As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Usar autorização de identidade no Amazon SES
As políticas de autorização de identidade definem como identidades individuais verificadas podem usar o Amazon SES especificando quais ações da API do SES são permitidas ou negadas para a identidade e em quais condições.
Com o uso dessas políticas de autorização, você pode manter controle sobre suas identidades alterando ou revogando permissões a qualquer momento. Você pode até mesmo autorizar outros usuários a usar as identidades pertencentes a você (domínios ou endereços de e-mail) usando as contas deles do SES.
**Topics**
+ [Anatomia da política do Amazon SES](policy-anatomy.md)
+ [Criar uma política de autorização de identidade no Amazon SES](identity-authorization-policies-creating.md)
+ [Exemplos de políticas de identidade no Amazon SES](identity-authorization-policy-examples.md)
+ [Gerenciar suas políticas de autorização de identidade no Amazon SES](managing-policies.md)
# Anatomia da política do Amazon SES
As políticas seguem uma estrutura específica, contêm elementos específicos e devem atender a determinados requisitos.
## Estrutura da política
Cada política de autorização é um documento JSON que está anexado a uma identidade. Cada política inclui as seções a seguir:
+ Informações da política na parte superior do documento.
+ Uma ou mais declarações individuais, cada uma descrevendo um conjunto de permissões.
*O exemplo de política a seguir concede à ID de AWS conta *123456789012* as permissões especificadas na seção *Ação para o domínio* verificado example.com.*
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeAccount",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:GetEmailIdentity",
"ses:UpdateEmailIdentityPolicy",
"ses:ListRecommendations",
"ses:CreateEmailIdentityPolicy",
"ses:DeleteEmailIdentity"
]
}
]
}
```
------
Você pode encontrar mais exemplos de política de autorização em [Exemplos de políticas de identidade](identity-authorization-policy-examples.md).
## Elementos da política
Esta seção descreve os elementos contidos nas políticas de autorização de identidade. Primeiro, descrevemos elementos que se aplicam a toda a política e, em seguida, descrevemos os elementos que se aplicam somente à instrução em que estão incluídos. Seguimos com uma discussão sobre como adicionar condições às instruções.
Para obter informações específicas sobre a sintaxe dos elementos, consulte [Gramática da linguagem de política do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies-grammar.html) no *Manual do usuário do IAM*.
### Informações da política
Há dois elementos que se aplicam à política como um todo: `Id` e `Version`. A tabela a seguir fornece informações sobre esses elementos.
****
| Name (Nome) | Description | Obrigatório | Valores válidos |
| --- | --- | --- | --- |
| `Id` | Identifica exclusivamente a política. | Não | Qualquer string |
| `Version` | Especifica a versão da linguagem de acesso da política. | Não | Qualquer string. Como uma melhor prática, recomendamos incluir esse campo com um valor de "2012-10-17". |
### Instruções específicas da política
As políticas de autorização de identidade requerem pelo menos uma instrução. Cada instrução pode incluir os elementos descritos na tabela a seguir.
