As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
As políticas seguem uma estrutura específica, contêm elementos específicos e devem atender a determinados requisitos.
Estrutura da política
Cada política de autorização é um documento JSON que está anexado a uma identidade. Cada política inclui as seções a seguir:
-
Informações da política na parte superior do documento.
-
Uma ou mais declarações individuais, cada uma descrevendo um conjunto de permissões.
O exemplo de política a seguir concede à ID de AWS conta 123456789012 as permissões especificadas na seção Ação para o domínio verificado example.com.
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeAccount",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:GetEmailIdentity",
"ses:UpdateEmailIdentityPolicy",
"ses:ListRecommendations",
"ses:CreateEmailIdentityPolicy",
"ses:DeleteEmailIdentity"
]
}
]
}Você pode encontrar mais exemplos de política de autorização em Exemplos de políticas de identidade.
Elementos da política
Esta seção descreve os elementos contidos nas políticas de autorização de identidade. Primeiro, descrevemos elementos que se aplicam a toda a política e, em seguida, descrevemos os elementos que se aplicam somente à instrução em que estão incluídos. Seguimos com uma discussão sobre como adicionar condições às instruções.
Para obter informações específicas sobre a sintaxe dos elementos, consulte Gramática da linguagem de política do IAM no Manual do usuário do IAM.
Informações da política
Há dois elementos que se aplicam à política como um todo: Id e Version. A tabela a seguir fornece informações sobre esses elementos.
|
Nome |
Descrição |
Obrigatório |
Valores válidos |
|---|---|---|---|
|
|
Identifica exclusivamente a política. |
Não |
Qualquer string |
|
|
Especifica a versão da linguagem de acesso da política. |
Não |
Qualquer string. Como uma melhor prática, recomendamos incluir esse campo com um valor de "2012-10-17". |
Instruções específicas da política
As políticas de autorização de identidade requerem pelo menos uma instrução. Cada instrução pode incluir os elementos descritos na tabela a seguir.
|
Nome |
Descrição |
Obrigatório |
Valores válidos |
|---|---|---|---|
|
|
Identifica exclusivamente a instrução. |
Não |
Qualquer string. |
|
|
Especifica o resultado que você deseja que a instrução da política retorne no momento da avaliação. |
Sim |
"Permitir" ou "Negar". |
|
|
Especifica a identidade à qual a política se aplica. (Para autorização de envio, este é o endereço de e-mail ou domínio que o proprietário da identidade está autorizando o remetente delegado a usar.) |
Sim |
O Nome de recurso da Amazon (ARN) da identidade. |
|
|
Especifica Conta da AWS o usuário ou o AWS serviço que recebe a permissão na declaração. |
Sim |
Uma Conta da AWS ID, ARN de usuário ou AWS
serviço válidos. Conta da AWS IDs e o usuário ARNs são especificados usando Para obter exemplos do formato do usuário ARNs, consulte Referência geral da AWSo. |
|
|
Especifica a ação à qual a instrução se aplica. |
Sim |
“ses: BatchGetMetricData “, CancelExportJob “ses: CreateDeliverabilityTestReport “, “ses: CreateEmailIdentityPolicy “, CreateExportJob “ses: “, DeleteEmailIdentity “ses: DeleteEmailIdentityPolicy “, “ses: GetDomainStatisticsReport “, GetEmailIdentity “ses: GetEmailIdentityPolicies “, “ses: GetExportJob “, ListExportJobs “ses: “, ListRecommendations “ses: PutEmailIdentityConfigurationSetAttributes “, “ses: PutEmailIdentityDkimAttributes “, PutEmailIdentityDkimSigningAttributes “ses: PutEmailIdentityFeedbackAttributes “, “ses: PutEmailIdentityMailFromAttributes ““vê: TagResource “, UntagResource “vê:UpdateEmailIdentityPolicy” (Enviando ações de autorização: “ses: SendEmail “, “ses: SendRawEmail “, “ses: SendTemplatedEmail “, “ses: SendBulkTemplatedEmail “) É possível especificar uma ou mais dessas operações. |
|
|
Especifica quaisquer restrições ou detalhes sobre a permissão. |
Não |
Consulte as informações sobre condições seguindo esta tabela. |
Condições
Uma condição é qualquer restrição sobre a permissão na instrução. A parte da instrução que especifica as condições pode ser a mais detalhada de todas as partes. Uma chave é a característica específica que é a base para a restrição de acesso, como a data e a hora da solicitação.
Você usa condições e chaves em conjunto para expressar a restrição. Por exemplo, se você deseja impedir que o remetente delegado faça solicitações ao Amazon SES em seu nome após 30 de julho de 2019, use a condição chamada DateLessThan. Você usa a chave chamada aws:CurrentTime e a define para o valor 2019-07-30T00:00:00Z.
O SES implementa somente as seguintes chaves AWS de política abrangentes:
-
aws:CurrentTime -
aws:EpochTime -
aws:SecureTransport -
aws:SourceIp -
aws:SourceVpc -
aws:SourceVpce -
aws:UserAgent -
aws:VpcSourceIp
Para obter mais informações sobre essas chaves, consulte o Guia do usuário do IAM.
Requisitos de política
As políticas devem atender a todos os seguintes requisitos:
-
Cada política deve incluir pelo menos uma instrução.
-
Cada política deve incluir pelo menos um elemento principal válido.
-
Cada política deve especificar um recurso, e esse recurso deve ser o ARN da identidade à qual a política está anexada.
-
Os proprietários de identidade podem associar até 20 políticas a cada identidade exclusiva.
-
As políticas não podem exceder 4 kilobytes (KB) de tamanho.
-
Os nomes de política não podem exceder 64 caracteres. Além disso, eles só podem incluir caracteres alfanuméricos, traços e sublinhados.
