Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Uso dell'autorizzazione dell'identità in Amazon SES
Le policy di autorizzazione dell'identità definiscono in che modo le singole identità verificate possono utilizzare Amazon SES specificando quali azioni dell'API SES sono consentite o negate per l'identità e in quali condizioni.
Mediante l'uso di queste policy di autorizzazione, puoi mantenere il controllo sulle tue identità, modificando o revocando le autorizzazioni in qualsiasi momento. Puoi anche autorizzare altri utenti a utilizzare identità di cui sei proprietario (domini o indirizzi e-mail) usando i loro account SES.
**Topics**
+ [Anatomia della policy Amazon SES](policy-anatomy.md)
+ [Creazione di una policy di autorizzazione identità in Amazon SES](identity-authorization-policies-creating.md)
+ [Esempi di policy di identità in Amazon SES](identity-authorization-policy-examples.md)
+ [Gestione delle policy per l'autorizzazione dell'identità in Amazon SES](managing-policies.md)
# Anatomia della policy Amazon SES
Le policy aderiscono a una struttura specifica, contengono elementi e devono soddisfare determinati requisiti.
## Struttura delle policy
Ogni policy di autorizzazione è un documento JSON collegato a un'identità. Ogni policy include le sezioni seguenti:
+ informazioni specifiche della policy nella parte superiore del documento;
+ una o più istruzioni singole, ciascuna delle quali descrive un set di autorizzazioni.
*La politica di esempio seguente concede all' AWS account ID *123456789012* le autorizzazioni specificate nella sezione *Azione per il dominio verificato example.com*.*
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeAccount",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:GetEmailIdentity",
"ses:UpdateEmailIdentityPolicy",
"ses:ListRecommendations",
"ses:CreateEmailIdentityPolicy",
"ses:DeleteEmailIdentity"
]
}
]
}
```
------
Puoi trovare ulteriori esempi di policy di autorizzazione in [Esempi di policy di identità](identity-authorization-policy-examples.md).
## Elementi delle policy
Questa sezione descrive gli elementi contenuti nelle policy di autorizzazione dell'identità. Prima di tutto descriveremo gli elementi specifici della policy, quindi gli elementi che si applicano solo all'istruzione in cui sono inclusi. Seguirà una descrizione di come aggiungere condizioni alle istruzioni.
Per informazioni specifiche sulla sintassi degli elementi, consulta la sezione relativa alla [grammatica del linguaggio delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies-grammar.html) nella *Guida per l'utente di IAM*.
### Informazioni specifiche della policy
Esistono due elementi specifici della policy: `Id` e `Version`. La tabella seguente fornisce informazioni su questi elementi.
****
| Nome | Description | Richiesto | Valori validi |
| --- | --- | --- | --- |
| `Id` | Identifica in modo univoco la policy. | No | Qualsiasi stringa |
| `Version` | Specifica la versione del linguaggio di accesso della policy. | No | Qualsiasi stringa. Come best practice consigliamo di includere questo campo con il valore "2012-10-17". |
### Istruzioni specifiche della policy
Le policy di autorizzazione dell'identità devono includere almeno un'istruzione. Ogni istruzione può includere gli elementi descritti nella tabella seguente.
