Esempi di policy di identità in Amazon SES - Amazon Simple Email Service
Specifica del principaleLimitazione dell'azioneUso di più istruzioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di policy di identità in Amazon SES

L'autorizzazione dell'identità consente di specificare le condizioni dettagliate in base alle quali consentire o negare le azioni API per un'identità.

Gli esempi seguenti mostrano come scrivere policy per controllare diversi aspetti delle azioni API:

Specifica del principale

Il principale, ovvero l'entità a cui si concede l'autorizzazione, può essere un Account AWS utente AWS Identity and Access Management (IAM) o un AWS servizio appartenente allo stesso account.

L'esempio seguente mostra una semplice politica che consente all' AWS ID 123456789012 di controllare l'identità verificata example.com, anch'essa di proprietà di 123456789012. Account AWS

JSON
{
  "Id":"SampleAuthorizationPolicy",
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"AuthorizeMarketer",
      "Effect":"Allow",
      "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
      "Principal":{
        "AWS":[
          "123456789012"
        ]
      },
      "Action":[
        "ses:DeleteEmailIdentity",
        "ses:PutEmailIdentityDkimSigningAttributes"
      ]
    }
  ]
}

La policy di esempio seguente concede a due utenti l'autorizzazione necessaria per controllare l'identità verificata example.com. Gli utenti vengono specificati tramite il rispettivo nome della risorsa Amazon (ARN).

JSON
{
  "Id":"ExampleAuthorizationPolicy",
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"AuthorizeIAMUser",
      "Effect":"Allow",
      "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
      "Principal":{
        "AWS":[
          "arn:aws:iam::123456789012:user/John",
          "arn:aws:iam::123456789012:user/Jane"
        ]
      },
      "Action":[
        "ses:DeleteEmailIdentity",
        "ses:PutEmailIdentityDkimSigningAttributes"
      ]
    }
  ]
}

Limitazione dell'azione

Esistono diverse azioni che possono essere specificate in una policy di autorizzazione dell'identità a seconda del livello di controllo che si desidera autorizzare:

"BatchGetMetricData",
"ListRecommendations",
"CreateDeliverabilityTestReport",
"CreateEmailIdentityPolicy",
"DeleteEmailIdentity",
"DeleteEmailIdentityPolicy",
"GetDomainStatisticsReport",
"GetEmailIdentity",
"GetEmailIdentityPolicies",
"PutEmailIdentityConfigurationSetAttributes",
"PutEmailIdentityDkimAttributes",
"PutEmailIdentityDkimSigningAttributes",
"PutEmailIdentityFeedbackAttributes",
"PutEmailIdentityMailFromAttributes",
"TagResource",
"UntagResource",
"UpdateEmailIdentityPolicy"

Le policy di autorizzazione dell'identità consentono inoltre di limitare il principale a una sola di queste azioni.

{
  "Id":"ExamplePolicy",
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"ControlAction",
      "Effect":"Allow",
      "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
      "Principal":{
        "AWS":[
          "123456789012"
        ]
      },
      "Action":[
        "ses:PutEmailIdentityMailFromAttributes
      ]
    }
  ]
}

Uso di più istruzioni

La policy di autorizzazione dell'identità può includere più istruzioni. La policy di esempio seguente include due istruzioni. La prima istruzione impedisce a due utenti di accedere a getemailidentity da sender@example.com all'interno dello stesso account 123456789012. La seconda istruzione nega UpdateEmailIdentityPolicy per il principale, Jack, all'interno dello stesso account 123456789012.

JSON
{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"DenyGet",
      "Effect":"Deny",
      "Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com",
      "Principal":{
        "AWS":[
          "arn:aws:iam::123456789012:user/John", 
          "arn:aws:iam::123456789012:user/Jane"
        ]
      },
      "Action":[
        "ses:GetEmailIdentity"
      ]
    },
    {
      "Sid":"DenyUpdate",
      "Effect":"Deny",
      "Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com",
      "Principal":{
        "AWS":"arn:aws:iam::123456789012:user/Jack"
      },
      "Action":[
        "ses:UpdateEmailIdentityPolicy"
      ]
    }
  ]
}