Ações, recursos e chaves de condição do Amazon WorkMail - Referência de autorização do serviço

Ações, recursos e chaves de condição do Amazon WorkMail

O Amazon WorkMail (prefixo do serviço: workmail) fornece os seguintes recursos, ações e chaves de contexto de condição específicos ao serviço para uso em políticas de permissões do IAM.

Referências:

Ações definidas pelo Amazon WorkMail

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Resource types (Tipos de recursos) indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você especificar um ARN de permissão no nível do recurso em uma instrução que esteja usando essa ação, ele deverá ser desse tipo. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um, mas não o outro.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações Descrição Nível de acesso Tipos de recursos (*necessários) Chaves de condição Ações dependentes
AddMembersToGroup [somente permissão] Concede permissão para adicionar uma lista de membros (usuários ou grupos) a um grupo. Write

organization*

AssociateDelegateToResource Concede permissão para adicionar um membro (usuário ou grupo) ao conjunto de delegados do recurso. Write

organization*

AssociateMemberToGroup Concede permissão para adicionar um membro (usuário ou grupo) ao conjunto do grupo. Write

organization*

CancelMailboxExportJob Concede permissão para cancelar um trabalho de exportação de caixa postal em execução no momento. Write

organization*

CreateAlias Concede permissão para adicionar um alias ao conjunto de determinado membro (usuário ou grupo) do WorkMail. Write

organization*

CreateGroup Concede permissão para criar um grupo que pode ser usado no WorkMail chamando a operação RegisterToWorkMail. Write

organization*

CreateInboundMailFlowRule [somente permissão] Concede permissão para criar uma regra de fluxo de e-mails de entrada que será aplicada a todos os e-mails enviados para uma organização. Write

organization*

CreateMailDomain [somente permissão] Concede permissão para criar um domínio de e-mail. Write

organization*

CreateMailUser [somente permissão] Concede permissão para criar um usuário no diretório. Write

organization*

CreateMobileDeviceAccessRule Concede permissão para criar uma regra de acesso por dispositivos móveis. Write

organization*

CreateOrganization Concede permissão para criar uma organização do Amazon WorkMail Write
CreateOutboundMailFlowRule [somente permissão] Concede permissão para criar uma regra de fluxo de e-mails de saída que será aplicada a todos os e-mails enviados de uma organização. Write

organization*

CreateResource Concede permissão para criar um recurso do WorkMail. Write

organization*

CreateSmtpGateway [somente permissão] Concede permissão para registrar um gateway SMTP em uma organização do WorkMail. Write

organization*

CreateUser Concede permissão para criar um usuário, que pode ser habilitado depois chamando a operação RegisterToWorkMail. Write

organization*

DeleteAccessControlRule Concede permissão para excluir uma regra de controle de acesso. Write

organization*

DeleteAlias Concede permissão para remover um ou mais aliases especificados de um conjunto de aliases de determinado usuário. Write

organization*

DeleteEmailMonitoringConfiguration Concede permissão para excluir a configuração de monitoramento de e-mail de uma organização Write

organization*

DeleteGroup Concede permissão para excluir um grupo do WorkMail Write

organization*

DeleteInboundMailFlowRule [somente permissão] Concede permissão para remover uma regra de fluxo de e-mails de entrada para que ela não seja mais aplicada aos e-mails enviados a uma organização. Write

organization*

DeleteMailDomain [somente permissão] Concede permissão para remover um domínio de e-mail não utilizado de uma organização. Write

organization*

DeleteMailboxPermissions Concede permissão para excluir permissões concedidas a um membro (usuário ou grupo). Write

organization*

DeleteMobileDevice [somente permissão] Concede permissão para remover um dispositivo móvel de um usuário. Write

organization*

DeleteMobileDeviceAccessOverride Concede permissão para excluir uma sobreposição de acesso de dispositivo móvel Write

organization*

DeleteMobileDeviceAccessRule Concede permissão para excluir uma regra de acesso de dispositivo móvel Write

organization*

DeleteOrganization Concede permissão para excluir uma organização do Amazon WorkMail e todos os recursos subjacentes da AWS gerenciados pelo Amazon WorkMail como parte da organização Write

organization*

DeleteOutboundMailFlowRule [somente permissão] Concede permissão para remover uma regra de fluxo de e-mails de saída para que ela não se aplique mais a e-mails enviados de uma organização. Write

