本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Amazon SES 中创建身份授权策略
<a name="identity-authorization-policies-creating"></a>

身份授权策略由声明组成，这些声明指定允许或拒绝对身份执行哪些 API 操作，以及在哪些条件下允许或拒绝执行这些 API 操作。

要授权使用您拥有的 Amazon SES 域或电子邮件地址身份，您必须创建授权策略，然后将该策略附加到身份。一个身份可以有零个、一个或多个策略。但是，一个策略只能与一个身份关联。

有关可在身份授权策略中使用的 API 操作的列表，请参阅[特定于策略的语句](policy-anatomy.md#identity-authorization-policy-statements)表中的 *Action*（操作）行。

您可以通过下列方法来创建身份授权策略：
+ **通过使用策略生成器** - 您可以在 SES 控制台中使用策略生成器创建简单的策略。除了允许或拒绝对 SES API 操作的权限外，您还可以使用条件限制操作。您还可以使用策略生成器快速创建策略的基本结构，然后通过编辑策略对其进行自定义。
+ **通过创建自定义策略** — 如果您想包含更高级的条件或使用 AWS 服务作为委托人，则可以使用 SES 控制台或 SES API 创建自定义策略并将其附加到身份。

**Topics**
+ [使用策略生成器](using-policy-generator.md)
+ [创建自定义策略](creating-custom-policy.md)

# 使用策略生成器
<a name="using-policy-generator"></a>

您可以使用策略生成器创建简单授权策略，步骤如下。

**使用策略生成器创建策略**

1. 登录 AWS 管理控制台 并打开 Amazon SES 控制台，网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。

1. 在导航窗格中的**配置**下，选择**身份**。

1. 在**身份**屏幕上的**身份**容器中，选择您希望为之创建授权策略的已验证身份。

1. 在上一步中选择的已验证身份的详细信息屏幕中，选择 **Authorization**（授权）选项卡。

1. 在 **Authorization policies**（授权策略）窗格中，选择 **Create policy**（创建策略），并从下拉列表中选择 **Use policy generator**（使用策略生成器）。

1. 在 **Create statement**（创建语句）窗格中，选择 **Effect**（效果）字段中的 **Allow**（允许）。（如果要创建策略以限制此身份，请改为选择 **Deny**（拒绝）。）

1. **在**委托人**字段中，输入要获得您要为该*AWS 账户 身份授权的权限的 ID*、*IAM 用户 ARN* AWS 或服务，然后选择添加。**（如果您希望授权多个委托人，请为每个委托人重复此步骤。）

1. 在 **Actions**（操作）字段中，选中要为委托人授权的每种操作对应的复选框。

1. （可选）如果希望向权限添加限定语句，请展开 **Specify conditions**（指定条件）。

   1. 从 **Operator**（运算符）下拉菜单中选择运算符。

   1. 从 **Key**（类型）下拉菜单中选择类型。

   1. 根据您选择的键类型，在 **Value**（值）字段中输入其值。（如果想添加更多条件，请选择 **Add new condition**（添加新条件），然后为每个额外的步骤重复此步骤。）

1. 选择 **Save statement**（保存语句）。

1. （可选）如果希望向策略中添加更多语句，请展开 **Create another statement**（创建另一个语句），并重复步骤 6 - 10。

1. 选择**下一步**，则**自定义策略**屏幕中，**编辑策略详细信息**容器将具有您可以自己更改或自定义策略的**名称**和**策略文档**的字段。

1. 选择 **Next**（下一步），在 **Review and apply**（查看并应用）屏幕上，**Overview**（概述）容器将显示您要授权的已验证身份以及此策略的名称。在 **Policy document**（策略文档）窗格将是您刚刚写的实际政策以及您添加的任何条件——查看策略，如果看起来正确，请选择 **Apply policy**（申请策略）。（如果您需要更改或更正某些内容，请选择 **Previous**（上一页）并在 **Edit policy details**（编辑策略详细信息）容器中操作。）

# 创建自定义策略
<a name="creating-custom-policy"></a>

如果要创建自定义策略并将其附加到身份，您有以下选择：
+ **使用 Amazon SES API** – 在文本编辑器中创建策略，然后使用 [Amazon Simple Email Service API 参考](https://docs.aws.amazon.com/ses/latest/APIReference/)中所述的 `PutIdentityPolicy` API 将策略附加到身份。
+ **使用 Amazon SES 控制台** – 在文本编辑器中创建策略，并在 Amazon SES 控制台中将其粘贴到自定义策略编辑器，将策略附加到身份。以下步骤介绍这种方法。



**使用自定义策略编辑器创建自定义策略**

1. 登录 AWS 管理控制台 并打开 Amazon SES 控制台，网址为[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)。

1. 在导航窗格中的**配置**下，选择**身份**。

1. 在**身份**屏幕上的**身份**容器中，选择您希望为之创建授权策略的已验证身份。

1. 在上一步中选择的已验证身份的详细信息屏幕中，选择 **Authorization**（授权）选项卡。

1. 在 **Authorization policies**（授权策略）窗格中，选择 **Create policy**（创建策略），并从下拉列表中选择 **Create custom policy**（创建自定义策略）。

1. 在 **Policy document**（策略文档）窗格中，键入或粘贴 JSON 格式的策略文本。您还可以使用策略生成器快速创建策略的基本结构，然后在此处对其进行自定义。

1. 选择**应用策略**。（如果您需要修改自定义策略，只需在 **Authorization**（授权）选项卡，选择 **Edit**（编辑），然后在 **Policy document**（策略文档）窗格中更改，然后是窗格 **Save changes**（保存更改）。