****
| Name (Nome) | Description | Obrigatório | Valores válidos |
| --- | --- | --- | --- |
| `Sid` | Identifica exclusivamente a instrução. | Não | Qualquer string. |
| `Effect` | Especifica o resultado que você deseja que a instrução da política retorne no momento da avaliação. | Sim | "Permitir" ou "Negar". |
| `Resource` | Especifica a identidade à qual a política se aplica. (Para [autorização de envio](sending-authorization-identity-owner-tasks-policy.md), este é o endereço de e-mail ou domínio que o proprietário da identidade está autorizando o remetente delegado a usar.) | Sim | O Nome de recurso da Amazon (ARN) da identidade. |
| `Principal` | Especifica Conta da AWS o usuário ou o AWS serviço que recebe a permissão na declaração. | Sim | Uma Conta da AWS ID, ARN de usuário ou AWS serviço válidos. Conta da AWS IDs e o usuário ARNs são especificados usando `"AWS"` (por exemplo, `"AWS": ["123456789012"]` ou`"AWS": ["arn:aws:iam::123456789012:root"]`). AWS os nomes dos serviços são especificados usando `"Service"` (por exemplo,`"Service": ["cognito-idp.amazonaws.com"]`). Para obter exemplos do formato do usuário ARNs, consulte [Referência geral da AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-iam.html)o. |
| `Action` | Especifica a ação à qual a instrução se aplica. | Sim | “ses: BatchGetMetricData “, CancelExportJob “ses: CreateDeliverabilityTestReport “, “ses: CreateEmailIdentityPolicy “, CreateExportJob “ses: “, DeleteEmailIdentity “ses: DeleteEmailIdentityPolicy “, “ses: GetDomainStatisticsReport “, GetEmailIdentity “ses: GetEmailIdentityPolicies “, “ses: GetExportJob “, ListExportJobs “ses: “, ListRecommendations “ses: PutEmailIdentityConfigurationSetAttributes “, “ses: PutEmailIdentityDkimAttributes “, PutEmailIdentityDkimSigningAttributes “ses: PutEmailIdentityFeedbackAttributes “, “ses: PutEmailIdentityMailFromAttributes ““vê: TagResource “, UntagResource “vê:UpdateEmailIdentityPolicy” ([Enviando ações de autorização](sending-authorization-identity-owner-tasks-policy.md): “ses: SendEmail “, “ses: SendRawEmail “, “ses: SendTemplatedEmail “, “ses: SendBulkTemplatedEmail “) É possível especificar uma ou mais dessas operações. |
| `Condition` | Especifica quaisquer restrições ou detalhes sobre a permissão. | Não | Consulte as informações sobre condições seguindo esta tabela. |
### Condições
Uma *condição* é qualquer restrição sobre a permissão na instrução. A parte da instrução que especifica as condições pode ser a mais detalhada de todas as partes. Uma *chave* é a característica específica que é a base para a restrição de acesso, como a data e a hora da solicitação.
Você usa condições e chaves em conjunto para expressar a restrição. Por exemplo, se você deseja impedir que o remetente delegado faça solicitações ao Amazon SES em seu nome após 30 de julho de 2019, use a condição chamada `DateLessThan`. Você usa a chave chamada `aws:CurrentTime` e a define para o valor `2019-07-30T00:00:00Z`.
O SES implementa somente as seguintes chaves AWS de política abrangentes:
+ `aws:CurrentTime`
+ `aws:EpochTime`
+ `aws:SecureTransport`
+ `aws:SourceIp`
+ `aws:SourceVpc`
+ `aws:SourceVpce`
+ `aws:UserAgent`
+ `aws:VpcSourceIp`
Para obter mais informações sobre essas chaves, consulte o [Guia do usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#Condition).
## Requisitos de política
As políticas devem atender a todos os seguintes requisitos:
+ Cada política deve incluir pelo menos uma instrução.
+ Cada política deve incluir pelo menos um elemento principal válido.
+ Cada política deve especificar um recurso, e esse recurso deve ser o ARN da identidade à qual a política está anexada.
+ Os proprietários de identidade podem associar até 20 políticas a cada identidade exclusiva.
+ As políticas não podem exceder 4 kilobytes (KB) de tamanho.
+ Os nomes de política não podem exceder 64 caracteres. Além disso, eles só podem incluir caracteres alfanuméricos, traços e sublinhados.
# Criar uma política de autorização de identidade no Amazon SES
Uma política de autorização de identidade é composta por declarações que especificam quais ações de API são permitidas ou negadas para uma identidade e em quais condições.
Para autorizar um domínio ou uma identidade de endereço de e-mail do Amazon SES da qual você seja proprietário, crie uma política de autorização e, depois, anexe essa política à identidade. Uma identidade do pode ter zero, uma ou várias políticas. No entanto, uma única política só pode ser associada a uma única identidade.
Para ver uma lista de ações de API que podem ser usadas em uma política de autorização de identidade, consulte a linha *Ação* na tabela [Instruções específicas da política](policy-anatomy.md#identity-authorization-policy-statements).
