Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Anatomía de las políticas de Amazon SES
<a name="policy-anatomy"></a>

Las directivas se adhieren a una estructura específica, contienen elementos y deben cumplir ciertos requisitos.

## Estructura de la política
<a name="identity-authorization-policy-structure"></a>

Cada política de autorización es un documento JSON asociado a una identidad. Cada política incluye las siguientes secciones.
+ Información aplicable a toda la política en la parte superior del documento.
+ Una o varias instrucciones individuales, cada una de las cuales describe un conjunto de permisos.

*El siguiente ejemplo de política otorga al ID de AWS cuenta *123456789012* los permisos especificados en la sección *Acción para el dominio* verificado example.com.*

------
#### [ JSON ]

****  

```
{
  "Id":"ExampleAuthorizationPolicy",
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Sid":"AuthorizeAccount",
      "Effect":"Allow",
      "Resource":"arn:aws:ses:us-east-1:123456789012:identity/example.com",
      "Principal":{
        "AWS":[
          "123456789012"
        ]
      },
      "Action":[
        "ses:GetEmailIdentity",
        "ses:UpdateEmailIdentityPolicy",
        "ses:ListRecommendations",
        "ses:CreateEmailIdentityPolicy",
        "ses:DeleteEmailIdentity"
      ]
    }
  ]
}
```

------

Encontrará más ejemplos de política de autorización en [Ejemplos de políticas de identidad](identity-authorization-policy-examples.md).

## Elementos de una política
<a name="identity-authorization-policy-elements"></a>

Esta sección describe los elementos que contienen las políticas de autorización de identidad. En primer lugar, describimos elementos aplicables a toda la política y, a continuación, describimos los elementos que se aplican únicamente a la instrucción en la que están incluidos. Se sigue con una exposición sobre cómo añadir condiciones a sus instrucciones.

Para obtener información específica acerca de la sintaxis de los elementos, consulte [Gramática del lenguaje de las políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies-grammar.html) en la *Guía del usuario de IAM*.

### Información aplicable a toda la política
<a name="identity-authorization-policy-policy-wide"></a>

Existen dos elementos a escala de política: `Id` y `Version`. La tabla siguiente proporciona información acerca de estos elementos.


****  

|  Name  |  Description (Descripción)  |  Obligatorio  |  Valores válidos  | 
| --- | --- | --- | --- | 
|  `Id`  | Identifica de forma exclusiva la política. | No | Cualquier cadena | 
|  `Version`  | Especifica la versión de idioma de acceso de la política. | No | Cualquier cadena. Como práctica recomendada, le aconsejamos que incluya este campo con un valor de "2012-10-17". | 

### Instrucciones específicas de la política
<a name="identity-authorization-policy-statements"></a>

Las políticas de autorización de identidad requieren al menos una instrucción. Cada instrucción puede incluir los elementos que se describen en la siguiente tabla.


****  

|  Name  |  Description (Descripción)  |  Obligatorio  |  Valores válidos  | 
| --- | --- | --- | --- | 
|  `Sid`  | Identifica de forma exclusiva la instrucción. | No | Cualquier cadena. | 
|  `Effect`  | Especifica el resultado que desea que devuelva la instrucción de política en tiempo de evaluación. | Sí | "Allow" o "Deny". | 
|  `Resource`  | Especifica la identidad a la que se aplica la política.<br />(Esta es la dirección de correo electrónico o dominio que el propietario de identidad autoriza utilizar al remitente delegado para [autorización de envío](sending-authorization-identity-owner-tasks-policy.md)). | Sí | El nombre de recurso de Amazon (ARN) de la identidad. | 
|  `Principal`  | Especifica el Cuenta de AWS usuario o el AWS servicio que recibe el permiso en la declaración. | Sí | Un Cuenta de AWS ID, un ARN de usuario o AWS un servicio válidos. Cuenta de AWS IDs y el usuario ARNs se especifican mediante `"AWS"` (por ejemplo, `"AWS": ["123456789012"]` o`"AWS": ["arn:aws:iam::123456789012:root"]`). AWS los nombres de los servicios se especifican mediante `"Service"` (por ejemplo,`"Service": ["cognito-idp.amazonaws.com"]`). <br />Para ver ejemplos del formato de usuario ARNs, consulte [Referencia general de AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-iam.html). | 
|  `Action`  | Especifica la acción a la que se refiere la instrucción. | Sí | «ses: BatchGetMetricData «, «ses: CancelExportJob «, CreateDeliverabilityTestReport «ses: «, CreateEmailIdentityPolicy «ses: «, CreateExportJob «ses: DeleteEmailIdentity «, «ses: DeleteEmailIdentityPolicy «, «ses: GetDomainStatisticsReport «, «ses: GetEmailIdentity «, "ses: GetEmailIdentityPolicies «, GetExportJob «ses: «, ListExportJobs «ses: ListRecommendations «, «ses: PutEmailIdentityConfigurationSetAttributes «, «ses: PutEmailIdentityDkimAttributes «, «ses: PutEmailIdentityDkimSigningAttributes «, PutEmailIdentityFeedbackAttributes «ses: «, PutEmailIdentityMailFromAttributes «ses: «, TagResource «ver: UntagResource «, «ver:UpdateEmailIdentityPolicy»<br />([Envío de acciones de autorización](sending-authorization-identity-owner-tasks-policy.md): «ses: SendEmail «, «ses: SendRawEmail «, «ses: SendTemplatedEmail «, «ses: SendBulkTemplatedEmail «)<br />Puede especificar una o varias de estas operaciones.  | 
|  `Condition`  | Especifica alguna limitación o información sobre el permiso. | No | Consulte la información acerca de las condiciones siguiendo esta tabla. | 

### Condiciones
<a name="identity-authorization-policy-conditions"></a>

Una *condición* es cualquier restricción sobre el permiso en la instrucción. La parte de la instrucción que especifica las condiciones puede ser la más detallada de todas las partes. Una *clave* es la característica específica que es la base para la restricción de acceso, como la fecha y hora de la solicitud.

Las condiciones y las claves se utilizan conjuntamente para expresar la restricción. Por ejemplo, si desea impedir que el remitente delegado realice solicitudes a Amazon SES en su nombre después del 30 de julio de 2019, utilice la condición denominada `DateLessThan`. Usted utiliza la clave denominada `aws:CurrentTime` y la define con el valor `2019-07-30T00:00:00Z`. 

SES implementa solo las siguientes claves AWS de política generales:
+ `aws:CurrentTime`
+ `aws:EpochTime`
+ `aws:SecureTransport`
+ `aws:SourceIp`
+ `aws:SourceVpc`
+ `aws:SourceVpce`
+ `aws:UserAgent`
+ `aws:VpcSourceIp`

Para obtener más información acerca de estas claves, consulte la [Guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#Condition).

## Requisitos de la política
<a name="identity-authorization-policy-restrictions"></a>

Las políticas deben cumplir todos los requisitos siguientes:
+ Cada política tiene que incluir al menos una instrucción.
+ Cada política tiene que incluir al menos una entidad principal válida.
+ Cada política tiene que especificar un recurso y ese recurso debe ser el ARN de la identidad a la que está asociada la política.
+ Los propietarios de identidad pueden asociar hasta 20 políticas con cada identidad única.
+ Las políticas no pueden tener más de 4 kilobytes (KB) de tamaño.
+ Los nombres de política no pueden superar los 64 caracteres. Además, solo pueden incluir caracteres alfanuméricos, guiones y guiones bajos.