Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation de l'autorisation d'identité dans Amazon SES
Les stratégies d'autorisation des identités définissent comment les identités individuelles vérifiées peuvent utiliser Amazon SES en spécifiant quelles actions de l'API SES sont autorisées ou refusées pour l'identité et dans quelles conditions.
Grâce à l'utilisation de ces stratégies d'autorisation, vous pouvez garder le contrôle de vos identités en modifiant ou en révoquant les autorisations à tout moment. Vous pouvez même autoriser d'autres utilisateurs à utiliser les identités que vous possédez (domaines ou adresses e-mail) avec leurs propres comptes SES.
**Topics**
+ [Anatomie de la stratégie Amazon SES](policy-anatomy.md)
+ [Création d'une stratégie d'autorisation d'identité dans Amazon SES](identity-authorization-policies-creating.md)
+ [Exemples de politiques d'identité dans Amazon SES](identity-authorization-policy-examples.md)
+ [Gestion de vos stratégies d'autorisation d'identité dans Amazon SES](managing-policies.md)
# Anatomie de la stratégie Amazon SES
Les stratégies respectent une structure spécifique, contiennent des éléments et doivent répondre à certaines exigences.
## Structure d’une politique
Chaque stratégie d'autorisation est un document JSON attaché à une identité. Chaque stratégie comprend les sections suivantes :
+ Les informations à l'échelle de la stratégie en haut du document.
+ Une ou plusieurs instructions individuelles, chacune décrivant un ensemble d'autorisations.
*L'exemple de politique suivant accorde à l'ID de AWS compte *123456789012* les autorisations spécifiées dans la section *Action pour le domaine vérifié exemple.com*.*
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeAccount",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:GetEmailIdentity",
"ses:UpdateEmailIdentityPolicy",
"ses:ListRecommendations",
"ses:CreateEmailIdentityPolicy",
"ses:DeleteEmailIdentity"
]
}
]
}
```
------
Vous pouvez trouver d'autres exemples de stratégie d'autorisation dans la rubrique [Exemples de politique d'identité](identity-authorization-policy-examples.md).
## Éléments de stratégie
Cette section décrit les éléments contenus dans les stratégies d'autorisation d'identité. Nous décrivons dans un premier temps les éléments à l'échelle de la stratégie, puis ceux qui s'appliquent uniquement à l'instruction dans laquelle ils sont inclus. Nous poursuivons avec une présentation sur la façon d'ajouter des conditions à vos instructions.
Pour obtenir des informations spécifiques sur la syntaxe des éléments, consultez [Syntaxe du langage de stratégie IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies-grammar.html) dans le *Guide de l'utilisateur IAM*.
### Informations à l'échelle de la stratégie
Il existe deux éléments à l'échelle de la stratégie : `Id` et `Version`. Le tableau suivant fournit des informations sur ces éléments.
****
| Nom | Description | Obligatoire | Valeurs valides |
| --- | --- | --- | --- |
| `Id` | Identifie la stratégie de façon unique. | Non | Toute chaîne |
| `Version` | Spécifie la version du langage d'accès aux stratégies. | Non | Toute chaîne. À titre de bonne pratique, nous vous recommandons d'inclure ce champ avec la valeur « 2012-10-17 ». |
### Déclarations propres à la stratégie
Les stratégies d'autorisation d'identité nécessitent au moins une instruction. Chaque instruction peut inclure les éléments décrits dans le tableau suivant.