****
| Nome | Description | Richiesto | Valori validi |
| --- | --- | --- | --- |
| `Sid` | Identifica in modo univoco l'istruzione. | No | Qualsiasi stringa. |
| `Effect` | Specifica il risultato che deve essere restituito dall'istruzione della policy in fase di valutazione. | Sì | "Allow" o "Deny". |
| `Resource` | Specifica l'identità cui si applica la policy. Per [autorizzazione di invio](sending-authorization-identity-owner-tasks-policy.md), si tratta del dominio o dell'indirizzo e-mail che il proprietario di identità autorizza il mittente delegato a usare. | Sì | Il nome della risorsa Amazon (ARN) dell'identità. |
| `Principal` | Speciifica l'utente o AWS il Account AWS servizio che riceve l'autorizzazione nell'istruzione. | Sì | Un Account AWS ID, un ARN utente o AWS un servizio valido. Account AWS IDs e l'utente ARNs vengono specificati utilizzando `"AWS"` (ad esempio, `"AWS": ["123456789012"]` o`"AWS": ["arn:aws:iam::123456789012:root"]`). AWS i nomi dei servizi vengono specificati utilizzando `"Service"` (ad esempio,`"Service": ["cognito-idp.amazonaws.com"]`). Per esempi del formato dell'utente ARNs, vedere [Riferimenti generali di AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-iam.html). |
| `Action` | Specifica l'azione alla quale si applica l'istruzione. | Sì | «ses: BatchGetMetricData «, «ses: CancelExportJob «, «ses: «, CreateDeliverabilityTestReport «ses: «, «ses: CreateEmailIdentityPolicy «, «ses: CreateExportJob «, «ses: DeleteEmailIdentity «, «ses: DeleteEmailIdentityPolicy «, «ses: «, GetDomainStatisticsReport «ses: «, GetEmailIdentity «ses: «, «ses: GetEmailIdentityPolicies «, «ses: GetExportJob «, «ses: ListExportJobs «, «ses: «, ListRecommendations «ses: «, PutEmailIdentityConfigurationSetAttributes «ses: «, «ses: PutEmailIdentityDkimAttributes «, «ses: PutEmailIdentityDkimSigningAttributes «, «ses: PutEmailIdentityFeedbackAttributes «, «ses: «, PutEmailIdentityMailFromAttributes «ses: «, TagResource «ses: «, «ses: UntagResource «, «es:UpdateEmailIdentityPolicy» (Azioni di [autorizzazione all'invio](sending-authorization-identity-owner-tasks-policy.md): SendEmail «ses: «, «ses: SendRawEmail «, «ses: SendTemplatedEmail «, «ses: SendBulkTemplatedEmail «) Puoi specificare una o più di queste operazioni. |
| `Condition` | Specifica eventuali restrizioni o dettagli relativi all'autorizzazione. | No | Consulta le informazioni sulle condizioni che seguono questa tabella. |
### Condizioni
Una *condizione* è qualsiasi restrizione riguardo all'autorizzazione inclusa nell'istruzione. La parte dell'istruzione che specifica le condizioni può essere la più dettagliata di tutte le parti. Una *chiave* è la caratteristica specifica sui cui si basa la restrizione di accesso, ad esempio la data e l'ora della richiesta.
Usa insieme condizioni e chiavi per esprimere la limitazione. Ad esempio, se vuoi impedire al mittente delegato di inviare richieste ad Amazon SES per tuo conto dopo il 30 luglio 2019, devi usare la condizione denominata `DateLessThan`. Usi la chiave denominata `aws:CurrentTime` e la imposti sul valore `2019-07-30T00:00:00Z`.
SES implementa solo le seguenti chiavi di policy AWS a livello generale:
+ `aws:CurrentTime`
+ `aws:EpochTime`
+ `aws:SecureTransport`
+ `aws:SourceIp`
+ `aws:SourceVpc`
+ `aws:SourceVpce`
+ `aws:UserAgent`
+ `aws:VpcSourceIp`
Per ulteriori informazioni su queste chiavi, consulta la [Guida per l'utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#Condition).
## Requisiti politici
Le policy devono soddisfare tutti i seguenti requisiti:
+ Ogni policy deve includere almeno un'istruzione.
+ Ogni policy deve includere almeno un'entità principale valida.
+ Ogni policy deve specificare una risorsa e tale risorsa deve essere l'ARN dell'identità a cui la policy è collegata.
+ I proprietari di identità possono associare fino a 20 policy a ogni identità univoca.
+ Le dimensioni delle policy non possono superare i 4 kilobyte (KB).
+ I nomi delle policy non possono superare i 64 caratteri. Inoltre, possono includere solo caratteri alfanumerici, trattini e caratteri di sottolineatura.
# Creazione di una policy di autorizzazione identità in Amazon SES
Una policy di autorizzazione identità comprende dichiarazioni che specificano quali azioni API sono consentite o negate per un'identità e in quali condizioni.
Per autorizzare un'identità dominio o indirizzo e-mail Amazon SES di tua proprietà, devi creare una policy di autorizzazione di invio e quindi collegare tale policy all'identità. Un'identità può avere zero, una o più policy. Tuttavia, una singola policy può essere associata solo a una singola identità.
Per un elenco delle azioni API che possono essere utilizzate in una policy di autorizzazione dell'identità, consulta la riga *Azione* nella tabella [Istruzioni specifiche della policy](policy-anatomy.md#identity-authorization-policy-statements).