Você pode criar uma política de autorização de identidade das seguintes formas:
+ **Ao usar o gerador de políticas**: você pode criar uma política simples usando o gerador de políticas no console do SES. Além de permitir ou negar permissões nas ações da API do SES, você pode restringir as ações com condições. Você também pode usar o gerador de políticas para criar com rapidez a estrutura básica de uma política e personalizá-la mais tarde editando a política.
+ **Criando uma política personalizada** — Se você quiser incluir condições mais avançadas ou usar um AWS serviço como principal, você pode criar uma política personalizada e anexá-la à identidade usando o console do SES ou a API do SES.
**Topics**
+ [Uso do gerador de políticas](using-policy-generator.md)
+ [Criação de uma política personalizada](creating-custom-policy.md)
# Uso do gerador de políticas
Você pode usar o gerador de políticas para criar uma política de autorização simples usando as etapas a seguir.
**Para criar uma política usando o gerador de políticas**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação, em **Configuração**, selecione **Identidades verificadas**.
1. No contêiner **Identidades** da tela **Identidades**, selecione a identidade verificada para a qual deseja criar uma política de autorização.
1. Na tela de detalhes da identidade verificada selecionada na etapa anterior, escolha a guia **Authorization** (Autorização).
1. No painel **Authorization policies** (Políticas de autorização), selecione **Create policy** (Criar política) e **Use policy generator** (Usar gerador de políticas) no menu suspenso.
1. No painel **Create statement** (Criar instrução), escolha **Allow** (Permitir) no campo **Effect** (Efeito). (Se você quiser criar uma política para restringir essa identidade, selecione **Deny** (Negar) em vez disso.)
1. **No campo **Diretores**, insira o *Conta da AWS ID*, o *ARN do usuário do IAM* AWS ou o serviço para receber as permissões que você deseja autorizar para essa identidade e escolha Adicionar.** (Se você deseja autorizar mais de um, repita esta etapa para cada um.)
1. No campo **Actions** (Ações), marque a caixa de seleção para cada ação que você gostaria de autorizar para suas entidades principais.
1. (Opcional) Expanda **Specify conditions** (Especificar condições) se você quiser adicionar uma declaração de qualificação à permissão.
1. Selecione um operador no menu suspenso **Operator** (Operador).
1. Selecione um tipo no menu suspenso **Key** (Chave).
1. Em relação ao tipo de chave que você selecionou, insira o valor no campo **Value** (Valor). (Se você quiser adicionar mais condições, escolha **Add new condition** (Adicionar nova condição) e repita essa etapa para cada adicional.)
1. Escolha **Save statement** (Salvar instrução).
1. (Opcional) Expanda **Create another statement** (Criar outra instrução) se você quiser adicionar mais instruções à sua política, e repita as etapas de 6 a 10.
1. Escolha **Próximo** e, na tela **Personalizar política**, o contêiner **Editar detalhes da política** tem campos em que você pode alterar ou personalizar o **Nome** da política e o próprio **Documento da política**.
1. Selecione **Next** (Próximo) e na tela **Review and apply** (Revisar e aplicar), o contêiner **Overview** (Visão geral) mostrará a identidade verificada que você está autorizando, bem como o nome dessa política. No painel **Policy document** (Documento da política) estará a política real que você acabou de escrever, junto com todas as condições que você adicionou. Revise a política e, se ela parecer correta, escolha **Apply policy** (Aplicar política). (Se você precisa alterar ou corrigir alguma coisa, escolha **Previoues** (Anterior) e trabalhe no contêiner **Edit policy details** (Editar detalhes da política).)
# Criação de uma política personalizada
Se você desejar criar uma política personalizada e anexá-la a uma identidade, tem as seguintes opções:
+ **Usando a API do Amazon SES**: crie uma política em um editor de texto e, em seguida, anexe a política à identidade usando a API `PutIdentityPolicy` descrita na [Referência da API do Amazon Simple Email Service](https://docs.aws.amazon.com/ses/latest/APIReference/).
+ **Como usar o console do Amazon SES**: crie uma política em um editor de texto e anexe-a a uma identidade colando-a no editor de políticas personalizadas no console do Amazon SES. O procedimento a seguir descreve esse método.
