Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identity and Access Management in Amazon S3
Sie können AWS Identity and Access Management (IAM) mit Amazon Simple Email Service (Amazon SES) verwenden, um anzugeben, welche SES-API-Aktionen ein Benutzer, eine Gruppe oder eine Rolle ausführen kann. (In diesem Thema bezeichnen wir diese Entitäten zusammen als *Benutzer*.) Sie können auch steuern, welche E-Mail-Adressen der Benutzer für die Adressen "From", Empfänger und "Return-Path" der E-Mails verwenden kann.
Sie können beispielsweise eine IAM-Richtlinie erstellen, die Benutzern in Ihrer Organisation ermöglicht, E-Mails zu senden, aber keine administrativen Aktionen, wie die Überprüfung von Sendestatistiken, durchzuführen. Ein weiteres Beispiel: Sie können eine Richtlinie schreiben, mit der ein Benutzer E-Mails über SES von Ihrem Konto senden kann, aber nur, wenn eine bestimmte "From"-Adresse verwendet wird.
Zur Verwendung von IAM definieren Sie eine IAM-Richtlinie, also ein Dokument, das explizit Berechtigungen definiert, und die Richtlinie einem Benutzer zuweist. Weitere Informationen zum Erstellen von IAM-Richtlinien finden Sie im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_overview.html). Abgesehen vom Anwenden der Einschränkungen, die Sie in Ihrer Richtlinie festlegen, gibt es keine Änderungen daran, wie Benutzer mit SES interagieren oder darin, wie SES Anfragen ausführt.
**Anmerkung**
Befindet sich Ihr Konto in der SES-Sandbox, verhindern seine Einschränkungen die Implementierung einiger dieser Richtlinien – siehe [Anfordern von Produktionszugriff.](request-production-access.md).
Sie können auch mithilfe von Sendeautorisierungsrichtlinien den Zugriff auf SES steuern. Während IAM-Richtlinien regeln, welche Aufgaben einzelne Benutzer ausführen können, beschränken Sendeautorisierungsrichtlinien, wie individuell verifizierte Identitäten verwendet werden können. Darüber hinaus können nur Sendeautorisierungsrichtlinien kontenübergreifenden Zugriff gewähren. Weitere Informationen zur Sendeautorisierung finden Sie unter [Verwenden der Sendeautorisierung mit Amazon SES](sending-authorization.md).
Wenn Sie erfahren möchten, wie SES-SMTP-Anmeldeinformationen für einen bestehenden Benutzer generiert werden, lesen Sie unter [Abrufen Ihrer Amazon-SES-SMTP-Anmeldeinformationen](smtp-credentials.md) nach.
## Erstellen von IAM-Richtlinien für den Zugriff auf SES
In diesem Abschnitt wird erklärt, wie Sie IAM-Richtlinien speziell mit SES verwenden können. Weitere allgemeine Informationen zum Erstellen von IAM-Richtlinien finden Sie im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html).
Es gibt drei Gründe, IAM ggf. mit SES zu verwenden:
+ Um den E-Mail-Versand einzuschränken.
+ Um die Adressen "From", Empfänger und "Return-Path" der E-Mails zu beschränken, die der Benutzer sendet.
+ Um allgemeine Aspekte der API-Nutzung zu kontrollieren, z. B. den Zeitraum, in dem ein Benutzer das anrufen darf APIs , zu dessen Nutzung er berechtigt ist.
### Beschränken der Aktion
Um zu steuern, welche SES-Aktionen ein Benutzer durchführen kann, verwenden Sie das `Action`-Element einer IAM-Richtlinie. Sie können das `Action`-Element auf eine beliebige SES-API-Aktion festlegen, indem Sie dem API-Namen die kleingeschriebene Zeichenfolge `ses:` voranstellen. Sie können beispielsweise `Action` auf `ses:SendEmail`, `ses:GetSendStatistics` oder `ses:*` festlegen (für alle Aktionen).
Geben Sie dann je nach `Action` das `Resource`-Element wie folgt an:
**Falls das `Action` Element nur den Zugriff auf das Senden von E-Mails erlaubt APIs (d. h. `ses:SendEmail` und/oder`ses:SendRawEmail`):**
+ Um dem Benutzer das Senden von einer beliebigen Identität in Ihrer zu ermöglichen AWS-Konto, setzen `Resource` Sie ihn auf \$1
+ Um die Identitäten einzuschränken, von denen aus ein Benutzer senden darf, legen Sie den `Resource` Wert auf die ARNs Identitäten fest, deren Verwendung Sie dem Benutzer gestatten.
