

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Anatomia da política do Amazon SES
<a name="policy-anatomy"></a>

As políticas seguem uma estrutura específica, contêm elementos específicos e devem atender a determinados requisitos.

## Estrutura da política
<a name="identity-authorization-policy-structure"></a>

Cada política de autorização é um documento JSON que está anexado a uma identidade. Cada política inclui as seções a seguir:
+ Informações da política na parte superior do documento.
+ Uma ou mais declarações individuais, cada uma descrevendo um conjunto de permissões.

*O exemplo de política a seguir concede à ID de AWS conta *123456789012* as permissões especificadas na seção *Ação para o domínio* verificado example.com.*

------
#### [ JSON ]

****  

```
{
  "Id":"ExampleAuthorizationPolicy",
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Sid":"AuthorizeAccount",
      "Effect":"Allow",
      "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
      "Principal":{
        "AWS":[
          "123456789012"
        ]
      },
      "Action":[
        "ses:GetEmailIdentity",
        "ses:UpdateEmailIdentityPolicy",
        "ses:ListRecommendations",
        "ses:CreateEmailIdentityPolicy",
        "ses:DeleteEmailIdentity"
      ]
    }
  ]
}
```

------

Você pode encontrar mais exemplos de política de autorização em [Exemplos de políticas de identidade](identity-authorization-policy-examples.md).

## Elementos da política
<a name="identity-authorization-policy-elements"></a>

Esta seção descreve os elementos contidos nas políticas de autorização de identidade. Primeiro, descrevemos elementos que se aplicam a toda a política e, em seguida, descrevemos os elementos que se aplicam somente à instrução em que estão incluídos. Seguimos com uma discussão sobre como adicionar condições às instruções.

Para obter informações específicas sobre a sintaxe dos elementos, consulte [Gramática da linguagem de política do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies-grammar.html) no *Manual do usuário do IAM*.

### Informações da política
<a name="identity-authorization-policy-policy-wide"></a>

Há dois elementos que se aplicam à política como um todo: `Id` e `Version`. A tabela a seguir fornece informações sobre esses elementos.


****  

|  Name (Nome)  |  Description  |  Obrigatório  |  Valores válidos  | 
| --- | --- | --- | --- | 
|  `Id`  | Identifica exclusivamente a política. | Não | Qualquer string | 
|  `Version`  | Especifica a versão da linguagem de acesso da política. | Não | Qualquer string. Como uma melhor prática, recomendamos incluir esse campo com um valor de "2012-10-17". | 

### Instruções específicas da política
<a name="identity-authorization-policy-statements"></a>

As políticas de autorização de identidade requerem pelo menos uma instrução. Cada instrução pode incluir os elementos descritos na tabela a seguir.


****  

|  Name (Nome)  |  Description  |  Obrigatório  |  Valores válidos  | 
| --- | --- | --- | --- | 
|  `Sid`  | Identifica exclusivamente a instrução. | Não | Qualquer string. | 
|  `Effect`  | Especifica o resultado que você deseja que a instrução da política retorne no momento da avaliação. | Sim | "Permitir" ou "Negar". | 
|  `Resource`  | Especifica a identidade à qual a política se aplica.<br />(Para [autorização de envio](sending-authorization-identity-owner-tasks-policy.md), este é o endereço de e-mail ou domínio que o proprietário da identidade está autorizando o remetente delegado a usar.) | Sim | O Nome de recurso da Amazon (ARN) da identidade. | 
|  `Principal`  | Especifica Conta da AWS o usuário ou o AWS serviço que recebe a permissão na declaração. | Sim | Uma Conta da AWS ID, ARN de usuário ou AWS serviço válidos. Conta da AWS IDs e o usuário ARNs são especificados usando `"AWS"` (por exemplo, `"AWS": ["123456789012"]` ou`"AWS": ["arn:aws:iam::123456789012:root"]`). AWS os nomes dos serviços são especificados usando `"Service"` (por exemplo,`"Service": ["cognito-idp.amazonaws.com"]`). <br />Para obter exemplos do formato do usuário ARNs, consulte [Referência geral da AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-iam.html)o. | 
|  `Action`  | Especifica a ação à qual a instrução se aplica. | Sim | “ses: BatchGetMetricData “, CancelExportJob “ses: CreateDeliverabilityTestReport “, “ses: CreateEmailIdentityPolicy “, CreateExportJob “ses: “, DeleteEmailIdentity “ses: DeleteEmailIdentityPolicy “, “ses: GetDomainStatisticsReport “, GetEmailIdentity “ses: GetEmailIdentityPolicies “, “ses: GetExportJob “, ListExportJobs “ses: “, ListRecommendations “ses: PutEmailIdentityConfigurationSetAttributes “, “ses: PutEmailIdentityDkimAttributes “, PutEmailIdentityDkimSigningAttributes “ses: PutEmailIdentityFeedbackAttributes “, “ses: PutEmailIdentityMailFromAttributes ““vê: TagResource “, UntagResource “vê:UpdateEmailIdentityPolicy”<br />([Enviando ações de autorização](sending-authorization-identity-owner-tasks-policy.md): “ses: SendEmail “, “ses: SendRawEmail “, “ses: SendTemplatedEmail “, “ses: SendBulkTemplatedEmail “)<br />É possível especificar uma ou mais dessas operações.  | 
|  `Condition`  | Especifica quaisquer restrições ou detalhes sobre a permissão. | Não | Consulte as informações sobre condições seguindo esta tabela. | 

### Condições
<a name="identity-authorization-policy-conditions"></a>

Uma *condição* é qualquer restrição sobre a permissão na instrução. A parte da instrução que especifica as condições pode ser a mais detalhada de todas as partes. Uma *chave* é a característica específica que é a base para a restrição de acesso, como a data e a hora da solicitação.

Você usa condições e chaves em conjunto para expressar a restrição. Por exemplo, se você deseja impedir que o remetente delegado faça solicitações ao Amazon SES em seu nome após 30 de julho de 2019, use a condição chamada `DateLessThan`. Você usa a chave chamada `aws:CurrentTime` e a define para o valor `2019-07-30T00:00:00Z`. 

O SES implementa somente as seguintes chaves AWS de política abrangentes:
+ `aws:CurrentTime`
+ `aws:EpochTime`
+ `aws:SecureTransport`
+ `aws:SourceIp`
+ `aws:SourceVpc`
+ `aws:SourceVpce`
+ `aws:UserAgent`
+ `aws:VpcSourceIp`

Para obter mais informações sobre essas chaves, consulte o [Guia do usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#Condition).

## Requisitos de política
<a name="identity-authorization-policy-restrictions"></a>

As políticas devem atender a todos os seguintes requisitos:
+ Cada política deve incluir pelo menos uma instrução.
+ Cada política deve incluir pelo menos um elemento principal válido.
+ Cada política deve especificar um recurso, e esse recurso deve ser o ARN da identidade à qual a política está anexada.
+ Os proprietários de identidade podem associar até 20 políticas a cada identidade exclusiva.
+ As políticas não podem exceder 4 kilobytes (KB) de tamanho.
+ Os nomes de política não podem exceder 64 caracteres. Além disso, eles só podem incluir caracteres alfanuméricos, traços e sublinhados.