**Para criar uma política personalizada usando o editor de políticas personalizadas**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação, em **Configuração**, selecione **Identidades verificadas**.
1. No contêiner **Identidades** da tela **Identidades**, selecione a identidade verificada para a qual deseja criar uma política de autorização.
1. Na tela de detalhes da identidade verificada selecionada na etapa anterior, escolha a guia **Authorization** (Autorização).
1. No painel **Authorization policies** (Políticas de autorização), selecione **Create policy** (Criar política) e **Create custom policy** (Criar política personalizada) no menu suspenso.
1. No painel **Policy document** (Documento de política), digite ou cole o texto de sua política no formato JSON. Você também pode usar o gerador de políticas para criar rapidamente a estrutura básica de uma política e personalizá-la aqui.
1. Selecione **Aplicar política**. (Se você precisar modificar sua política personalizada, basta marcar a caixa de seleção abaixo da guia **Authorization** (Autorização), escolher **Edit** (Editar) e fazer as alterações no painel **Policy document** (Documento de política) seguido de **Save changes** (Salvar as alterações).
# Exemplos de políticas de identidade no Amazon SES
A autorização de identidade permite que você especifique as condições detalhadas nas quais você permite ou nega ações de API para uma identidade.
**Topics**
+ [Especificar a entidade principal](#identity-authorization-policy-example-delegate-user)
+ [Restringir a ação](#sending-authorization-policy-example-restricting-action)
+ [Uso de várias instruções](#identity-authorization-policy-example-multiple-statements)
## Especificar a entidade principal
O *principal*, que é a entidade à qual você está concedendo permissão, pode ser um Conta da AWS usuário AWS Identity and Access Management (IAM) ou um AWS serviço que pertença à mesma conta.
*O exemplo a seguir mostra uma política simples que permite que a AWS ID *123456789012* controle a identidade verificada *example.com*, que também pertence a 123456789012. Conta da AWS *
------
#### [ JSON ]
****
```
{
"Id":"SampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeMarketer",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"123456789012"
]
},
"Action":[
"ses:DeleteEmailIdentity",
"ses:PutEmailIdentityDkimSigningAttributes"
]
}
]
}
```
------
O seguinte exemplo de política concede permissão a dois usuários para controlar a identidade verificada *example.com*. Os usuários são especificados pelo Nome do recurso da Amazon (ARN).
------
#### [ JSON ]
****
```
{
"Id":"ExampleAuthorizationPolicy",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AuthorizeIAMUser",
"Effect":"Allow",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal":{
"AWS":[
"arn:aws:iam::123456789012:user/John",
"arn:aws:iam::123456789012:user/Jane"
]
},
"Action":[
"ses:DeleteEmailIdentity",
"ses:PutEmailIdentityDkimSigningAttributes"
]
}
]
}
```
------
## Restringir a ação
Há várias ações que podem ser especificadas em uma política de autorização de identidade, dependendo do nível de controle que você deseja autorizar:
```
1. "BatchGetMetricData",
2. "ListRecommendations",
3. "CreateDeliverabilityTestReport",
4. "CreateEmailIdentityPolicy",
5. "DeleteEmailIdentity",
6. "DeleteEmailIdentityPolicy",
7. "GetDomainStatisticsReport",
8. "GetEmailIdentity",
9. "GetEmailIdentityPolicies",
10. "PutEmailIdentityConfigurationSetAttributes",
11. "PutEmailIdentityDkimAttributes",
12. "PutEmailIdentityDkimSigningAttributes",
13. "PutEmailIdentityFeedbackAttributes",
14. "PutEmailIdentityMailFromAttributes",
15. "TagResource",
16. "UntagResource",
17. "UpdateEmailIdentityPolicy"
```
As políticas de autorização de identidade também permitem restringir a entidade principal a apenas uma dessas ações.