****
| Nom | Description | Obligatoire | Valeurs valides |
| --- | --- | --- | --- |
| `Sid` | Identifie l'instruction de façon unique. | Non | Toute chaîne. |
| `Effect` | Indique le résultat que vous voulez que l'instruction de la stratégie renvoie au moment de l'évaluation. | Oui | « Allow » ou « Deny ». |
| `Resource` | Indique l'identité à laquelle la stratégie s'applique. (Pour [l'autorisation d'envoi](sending-authorization-identity-owner-tasks-policy.md), il s'agit de l'e-mail ou du domaine que le propriétaire de l'identité autorise l'expéditeur délégué à utiliser). | Oui | Amazon Resource Name (ARN) de l'identité. |
| `Principal` | Spécifie Compte AWS l'utilisateur ou le AWS service qui reçoit l'autorisation dans l'instruction. | Oui | Un Compte AWS identifiant, un ARN utilisateur ou un AWS service valide. Compte AWS IDs et l'utilisateur ARNs sont spécifiés à l'aide de `"AWS"` (par exemple, `"AWS": ["123456789012"]` ou`"AWS": ["arn:aws:iam::123456789012:root"]`). AWS les noms de service sont spécifiés à l'aide de `"Service"` (par exemple,`"Service": ["cognito-idp.amazonaws.com"]`). Pour des exemples de format utilisateur ARNs, consultez le [Références générales AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-iam.html). |
| `Action` | Indique l'action à laquelle s'applique l'instruction. | Oui | « ses : BatchGetMetricData », « ses : CancelExportJob », « ses : CreateDeliverabilityTestReport », CreateEmailIdentityPolicy « ses : », CreateExportJob « ses : », DeleteEmailIdentity « ses : », DeleteEmailIdentityPolicy « ses : « ses : GetDomainStatisticsReport «, GetEmailIdentity « ses : « ses : GetEmailIdentityPolicies «, « ses : GetExportJob « ses : ListExportJobs « ses : « ses : ListRecommendations «, « ses : PutEmailIdentityConfigurationSetAttributes « ses : PutEmailIdentityDkimAttributes «, « ses : PutEmailIdentityDkimSigningAttributes «, « ses : PutEmailIdentityFeedbackAttributes « ses : PutEmailIdentityMailFromAttributes «, « ses : TagResource « « ses : UntagResource », « ses : UpdateEmailIdentityPolicy » ([Envoi d'actions d'autorisation](sending-authorization-identity-owner-tasks-policy.md) : SendEmail « ses : », « ses : SendRawEmail «, « ses : SendTemplatedEmail «, « ses : SendBulkTemplatedEmail «) Vous pouvez spécifier une ou plusieurs de ces opérations. |
| `Condition` | Indique les restrictions éventuelles ou des détails sur l'autorisation. | Non | Consultez les informations sur les conditions à la suite de ce tableau. |
### Conditions
Une *condition* est une restriction qui s'applique à l'autorisation contenue dans l'instruction. La partie de l'instruction qui spécifie les conditions peut être la plus détaillée. Une *clé* est une caractéristique spécifique qui constitue la base pour une restriction d'accès (par exemple, la date et l'heure de la demande).
Vous utilisez à la fois les conditions et les clés afin d'exprimer la restriction. Par exemple, si vous voulez empêcher l'expéditeur délégué d'effectuer des demandes à Amazon SES en votre nom après le 30 juillet 2019, vous devez utiliser la condition appelée `DateLessThan`. Vous utilisez la clé appelée `aws:CurrentTime` et la définissez sur la valeur `2019-07-30T00:00:00Z`.
SES implémente uniquement les clés AWS de politique générales suivantes :
+ `aws:CurrentTime`
+ `aws:EpochTime`
+ `aws:SecureTransport`
+ `aws:SourceIp`
+ `aws:SourceVpc`
+ `aws:SourceVpce`
+ `aws:UserAgent`
+ `aws:VpcSourceIp`
Pour en savoir plus sur ces clés, consultez le [guide de l'utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#Condition).
## Exigences des stratégies
Les stratégies doivent répondre à toutes les exigences suivantes :
+ Chaque stratégie doit inclure au moins une instruction.
+ Chaque stratégie doit inclure au moins un mandataire valide.
+ Chaque stratégie doit spécifier une ressource, et cette ressource doit être l'ARN de l'identité à laquelle la stratégie est attachée.
+ Les propriétaires d'identité peuvent associer jusqu'à 20 stratégies à chaque identité.
+ La taille d'une stratégie ne doit pas dépasser 4 kilo-octets (Ko).
+ Le nom d'une stratégie ne doit pas dépasser 64 caractères. De plus, il ne peut inclure que des caractères alphanumériques, des tirets et des traits de soulignement.
# Création d'une stratégie d'autorisation d'identité dans Amazon SES
Une stratégie d'autorisation d'identité est composée de déclarations spécifiant quelles actions API sont autorisées ou refusées pour une identité et sous quelles conditions.
Pour autoriser une identité de domaine ou d'adresse e-mail Amazon SES que vous possédez, vous créez une stratégie d'autorisation, puis vous attachez cette politique à l'identité. Une identité peut avoir zéro, une ou plusieurs stratégies. Toutefois, une stratégie ne peut être associée qu'à une seule identité.
Pour obtenir une liste des actions API pouvant être utilisées dans une stratégie d'autorisation d'identité, consultez la ligne *Action* du tableau [Déclarations propres à la stratégie](policy-anatomy.md#identity-authorization-policy-statements).
