Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Le policy aderiscono a una struttura specifica, contengono elementi e devono soddisfare determinati requisiti.
Struttura delle policy
Ogni policy di autorizzazione è un documento JSON collegato a un'identità. Ogni policy include le sezioni seguenti:
-
informazioni specifiche della policy nella parte superiore del documento;
-
una o più istruzioni singole, ciascuna delle quali descrive un set di autorizzazioni.
La politica di esempio seguente concede all' AWS account ID 123456789012 le autorizzazioni specificate nella sezione Azione per il dominio verificato example.com.
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeAccount",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:GetEmailIdentity",
"ses:UpdateEmailIdentityPolicy",
"ses:ListRecommendations",
"ses:CreateEmailIdentityPolicy",
"ses:DeleteEmailIdentity"
]
}
]
}Puoi trovare ulteriori esempi di policy di autorizzazione in Esempi di policy di identità.
Elementi delle policy
Questa sezione descrive gli elementi contenuti nelle policy di autorizzazione dell'identità. Prima di tutto descriveremo gli elementi specifici della policy, quindi gli elementi che si applicano solo all'istruzione in cui sono inclusi. Seguirà una descrizione di come aggiungere condizioni alle istruzioni.
Per informazioni specifiche sulla sintassi degli elementi, consulta la sezione relativa alla grammatica del linguaggio delle policy IAM nella Guida per l'utente di IAM.
Informazioni specifiche della policy
Esistono due elementi specifici della policy: Id e Version. La tabella seguente fornisce informazioni su questi elementi.
|
Nome |
Descrizione |
Richiesto |
Valori validi |
|---|---|---|---|
|
|
Identifica in modo univoco la policy. |
No |
Qualsiasi stringa |
|
|
Specifica la versione del linguaggio di accesso della policy. |
No |
Qualsiasi stringa. Come best practice consigliamo di includere questo campo con il valore "2012-10-17". |
Istruzioni specifiche della policy
Le policy di autorizzazione dell'identità devono includere almeno un'istruzione. Ogni istruzione può includere gli elementi descritti nella tabella seguente.
|
Nome |
Descrizione |
Richiesto |
Valori validi |
|---|---|---|---|
|
|
Identifica in modo univoco l'istruzione. |
No |
Qualsiasi stringa. |
|
|
Specifica il risultato che deve essere restituito dall'istruzione della policy in fase di valutazione. |
Sì |
"Allow" o "Deny". |
|
|
Specifica l'identità cui si applica la policy. Per autorizzazione di invio, si tratta del dominio o dell'indirizzo e-mail che il proprietario di identità autorizza il mittente delegato a usare. |
Sì |
Il nome della risorsa Amazon (ARN) dell'identità. |
|
|
Speciifica l'utente o AWS il Account AWS servizio che riceve l'autorizzazione nell'istruzione. |
Sì |
Un Account AWS ID, un ARN utente o AWS
un servizio valido. Account AWS IDs e l'utente ARNs vengono specificati utilizzando Per esempi del formato dell'utente ARNs, vedere Riferimenti generali di AWS. |
|
|
Specifica l'azione alla quale si applica l'istruzione. |
Sì |
«ses: BatchGetMetricData «, «ses: CancelExportJob «, «ses: «, CreateDeliverabilityTestReport «ses: «, CreateEmailIdentityPolicy «ses: «, «ses: CreateExportJob «, «ses: DeleteEmailIdentity «, «ses: DeleteEmailIdentityPolicy «, «ses: «, GetDomainStatisticsReport «ses: «, GetEmailIdentity «ses: «, «ses: GetEmailIdentityPolicies «, «ses: GetExportJob «, «ses: ListExportJobs «, «ses: ListRecommendations «, «ses: «, PutEmailIdentityConfigurationSetAttributes «ses: «, «ses: PutEmailIdentityDkimAttributes «, «ses: PutEmailIdentityDkimSigningAttributes «, «ses: PutEmailIdentityFeedbackAttributes «, «ses: PutEmailIdentityMailFromAttributes «, «ses: «, TagResource «ses: ««ses: UntagResource «, «es:UpdateEmailIdentityPolicy» (Azioni di autorizzazione all'invio: SendEmail «ses: «, «ses: SendRawEmail «, «ses: SendTemplatedEmail «, «ses: SendBulkTemplatedEmail «) Puoi specificare una o più di queste operazioni. |
|
|
Specifica eventuali restrizioni o dettagli relativi all'autorizzazione. |
No |
Consulta le informazioni sulle condizioni che seguono questa tabella. |
Condizioni
Una condizione è qualsiasi restrizione riguardo all'autorizzazione inclusa nell'istruzione. La parte dell'istruzione che specifica le condizioni può essere la più dettagliata di tutte le parti. Una chiave è la caratteristica specifica sui cui si basa la restrizione di accesso, ad esempio la data e l'ora della richiesta.
Usa insieme condizioni e chiavi per esprimere la limitazione. Ad esempio, se vuoi impedire al mittente delegato di inviare richieste ad Amazon SES per tuo conto dopo il 30 luglio 2019, devi usare la condizione denominata DateLessThan. Usi la chiave denominata aws:CurrentTime e la imposti sul valore 2019-07-30T00:00:00Z.
SES implementa solo le seguenti chiavi di policy AWS a livello generale:
-
aws:CurrentTime -
aws:EpochTime -
aws:SecureTransport -
aws:SourceIp -
aws:SourceVpc -
aws:SourceVpce -
aws:UserAgent -
aws:VpcSourceIp
Per ulteriori informazioni su queste chiavi, consulta la Guida per l'utente IAM.
Requisiti per le policy
Le policy devono soddisfare tutti i seguenti requisiti:
-
Ogni policy deve includere almeno un'istruzione.
-
Ogni policy deve includere almeno un'entità principale valida.
-
Ogni policy deve specificare una risorsa e tale risorsa deve essere l'ARN dell'identità a cui la policy è collegata.
-
I proprietari di identità possono associare fino a 20 policy a ogni identità univoca.
-
Le dimensioni delle policy non possono superare i 4 kilobyte (KB).
-
I nomi delle policy non possono superare i 64 caratteri. Inoltre, possono includere solo caratteri alfanumerici, trattini e caratteri di sottolineatura.