------
#### [ JSON ]
****
```
{
"Id": "ExamplePolicy",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ControlAction",
"Effect": "Allow",
"Resource": "arn:aws:ses:us-east-1:123456789012:identity/example.com",
"Principal": {
"AWS": [
"123456789012"
]
},
"Action": [
"ses:PutEmailIdentityMailFromAttributes"
]
}
]
}
```
------
## Uso de várias instruções
Sua política de autorização de identidade pode incluir várias declarações. O exemplo de política a seguir contém duas instruções. A primeira declaração nega que dois usuários acessem `getemailidentity` a partir de *sender@example.com* na mesma conta `123456789012`. A segunda declaração nega `UpdateEmailIdentityPolicy` para a entidade principal, *Jack*, na mesma conta `123456789012`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"DenyGet",
"Effect":"Deny",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com",
"Principal":{
"AWS":[
"arn:aws:iam::123456789012:user/John",
"arn:aws:iam::123456789012:user/Jane"
]
},
"Action":[
"ses:GetEmailIdentity"
]
},
{
"Sid":"DenyUpdate",
"Effect":"Deny",
"Resource":"arn:aws:ses:us-east-1:123456789012:identity/sender@example.com",
"Principal":{
"AWS":"arn:aws:iam::123456789012:user/Jack"
},
"Action":[
"ses:UpdateEmailIdentityPolicy"
]
}
]
}
```
------
# Gerenciar suas políticas de autorização de identidade no Amazon SES
Além de criar e anexar políticas a identidades, você pode editar, remover, listar e recuperar as políticas de uma identidade, como descrito nas seções a seguir.
## Gerenciar políticas usando o console do Amazon SES
O gerenciamento de políticas do Amazon SES consiste em exibir, editar ou excluir uma política anexada a uma identidade usando o console do Amazon SES.
**Para gerenciar políticas usando o console do Amazon SES**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SES em [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. No painel de navegação, escolha **Verified identities (Identidades verificadas)**.
1. Na lista de identidades, escolha a identidade que você quer gerenciar.
1. Na página Identity details, vá até a guia **Authorization** (Autorização). Aqui você encontrará uma lista de todas as políticas anexadas a essa identidade.
1. Selecione a política que você deseja gerenciar marcando a caixa de seleção.
1. Dependendo da tarefa de gerenciamento desejada, escolha o respectivo botão da seguinte forma:
1. Para exibir a política, escolha**View policy** (Visualizar política). Se precisar de uma cópia dela, escolha o botão **Copy** (Copiar) e ela será copiada na área de transferência.
1. Para editar a política, escolha **Edit** (Editar). No painel **Policy document** (Documento da Política), edite a política e, em seguida, escolha **Save changes** (Salvar alterações).
**nota**
Para revogar permissões, você pode editar a política ou removê-la.
1. Para remover a política, escolha **Delete** (Excluir).
**Importante**
A remoção de uma política é permanente. Recomendamos que você faça backup da política copiando e colando-a em um arquivo de texto antes de removê-la.
## Gerenciar políticas usando a API do Amazon SES
O gerenciamento de políticas do Amazon SES consiste em exibir, editar ou excluir uma política anexada a uma identidade usando a API do Amazon SES.
**Para listar e visualizar políticas usando a API do Amazon SES**
+ Você pode listar as políticas anexadas a uma identidade usando a [operação da ListIdentityPolicies API](https://docs.aws.amazon.com/ses/latest/APIReference/API_ListIdentityPolicies.html). Você também pode recuperar as próprias políticas usando a [operação da GetIdentityPolicies API](https://docs.aws.amazon.com/ses/latest/APIReference/API_GetIdentityPolicies.html).
**Para editar uma política usando a API do Amazon SES**
+ Você pode editar uma política anexada a uma identidade usando a [operação da PutIdentityPolicy API](https://docs.aws.amazon.com/ses/latest/APIReference/API_PutIdentityPolicy.html).
**Para excluir uma política usando a API do Amazon SES**
+ Você pode excluir uma política anexada a uma identidade usando a [operação da DeleteIdentityPolicy API](https://docs.aws.amazon.com/ses/latest/APIReference/API_DeleteIdentityPolicy.html).