**Wenn das `Action` Element den Zugriff auf alle erlaubt: APIs**
+ Wenn Sie die Identitäten, von denen der Benutzer senden kann, nicht beschränken möchten, setzen Sie `Resource` auf \$1.
+ Wenn Sie die Identitäten, von denen ein Benutzer senden darf, beschränken möchten, müssen Sie zwei Richtlinien (oder zwei Anweisungen innerhalb einer Richtlinie) erstellen:
+ Eins, das auf eine explizite Liste der erlaubten Elemente `Resource` gesetzt non-email-sending APIs und auf \$1 gesetzt ist `Action`
+ Eine, die auf eine der E-Mails sendenden APIs (`ses:SendEmail`und/oder`ses:SendRawEmail`) und auf die ARN (s) der Identitäten `Resource` gesetzt ist, deren Verwendung Sie dem Benutzer gestatten. `Action`
Eine Liste der verfügbaren SES-Aktionen finden Sie in der [Amazon Simple Email Service API Reference](https://docs.aws.amazon.com/ses/latest/APIReference/). Wenn der Benutzer die SMTP-Schnittstelle verwenden möchte, müssen Sie mindestens den Zugriff auf `ses:SendRawEmail` erlauben.
### Beschränken von E-Mail-Adressen
Wenn Sie den Benutzer auf bestimmte E-Mail-Adressen beschränken möchten, können Sie einen `Condition`-Block verwenden. Im `Condition`-Block geben Sie Bedingungen mithilfe von Bedingungsschlüsseln an, wie im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#Condition) beschrieben. Durch die Nutzung von Bedingungsschlüsseln können Sie die folgenden E-Mail-Adressen steuern:
**Anmerkung**
Diese Bedingungsschlüssel für E-Mail-Adressen gelten nur für die in der folgenden APIs Tabelle aufgeführten.
****
| Bedingungsschlüssel | Description | API |
| --- | --- | --- |
| `ses:Recipients` | Beschränkt die Empfängeradressen, einschließlich der Adressen "To", "CC" und "BCC". | `SendEmail`, `SendRawEmail` |
| `ses:FromAddress` | Beschränkt die "From"-Adresse. | `SendEmail`, `SendRawEmail`, `SendBounce` |
| `ses:FromDisplayName` | Beschränkt die "From"-Adresse, die als Anzeigename verwendet wird. | `SendEmail`, `SendRawEmail` |
| `ses:FeedbackAddress` | Beschränkt die "Return-Path"-Adresse. Dies ist die Adresse, an die Unzustellbarkeitsnachrichten und Beschwerden an Sie anhand von Feedback-E-Mails weitergeleitet werden können. Weitere Informationen zum Weiterleiten von Feedback per E-Mail finden Sie unter [Verwenden von Benachrichtigungen für den Amazon-SES-E-Mail-Empfang](monitor-sending-activity-using-notifications-email.md). | `SendEmail`, `SendRawEmail` |
| `ses:MultiRegionEndpointId` | Ermöglicht es Ihnen zu steuern, welche Endpunkt-ID beim Senden von E-Mails verwendet wird | `SendEmail`, `SendBulkEmail` |
### Einschränken durch die SES-API-Version
Durch die Verwendung des `ses:ApiVersion`-Schlüssels in Bedingungen können Sie den Zugriff auf SES basierend auf der Version der SES API einschränken.
**Anmerkung**
Die SES-SMTP-Schnittstelle verwendet SES API Version 2 von `ses:SendRawEmail`.
### Beschränken der allgemeinen API-Nutzung
Durch die Verwendung von AWS-weiten Schlüsseln in Bedingungen können Sie den Zugriff auf SES anhand von Aspekten wie Datum und Uhrzeit einschränken, auf die der Benutzer Zugriff APIs hat. SES implementiert nur die folgenden AWS-weiten Richtlinienschlüssel:
+ `aws:CurrentTime`
+ `aws:EpochTime`
+ `aws:SecureTransport`
+ `aws:SourceIp`
+ `aws:SourceVpc`
+ `aws:SourceVpce`
+ `aws:UserAgent`
+ `aws:VpcSourceIp`
Weitere Informationen zu diesen Schlüsseln finden Sie im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#Condition).
## Beispiel-IAM-Richtlinien für SES
In diesem Thema finden Sie Beispiele für Richtlinien, die einen Benutzerzugriff auf SES ermöglichen, jedoch nur unter bestimmten Bedingungen.