È possibile creare una policy di autorizzazione dell'identità nei modi seguenti:
+ **Usando il generatore di policy**: puoi creare una policy semplice usando il generatore di policy nella console SES. Oltre a consentire o negare le autorizzazioni sulle azioni API SES, puoi vincolare le azioni con condizioni. Puoi anche usare il generatore di policy per creare rapidamente la struttura di base di una policy, quindi personalizzarla in un secondo momento modificando la policy.
+ **Creando una politica personalizzata**: se desideri includere condizioni più avanzate o utilizzare un AWS servizio come principale, puoi creare una politica personalizzata e collegarla all'identità utilizzando la console SES o l'API SES.
**Topics**
+ [Uso del generatore di policy](using-policy-generator.md)
+ [Creazione di una policy personalizzata](creating-custom-policy.md)
# Uso del generatore di policy
Puoi usare il generatore di policy per creare una semplice policy di autorizzazione seguendo i passaggi indicati.
**Creazione di una policy usando il generatore di policy**
1. Accedi a Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Nel pannello di navigazione, in **Configurazione**, scegli **Identità.**
1. Nel contenitore **Identità** della schermata Identità, seleziona l'**identità** verificata per la quale desideri creare una politica di autorizzazione.
1. Nella schermata dei dettagli dell'identità verificata selezionata nel passaggio precedente, scegli la scheda **Authorization (Autorizzazione)**.
1. Nel riquadro **Authorization policies** (Policy di autorizzazione), scegli **Create policy** (Crea policy) e seleziona **Use policy generator** (Usa generatore di policy) dal menu a discesa.
1. Nel riquadro **Create statement (Crea istruzione)**, scegli **Allow (Consenti)** nel campo **Effect (Effetto)**. Se invece desideri creare una policy per limitare questa identità, scegli **Deny** (Nega).
1. **Nel campo **Principal**, inserisci l'*Account AWS ID*, l'*ARN dell'utente IAM* AWS o il servizio per ricevere le autorizzazioni che desideri autorizzare per questa identità, quindi scegli Aggiungi.** Se desideri autorizzarne più di una, ripeti questo passaggio per ciascuna.
1. Nel campo **Actions** (Azioni), seleziona la casella di controllo per ogni azione che desideri autorizzare per i principali.
1. (Facoltativo) Espandi **Specify conditions** (Specifica condizioni) se desideri aggiungere un'istruzione di qualificazione all'autorizzazione.
1. Seleziona un operatore dal menu a discesa **Operator (Operatore)**.
1. Seleziona un tipo di chiave dal menu a discesa **Key (Chiave)**.
1. In base al tipo di chiave selezionato, inserisci il valore corrispondente nel campo **Value (Valore)**. Se desideri aggiungere altre condizioni, scegli **Add new condition (Aggiungi nuova condizione)** e ripeti questo passaggio per ciascuna di esse.
1. Scegli **Save statement (Salva istruzione)**.
1. (Facoltativo) Se desideri aggiungere altre istruzioni alla tua policy, espandi **Create another statement (Crea un'altra istruzione)** e ripeti i passaggi da 6 a 10.
1. Scegli **Next (Successivo)** e nella schermata **Customize policy (Personalizza policy)**, il container **Edit policy details (Modifica dettagli policy)** dispone di campi in cui puoi modificare o personalizzare le voci **Name (Nome)** e **Policy document (Documento policy)**.
1. Scegli **Next** (Successivo) e nella schermata **Review and apply** (Rivedi e applica), il container **Overview** (Panoramica) mostrerà l'identità verificata che stai autorizzando per il mittente delegato, nonché il nome di questa policy. Nel riquadro **Policy document (Documento policy)** sarà presente la policy effettiva che hai appena scritto insieme a tutte le condizioni che hai aggiunto: controlla la policy e, se sembra corretta, scegli **Apply policy (Applica policy)**. Se hai bisogno di modificare o correggere qualcosa, scegli **Previous (Precedente)** e lavora nel container **Edit policy details (Modifica dettagli policy)**.
# Creazione di una policy personalizzata
Se desideri creare una policy personalizzata e collegarla a un'identità, hai a disposizione le seguenti opzioni:
+ **Uso dell'API Amazon SES**: puoi creare una policy in un editor di testo, quindi collegarla all'identità usando l'API `PutIdentityPolicy` descritta nella [Documentazione di riferimento per le API Amazon Simple Email Service](https://docs.aws.amazon.com/ses/latest/APIReference/).
