Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de políticas de identidad en Amazon SES
La autorización de identidad le permite especificar las condiciones detalladas en las que permite o deniega las acciones de la API para una identidad.
Los siguientes ejemplos muestran cómo escribir políticas para controlar distintos aspectos de las acciones de la API:
Especificación de la entidad principal
La entidad principal, que es la entidad a la que se conceden los permisos, puede ser una Cuenta de AWS, un usuario de AWS Identity and Access Management (IAM) o un servicio de AWS que pertenece a la misma cuenta.
El siguiente ejemplo muestra una política sencilla que permite al ID de AWS 123456789012 controlar la identidad verificada example.com (que también es propiedad de Cuenta de AWS 123456789012).
{ "Id":"SampleAuthorizationPolicy", "Version":"2012-10-17", "Statement":[ { "Sid":"AuthorizeMarketer", "Effect":"Allow", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com", "Principal":{ "AWS":[ "123456789012" ] }, "Action":[ "ses:DeleteEmailIdentity", "ses:PutEmailIdentityDkimSigningAttributes" ] } ] }
La siguiente política de ejemplo otorga permiso a dos usuarios para controlar la identidad verificada example.com. Los usuarios se especifican por su nombre de recurso de Amazon (ARN).
{ "Id":"ExampleAuthorizationPolicy", "Version":"2012-10-17", "Statement":[ { "Sid":"AuthorizeIAMUser", "Effect":"Allow", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com", "Principal":{ "AWS":[ "arn:aws:iam::123456789012:user/John", "arn:aws:iam::123456789012:user/Jane" ] }, "Action":[ "ses:DeleteEmailIdentity", "ses:PutEmailIdentityDkimSigningAttributes" ] } ] }
Restricción de la acción
Se pueden especificar varias acciones en una política de autorización de identidad en función del nivel de control que desee autorizar:
"BatchGetMetricData", "ListRecommendations", "CreateDeliverabilityTestReport", "CreateEmailIdentityPolicy", "DeleteEmailIdentity", "DeleteEmailIdentityPolicy", "GetDomainStatisticsReport", "GetEmailIdentity", "GetEmailIdentityPolicies", "PutEmailIdentityConfigurationSetAttributes", "PutEmailIdentityDkimAttributes", "PutEmailIdentityDkimSigningAttributes", "PutEmailIdentityFeedbackAttributes", "PutEmailIdentityMailFromAttributes", "TagResource", "UntagResource", "UpdateEmailIdentityPolicy"
Las políticas de autorización de identidad también le permiten restringir la entidad principal a solo una de esas acciones.
{ "Id":"ExamplePolicy", "Version":"2012-10-17", "Statement":[ { "Sid":"ControlAction", "Effect":"Allow", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com", "Principal":{ "AWS":[ "123456789012" ] }, "Action":[ "ses:PutEmailIdentityMailFromAttributes ] } ] }
Uso de varias instrucciones
Su política de autorización de envío puede incluir varias instrucciones. La siguiente política de ejemplo contiene dos instrucciones. La primera instrucción niega a dos usuarios el acceso a getemailidentity de sender@example.com desde de la misma cuenta 123456789012. La segunda instrucción niega UpdateEmailIdentityPolicy a la entidad principal, Jack, dentro de la misma cuenta 123456789012.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"DenyGet", "Effect":"Deny", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com", "Principal":{ "AWS":[ "arn:aws:iam::123456789012:user/John", "arn:aws:iam::123456789012:user/Jane" ] }, "Action":[ "ses:GetEmailIdentity" ] }, { "Sid":"DenyUpdate", "Effect":"Deny", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com", "Principal":{ "AWS":"arn:aws:iam::123456789012:user/Jack" }, "Action":[ "ses:UpdateEmailIdentityPolicy" ] } ] }