Vous pouvez créer une stratégie d'autorisation d'identité de différentes manières :
+ **En utilisant le générateur de stratégies** : vous pouvez créer une stratégie simple à l'aide du générateur de stratégies de la console SES. En plus d'autoriser ou de refuser les autorisations sur les actions de l'API SES, vous pouvez limiter les actions avec des conditions. Vous pouvez également utiliser le générateur de stratégies pour créer rapidement la structure de base d'une stratégie, puis la personnaliser ultérieurement en modifiant la stratégie.
+ **En créant une politique personnalisée** : si vous souhaitez inclure des conditions plus avancées ou utiliser un AWS service comme principal, vous pouvez créer une politique personnalisée et l'associer à l'identité à l'aide de la console SES ou de l'API SES.
**Topics**
+ [Utilisation du Générateur de stratégies](using-policy-generator.md)
+ [Création d'une stratégie personnalisée](creating-custom-policy.md)
# Utilisation du Générateur de stratégies
Vous pouvez utiliser le générateur de politique pour créer une politique d'autorisation simple en suivant la procédure ci-dessous.
**Pour créer une stratégie à l'aide du Générateur de stratégies**
1. Connectez-vous à la console Amazon SES AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Dans le volet de navigation, sous **Configuration**, choisissez **Identities**.
1. Dans le conteneur **Identités** de l'écran **Identités**, sélectionnez l'identité vérifiée pour laquelle vous souhaitez créer une politique d'autorisation.
1. Dans l'écran des détails de l'identité vérifiée que vous avez sélectionnée à l'étape précédente, choisissez l'onglet **Authorization (Autorisation)**.
1. Dans le panneau **Authorization policies** (Stratégies d'autorisation), choisissez **Create policy** (Créer une stratégie), puis sélectionnez **Use policy generator** (Utiliser le générateur de stratégie) depuis le menu déroulant.
1. Dans le panneau **Create statement (Créer une instruction)**, choisissez **Allow (Autoriser)** dans le champ **Effect (Effet)**. [Si vous voulez créer une stratégie pour restreindre cette identité, choisissez plutôt **Deny** (Refuser)].
1. **Dans le champ **Principaux**, entrez l'*Compte AWS ID*, l'*ARN de l'utilisateur IAM* ou le AWS service pour recevoir les autorisations que vous souhaitez autoriser pour cette identité, puis choisissez Ajouter.** (Si vous souhaitez en autoriser plus d'un, répétez cette étape pour chacun d'eux).
1. Dans le champ **Actions**, cochez la case de chaque action que vous souhaitez autoriser pour vos principaux.
1. (Facultatif) Développez **Specify conditions** (Spécifier les conditions) si vous souhaitez ajouter une instruction qualificative à l'autorisation.
1. Sélectionnez un opérateur dans la liste déroulante **Operator (Opérateur)**.
1. Sélectionnez un type dans la liste déroulante **Key (Clé)**.
1. En fonction du type de clé que vous avez sélectionné, saisissez sa valeur dans le champ **Value (Valeur)**. (Si vous souhaitez ajouter d'autres conditions, choisissez **Add new condition (Ajouter une nouvelle condition)** et répétez cette étape pour chaque condition supplémentaire.)
1. Choisissez **Save statement (Enregistrer l'instruction)**.
1. (Facultatif) Développez **Create another statement (Créer une autre instruction)** si vous souhaitez ajouter d'autres instructions à votre politique et répétez les étapes 6 à 10.
1. Choisissez **Next (Suivant)** et sur l'écran **Customize policy (Personnaliser la politique)**, le conteneur **Edit policy details (Modifier les détails de la politique)** contient des champs où vous pouvez modifier ou personnaliser le **Name (Nom)** de la politique et le **Policy document (Document de la politique)** proprement dit.
1. Choisissez **Next** (Suivant) et sur l'écran **Review and apply** (Vérifier et appliquer), le conteneur **Overview** (Présentation) affiche l'identité vérifiée que vous autorisez ainsi que le nom de cette stratégie. Dans le panneau **Policy document (Document de politique)**, vous trouverez la politique que vous venez de rédiger ainsi que toutes les conditions que vous avez ajoutées ; vérifiez la politique et si elle semble correcte, choisissez **Apply policy (Appliquer la stratégie)**. (Si vous avez besoin de modifier ou corriger quelque chose, choisissez **Previous (Précédent)** et travaillez dans le conteneur **Edit policy details (Modification des détails de la politique)**.)
# Création d'une stratégie personnalisée
Si vous souhaitez créer une stratégie personnalisée et l'attacher à une identité, voici les possibilités qui s'offrent à vous :
+ **Utilisation de l'API Amazon SES** – Créez une stratégie dans un éditeur de texte, puis attachez-la à l'identité à l'aide de l'API `PutIdentityPolicy` décrite dans le document [Référence d'API Amazon Simple Email Service](https://docs.aws.amazon.com/ses/latest/APIReference/).