+ **Uso della console Amazon SES**: puoi creare una policy in un editor di testo e collegarla a un'identità incollandola nell'editor di policy personalizzate nella console Amazon SES. Questo metodo viene descritto nella procedura seguente.
**Creazione di una policy personalizzata usando l'editor di policy personalizzate**
1. Accedi a Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Nel pannello di navigazione, in **Configurazione**, scegli **Identità.**
1. Nel contenitore **Identità** della schermata Identità, seleziona l'**identità** verificata per la quale desideri creare una politica di autorizzazione.
1. Nella schermata dei dettagli dell'identità verificata selezionata nel passaggio precedente, scegli la scheda **Authorization (Autorizzazione)**.
1. Nel riquadro **Authorization policies** (Policy di autorizzazione), scegli **Create policy** (Crea policy) e seleziona **Create custom policy** (Crea policy personalizzata) dal menu a discesa.
1. Nel riquadro **Policy document** (Documento policy), digita o incolla il testo della policy nel formato JSON. Puoi anche usare il generatore di policy per creare rapidamente la struttura di base di una policy e personalizzarla qui.
1. Scegli **Apply Policy** (Applica policy). Se hai bisogno di modificare la policy personalizzata, seleziona la relativa casella di controllo sotto la scheda **Authorization (Autorizzazione)**, scegli **Edit (Modifica)** e apporta le modifiche nel riquadro **Policy document (Documento policy)** seguito da **Save changes (Salva modifiche)**.
# Esempi di policy di identità in Amazon SES
L'autorizzazione dell'identità consente di specificare le condizioni dettagliate in base alle quali consentire o negare le azioni API per un'identità.
**Topics**
+ [Specifica del principale](#identity-authorization-policy-example-delegate-user)
+ [Limitazione dell'azione](#sending-authorization-policy-example-restricting-action)
+ [Uso di più istruzioni](#identity-authorization-policy-example-multiple-statements)
## Specifica del principale
Il *principale*, che è l'entità a cui si concede l'autorizzazione, può essere un Account AWS utente AWS Identity and Access Management (IAM) o un AWS servizio appartenente allo stesso account.
*L'esempio seguente mostra una semplice politica che consente all' AWS ID *123456789012* di controllare l'identità verificata *example.com*, anch'essa di proprietà di 123456789012. Account AWS *
------
#### [ JSON ]
****
```
{
"Id":"SampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeMarketer",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:DeleteEmailIdentity",
"ses:PutEmailIdentityDkimSigningAttributes"
]
}
]
}
```
------
La policy di esempio seguente concede a due utenti l'autorizzazione necessaria per controllare l'identità verificata *example.com*. Gli utenti vengono specificati tramite il rispettivo nome della risorsa Amazon (ARN).
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeIAMUser",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"arn:aws:iam::123456789012:user/John",
"arn:aws:iam::123456789012:user/Jane"
]
},
"Action":[
"ses:DeleteEmailIdentity",
"ses:PutEmailIdentityDkimSigningAttributes"
]
}
]
}
```
------
## Limitazione dell'azione
Esistono diverse azioni che possono essere specificate in una policy di autorizzazione dell'identità a seconda del livello di controllo che si desidera autorizzare:
```
1. "BatchGetMetricData",
2. "ListRecommendations",
3. "CreateDeliverabilityTestReport",
4. "CreateEmailIdentityPolicy",
5. "DeleteEmailIdentity",
6. "DeleteEmailIdentityPolicy",
7. "GetDomainStatisticsReport",
8. "GetEmailIdentity",
9. "GetEmailIdentityPolicies",
10. "PutEmailIdentityConfigurationSetAttributes",
11. "PutEmailIdentityDkimAttributes",
12. "PutEmailIdentityDkimSigningAttributes",
13. "PutEmailIdentityFeedbackAttributes",
14. "PutEmailIdentityMailFromAttributes",
15. "TagResource",
16. "UntagResource",
17. "UpdateEmailIdentityPolicy"
```
Le policy di autorizzazione dell'identità consentono inoltre di limitare il principale a una sola di queste azioni.