organization*

DeleteResource Concede permissão para excluir o recurso especificado. Write

organization*

DeleteRetentionPolicy Concede permissão para excluir a política de retenção com base na organização fornecida e nos identificadores da política. Write

organization*

DeleteSmtpGateway [somente permissão] Concede permissão para remover um gateway SMTP de uma organização. Write

organization*

DeleteUser Concede permissão para excluir um usuário do WorkMail e de todos os sistemas subsequentes. Write

organization*

DeregisterFromWorkMail Concede permissão para marcar um usuário, grupo ou recurso como não usado mais no WorkMail. Write

organization*

DeregisterMailDomain Concede permissão para remover o registro de um domínio de e-mail de uma organização Write

organization*

DescribeDirectories [somente permissão] Concede permissão para mostrar uma lista de diretórios disponíveis para uso na criação de uma organização. List
DescribeEmailMonitoringConfiguration Concede permissão para recuperar a configuração de monitoramento de e-mail de uma organização Read

organization*

DescribeGroup Concede permissão para ler os detalhes de um grupo. List

organization*

DescribeInboundDmarcSettings Concede permissão para ler as configurações em uma política de DMARC para uma organização especificada Read

organization*

DescribeInboundMailFlowRule [somente permissão] Concede permissão para ler os detalhes de uma regra de fluxo de e-mails de entrada configurada para uma organização. Read

organization*

DescribeKmsKeys [somente permissão] Concede permissão para mostrar uma lista de chaves do KMS disponíveis para uso na criação de uma organização. List
DescribeMailDomains [somente permissão] Concede permissão para mostrar os detalhes de todos os domínios de e-mail associados à organização. List

organization*

DescribeMailGroups [somente permissão] Concede permissão para mostrar os detalhes de todos os grupos associados à organização. List

organization*

DescribeMailUsers [somente permissão] Concede permissão para mostrar os detalhes de todos os usuários associados à organização List

organization*

DescribeMailboxExportJob Concede permissão para recuperar detalhes de um trabalho de exportação de caixa postal. Read

organization*

DescribeOrganization Concede permissão para ler os detalhes de uma organização. List

organization*

DescribeOrganizations [somente permissão] Concede permissão para mostrar um resumo de todas as organizações associadas à conta. List
DescribeOutboundMailFlowRule [somente permissão] Concede permissão para ler os detalhes de uma regra de fluxo de e-mails de saída configurada para uma organização. Read

organization*

DescribeResource Concede permissão para ler os detalhes de um recurso List

organization*

DescribeSmtpGateway [somente permissão] Concede permissão para ler os detalhes de um gateway SMTP registrado em uma organização. Read

organization*

DescribeUser Concede permissão para ler detalhes de um usuário. List

organization*

DisableMailGroups [somente permissão] Concede permissão para desabilitar um grupo de e-mails não utilizado a fim de permitir que ele seja excluído. Write

organization*

DisableMailUsers [somente permissão] Concede permissão para desabilitar a caixa postal de um usuário quando ela não está mais sendo usada a fim permitir que ela seja excluída. Write

organization*

DisassociateDelegateFromResource Concede permissão para remover um membro do conjunto de delegados do recurso. Write

organization*

DisassociateMemberFromGroup Concede permissão para remover um membro de um grupo. Write

organization*

EnableMailDomain [somente permissão] Concede permissão para habilitar um domínio de e-mail na organização. Write

organization*

EnableMailGroups [somente permissão] Concede permissão para habilitar um grupo de e-mails após ele ter sido criado para permitir o recebimento de e-mails. Write

organization*

EnableMailUsers [somente permissão] Concede permissão para habilitar a caixa postal de um usuário após ela ter sido criada para permitir o recebimento e-mails. Write

organization*

GetAccessControlEffect Concede permissão para obter os efeitos das regras de controle de acesso conforme são aplicadas a um endereço IPv4, uma ação de protocolo de acesso ou um ID de usuário especificado Read

organization*

GetDefaultRetentionPolicy Concede permissão para recuperar a política de retenção associada a um nível organizacional. Read

organization*

GetJournalingRules [somente permissão] Concede permissão para ler os endereços de e-mail configurados de registro e fallback para o registro de e-mail. Read

