기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon SES의 자격 증명 정책 예제
자격 증명 권한 부여를 사용하면 자격 증명에 대한 API 작업을 허용하거나 거부할 세부 조건을 지정할 수 있습니다.
**Topics**
+ [보안 주체 지정](#identity-authorization-policy-example-delegate-user)
+ [작업 제한](#sending-authorization-policy-example-restricting-action)
+ [복수의 설명문 사용](#identity-authorization-policy-example-multiple-statements)
## 보안 주체 지정
권한을 부여하려는 엔터티인 *보안 주체*는 , AWS 계정 AWS Identity and Access Management (IAM) 사용자 또는 동일한 계정에 속한 AWS 서비스일 수 있습니다.
다음 예제는 AWS ID *123456789012*가에서 소유한 AWS 계정 확인된 자격 증명 *example.com* 제어할 수 있도록 허용하는 간단한 정책을 보여줍니다*123456789012*.
------
#### [ JSON ]
****
```
{
"Id":"SampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeMarketer",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:DeleteEmailIdentity",
"ses:PutEmailIdentityDkimSigningAttributes"
]
}
]
}
```
------
다음 정책 예제는 두 사용자에게 확인된 자격 증명 *example.com*을 제어할 수 있는 권한을 부여합니다. 사용자는 Amazon 리소스 이름(ARN)으로 지정됩니다.
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeIAMUser",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"arn:aws:iam::123456789012:user/John",
"arn:aws:iam::123456789012:user/Jane"
]
},
"Action":[
"ses:DeleteEmailIdentity",
"ses:PutEmailIdentityDkimSigningAttributes"
]
}
]
}
```
------
## 작업 제한
권한을 부여하려는 제어 수준에 따라 자격 증명 권한 부여 정책에서 여러 가지 작업을 지정할 수 있습니다.
```
1. "BatchGetMetricData",
2. "ListRecommendations",
3. "CreateDeliverabilityTestReport",
4. "CreateEmailIdentityPolicy",
5. "DeleteEmailIdentity",
6. "DeleteEmailIdentityPolicy",
7. "GetDomainStatisticsReport",
8. "GetEmailIdentity",
9. "GetEmailIdentityPolicies",
10. "PutEmailIdentityConfigurationSetAttributes",
11. "PutEmailIdentityDkimAttributes",
12. "PutEmailIdentityDkimSigningAttributes",
13. "PutEmailIdentityFeedbackAttributes",
14. "PutEmailIdentityMailFromAttributes",
15. "TagResource",
16. "UntagResource",
17. "UpdateEmailIdentityPolicy"
```
또한 자격 증명 권한 부여 정책을 통해 보안 주체를 이러한 작업 중 하나로만 제한할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Id": "ExamplePolicy",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ControlAction",
"Effect": "Allow",
"Resource": "arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal": {
"AWS": [
"123456789012"
]
},
"Action": [
"ses:PutEmailIdentityMailFromAttributes"
]
}
]
}
```
------
## 복수의 설명문 사용
자격 증명 권한 부여 정책에는 여러 문이 포함될 수 있습니다. 다음의 정책 예제에는 문이 2개입니다. 첫 번째 문은 두 명의 사용자가 동일한 계정 `123456789012` 내 *sender@example.com*에서 `getemailidentity`에 액세스하는 것을 거부합니다. 두 번째 문은 동일한 계정 `123456789012` 내에서 보안 주체 *Jack*에 대해 `UpdateEmailIdentityPolicy`를 거부합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"DenyGet",
"Effect":"Deny",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com",
"Principal":{
"AWS":[
"arn:aws:iam::123456789012:user/John",
"arn:aws:iam::123456789012:user/Jane"
]
},
"Action":[
"ses:GetEmailIdentity"
]
},
{
"Sid":"DenyUpdate",
"Effect":"Deny",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com",
"Principal":{
"AWS":"arn:aws:iam::123456789012:user/Jack"
},
"Action":[
"ses:UpdateEmailIdentityPolicy"
]
}
]
}
```
------