Anatomi kebijakan Amazon SES - Layanan Email Sederhana Amazon
Struktur kebijakanElemen kebijakanPersyaratan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Anatomi kebijakan Amazon SES

Kebijakan mematuhi struktur tertentu, mengandung elemen, dan harus memenuhi persyaratan tertentu.

Struktur kebijakan

Setiap kebijakan otorisasi adalah dokumen JSON yang dilampirkan pada identitas. Setiap kebijakan mencakup bagian berikut:

  • Informasi untuk seluruh kebijakan di bagian atas dokumen.

  • Satu atau beberapa pernyataan individu, masing-masing menjelaskan satu set izin.

Contoh hibah kebijakan berikutAWSID akun123456789012izin yang ditentukan dalamAksibagian untuk domain yang diverifikasiexample.com.

{
  "Id":"ExampleAuthorizationPolicy",
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"AuthorizeAccount",
      "Effect":"Allow",
      "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
      "Principal":{
        "AWS":[
          "123456789012"
        ]
      },
      "Action":[
        "ses:GetEmailIdentity",
        "ses:UpdateEmailIdentityPolicy",
        "ses:ListRecommendations",
        "ses:CreateEmailIdentityPolicy",
        "ses:DeleteEmailIdentity"
      ]
    }
  ]
}

Anda dapat menemukan lebih banyak contoh kebijakan otorisasi diContoh kebijakan identitas.

Elemen kebijakan

Bagian ini menjelaskan elemen-elemen yang terkandung dalam kebijakan otorisasi identitas. Pertama kami menjelaskan elemen kebijakan secara keseluruhan, lalu kami menjelaskan elemen yang hanya berlaku untuk pernyataan tempat elemen tersebut disertakan. Kami selanjutnya mengadakan diskusi tentang cara menambahkan syarat untuk pernyataan Anda.

Untuk informasi spesifik tentang sintaksis elemen, lihat Tata Bahasa Kebijakan IAM di Panduan Pengguna IAM.

Informasi kebijakan keseluruhan

Ada dua elemen kebijakan secara keseluruhan: Id dan Version. Tabel berikut memberikan informasi tentang elemen-elemen ini.

Nama

Deskripsi

Wajib

Nilai valid

Id

Secara unik mengidentifikasi kebijakan.

Tidak

String apa pun

Version

Menentukan versi bahasa akses kebijakan.

Tidak

String apa pun. Sebagai praktik terbaik, sebaiknya sertakan bidang ini dengan nilai "2012-10-17".

Pernyataan khusus untuk kebijakan

Kebijakan otorisasi identitas memerlukan setidaknya satu pernyataan. Setiap pernyataan dapat mencakup elemen yang dijelaskan di tabel berikut.

Nama

Deskripsi

Wajib

Nilai valid

Sid

Secara unik mengidentifikasi pernyataan.

Tidak

String apa pun.

Effect

Menentukan hasil yang Anda inginkan dikembalikan oleh pernyataan kebijakan pada waktu evaluasi.

Ya

"Izinkan" atau "Tolak".

Resource

Menentukan identitas dengan kebijakan yang berlaku.

(Untukmengirim otorisasi, ini adalah alamat email atau domain yang pemilik identitas memberi wewenang kepada pengirim delegasi untuk digunakan.)

Ya

Nama Sumber Daya Amazon (ARN) dari identitas.

Principal

MenentukanAkun AWS, pengguna, atauAWSlayanan yang menerima izin dalam pernyataan.

Ya

ValidAkun AWSID, pengguna ARN, atauAWSlayanan.Akun AWS ID dan ARN pengguna ditentukan menggunakan"AWS"(Sebagai contoh,"AWS": ["123456789012"]atau"AWS": ["arn:aws:iam::123456789012:root"]).AWSnama layanan ditentukan menggunakan"Service"(Sebagai contoh,"Service": ["cognito-idp.amazonaws.com"]).

Untuk contoh format ARN pengguna, lihatReferensi Umum AWS.

Action

Menentukan tindakan yang berlaku untuk pernyataan tersebut.

Ya

“ses:BatchGetMetricData“, “Ses:CancelExportJob“, “Ses:CreateDeliverabilityTestReport“, “Ses:CreateEmailIdentityPolicy“, “Ses:CreateExportJob“, “Ses:DeleteEmailIdentity“, “Ses:DeleteEmailIdentityPolicy“, “Ses:GetDomainStatisticsReport“, “Ses:GetEmailIdentity“, "Ses:GetEmailIdentityPolicies“, “Ses:GetExportJob“, “Ses:ListExportJobs“, “Ses:ListRecommendations“, “Ses:PutEmailIdentityConfigurationSetAttributes“, “Ses:PutEmailIdentityDkimAttributes“, “Ses:PutEmailIdentityDkimSigningAttributes“, “Ses:PutEmailIdentityFeedbackAttributes“, “Ses:PutEmailIdentityMailFromAttributes“, “Ses:TagResource“, “Ses:UntagResource“, “Ses:UpdateEmailIdentityPolicy“

(Mengirim otorisasitindakan: “ses:SendEmail“, “Ses:SendRawEmail“, “Ses:SendTemplatedEmail“, “Ses:SendBulkTemplatedEmail“)

Anda dapat menentukan satu atau beberapa operasi ini.

Condition

Menentukan pembatasan atau detail tentang izin.

Tidak

Lihat informasi tentang syarat pada tabel berikut ini.

Kondisi

Syarat adalah pembatasan tentang izin di pernyataan. Bagian dari pernyataan yang menentukan syarat dapat menjadi yang paling detail dari semua bagian. Kunci adalah karakteristik spesifik yang menjadi dasar pembatasan akses, seperti tanggal dan waktu permintaan.

Anda menggunakan syarat maupun kunci secara bersama-sama untuk mengekspresikan pembatasan. Misalnya, jika Anda ingin membatasi pengirim delegasi membuat permintaan ke Amazon SES atas nama Anda setelah 30 Juli 2019, Anda menggunakan syarat yang disebut DateLessThan. Anda menggunakan kunci yang disebut aws:CurrentTime dan mengaturnya ke nilai 2019-07-30T00:00:00Z.

SES hanya mengimplementasikan yang berikutAWSkunci kebijakan -wide:

  • aws:CurrentTime

  • aws:EpochTime

  • aws:SecureTransport

  • aws:SourceIp

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:UserAgent

  • aws:VpcSourceIp

Untuk informasi selengkapnya tentang kunci ini, lihat Panduan Pengguna IAM.

Persyaratan kebijakan

Kebijakan harus memenuhi semua persyaratan berikut:

  • Setiap kebijakan harus menyertakan setidaknya satu pernyataan.

  • Setiap kebijakan harus menyertakan setidaknya satu prinsipiel yang valid.

  • Setiap kebijakan harus menentukan satu sumber daya, dan sumber daya tersebut harus ARN dari identitas yang dilampirkan pada kebijakan.

  • Pemilik identitas dapat mengaitkan hingga 20 kebijakan dengan setiap identitas unik.

  • Kebijakan tidak boleh melebihi 4 kilobyte (KB).

  • Nama kebijakan tidak boleh melebihi 64 karakter. Selain itu, kebijakan hanya dapat menyertakan karakter alfanumerik, tanda hubung, dan garis bawah.