Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques d'identité dans Amazon SES
L'autorisation de l'identité vous permet de spécifier les conditions précises dans lesquelles vous autorisez ou refusez les actions de l'API pour une identité.
Les exemples suivants vous montrent comment écrire des stratégies pour contrôler différents aspects des actions de l'API :
Spécifier le principal
Le principal, c'est-à-dire l'entité à laquelle vous accordez des autorisations, peut être un Compte AWS, un utilisateur AWS Identity and Access Management (IAM) ou un service AWS appartenant au même compte.
L'exemple suivant montre une stratégie simple qui permet à l'ID AWS 123456789012 de contrôler l'identité vérifiée exemple.com, qui est également détenue par le Compte AWS 123456789012.
{ "Id":"SampleAuthorizationPolicy", "Version":"2012-10-17", "Statement":[ { "Sid":"AuthorizeMarketer", "Effect":"Allow", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com", "Principal":{ "AWS":[ "123456789012" ] }, "Action":[ "ses:DeleteEmailIdentity", "ses:PutEmailIdentityDkimSigningAttributes" ] } ] }
L'exemple de stratégie suivant accorde des autorisations à deux utilisateurs pour contrôler l'identité vérifiée example.com. Les utilisateurs sont spécifiés par leur Amazon Resource Name (ARN).
{ "Id":"ExampleAuthorizationPolicy", "Version":"2012-10-17", "Statement":[ { "Sid":"AuthorizeIAMUser", "Effect":"Allow", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com", "Principal":{ "AWS":[ "arn:aws:iam::123456789012:user/John", "arn:aws:iam::123456789012:user/Jane" ] }, "Action":[ "ses:DeleteEmailIdentity", "ses:PutEmailIdentityDkimSigningAttributes" ] } ] }
Restriction de l'action
Il existe plusieurs actions qui peuvent être spécifiées dans une stratégie d'autorisation d'identité en fonction du niveau de contrôle que vous souhaitez autoriser :
"BatchGetMetricData", "ListRecommendations", "CreateDeliverabilityTestReport", "CreateEmailIdentityPolicy", "DeleteEmailIdentity", "DeleteEmailIdentityPolicy", "GetDomainStatisticsReport", "GetEmailIdentity", "GetEmailIdentityPolicies", "PutEmailIdentityConfigurationSetAttributes", "PutEmailIdentityDkimAttributes", "PutEmailIdentityDkimSigningAttributes", "PutEmailIdentityFeedbackAttributes", "PutEmailIdentityMailFromAttributes", "TagResource", "UntagResource", "UpdateEmailIdentityPolicy"
Les stratégies d'autorisation d'identité vous permettent également de restreindre le principal à une seule de ces actions.
{ "Id":"ExamplePolicy", "Version":"2012-10-17", "Statement":[ { "Sid":"ControlAction", "Effect":"Allow", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com", "Principal":{ "AWS":[ "123456789012" ] }, "Action":[ "ses:PutEmailIdentityMailFromAttributes ] } ] }
Utilisation de plusieurs instructions
Votre stratégie d'autorisation d'identité peut inclure plusieurs instructions. L'exemple de stratégie suivant comporte deux instructions. La première déclaration interdit à deux utilisateurs d'accéder à getemailidentity à partir de sender@example.com au sein du même compte 123456789012. La deuxième déclaration refuse l'accès à UpdateEmailIdentityPolicy au principal, Jack, dans le même compte 123456789012.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"DenyGet", "Effect":"Deny", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com", "Principal":{ "AWS":[ "arn:aws:iam::123456789012:user/John", "arn:aws:iam::123456789012:user/Jane" ] }, "Action":[ "ses:GetEmailIdentity" ] }, { "Sid":"DenyUpdate", "Effect":"Deny", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com", "Principal":{ "AWS":"arn:aws:iam::123456789012:user/Jack" }, "Action":[ "ses:UpdateEmailIdentityPolicy" ] } ] }
