Anatomie von Amazon-SES-Richtlinien - Amazon Simple Email Service
RichtlinienstrukturRichtlinienelementeRichtlinienanforderungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anatomie von Amazon-SES-Richtlinien

Richtlinien halten sich an eine bestimmte Struktur, enthalten Elemente und müssen bestimmte Anforderungen erfüllen.

Richtlinienstruktur

Bei jeder Autorisierungsrichtlinie handelt es sich um ein JSON-Dokument, das einer Identität angefügt wurde. Jede Richtlinie enthält folgende Abschnitte:

  • Richtlinienweite Informationen oben im Dokument

  • Eine oder mehrere einzelne Anweisungen, die jeweils eine Gruppe von Berechtigungen beschreiben

Die folgende Beispielrichtlinie erteilt der AWS-Konto-ID 123456789012 die im Abschnitt Action (Aktion) angegebenen Berechtigungen für die verifizierte Domain example.com.

{
  "Id":"ExampleAuthorizationPolicy",
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"AuthorizeAccount",
      "Effect":"Allow",
      "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
      "Principal":{
        "AWS":[
          "123456789012"
        ]
      },
      "Action":[
        "ses:GetEmailIdentity",
        "ses:UpdateEmailIdentityPolicy",
        "ses:ListRecommendations",
        "ses:CreateEmailIdentityPolicy",
        "ses:DeleteEmailIdentity"
      ]
    }
  ]
}

Weitere Beispiele für Autorisierungsrichtlinien finden Sie unter Beispiele für Identitätsrichtlinien.

Richtlinienelemente

Dieser Abschnitt beschreibt die Elemente von Identitätsautorisierungsrichtlinien. Zunächst beschreiben wir richtlinienweite Elemente und anschließend Elemente, die nur auf die Anweisung zutreffen, in der sie enthalten sind. Im Anschluss daran besprechen wir, wie Sie Ihren Anweisungen Bedingungen hinzufügen.

Ausführlichere Informationen über die Syntax der Elemente finden Sie unter Grammatik von IAM-Richtlinien im IAM Benutzerhandbuch.

Richtlinienweite Informationen

Es gibt zwei richtlinienweite Elemente: Id und Version. Die folgende Tabelle enthält Informationen über diese Elemente.

Name

Beschreibung

Erforderlich

Zulässige Werte

Id

Kennzeichnet die Richtlinie eindeutig.

Nein

Jede Zeichenfolge

Version

Gibt die Sprachversion des Richtlinienzugriffs an.

Nein

Jede Zeichenfolge. Als bewährte Methode empfehlen wir, dass Sie dieses Feld mit dem Wert "2012-10-17" einschließen.

Richtlinienspezifische Anweisungen

Identitätsautorisierungsrichtlinien erfordern mindestens eine Anweisung. Jede Anweisung kann die in der folgenden Tabelle beschriebenen Elementen enthalten.

Name

Beschreibung

Erforderlich

Zulässige Werte

Sid

Kennzeichnet die Anweisung eindeutig.

Nein

Jede Zeichenfolge.

Effect

Gibt das Ergebnis an, das die Richtlinienanweisung zum Bewertungszeitpunkt zurückgeben soll.

Ja

"Allow" oder "Deny".

Resource

Gibt die Identität an, auf die die Richtlinie zutrifft.

(Für die Sendeautorisierung ist dies die E-Mail-Adresse oder Domain, für die der Identitätsbesitzer dem delegierten Sender die Berechtigung erteilt.)

Ja

Der Amazon-Ressourcenname (ARN) der Identität

Principal

Gibt das AWS-Konto-Konto, den Benutzer oder den AWS-Service an, auf das/den sich die Berechtigung in der Anweisung bezieht.

Ja

Eine gültige AWS-Konto-ID, ein gültiger Benutzer-ARN oder AWS-Service. AWS-Konto-IDs und Benutzer-ARNs werden mit "AWS" angegeben (z. B. "AWS": ["123456789012"] oder "AWS": ["arn:aws:iam::123456789012:root"]). AWS-Servicenamen werden mit "Service" angegeben (z. B. "Service": ["cognito-idp.amazonaws.com"]).

Beispiele für das Format des Benutzer-ARNs finden Sie unter Allgemeine AWS-Referenz.

Action

Gibt die Aktion an, für die die Anweisung gilt.

Ja

"ses:BatchGetMetricData", "ses:CancelExportJob", "ses:CreateDeliverabilityTestReport", "ses:CreateEmailIdentityPolicy", "ses:CreateExportJob", "ses:DeleteEmailIdentity", "ses:DeleteEmailIdentityPolicy", "ses:GetDomainStatisticsReport", "ses:GetEmailIdentity","ses:GetEmailIdentityPolicies", "ses:GetExportJob", "ses:ListExportJobs", "ses:ListRecommendations", "ses:PutEmailIdentityConfigurationSetAttributes", "ses:PutEmailIdentityDkimAttributes", "ses:PutEmailIdentityDkimSigningAttributes", "ses:PutEmailIdentityFeedbackAttributes", "ses:PutEmailIdentityMailFromAttributes", "ses:TagResource", "ses:UntagResource", "ses:UpdateEmailIdentityPolicy"

(Aktionen zur Sendeautorisierung: "ses:SendEmail", "ses:SendRawEmail", "ses:SendTemplatedEmail", "ses:SendBulkTemplatedEmail")

Sie können eine oder mehrere dieser Operationen angeben.

Condition

Gibt alle Einschränkungen oder Details über die Berechtigung an.

Nein

Weitere Informationen über Bedingungen finden Sie im Anschluss an diese Tabelle.

Bedingungen

Bei einer Bedingung handelt es sich um jegliche Einschränkung, die die Berechtigung in der Anweisung betrifft. Der Teil der Anweisung, der die Bedingungen festlegt, kann der ausführlichste aller Bestandteile sein. Ein Schlüssel ist die Besonderheit, die die Grundlage für die Zugriffsbeschränkung, z. B. das Datum und die Uhrzeit der Anfrage, darstellt.

Sie verwenden Bedingungen und Schlüssel zusammen, um die Einschränkung auszudrücken. Wenn Sie beispielsweise den stellvertretenden Sender davon abhalten möchten, nach dem 30. Juli 2019 in Ihrem Namen Anfragen an Amazon SES zu stellen, verwenden Sie die Bedingung namens DateLessThan. Sie verwenden den Schlüssel aws:CurrentTime und legen den Wert mit 2019-07-30T00:00:00Z fest.

In SES werden nur die folgenden AWS-weiten Richtlinienschlüssel implementiert:

  • aws:CurrentTime

  • aws:EpochTime

  • aws:SecureTransport

  • aws:SourceIp

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:UserAgent

  • aws:VpcSourceIp

Weitere Informationen zu diesen Schlüsseln finden Sie im IAM-Benutzerhandbuch.

Richtlinienanforderungen

Richtlinien müssen alle folgenden Anforderungen erfüllen:

  • Jede Richtlinie muss mindestens eine Anweisung enthalten.

  • Jede Richtlinie muss mindestens über einen gültigen Prinzipal verfügen.

  • Jede Richtlinie muss eine Ressource angeben und diese Ressource muss der ARN der Identität sein, der die Richtlinie zugeordnet ist.

  • Identitätsbesitzer können jeder eindeutigen Identität bis zu 20 Richtlinien zuordnen.

  • Richtlinien dürfen die Größe von 4 KB nicht überschreiten.

  • Richtliniennamen dürfen 64 Zeichen nicht überschreiten. Darüber hinaus dürfen sie nur alphanumerische Zeichen, Bindestriche und Unterstriche enthalten.