**Topics**
+ [Berechtigen von Vollzugriff auf alle SES-Aktionen](#iam-and-ses-examples-full-access)
+ [Zulassen des Zugriffs nur auf SES API Version 2](#iam-and-ses-examples-access-specific-ses-api-version)
+ [Erlauben von Zugriff nur auf Aktionen für den E-Mail-Versand](#iam-and-ses-examples-email-sending-actions)
+ [Beschränken des Sendezeitraums](#iam-and-ses-examples-time-period)
+ [Beschränken der Empfängeradressen](#iam-and-ses-examples-recipients)
+ [Beschränken der "From"-Adresse](#iam-and-ses-examples-from-address)
+ [Beschränken des Anzeigenamens des E-Mail-Absenders](#iam-and-ses-examples-display-name)
+ [Beschränken der Zieladresse des Unzustellbarkeits- und Beschwerde-Feedbacks](#iam-and-ses-examples-feedback)
### Berechtigen von Vollzugriff auf alle SES-Aktionen
Mit der folgenden Richtlinie können Benutzer jede beliebige SES-Aktion aufrufen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:*"
],
"Resource":"*"
}
]
}
```
------
### Zulassen des Zugriffs nur auf SES API Version 2
Mit der folgenden Richtlinie können Benutzer nur die SES-Aktionen der API Version 2 aufrufen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:*"
],
"Resource":"*",
"Condition": {
"StringEquals" : {
"ses:ApiVersion" : "2"
}
}
}
]
}
```
------
### Erlauben von Zugriff nur auf Aktionen für den E-Mail-Versand
Mit der folgenden Richtlinie kann ein Benutzer E-Mails mithilfe von SES senden, aber keine administrativen Aktionen durchführen, wie z. B. den Zugriff auf SES-Sendestatistiken.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource":"*"
}
]
}
```
------
### Beschränken des Sendezeitraums
Die folgende Richtlinie erlaubt es einem Benutzer, SES APIs nur im September 2018 anzurufen, um E-Mails zu senden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource":"*",
"Condition":{
"DateGreaterThan":{
"aws:CurrentTime":"2018-08-31T12:00Z"
},
"DateLessThan":{
"aws:CurrentTime":"2018-10-01T12:00Z"
}
}
}
]
}
```
------
### Beschränken der Empfängeradressen
*Die folgende Richtlinie erlaubt es einem Benutzer, SES-E-Mail-Versand anzurufen APIs, jedoch nur an Empfängeradressen in der Domain *example.com* (`StringLike`Groß- und Kleinschreibung wird beachtet).*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource":"*",
"Condition":{
"ForAllValues:StringLike":{
"ses:Recipients":[
"*@example.com"
]
}
}
}
]
}
```
------
### Beschränken der "From"-Adresse
*Die folgende Richtlinie erlaubt es einem Benutzer, SES-E-Mail-Versand anzurufen APIs, jedoch nur, wenn die Absenderadresse marketing@example.com lautet.*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"ses:FromAddress":"marketing@example.com"
}
}
}
]
}
```
------
*Die folgende Richtlinie erlaubt es einem Benutzer, die [SendBounce](https://docs.aws.amazon.com/ses/latest/APIReference/API_SendBounce.html)API aufzurufen, jedoch nur, wenn die Absenderadresse bounce@example.com lautet.*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:SendBounce"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"ses:FromAddress":"bounce@example.com"
}
}
}
]
}
```
------
### Beschränken des Anzeigenamens des E-Mail-Absenders
Die folgende Richtlinie erlaubt es einem Benutzer, SES-E-Mail-Versand anzurufen APIs, jedoch nur, wenn der Anzeigename der Absenderadresse *Marketing* enthält (Groß- und *Kleinschreibung `StringLike` wird beachtet*).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource":"*",
"Condition":{
"StringLike":{
"ses:FromDisplayName":"Marketing"
}
}
}
]
}
```
------
### Beschränken der Zieladresse des Unzustellbarkeits- und Beschwerde-Feedbacks
*Die folgende Richtlinie erlaubt es einem Benutzer, SES-E-Mail-Versand anzurufen APIs, allerdings nur, wenn der „Return-Pfad“ der E-Mail auf feedback@example.com gesetzt ist.*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ses:SendEmail",
"ses:SendRawEmail"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"ses:FeedbackAddress":"feedback@example.com"
}
}
}
]
}
```
------