Amazon SES 정책 구조 - Amazon Simple Email Service
정책 구조정책 요소정책 요구 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon SES 정책 구조

정책은 특정 구조를 준수하고 요소를 포함하며 특정 요구 사항을 충족해야 합니다.

정책 구조

각 권한 부여 정책은 특정 자격 증명에 연결되는 JSON 문서입니다. 각 정책에는 다음 단원이 포함되어 있습니다.

  • 문서 상단의 정책 전반의 정보.

  • 각각 하나의 권한 집합을 설명하는 하나 이상의 문.

다음 정책 예제는 AWS 계정 ID 123456789012에 확인된 도메인 example.com에 대한 Action 섹션에 지정된 권한을 부여합니다.

{
  "Id":"ExampleAuthorizationPolicy",
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"AuthorizeAccount",
      "Effect":"Allow",
      "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
      "Principal":{
        "AWS":[
          "123456789012"
        ]
      },
      "Action":[
        "ses:GetEmailIdentity",
        "ses:UpdateEmailIdentityPolicy",
        "ses:ListRecommendations",
        "ses:CreateEmailIdentityPolicy",
        "ses:DeleteEmailIdentity"
      ]
    }
  ]
}

자격 증명 정책 예제에 더 많은 권한 부여 정책 예제가 나와 있습니다.

정책 요소

이 섹션에서는 자격 증명 권한 부여 정책에 포함되는 요소를 설명합니다. 먼저 전역 정책 요소를 설명한 후, 해당 요소가 포함된 문에만 적용되는 요소를 설명합니다. 그런 다음 문에 조건을 추가하는 방법을 알아봅니다.

요소의 구문에 대한 자세한 내용은 IAM 사용 설명서IAM 정책 언어의 문법을 참조하십시오.

정책 전반의 정보

전역 정책 요소는 2가지가 있습니다. IdVersion. 다음 표에 이들 요소에 대한 정보가 나와 있습니다.

이름

설명

필수

유효값

Id

정책을 고유하게 식별합니다.

아니요

임의의 문자열

Version

정책 액세스 언어 버전을 지정합니다.

아니요

임의의 문자열. 모범 사례는 이 필드를 "2012-10-17"의 값으로 포함시키는 것입니다.

정책 전용 설명문

자격 증명 권한 부여 정책은 적어도 하나의 문을 필요로 합니다. 각 문은 다음 표에서 설명하는 요소를 포함할 수 있습니다.

이름

설명

필수

유효값

Sid

문을 고유하게 식별합니다.

아니요

임의의 문자열.

Effect

평가 시점에서 정책 문이 반환할 결과를 지정합니다.

"Allow" 또는 "Deny".

Resource

정책이 적용되는 자격 증명을 지정합니다.

(전송 자격 증명의 경우 이는 자격 증명 소유자가 위임 발신자에게 사용 권한을 부여한 이메일 주소 또는 도메인입니다.)

자격 증명의 Amazon 리소스 이름(ARN)입니다.

Principal

문에서 권한을 부여 받는 AWS 계정, 사용자 또는 AWS 서비스를 지정합니다.

유효한 AWS 계정 ID, 사용자 ARN 또는AWS 서비스입니다. AWS 계정 ID 및 사용자 ARN은 "AWS"를 사용하여 지정됩니다(예: "AWS": ["123456789012"] 또는 "AWS": ["arn:aws:iam::123456789012:root"]). AWS 서비스 이름은 "Service"를 사용하여 지정됩니다(예: "Service": ["cognito-idp.amazonaws.com"]).

사용자 ARN 형식에 대한 예시는 AWS 일반 참조 섹션을 참조하세요.

Action

문이 적용되는 작업을 지정합니다.

"ses:BatchGetMetricData", "ses:CancelExportJob", "ses:CreateDeliverabilityTestReport", "ses:CreateEmailIdentityPolicy", "ses:CreateExportJob", "ses:DeleteEmailIdentity", "ses:DeleteEmailIdentityPolicy", "ses:GetDomainStatisticsReport", "ses:GetEmailIdentity","ses:GetEmailIdentityPolicies", "ses:GetExportJob", "ses:ListExportJobs", "ses:ListRecommendations", "ses:PutEmailIdentityConfigurationSetAttributes", "ses:PutEmailIdentityDkimAttributes", "ses:PutEmailIdentityDkimSigningAttributes", "ses:PutEmailIdentityFeedbackAttributes", "ses:PutEmailIdentityMailFromAttributes", "ses:TagResource", "ses:UntagResource", "ses:UpdateEmailIdentityPolicy"

(전송 권한 부여 작업: "ses:SendEmail", "ses:SendRawEmail", "ses:SendTemplatedEmail", "ses:SendBulkTemplatedEmail")

이러한 작업을 하나 이상 지정할 수 있습니다.

Condition

권한에 대한 제한 또는 세부 정보를 지정합니다.

아니요

이 표 다음에서 조건에 대한 자세한 내용을 참조하세요.

조건

조건(condition)은 문에 지정된 권한에 대한 제한입니다. 문에서 조건을 지정하는 부분이 가장 세부적일 수 있습니다. 키(key)는 요청의 날짜 및 시간과 같이 액세스 제한의 기준이 되는 구체적인 특성입니다.

조건과 키를 함께 사용하여 제한을 표현합니다. 예를 들어, 위임 발신자가 2019년 7월 30일 이후로는 사용자를 대신하여 Amazon SES에 요청을 하지 못하게 제한하려면 DateLessThan 조건을 사용합니다. aws:CurrentTime이라는 키를 사용하여 그 값을 2019-07-30T00:00:00Z로 설정합니다.

SES는 다음 AWS 차원 정책 키만 구현합니다.

  • aws:CurrentTime

  • aws:EpochTime

  • aws:SecureTransport

  • aws:SourceIp

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:UserAgent

  • aws:VpcSourceIp

이러한 키에 대한 자세한 내용은 IAM 사용 설명서를 참조하십시오.

정책 요구 사항

정책은 다음 요구 사항을 모두 충족해야 합니다.

  • 각 정책은 하나 이상의 문을 포함해야 합니다.

  • 각 정책은 하나 이상의 유효한 보안 주체를 포함해야 합니다.

  • 각 정책은 리소스 하나를 지정해야 하며, 이 리소스는 정책이 연결된 자격 증명의 ARN이어야 합니다.

  • 자격 증명 소유자는 각 고유 자격 증명에 최대 20개의 정책을 연결할 수 있습니다.

  • 정책 크기는 4KB(킬로바이트) 이내여야 합니다.

  • 정책 이름은 64자 이내여야 합니다. 영숫자 문자, 대시 및 밑줄만 포함할 수 있습니다.