기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
정책은 특정 구조를 준수하고 요소를 포함하며 특정 요구 사항을 충족해야 합니다.
정책 구조
각 권한 부여 정책은 특정 자격 증명에 연결되는 JSON 문서입니다. 각 정책에는 다음 단원이 포함되어 있습니다.
-
문서 상단의 정책 전반의 정보.
-
각각 하나의 권한 집합을 설명하는 하나 이상의 문.
다음 예제 정책은 확인된 도메인 example.com에 대해 작업 섹션에 지정된 AWS 계정 ID 123456789012 권한을 부여합니다.
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeAccount",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:GetEmailIdentity",
"ses:UpdateEmailIdentityPolicy",
"ses:ListRecommendations",
"ses:CreateEmailIdentityPolicy",
"ses:DeleteEmailIdentity"
]
}
]
}자격 증명 정책 예제에 더 많은 권한 부여 정책 예제가 나와 있습니다.
정책 요소
이 섹션에서는 자격 증명 권한 부여 정책에 포함되는 요소를 설명합니다. 먼저 전역 정책 요소를 설명한 후, 해당 요소가 포함된 문에만 적용되는 요소를 설명합니다. 그런 다음 문에 조건을 추가하는 방법을 알아봅니다.
요소의 구문에 대한 자세한 내용은 IAM 사용 설명서의 IAM 정책 언어의 문법을 참조하십시오.
정책 전반의 정보
전역 정책 요소는 2가지가 있습니다. Id 및 Version. 다음 표에 이들 요소에 대한 정보가 나와 있습니다.
|
명칭 |
설명 |
필수 |
유효값 |
|---|---|---|---|
|
|
정책을 고유하게 식별합니다. |
아니요 |
모든 문자열 |
|
|
정책 액세스 언어 버전을 지정합니다. |
아니요 |
임의의 문자열. 모범 사례는 이 필드를 "2012-10-17"의 값으로 포함시키는 것입니다. |
정책 전용 설명문
자격 증명 권한 부여 정책은 적어도 하나의 문을 필요로 합니다. 각 문은 다음 표에서 설명하는 요소를 포함할 수 있습니다.
|
명칭 |
설명 |
필수 |
유효값 |
|---|---|---|---|
|
|
문을 고유하게 식별합니다. |
아니요 |
임의의 문자열. |
|
|
평가 시점에서 정책 문이 반환할 결과를 지정합니다. |
예 |
"Allow" 또는 "Deny". |
|
|
정책이 적용되는 자격 증명을 지정합니다. (전송 자격 증명의 경우 이는 자격 증명 소유자가 위임 발신자에게 사용 권한을 부여한 이메일 주소 또는 도메인입니다.) |
예 |
자격 증명의 Amazon 리소스 이름(ARN)입니다. |
|
|
문에서 권한을 수신하는 AWS 계정사용자 또는 AWS 서비스를 지정합니다. |
예 |
유효한 AWS 계정 ID, 사용자 ARN 또는 AWS service. AWS 계정 IDs 및 사용자 ARNs은 사용자 ARN 형식에 대한 예시는 AWS 일반 참조 섹션을 참조하세요. |
|
|
문이 적용되는 작업을 지정합니다. |
예 |
"ses:BatchGetMetricData", "ses:CancelExportJob", "ses:CreateDeliverabilityTestReport", "ses:CreateEmailIdentityPolicy", "ses:CreateExportJob", "ses:DeleteEmailIdentity", "ses:DeleteEmailIdentityPolicy", "ses:GetDomainStatisticsReport", "ses:GetEmailIdentity","ses:GetEmailIdentityPolicies", "ses:GetExportJob", "ses:ListExportJobs", "ses:ListRecommendations", "ses:PutEmailIdentityConfigurationSetAttributes", "ses:PutEmailIdentityDkimAttributes", "ses:PutEmailIdentityDkimSigningAttributes", "ses:PutEmailIdentityFeedbackAttributes", "ses:PutEmailIdentityMailFromAttributes", "ses:TagResource", "ses:UntagResource", "ses:UpdateEmailIdentityPolicy" (전송 권한 부여 작업: "ses:SendEmail", "ses:SendRawEmail", "ses:SendTemplatedEmail", "ses:SendBulkTemplatedEmail") 이러한 작업을 하나 이상 지정할 수 있습니다. |
|
|
권한에 대한 제한 또는 세부 정보를 지정합니다. |
아니요 |
이 표 다음에서 조건에 대한 자세한 내용을 참조하세요. |
조건
조건(condition)은 문에 지정된 권한에 대한 제한입니다. 문에서 조건을 지정하는 부분이 가장 세부적일 수 있습니다. 키(key)는 요청의 날짜 및 시간과 같이 액세스 제한의 기준이 되는 구체적인 특성입니다.
조건과 키를 함께 사용하여 제한을 표현합니다. 예를 들어, 위임 발신자가 2019년 7월 30일 이후로는 사용자를 대신하여 Amazon SES에 요청을 하지 못하게 제한하려면 DateLessThan 조건을 사용합니다. aws:CurrentTime이라는 키를 사용하여 그 값을 2019-07-30T00:00:00Z로 설정합니다.
SES는 다음과 같은 AWS전체 정책 키만 구현합니다.
-
aws:CurrentTime -
aws:EpochTime -
aws:SecureTransport -
aws:SourceIp -
aws:SourceVpc -
aws:SourceVpce -
aws:UserAgent -
aws:VpcSourceIp
이러한 키에 대한 자세한 내용은 IAM 사용 설명서를 참조하십시오.
정책 요구 사항
정책은 다음 요구 사항을 모두 충족해야 합니다.
-
각 정책은 하나 이상의 문을 포함해야 합니다.
-
각 정책은 하나 이상의 유효한 보안 주체를 포함해야 합니다.
-
각 정책은 리소스 하나를 지정해야 하며, 이 리소스는 정책이 연결된 자격 증명의 ARN이어야 합니다.
-
자격 증명 소유자는 각 고유 자격 증명에 최대 20개의 정책을 연결할 수 있습니다.
-
정책 크기는 4KB(킬로바이트) 이내여야 합니다.
-
정책 이름은 64자 이내여야 합니다. 영숫자 문자, 대시 및 밑줄만 포함할 수 있습니다.
