Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für Identitätsrichtlinien in Amazon SES
Mit der Identitätsautorisierung können Sie die detaillierten Bedingungen angeben, unter denen Sie API-Aktionen für eine Identität zulassen oder verweigern.
Die folgenden Beispiele zeigen, wie Sie die Richtlinien erstellen müssen, um die verschiedenen Aspekte von API-Aktionen zu kontrollieren:
Angeben des Prinzipals
Der Prinzipal ist die Entität, der Sie die Berechtigung erteilen. Dabei kann es sich um ein AWS-Konto, einen AWS Identity and Access Management (IAM)-Benutzer oder einen AWS-Service handeln, der demselben Konto angehört.
Das folgende Beispiel zeigt eine einfache Richtlinie, die es der AWS-ID 123456789012 ermöglicht, die verifizierte Identität example.com zu kontrollieren, die ebenfalls zum AWS-Konto 123456789012 gehört.
{ "Id":"SampleAuthorizationPolicy", "Version":"2012-10-17", "Statement":[ { "Sid":"AuthorizeMarketer", "Effect":"Allow", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com", "Principal":{ "AWS":[ "123456789012" ] }, "Action":[ "ses:DeleteEmailIdentity", "ses:PutEmailIdentityDkimSigningAttributes" ] } ] }
Die folgende Beispielrichtlinie erteilt zwei Benutzern die Berechtigung, die verifizierte Identität example.com zu kontrollieren. Die Benutzer werden durch ihren Amazon-Ressourcennamen (ARN) angegeben.
{ "Id":"ExampleAuthorizationPolicy", "Version":"2012-10-17", "Statement":[ { "Sid":"AuthorizeIAMUser", "Effect":"Allow", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com", "Principal":{ "AWS":[ "arn:aws:iam::123456789012:user/John", "arn:aws:iam::123456789012:user/Jane" ] }, "Action":[ "ses:DeleteEmailIdentity", "ses:PutEmailIdentityDkimSigningAttributes" ] } ] }
Einschränken der Aktion
Es gibt verschiedene Aktionen, die in einer Identitätsautorisierungsrichtlinie festgelegt werden können, je nachdem, welche Kontrollebene Sie autorisieren möchten:
"BatchGetMetricData", "ListRecommendations", "CreateDeliverabilityTestReport", "CreateEmailIdentityPolicy", "DeleteEmailIdentity", "DeleteEmailIdentityPolicy", "GetDomainStatisticsReport", "GetEmailIdentity", "GetEmailIdentityPolicies", "PutEmailIdentityConfigurationSetAttributes", "PutEmailIdentityDkimAttributes", "PutEmailIdentityDkimSigningAttributes", "PutEmailIdentityFeedbackAttributes", "PutEmailIdentityMailFromAttributes", "TagResource", "UntagResource", "UpdateEmailIdentityPolicy"
Mithilfe von Identitätsautorisierungsrichtlinien können Sie den Prinzipal auch auf nur eine dieser Aktionen einschränken.
{ "Id":"ExamplePolicy", "Version":"2012-10-17", "Statement":[ { "Sid":"ControlAction", "Effect":"Allow", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com", "Principal":{ "AWS":[ "123456789012" ] }, "Action":[ "ses:PutEmailIdentityMailFromAttributes ] } ] }
Verwenden mehrerer Anweisungen
Ihre Identitätsautorisierungsrichtlinie kann mehrere Anweisungen enthalten. Die folgende Beispielrichtlinie enthält zwei Anweisungen. Die erste Aussage verweigert zwei Benutzern den Zugriff auf getemailidentity von sender@example.com innerhalb desselben Kontos 123456789012 aus. Die zweite Aussage verweigert UpdateEmailIdentityPolicy für den Prinzipal, Jack, innerhalb desselben Kontos 123456789012.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"DenyGet", "Effect":"Deny", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com", "Principal":{ "AWS":[ "arn:aws:iam::123456789012:user/John", "arn:aws:iam::123456789012:user/Jane" ] }, "Action":[ "ses:GetEmailIdentity" ] }, { "Sid":"DenyUpdate", "Effect":"Deny", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com", "Principal":{ "AWS":"arn:aws:iam::123456789012:user/Jack" }, "Action":[ "ses:UpdateEmailIdentityPolicy" ] } ] }
