Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempi di policy di identità in Amazon SES
L'autorizzazione dell'identità consente di specificare le condizioni dettagliate in base alle quali consentire o negare le azioni API per un'identità.
Gli esempi seguenti mostrano come scrivere policy per controllare diversi aspetti delle azioni API:
Specifica del principale
Il principale, ossia l'entità cui concedi l'autorizzazione, può essere un Account AWS, un utente AWS Identity and Access Management (IAM) o un servizio AWS che appartiene allo stesso account.
L'esempio seguente mostra una semplice policy che permette all'ID AWS 123456789012 di controllare l'identità verificata example.com anch'essa di proprietà di Account AWS 123456789012.
{ "Id":"SampleAuthorizationPolicy", "Version":"2012-10-17", "Statement":[ { "Sid":"AuthorizeMarketer", "Effect":"Allow", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com", "Principal":{ "AWS":[ "123456789012" ] }, "Action":[ "ses:DeleteEmailIdentity", "ses:PutEmailIdentityDkimSigningAttributes" ] } ] }
La policy di esempio seguente concede a due utenti l'autorizzazione necessaria per controllare l'identità verificata example.com. Gli utenti vengono specificati tramite il rispettivo nome della risorsa Amazon (ARN).
{ "Id":"ExampleAuthorizationPolicy", "Version":"2012-10-17", "Statement":[ { "Sid":"AuthorizeIAMUser", "Effect":"Allow", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com", "Principal":{ "AWS":[ "arn:aws:iam::123456789012:user/John", "arn:aws:iam::123456789012:user/Jane" ] }, "Action":[ "ses:DeleteEmailIdentity", "ses:PutEmailIdentityDkimSigningAttributes" ] } ] }
Limitazione dell'azione
Esistono diverse azioni che possono essere specificate in una policy di autorizzazione dell'identità a seconda del livello di controllo che si desidera autorizzare:
"BatchGetMetricData", "ListRecommendations", "CreateDeliverabilityTestReport", "CreateEmailIdentityPolicy", "DeleteEmailIdentity", "DeleteEmailIdentityPolicy", "GetDomainStatisticsReport", "GetEmailIdentity", "GetEmailIdentityPolicies", "PutEmailIdentityConfigurationSetAttributes", "PutEmailIdentityDkimAttributes", "PutEmailIdentityDkimSigningAttributes", "PutEmailIdentityFeedbackAttributes", "PutEmailIdentityMailFromAttributes", "TagResource", "UntagResource", "UpdateEmailIdentityPolicy"
Le policy di autorizzazione dell'identità consentono inoltre di limitare il principale a una sola di queste azioni.
{ "Id":"ExamplePolicy", "Version":"2012-10-17", "Statement":[ { "Sid":"ControlAction", "Effect":"Allow", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com", "Principal":{ "AWS":[ "123456789012" ] }, "Action":[ "ses:PutEmailIdentityMailFromAttributes ] } ] }
Uso di più istruzioni
La policy di autorizzazione dell'identità può includere più istruzioni. La policy di esempio seguente include due istruzioni. La prima istruzione impedisce a due utenti di accedere a getemailidentity
da sender@example.com all'interno dello stesso account 123456789012
. La seconda istruzione nega UpdateEmailIdentityPolicy
per il principale, Jack, all'interno dello stesso account 123456789012
.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"DenyGet", "Effect":"Deny", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com", "Principal":{ "AWS":[ "arn:aws:iam::123456789012:user/John", "arn:aws:iam::123456789012:user/Jane" ] }, "Action":[ "ses:GetEmailIdentity" ] }, { "Sid":"DenyUpdate", "Effect":"Deny", "Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com", "Principal":{ "AWS":"arn:aws:iam::123456789012:user/Jack" }, "Action":[ "ses:UpdateEmailIdentityPolicy" ] } ] }