+ **Utilisation de la console Amazon SES** – Créez une stratégie dans un éditeur de texte et attachez-la à une identité en la collant dans l'éditeur de stratégie personnalisée de la console Amazon SES. La procédure suivante décrit cette méthode.
**Pour créer une stratégie personnalisée à l'aide de l'éditeur de stratégie personnalisée**
1. Connectez-vous à la console Amazon SES AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Dans le volet de navigation, sous **Configuration**, choisissez **Identities**.
1. Dans le conteneur **Identités** de l'écran **Identités**, sélectionnez l'identité vérifiée pour laquelle vous souhaitez créer une politique d'autorisation.
1. Dans l'écran des détails de l'identité vérifiée que vous avez sélectionnée à l'étape précédente, choisissez l'onglet **Authorization (Autorisation)**.
1. Dans le panneau **Authorization policies** (Stratégies d'autorisation), choisissez **Create policy** (Créer une stratégie), puis sélectionnez **Create custom policy** (Créer une stratégie personnalisée) depuis le menu déroulant.
1. Dans le volet **Policy document** (Document de la stratégie), saisissez ou collez le texte de votre stratégie au format JSON. Vous pouvez également utiliser le générateur de stratégies pour créer rapidement la structure de base d'une stratégie, puis la personnaliser ici.
1. Choisissez **Apply Policy (Appliquer la stratégie)**. (Si vous avez besoin de modifier votre politique personnalisée, il suffit de cocher sa case à cocher sous l'onglet **Authorization (Autorisation)**, choisir **Edit (Modifier)**, et effectuer vos modifications dans le panneau **Document de politique** pour finir par **Save changes (Enregistrer les modifications)**).
# Exemples de politiques d'identité dans Amazon SES
L'autorisation de l'identité vous permet de spécifier les conditions précises dans lesquelles vous autorisez ou refusez les actions de l'API pour une identité.
**Topics**
+ [Spécifier le principal](#identity-authorization-policy-example-delegate-user)
+ [Restriction de l'action](#sending-authorization-policy-example-restricting-action)
+ [Utilisation de plusieurs instructions](#identity-authorization-policy-example-multiple-statements)
## Spécifier le principal
Le *principal*, qui est l'entité à laquelle vous accordez l'autorisation Compte AWS, peut être un utilisateur Gestion des identités et des accès AWS (IAM) ou un AWS service appartenant au même compte.
*L'exemple suivant montre une politique simple qui permet à l' AWS ID *123456789012* de contrôler l'identité vérifiée *exemple.com*, qui appartient également à 123456789012. Compte AWS *
------
#### [ JSON ]
****
```
{
"Id":"SampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeMarketer",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:DeleteEmailIdentity",
"ses:PutEmailIdentityDkimSigningAttributes"
]
}
]
}
```
------
L'exemple de stratégie suivant accorde des autorisations à deux utilisateurs pour contrôler l'identité vérifiée *example.com*. Les utilisateurs sont spécifiés par leur Amazon Resource Name (ARN).
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeIAMUser",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"arn:aws:iam::123456789012:user/John",
"arn:aws:iam::123456789012:user/Jane"
]
},
"Action":[
"ses:DeleteEmailIdentity",
"ses:PutEmailIdentityDkimSigningAttributes"
]
}
]
}
```
------
## Restriction de l'action
Il existe plusieurs actions qui peuvent être spécifiées dans une stratégie d'autorisation d'identité en fonction du niveau de contrôle que vous souhaitez autoriser :
```
1. "BatchGetMetricData",
2. "ListRecommendations",
3. "CreateDeliverabilityTestReport",
4. "CreateEmailIdentityPolicy",
5. "DeleteEmailIdentity",
6. "DeleteEmailIdentityPolicy",
7. "GetDomainStatisticsReport",
8. "GetEmailIdentity",
9. "GetEmailIdentityPolicies",
10. "PutEmailIdentityConfigurationSetAttributes",
11. "PutEmailIdentityDkimAttributes",
12. "PutEmailIdentityDkimSigningAttributes",
13. "PutEmailIdentityFeedbackAttributes",
14. "PutEmailIdentityMailFromAttributes",
15. "TagResource",
16. "UntagResource",
17. "UpdateEmailIdentityPolicy"
```
Les stratégies d'autorisation d'identité vous permettent également de restreindre le principal à une seule de ces actions.
