

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Anatomie von Amazon-SES-Richtlinien
<a name="policy-anatomy"></a>

Richtlinien halten sich an eine bestimmte Struktur, enthalten Elemente und müssen bestimmte Anforderungen erfüllen.

## Richtlinienstruktur
<a name="identity-authorization-policy-structure"></a>

Bei jeder Autorisierungsrichtlinie handelt es sich um ein JSON-Dokument, das einer Identität angefügt wurde. Jede Richtlinie enthält folgende Abschnitte:
+ Richtlinienweite Informationen oben im Dokument
+ Eine oder mehrere einzelne Anweisungen, die jeweils eine Gruppe von Berechtigungen beschreiben

*Die folgende Beispielrichtlinie gewährt der AWS Konto-ID *123456789012* die im Abschnitt *Aktion* angegebenen Berechtigungen für die verifizierte Domain example.com.*

------
#### [ JSON ]

****  

```
{
  "Id":"ExampleAuthorizationPolicy",
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Sid":"AuthorizeAccount",
      "Effect":"Allow",
      "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
      "Principal":{
        "AWS":[
          "123456789012"
        ]
      },
      "Action":[
        "ses:GetEmailIdentity",
        "ses:UpdateEmailIdentityPolicy",
        "ses:ListRecommendations",
        "ses:CreateEmailIdentityPolicy",
        "ses:DeleteEmailIdentity"
      ]
    }
  ]
}
```

------

Weitere Beispiele für Autorisierungsrichtlinien finden Sie unter [Beispiele für Identitätsrichtlinien](identity-authorization-policy-examples.md).

## Richtlinienelemente
<a name="identity-authorization-policy-elements"></a>

Dieser Abschnitt beschreibt die Elemente von Identitätsautorisierungsrichtlinien. Zunächst beschreiben wir richtlinienweite Elemente und anschließend Elemente, die nur auf die Anweisung zutreffen, in der sie enthalten sind. Im Anschluss daran besprechen wir, wie Sie Ihren Anweisungen Bedingungen hinzufügen.

Ausführlichere Informationen über die Syntax der Elemente finden Sie unter [Grammatik von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies-grammar.html) im *IAM Benutzerhandbuch*.

### Richtlinienweite Informationen
<a name="identity-authorization-policy-policy-wide"></a>

Es gibt zwei richtlinienweite Elemente: `Id` und `Version`. Die folgende Tabelle enthält Informationen über diese Elemente.


****  

|  Name  |  Description  |  Erforderlich  |  Zulässige Werte  | 
| --- | --- | --- | --- | 
|   `Id`   |  Kennzeichnet die Richtlinie eindeutig.  |  Nein  |  Jede Zeichenfolge  | 
|   `Version`   |  Gibt die Sprachversion des Richtlinienzugriffs an.  |  Nein  |  Jede Zeichenfolge. Als bewährte Methode empfehlen wir, dass Sie dieses Feld mit dem Wert "2012-10-17" einschließen.  | 

### Richtlinienspezifische Anweisungen
<a name="identity-authorization-policy-statements"></a>

Identitätsautorisierungsrichtlinien erfordern mindestens eine Anweisung. Jede Anweisung kann die in der folgenden Tabelle beschriebenen Elementen enthalten.