------
#### [ JSON ]
****
```
{
"Id": "ExamplePolicy",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ControlAction",
"Effect": "Allow",
"Resource": "arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal": {
"AWS": [
"123456789012"
]
},
"Action": [
"ses:PutEmailIdentityMailFromAttributes"
]
}
]
}
```
------
## Uso di più istruzioni
La policy di autorizzazione dell'identità può includere più istruzioni. La policy di esempio seguente include due istruzioni. La prima istruzione impedisce a due utenti di accedere a `getemailidentity` da *sender@example.com* all'interno dello stesso account `123456789012`. La seconda istruzione nega `UpdateEmailIdentityPolicy` per il principale, *Jack*, all'interno dello stesso account `123456789012`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"DenyGet",
"Effect":"Deny",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com",
"Principal":{
"AWS":[
"arn:aws:iam::123456789012:user/John",
"arn:aws:iam::123456789012:user/Jane"
]
},
"Action":[
"ses:GetEmailIdentity"
]
},
{
"Sid":"DenyUpdate",
"Effect":"Deny",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com",
"Principal":{
"AWS":"arn:aws:iam::123456789012:user/Jack"
},
"Action":[
"ses:UpdateEmailIdentityPolicy"
]
}
]
}
```
------
# Gestione delle policy per l'autorizzazione dell'identità in Amazon SES
Oltre a creare le policy e a collegarle alle identità, è possibile modificare, rimuovere, elencare e recuperare le policy di un'identità, come descritto nelle sezioni seguenti.
## Gestione di policy mediante la console Amazon SES
La gestione delle policy di Amazon SES comporta la visualizzazione, la modifica o l'eliminazione di una policy allegata a un'identità utilizzando la console Amazon SES.
**Per gestire policy utilizzando la console Amazon SES**
1. Accedi Console di gestione AWS e apri la console Amazon SES all'indirizzo [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. Nel pannello di navigazione a sinistra, scegli **Verified identities** (Identità verificate).
1. Nell'elenco delle identità, scegli l'identità che vuoi gestire.
1. Nella pagina dei dettagli dell'identità, apri la scheda **Authorization (Autorizzazione)**. Qui troverai un elenco di tutte le policy associate a questa identità.
1. Seleziona la policy che desideri gestire scegliendo la relativa casella di controllo.
1. A seconda dell'attività di gestione desiderata, scegliere il pulsante corrispondente come segue:
1. Visualizzare una policy, scegli **View policy (Visualizza policy)**. Se hai bisogno di una copia, scegli il pulsante **Copy** (Copia) per eseguire una copia negli appunti.
1. Per modificare la policy, scegli **Edit (Modifica)**. Nel riquadro **Policy document (Documento policy)**, modifica la policy e scegli **Save changes (Salva modifiche)**.
**Nota**
Per revocare le autorizzazioni, puoi modificare la policy o rimuoverla.
1. Per rimuovere la policy, scegli **Delete (Elimina)**.
**Importante**
La rimozione di una policy è permanente. È consigliabile eseguire il backup della policy copiandola e incollandola in un file di testo prima di rimuoverla.
## Gestione di policy mediante l'API Amazon SES
La gestione delle policy di Amazon SES comporta la visualizzazione, la modifica o l'eliminazione di una policy allegata a un'identità utilizzando l'API di Amazon SES.
**Pubblicazione e visualizzazione delle policy tramite l'API Amazon SES**
+ Puoi elencare le politiche associate a un'identità utilizzando l'[operazione ListIdentityPolicies API](https://docs.aws.amazon.com/ses/latest/APIReference/API_ListIdentityPolicies.html). È inoltre possibile recuperare le politiche stesse utilizzando l'[operazione GetIdentityPolicies API](https://docs.aws.amazon.com/ses/latest/APIReference/API_GetIdentityPolicies.html).
**Per modificare una policy usando l'API di Amazon SES**
+ È possibile modificare una politica associata a un'identità utilizzando l'[operazione PutIdentityPolicy API](https://docs.aws.amazon.com/ses/latest/APIReference/API_PutIdentityPolicy.html).
**Per eliminare una policy usando l'API di Amazon SES**
+ È possibile eliminare una politica allegata a un'identità utilizzando l'[operazione DeleteIdentityPolicy API](https://docs.aws.amazon.com/ses/latest/APIReference/API_DeleteIdentityPolicy.html).