Anatomie de la stratégie Amazon SES - Amazon Simple Email Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Anatomie de la stratégie Amazon SES

Les stratégies respectent une structure spécifique, contiennent des éléments et doivent répondre à certaines exigences.

Structure d'une politique

Chaque stratégie d'autorisation est un document JSON attaché à une identité. Chaque stratégie comprend les sections suivantes :

  • Les informations à l'échelle de la stratégie en haut du document.

  • Une ou plusieurs instructions individuelles, chacune décrivant un ensemble d'autorisations.

L'exemple de politique suivant accorde au compte AWS possédant l'ID 123456789012 les autorisations spécifiées dans la section Action pour le domaine vérifié example.com.

{ "Id":"ExampleAuthorizationPolicy", "Version":"2012-10-17", "Statement":[ { "Sid":"AuthorizeAccount", "Effect":"Allow", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com", "Principal":{ "AWS":[ "123456789012" ] }, "Action":[ "ses:GetEmailIdentity", "ses:UpdateEmailIdentityPolicy", "ses:ListRecommendations", "ses:CreateEmailIdentityPolicy", "ses:DeleteEmailIdentity" ] } ] }

Vous pouvez trouver d'autres exemples de stratégie d'autorisation dans la rubrique Exemples de politique d'identité.

Éléments de stratégie

Cette section décrit les éléments contenus dans les stratégies d'autorisation d'identité. Nous décrivons dans un premier temps les éléments à l'échelle de la stratégie, puis ceux qui s'appliquent uniquement à l'instruction dans laquelle ils sont inclus. Nous poursuivons avec une présentation sur la façon d'ajouter des conditions à vos instructions.

Pour obtenir des informations spécifiques sur la syntaxe des éléments, consultez Syntaxe du langage de stratégie IAM dans le Guide de l'utilisateur IAM.

Informations à l'échelle de la stratégie

Il existe deux éléments à l'échelle de la stratégie : Id et Version. Le tableau suivant fournit des informations sur ces éléments.

Name (Nom)

Description

Obligatoire

Valeurs valides

Id

Identifie la stratégie de façon unique.

Non

Toute chaîne

Version

Spécifie la version du langage d'accès aux stratégies.

Non

Toute chaîne. À titre de bonne pratique, nous vous recommandons d'inclure ce champ avec la valeur « 2012-10-17 ».

Déclarations propres à la stratégie

Les stratégies d'autorisation d'identité nécessitent au moins une instruction. Chaque instruction peut inclure les éléments décrits dans le tableau suivant.

Name (Nom)

Description

Obligatoire

Valeurs valides

Sid

Identifie l'instruction de façon unique.

Non

Toute chaîne.

Effect

Indique le résultat que vous voulez que l'instruction de la stratégie renvoie au moment de l'évaluation.

Oui

« Allow » ou « Deny ».

Resource

Indique l'identité à laquelle la stratégie s'applique.

(Pour l'autorisation d'envoi, il s'agit de l'e-mail ou du domaine que le propriétaire de l'identité autorise l'expéditeur délégué à utiliser).

Oui

Amazon Resource Name (ARN) de l'identité.

Principal

Indique le Compte AWS, l'utilisateur ou le service AWS qui reçoit l'autorisation dans l'instruction.

Oui

ID Compte AWS valide, ARN de l'utilisateur ou service AWS. Compte AWS Les ID et les ARN des utilisateurs sont spécifiés en utilisant "AWS" (par exemple, "AWS": ["123456789012"] ou "AWS": ["arn:aws:iam::123456789012:root"]). Les noms de service AWS sont spécifiés en utilisant "Service" (par exemple, "Service": ["cognito-idp.amazonaws.com"]).

Pour obtenir des exemples du format des ARN utilisateur, consultez Références générales AWS.

Action

Indique l'action à laquelle s'applique l'instruction.

Oui

"ses:BatchGetMetricData", "ses:CancelExportJob", "ses:CreateDeliverabilityTestReport", "ses:CreateEmailIdentityPolicy", "ses:CreateExportJob", "ses:DeleteEmailIdentity", "ses:DeleteEmailIdentityPolicy", "ses:GetDomainStatisticsReport", "ses:GetEmailIdentity","ses:GetEmailIdentityPolicies", "ses:GetExportJob", "ses:ListExportJobs", "ses:ListRecommendations", "ses:PutEmailIdentityConfigurationSetAttributes", "ses:PutEmailIdentityDkimAttributes", "ses:PutEmailIdentityDkimSigningAttributes", "ses:PutEmailIdentityFeedbackAttributes", "ses:PutEmailIdentityMailFromAttributes", "ses:TagResource", "ses:UntagResource", "ses:UpdateEmailIdentityPolicy"

(Actions d'autorisation d'envoi : "ses:SendEmail", "ses:SendRawEmail", "ses:SendTemplatedEmail", "ses:SendBulkTemplatedEmail")

Vous pouvez spécifier une ou plusieurs de ces opérations.

Condition

Indique les restrictions éventuelles ou des détails sur l'autorisation.

Non

Consultez les informations sur les conditions à la suite de ce tableau.

Conditions

Une condition est une restriction qui s'applique à l'autorisation contenue dans l'instruction. La partie de l'instruction qui spécifie les conditions peut être la plus détaillée. Une clé est une caractéristique spécifique qui constitue la base pour une restriction d'accès (par exemple, la date et l'heure de la demande).

Vous utilisez à la fois les conditions et les clés afin d'exprimer la restriction. Par exemple, si vous voulez empêcher l'expéditeur délégué d'effectuer des demandes à Amazon SES en votre nom après le 30 juillet 2019, vous devez utiliser la condition appelée DateLessThan. Vous utilisez la clé appelée aws:CurrentTime et la définissez sur la valeur 2019-07-30T00:00:00Z.

SES implémente uniquement les clés de stratégie à l'échelle AWS suivantes :

  • aws:CurrentTime

  • aws:EpochTime

  • aws:SecureTransport

  • aws:SourceIp

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:UserAgent

  • aws:VpcSourceIp

Pour en savoir plus sur ces clés, consultez le guide de l'utilisateur IAM.

Exigences des stratégies

Les stratégies doivent répondre à toutes les exigences suivantes :

  • Chaque stratégie doit inclure au moins une instruction.

  • Chaque stratégie doit inclure au moins un mandataire valide.

  • Chaque stratégie doit spécifier une ressource, et cette ressource doit être l'ARN de l'identité à laquelle la stratégie est attachée.

  • Les propriétaires d'identité peuvent associer jusqu'à 20 stratégies à chaque identité.

  • La taille d'une stratégie ne doit pas dépasser 4 kilo-octets (Ko).

  • Le nom d'une stratégie ne doit pas dépasser 64 caractères. De plus, il ne peut inclure que des caractères alphanumériques, des tirets et des traits de soulignement.