****  

|  Name  |  Description  |  Erforderlich  |  Zulässige Werte  | 
| --- | --- | --- | --- | 
|   `Sid`   |  Kennzeichnet die Anweisung eindeutig.  |  Nein  |  Jede Zeichenfolge.  | 
|   `Effect`   |  Gibt das Ergebnis an, das die Richtlinienanweisung zum Bewertungszeitpunkt zurückgeben soll.  |  Ja  |  "Allow" oder "Deny".  | 
|   `Resource`   |  Gibt die Identität an, auf die die Richtlinie zutrifft. (Für die [Sendeautorisierung](sending-authorization-identity-owner-tasks-policy.md) ist dies die E-Mail-Adresse oder Domain, für die der Identitätsbesitzer dem delegierten Sender die Berechtigung erteilt.)  |  Ja  |  Der Amazon-Ressourcenname (ARN) der Identität  | 
|   `Principal`   |  Gibt den AWS-Konto Benutzer oder AWS Dienst an, der die in der Anweisung angegebene Berechtigung erhält.  |  Ja  |  Eine gültige AWS-Konto ID, Benutzer-ARN oder AWS Dienst. AWS-Konto IDs und Benutzer ARNs werden mit `"AWS"` (zum Beispiel `"AWS": ["123456789012"]` oder`"AWS": ["arn:aws:iam::123456789012:root"]`) angegeben. AWS Dienstnamen werden mit `"Service"` (zum Beispiel`"Service": ["cognito-idp.amazonaws.com"]`) angegeben.  Beispiele für das ARNs Benutzerformat finden Sie unter [Allgemeine AWS-Referenz](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-iam.html).  | 
|   `Action`   |  Gibt die Aktion an, für die die Anweisung gilt.  |  Ja  |  „ses: BatchGetMetricData „, „ses: „, CancelExportJob „ses: „, CreateDeliverabilityTestReport „ses: „, „ses: CreateEmailIdentityPolicy „, „ses: CreateExportJob „, „ses: „, DeleteEmailIdentity „ses: „, DeleteEmailIdentityPolicy „ses: „, "ses: GetDomainStatisticsReport „, „ses: GetEmailIdentity „, „ses: GetEmailIdentityPolicies „, „ses: „, GetExportJob „ses: „, „ses: ListExportJobs „, „ses: ListRecommendations „, „ses: PutEmailIdentityConfigurationSetAttributes „, „ses: „, PutEmailIdentityDkimAttributes „ses: „, „ses: PutEmailIdentityDkimSigningAttributes „, „ses: PutEmailIdentityFeedbackAttributes „, „ses: PutEmailIdentityMailFromAttributes „, „ses: „, TagResource „ses: „, „ses: UntagResource „, „ses:UpdateEmailIdentityPolicy“ ([Autorisierungsaktionen senden](sending-authorization-identity-owner-tasks-policy.md): „ses: SendEmail „, „ses: SendRawEmail „, „ses: SendTemplatedEmail „, „ses: SendBulkTemplatedEmail „) Sie können eine oder mehrere dieser Operationen angeben.   | 
|   `Condition`   |  Gibt alle Einschränkungen oder Details über die Berechtigung an.  |  Nein  |  Weitere Informationen über Bedingungen finden Sie im Anschluss an diese Tabelle.  | 

### Bedingungen
<a name="identity-authorization-policy-conditions"></a>

Bei einer *Bedingung* handelt es sich um jegliche Einschränkung, die die Berechtigung in der Anweisung betrifft. Der Teil der Anweisung, der die Bedingungen festlegt, kann der ausführlichste aller Bestandteile sein. Ein *Schlüssel* ist die Besonderheit, die die Grundlage für die Zugriffsbeschränkung, z. B. das Datum und die Uhrzeit der Anfrage, darstellt.

Sie verwenden Bedingungen und Schlüssel zusammen, um die Einschränkung auszudrücken. Wenn Sie beispielsweise den stellvertretenden Sender davon abhalten möchten, nach dem 30. Juli 2019 in Ihrem Namen Anfragen an Amazon SES zu stellen, verwenden Sie die Bedingung namens `DateLessThan`. Sie verwenden den Schlüssel `aws:CurrentTime` und legen den Wert mit `2019-07-30T00:00:00Z` fest. 

SES implementiert nur die folgenden Richtlinienschlüssel für AWS alle Bereiche:
+ `aws:CurrentTime`
+ `aws:EpochTime`
+ `aws:SecureTransport`
+ `aws:SourceIp`
+ `aws:SourceVpc`
+ `aws:SourceVpce`
+ `aws:UserAgent`
+ `aws:VpcSourceIp`

Weitere Informationen zu diesen Schlüsseln finden Sie im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#Condition).

## Politische Anforderungen
<a name="identity-authorization-policy-restrictions"></a>

Richtlinien müssen alle folgenden Anforderungen erfüllen:
+ Jede Richtlinie muss mindestens eine Anweisung enthalten.
+ Jede Richtlinie muss mindestens über einen gültigen Prinzipal verfügen.
+ Jede Richtlinie muss eine Ressource angeben und diese Ressource muss der ARN der Identität sein, der die Richtlinie zugeordnet ist.
+ Identitätsbesitzer können jeder eindeutigen Identität bis zu 20 Richtlinien zuordnen.
+ Richtlinien dürfen die Größe von 4 KB nicht überschreiten.
+ Richtliniennamen dürfen 64 Zeichen nicht überschreiten. Darüber hinaus dürfen sie nur alphanumerische Zeichen, Bindestriche und Unterstriche enthalten.