organization*

GetMailDomain Concede permissão para recuperar detalhes de um determinado domínio de e-mail em uma organização Read

organization*

GetMailDomainDetails [somente permissão] Concede permissão para obter os detalhes do domínio de e-mail. Read

organization*

GetMailGroupDetails [somente permissão] Concede permissão para obter os detalhes do grupo de e-mails. Read

organization*

GetMailUserDetails [somente permissão] Concede permissão para obter os detalhes da caixa postal e da conta do usuário. Read

organization*

GetMailboxDetails Concede permissão para ler os detalhes da caixa postal do usuário. Read

organization*

GetMobileDeviceAccessEffect Concede permissão para simular o efeito das regras de acesso por dispositivos móveis para os atributos determinados de um evento de acesso de exemplo. Read

organization*

GetMobileDeviceAccessOverride Concede permissão para recuperar uma sobreposição de um acesso de dispositivo móvel Read

organization*

GetMobileDeviceDetails [somente permissão] Concede permissão para obter os detalhes do dispositivo móvel. Read

organization*

GetMobileDevicesForUser [somente permissão] Concede permissão para obter uma lista dos dispositivos móveis associados ao usuário. Read

organization*

GetMobilePolicyDetails [somente permissão] Concede permissão para obter os detalhes da política de dispositivos móveis associada à organização. Read

organization*

ListAccessControlRules Concede permissão para listar as regras de controle de acesso. Read

organization*

ListAliases Concede permissão para listar os aliases associados a determinada entidade. List

organization*

ListGroupMembers Concede permissão para ler uma visão geral dos membros de um grupo. Usuários e grupos podem ser membros de um grupo. List

organization*

ListGroups Concede permissão para listar os resumos dos grupos da organização. List

organization*

ListInboundMailFlowRules [somente permissão] Concede permissão para listar as regras de fluxo de e-mails de entrada configuradas para uma organização. List

organization*

ListMailDomains Concede permissão para listar o domínio de e-mail de uma determinada organização List

organization*

ListMailboxExportJobs Concede permissão para listar os trabalhos de exportação de caixa postal. List

organization*

ListMailboxPermissions Concede permissão para listar as permissões da caixa postal associadas a um usuário, a um grupo ou a uma caixa postal de recurso. List

organization*

ListMembersInMailGroup [somente permissão] Concede permissão para obter uma lista de todos os membros de um grupo de e-mails. Read

organization*

ListMobileDeviceAccessOverrides Concede permissão para listar as sobreposições de acesso por dispositivos móveis Read

organization*

ListMobileDeviceAccessRules Concede permissão para listar as regras de acesso por dispositivos móveis. Read

organization*

ListOrganizations Concede permissão para listar as organizações não excluídas. List
ListOutboundMailFlowRules [somente permissão] Concede permissão para listar as regras de fluxo de e-mails recebidos configuradas para uma organização. List

organization*

ListResourceDelegates Concede permissão para listar os delegados associados a um recurso. List

organization*

ListResources Concede permissão para listar os recursos da organização List

organization*

ListSmtpGateways [somente permissão] Concede permissão para listar gateways SMTP registrados na organização. List

organization*

ListTagsForResource Concede permissão para listar as etiquetas aplicadas a um recurso da organização do Amazon WorkMail. List

organization*

aws:TagKeys

aws:RequestTag/${TagKey}

ListUsers Concede permissão para listar os usuários da organização List

organization*

PutAccessControlRule Concede permissão para adicionar uma nova regra de controle de acesso. Write

organization*

PutEmailMonitoringConfiguration Concede permissão para adicionar ou atualizar a configuração de monitoramento de e-mail de uma organização Write

organization*

PutInboundDmarcSettings Concede permissão para habilitar ou desabilitar uma política de DMARC para uma determinada organização Write

organization*

PutMailboxPermissions Concede permissão para definir as permissões de um usuário, grupo ou recurso, substituindo as permissões existentes. Write

organization*

PutMobileDeviceAccessOverride Concede permissão para adicionar ou atualizar uma sobreposição de acesso de dispositivo móvel Write

organization*

PutRetentionPolicy Concede permissão para adicionar ou atualizar a política de retenção. Write

organization*

RegisterMailDomain Concede permissão para registrar um novo domínio de e-mail de uma organização Write

