As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Exemplos de políticas de identidade no Amazon SES
A autorização de identidade permite que você especifique as condições detalhadas nas quais você permite ou nega ações de API para uma identidade.
Os exemplos a seguir mostram como escrever políticas para controlar diferentes aspectos das ações de API:
Especificar a entidade principal
A entidade principal, que é a entidade para a qual você está concedendo permissão, pode ser uma Conta da AWS, um AWS Identity and Access Management (usuário do IAM) ou um serviço da AWS que pertença à mesma conta.
O exemplo a seguir mostra uma política simples que permite ao ID da AWS 123456789012 controlar a identidade verificada exemplo.com, que pertence à Conta da AWS 123456789012.
{ "Id":"SampleAuthorizationPolicy", "Version":"2012-10-17", "Statement":[ { "Sid":"AuthorizeMarketer", "Effect":"Allow", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com", "Principal":{ "AWS":[ "123456789012" ] }, "Action":[ "ses:DeleteEmailIdentity", "ses:PutEmailIdentityDkimSigningAttributes" ] } ] }
O seguinte exemplo de política concede permissão a dois usuários para controlar a identidade verificada example.com. Os usuários são especificados pelo Nome do recurso da Amazon (ARN).
{ "Id":"ExampleAuthorizationPolicy", "Version":"2012-10-17", "Statement":[ { "Sid":"AuthorizeIAMUser", "Effect":"Allow", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com", "Principal":{ "AWS":[ "arn:aws:iam::123456789012:user/John", "arn:aws:iam::123456789012:user/Jane" ] }, "Action":[ "ses:DeleteEmailIdentity", "ses:PutEmailIdentityDkimSigningAttributes" ] } ] }
Restringir a ação
Há várias ações que podem ser especificadas em uma política de autorização de identidade, dependendo do nível de controle que você deseja autorizar:
"BatchGetMetricData", "ListRecommendations", "CreateDeliverabilityTestReport", "CreateEmailIdentityPolicy", "DeleteEmailIdentity", "DeleteEmailIdentityPolicy", "GetDomainStatisticsReport", "GetEmailIdentity", "GetEmailIdentityPolicies", "PutEmailIdentityConfigurationSetAttributes", "PutEmailIdentityDkimAttributes", "PutEmailIdentityDkimSigningAttributes", "PutEmailIdentityFeedbackAttributes", "PutEmailIdentityMailFromAttributes", "TagResource", "UntagResource", "UpdateEmailIdentityPolicy"
As políticas de autorização de identidade também permitem restringir a entidade principal a apenas uma dessas ações.
{ "Id":"ExamplePolicy", "Version":"2012-10-17", "Statement":[ { "Sid":"ControlAction", "Effect":"Allow", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com", "Principal":{ "AWS":[ "123456789012" ] }, "Action":[ "ses:PutEmailIdentityMailFromAttributes ] } ] }
Uso de várias instruções
Sua política de autorização de identidade pode incluir várias declarações. O exemplo de política a seguir contém duas instruções. A primeira declaração nega que dois usuários acessem getemailidentity a partir de sender@example.com na mesma conta 123456789012. A segunda declaração nega UpdateEmailIdentityPolicy para a entidade principal, Jack, na mesma conta 123456789012.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"DenyGet", "Effect":"Deny", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com", "Principal":{ "AWS":[ "arn:aws:iam::123456789012:user/John", "arn:aws:iam::123456789012:user/Jane" ] }, "Action":[ "ses:GetEmailIdentity" ] }, { "Sid":"DenyUpdate", "Effect":"Deny", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com", "Principal":{ "AWS":"arn:aws:iam::123456789012:user/Jack" }, "Action":[ "ses:UpdateEmailIdentityPolicy" ] } ] }
