Anatomi kebijakan Amazon SES - Amazon Simple Email Service
Struktur kebijakanElemen kebijakanPersyaratan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Anatomi kebijakan Amazon SES

Kebijakan mematuhi struktur tertentu, mengandung elemen, dan harus memenuhi persyaratan tertentu.

Struktur kebijakan

Setiap kebijakan otorisasi adalah dokumen JSON yang dilampirkan pada identitas. Setiap kebijakan mencakup bagian berikut:

  • Informasi untuk seluruh kebijakan di bagian atas dokumen.

  • Satu atau beberapa pernyataan individu, masing-masing menjelaskan satu set izin.

Contoh kebijakan berikut memberikan izin IDAWS akun 123456789012 yang ditentukan di bagian Tindakan untuk example.com domain terverifikasi.

{
  "Id":"ExampleAuthorizationPolicy",
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"AuthorizeAccount",
      "Effect":"Allow",
      "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
      "Principal":{
        "AWS":[
          "123456789012"
        ]
      },
      "Action":[
        "ses:GetEmailIdentity",
        "ses:UpdateEmailIdentityPolicy",
        "ses:ListRecommendations",
        "ses:CreateEmailIdentityPolicy",
        "ses:DeleteEmailIdentity"
      ]
    }
  ]
}

Anda dapat menemukan lebih banyak contoh kebijakan otorisasi diContoh kebijakan identitas.

Elemen kebijakan

Bagian ini menjelaskan elemen yang ada di kebijakan otorisasi identitas. Pertama kami menjelaskan elemen kebijakan secara keseluruhan, lalu kami menjelaskan elemen yang hanya berlaku untuk pernyataan tempat elemen tersebut disertakan. Kami selanjutnya mengadakan diskusi tentang cara menambahkan syarat untuk pernyataan Anda.

Untuk informasi spesifik tentang sintaksis elemen, lihat Tata Bahasa Kebijakan IAM di Panduan Pengguna IAM.

Informasi kebijakan keseluruhan

Ada dua elemen kebijakan secara keseluruhan: Id dan Version. Tabel berikut memberikan informasi tentang elemen-elemen ini.

Nama

Deskripsi

Wajib

Nilai valid

Id

Secara unik mengidentifikasi kebijakan.

Tidak

String apa pun

Version

Menentukan versi bahasa akses kebijakan.

Tidak

String apa pun. Sebagai praktik terbaik, sebaiknya sertakan bidang ini dengan nilai "2012-10-17".

Pernyataan khusus untuk kebijakan

Kebijakan otorisasi identitas memerlukan setidaknya satu pernyataan. Setiap pernyataan dapat mencakup elemen yang dijelaskan di tabel berikut.

Nama

Deskripsi

Wajib

Nilai valid

Sid

Secara unik mengidentifikasi pernyataan.

Tidak

String apa pun.

Effect

Menentukan hasil yang Anda inginkan dikembalikan oleh pernyataan kebijakan pada waktu evaluasi.

Ya

"Izinkan" atau "Tolak".

Resource

Menentukan identitas dengan kebijakan yang berlaku.

(Untuk otorisasi pengiriman, ini adalah alamat email atau domain yang diotorosasi pemilik identitas untuk digunakan pengirim delegasi.)

Ya

Amazon Resource Name (ARN) identitas.

Principal

MenentukanAkun AWS, pengguna, atauAWS layanan yang menerima izin dalam pernyataan.

Ya

Akun AWSID, ARN pengguna, atauAWS layanan yang valid. Akun AWS ID dan ARN pengguna ditentukan menggunakan"AWS" (misalnya,"AWS": ["123456789012"] atau"AWS": ["arn:aws:iam::123456789012:root"]). AWSnama layanan ditentukan menggunakan"Service" (misalnya,"Service": ["cognito-idp.amazonaws.com"]).

Untuk contoh format ARN pengguna, lihat ReferensiAWS Umum.

Action

Menentukan tindakan yang pernyataannya berlaku.

Ya

“ses:BatchGetMetricData “, “ses:ListRecommendations “, “ses:CreateDeliverabilityTestReport “, “ses:CreateEmailIdentityPolicy “, “ses:DeleteEmailIdentity “, “ses:DeleteEmailIdentityPolicy “, “ses:GetDomainStatisticsReport “, “ses:GetEmailIdentity “, “ses:GetEmailIdentityPolicies “, “ses:PutEmailIdentityConfigurationSetAttributes “, “ses:PutEmailIdentityDkimAttributes “, “ses:PutEmailIdentityDkimSigningAttributes “ses:PutEmailIdentityFeedbackAttributes “, “ses:PutEmailIdentityMailFromAttributes “ses: “,TagResource “ses: “ses:UntagResource “, “ses:UpdateEmailIdentityPolicy”

(Mengirim tindakan otorisasi: “ses:SendEmail “, “ses:SendRawEmail “ses: “,SendTemplatedEmail “ses: “ses:SendBulkTemplatedEmail “)

Anda dapat menentukan satu atau beberapa operasi ini.

Condition

Menentukan pembatasan atau detail tentang izin.

Tidak

Lihat informasi tentang syarat pada tabel berikut ini.

Kondisi

Syarat adalah pembatasan tentang izin di pernyataan. Bagian dari pernyataan yang menentukan syarat dapat menjadi yang paling detail dari semua bagian. Kunci adalah karakteristik spesifik yang menjadi dasar pembatasan akses, seperti tanggal dan waktu permintaan.

Anda menggunakan syarat maupun kunci secara bersama-sama untuk mengekspresikan pembatasan. Misalnya, jika Anda ingin membatasi pengirim delegasi membuat permintaan ke Amazon SES atas nama Anda setelah 30 Juli 2019, Anda menggunakan syarat yang disebut DateLessThan. Anda menggunakan kunci yang disebut aws:CurrentTime dan mengaturnya ke nilai 2019-07-30T00:00:00Z.

SES hanya mengimplementasikan kunci kebijakanAWS lebar berikut:

  • aws:CurrentTime

  • aws:EpochTime

  • aws:SecureTransport

  • aws:SourceIp

  • aws:UserAgent

Untuk informasi selengkapnya tentang kunci ini, lihat Panduan Pengguna IAM.

Persyaratan kebijakan

Kebijakan harus memenuhi semua persyaratan berikut:

  • Setiap kebijakan harus menyertakan setidaknya satu pernyataan.

  • Setiap kebijakan harus menyertakan setidaknya satu prinsipiel yang valid.

  • Setiap kebijakan harus menentukan satu sumber daya, dan sumber daya tersebut harus ARN dari identitas yang dilampirkan pada kebijakan.

  • Pemilik identitas dapat mengaitkan hingga 20 kebijakan dengan setiap identitas unik.

  • Kebijakan tidak boleh melebihi 4 kilobyte (KB).

  • Nama kebijakan tidak boleh melebihi 64 karakter. Selain itu, kebijakan hanya dapat menyertakan karakter alfanumerik, tanda hubung, dan garis bawah.