------
#### [ JSON ]
****
```
{
"Id": "ExamplePolicy",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ControlAction",
"Effect": "Allow",
"Resource": "arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal": {
"AWS": [
"123456789012"
]
},
"Action": [
"ses:PutEmailIdentityMailFromAttributes"
]
}
]
}
```
------
## Utilisation de plusieurs instructions
Votre stratégie d'autorisation d'identité peut inclure plusieurs instructions. L'exemple de stratégie suivant comporte deux instructions. La première déclaration interdit à deux utilisateurs d'accéder à `getemailidentity` à partir de *sender@example.com* au sein du même compte `123456789012`. La deuxième déclaration refuse l'accès à `UpdateEmailIdentityPolicy` au principal, *Jack*, dans le même compte `123456789012`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"DenyGet",
"Effect":"Deny",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com",
"Principal":{
"AWS":[
"arn:aws:iam::123456789012:user/John",
"arn:aws:iam::123456789012:user/Jane"
]
},
"Action":[
"ses:GetEmailIdentity"
]
},
{
"Sid":"DenyUpdate",
"Effect":"Deny",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com",
"Principal":{
"AWS":"arn:aws:iam::123456789012:user/Jack"
},
"Action":[
"ses:UpdateEmailIdentityPolicy"
]
}
]
}
```
------
# Gestion de vos stratégies d'autorisation d'identité dans Amazon SES
En plus de créer des stratégies et de les attacher à des identités, vous pouvez modifier, supprimer, répertorier et récupérer les stratégies d'une identité, comme indiqué dans les sections suivantes.
## Gestion des stratégies à l'aide de la console Amazon SES
La gestion des politiques Amazon SES implique d'afficher, de modifier ou de supprimer une politique attachée à une identité à l'aide de la console Amazon SES.
**Pour gérer les politiques à l'aide de la console Amazon SES**
1. Connectez-vous à la console Amazon SES AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Dans le panneau de navigation, sous Configuration, choisissez **Verified identities (Identités vérifiées)**.
1. Dans la liste des identités, choisissez l'identité que vous souhaitez gérer.
1. Sur la page de détails de l'identité, accédez à l'onglet **Authorization (Autorisation)**. Vous trouverez ici une liste de toutes les stratégies attachées à cette identité.
1. Sélectionnez la politique que vous souhaitez gérer en cochant sa case à cocher.
1. En fonction de la tâche de gestion souhaitée, choisissez le bouton correspondant comme suit :
1. Pour afficher la politique, choisissez **View policy (Afficher la politique)**. Si vous avez besoin d'une copie de ce document, cliquez sur le bouton **Copy** (Copier) et il sera copié dans votre presse-papiers.
1. Pour modifier la politique, choisissez **Edit (Modifier)**. Dans le panneau **Policy document (Document de politique)**, modifiez la politique, puis choisissez **Save changes (Enregistrer les modifications)**.
**Note**
Pour révoquer des autorisations, vous pouvez soit modifier une stratégie, soit la supprimer.
1. Pour supprimer la politique, choisissez **Delete (Supprimer)**.
**Important**
La suppression d'une stratégie est permanente. Avant de supprimer une stratégie, nous vous recommandons de la sauvegarder en la copiant-collant dans un fichier texte.
## Gestion des stratégies à l'aide de l'API Amazon SES
La gestion des politiques Amazon SES implique d'afficher, de modifier ou de supprimer une politique attachée à une identité à l'aide de l'API Amazon SES.
**Pour répertorier et afficher des stratégies à l'aide de l'API Amazon SES**
+ Vous pouvez répertorier les politiques associées à une identité à l'aide de l'[opération ListIdentityPolicies d'API](https://docs.aws.amazon.com/ses/latest/APIReference/API_ListIdentityPolicies.html). Vous pouvez également récupérer les politiques elles-mêmes à l'aide de l'[opération GetIdentityPolicies API](https://docs.aws.amazon.com/ses/latest/APIReference/API_GetIdentityPolicies.html).
**Pour modifier une politique à l'aide de l'API Amazon SES**
+ Vous pouvez modifier une politique attachée à une identité à l'aide de l'[opération PutIdentityPolicy d'API](https://docs.aws.amazon.com/ses/latest/APIReference/API_PutIdentityPolicy.html).
**Pour supprimer une politique à l'aide de l'API Amazon SES**
+ Vous pouvez supprimer une politique attachée à une identité à l'aide de l'[opération DeleteIdentityPolicy API](https://docs.aws.amazon.com/ses/latest/APIReference/API_DeleteIdentityPolicy.html).