organization*

RegisterToWorkMail Concede permissão para registrar um usuário, um grupo ou um recurso existente e desabilitado para uso associando uma caixa postal e recursos de calendário. Write

organization*

RemoveMembersFromGroup [somente permissão] Concede permissão para remover membros de um grupo de e-mails. Write

organization*

ResetPassword Concede permissão para permitir que o administrador redefina a senha de um usuário. Write

organization*

ResetUserPassword [somente permissão] Concede permissão para redefinir a senha da conta de um usuário. Write

organization*

SearchMembers [somente permissão] Concede permissão para realizar uma pesquisa de prefixo para localizar um usuário específico em um grupo de e-mails. Read

organization*

SetAdmin [somente permissão] Concede permissão para marcar um usuário como administrador. Write

organization*

SetDefaultMailDomain [somente permissão] Concede permissão para definir o domínio-padrão de e-mail da organização. Write

organization*

SetJournalingRules [somente permissão] Concede permissão para definir os endereços de e-mail de registro e fallback do registro de e-mail. Write

organization*

SetMailGroupDetails [somente permissão] Concede permissão para definir os detalhes do grupo de e-mails que acabou de ser criado. Write

organization*

SetMailUserDetails [somente permissão] Concede permissão para definir os detalhes da conta de usuário que acabou de ser criada. Write

organization*

SetMobilePolicyDetails [somente permissão] Concede permissão para definir os detalhes de uma política de dispositivos móveis associada à organização. Write

organization*

StartMailboxExportJob Concede permissão para iniciar um novo trabalho de exportação de caixa postal. Write

organization*

TagResource Concede permissão para marcar o recurso especificado da organização do Amazon WorkMail. Marcação

organization*

aws:TagKeys

aws:RequestTag/${TagKey}

TestInboundMailFlowRules [somente permissão] Concede permissão para testar quais regras de entrada serão aplicadas a um e-mail com determinado remetente e destinatário. Write

organization*

TestOutboundMailFlowRules [somente permissão] Concede permissão para testar quais regras de saída serão aplicadas a um e-mail com determinado remetente e destinatário. Write

organization*

UntagResource Concede permissão para desmarcar o recurso especificado da organização do Amazon WorkMail. Marcação

organization*

aws:TagKeys

aws:RequestTag/${TagKey}

UpdateDefaultMailDomain Concede permissão para atualizar qual domínio é o domínio padrão para uma organização Write

organization*

UpdateInboundMailFlowRule [somente permissão] Concede permissão para atualizar os detalhes de uma regra de fluxo de e-mails de entrada que será aplicada a todos os e-mails enviados para uma organização. Write

organization*

UpdateMailboxQuota Concede permissão para atualizar o tamanho máximo (em MB) da caixa postal do usuário. Write

organization*

UpdateMobileDeviceAccessRule Concede permissão para atualizar uma regra de acesso por dispositivos móveis Write

organization*

UpdateOutboundMailFlowRule [somente permissão] Concede permissão para atualizar os detalhes de uma regra de fluxo de e-mails recebidos que será aplicada a todos os e-mails enviados de uma organização. Write

organization*

UpdatePrimaryEmailAddress Concede permissão para atualizar o e-mail principal de um usuário, grupo ou recurso. Write

organization*

UpdateResource Concede permissão para atualizar os detalhes do recurso. Write

organization*

UpdateSmtpGateway [somente permissão] Concede permissão para atualizar os detalhes de um gateway SMTP existente registrado em uma organização. Write

organization*

WipeMobileDevice [somente permissão] Concede permissão para limpar remotamente o dispositivo móvel associado à conta de um usuário. Write

organization*

Tipos de recursos definidos pelo Amazon WorkMail

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos ARN Chaves de condição
organization arn:${Partition}:workmail:${Region}:${Account}:organization/${ResourceId}

aws:ResourceTag/${TagKey}

Chaves de condição do Amazon WorkMail

O Amazon WorkMail define as seguintes chaves de condição que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

Chaves de condição Descrição Type
aws:RequestTag/${TagKey} Filtra o acesso pelos pares de chave-valor da etiqueta que são transmitidos na solicitação String
aws:ResourceTag/${TagKey} Filtra o acesso por pares chave-valor da etiqueta anexados ao recurso String
aws:TagKeys Filtra o acesso pelas chaves da etiqueta que são transmitidas na solicitação ArrayOfString