi tentang syarat pada tabel berikut ini. |
Kondisi
Syarat adalah pembatasan tentang izin di pernyataan. Bagian dari pernyataan yang menentukan syarat dapat menjadi yang paling detail dari semua bagian. Kunci adalah karakteristik spesifik yang menjadi dasar pembatasan akses, seperti tanggal dan waktu permintaan.
Anda menggunakan syarat maupun kunci secara bersama-sama untuk mengekspresikan pembatasan. Misalnya, jika Anda ingin membatasi pengirim delegasi membuat permintaan ke Amazon SES atas nama Anda setelah 30 Juli 2019, Anda menggunakan syarat yang disebut DateLessThan
. Anda menggunakan kunci yang disebut aws:CurrentTime
dan mengaturnya ke nilai 2019-07-30T00:00:00Z
.
SES hanya mengimplementasikan yang berikutAWSkunci kebijakan -wide:
-
aws:CurrentTime
-
aws:EpochTime
-
aws:SecureTransport
-
aws:SourceIp
-
aws:SourceVpc
-
aws:SourceVpce
-
aws:UserAgent
-
aws:VpcSourceIp
Untuk informasi selengkapnya tentang kunci ini, lihat Panduan Pengguna IAM.
Persyaratan kebijakan
Kebijakan harus memenuhi semua persyaratan berikut:
-
Setiap kebijakan harus menyertakan setidaknya satu pernyataan.
-
Setiap kebijakan harus menyertakan setidaknya satu prinsipiel yang valid.
-
Setiap kebijakan harus menentukan satu sumber daya, dan sumber daya tersebut harus ARN dari identitas yang dilampirkan pada kebijakan.
-
Pemilik identitas dapat mengaitkan hingga 20 kebijakan dengan setiap identitas unik.
-
Kebijakan tidak boleh melebihi 4 kilobyte (KB).
-
Nama kebijakan tidak boleh melebihi 64 karakter. Selain itu, kebijakan hanya dapat menyertakan karakter alfanumerik, tanda hubung, dan garis bawah.