Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Die Richtlinien in diesem Kapitel dienen als zentrale Referenz für die Richtlinien, die zur Nutzung der verschiedenen Funktionen von Mail Manager erforderlich sind.
Auf den Seiten mit den Funktionen von Mail Manager finden Sie Links, über die Sie zu dem entsprechenden Abschnitt auf dieser Seite gelangen, der die Richtlinien enthält, die Sie für die Nutzung der Funktion benötigen. Wählen Sie das Symbol zum Kopieren der gewünschten Richtlinie aus und fügen Sie es wie in der Beschreibung der jeweiligen Funktion beschrieben ein.
Die folgenden Richtlinien geben Ihnen die Erlaubnis, die verschiedenen Funktionen von Amazon SES Mail Manager durch Richtlinien und AWS Secrets Manager Richtlinien für Ressourcenberechtigungen zu nutzen. Wenn Sie mit den Genehmigungsrichtlinien noch nicht vertraut sind, finden Sie Anatomie von Amazon-SES-Richtlinien weitere Informationen unter Genehmigungsrichtlinien für AWS Secrets Manager.
Berechtigungsrichtlinien für den Ingress-Endpunkt
Beide Richtlinien in diesem Abschnitt sind erforderlich, um einen Eingangsendpunkt zu erstellen. Informationen zum Erstellen eines Eingangsendpunkts und zur Verwendung dieser Richtlinien finden Sie unter. Einen Ingress-Endpunkt in der SES-Konsole erstellen
Secrets Manager Secrets-Ressourcenberechtigungsrichtlinie für Eingangsendpunkte
Die folgende Secrets Manager Manager-Ressourcenberechtigungsrichtlinie ist erforderlich, damit SES über die Eingangsendpunktressource auf das Secret zugreifen kann.
{ "Version": "2012-10-17", "Id": "Id", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } } ] }
KMS-Schlüsselrichtlinie für vom Kunden verwaltete Schlüssel (CMK) für den Eingangsendpunkt
Die folgende KMS-Schlüsselrichtlinie für vom Kunden verwaltete Schlüssel (CMK) ist erforderlich, damit SES Ihren Schlüssel und gleichzeitig Ihren geheimen Schlüssel verwenden kann.
{ "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } }
Berechtigungsrichtlinien für SMTP-Relay
Beide Richtlinien in diesem Abschnitt sind erforderlich, um ein SMTP-Relay zu erstellen. Informationen zum Erstellen eines SMTP-Relays und zur Verwendung dieser Richtlinien finden Sie unter. Erstellen eines SMTP-Relays in der SES-Konsole
Secrets Manager Secrets-Ressourcenberechtigungsrichtlinie für SMTP-Relay
Die folgende Secrets Manager Manager-Ressourcenberechtigungsrichtlinie ist erforderlich, damit SES über die SMTP-Relay-Ressource auf das Secret zugreifen kann.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Principal": { "Service": [ "ses.amazonaws.com" ] }, "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-smtp-relay/*" } } } ] }
KMS-Schlüsselrichtlinie für vom Kunden verwaltete Schlüssel (CMK) für SMTP-Relay
Die folgende KMS-Schlüsselrichtlinie für vom Kunden verwaltete Schlüssel (CMK) ist erforderlich, damit SES Ihren Schlüssel und gleichzeitig Ihren geheimen Schlüssel verwenden kann.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Principal": { "Service": "ses.amazonaws.com" }, "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-smtp-relay/*" } } } ] }
Berechtigungsrichtlinien für die E-Mail-Archivierung
Archivierung, Export
Der IAM-Identitätsaufruf StartArchiveExport muss Zugriff auf den Ziel-S3-Bucket haben, der gemäß den folgenden Richtlinien konfiguriert wurde:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
Dies ist die Richtlinie für den Ziel-Bucket.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
Anmerkung
Die Archivierung unterstützt keine Confused Deputy Condition Keys (aws: SourceArnSourceAccount, aws:, aws: SourceOrg ID oder aws:SourceOrgPaths). Das liegt daran, dass die E-Mail-Archivierung von Mail Manager das Problem mit verwirrten Stellvertretern verhindert, indem sie anhand von Forward Access Sessions testet, ob die aufrufende Identität über Schreibberechtigungen für den Exportziel-Bucket verfügt, bevor der eigentliche Export gestartet wird.
Archivierung (Verschlüsselung im Ruhezustand) mit KMS CMK
Die IAM-Identität ruft an CreateArchive und UpdateArchive muss über die folgenden Richtlinien Zugriff auf den KMS-Schlüssel-ARN haben:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/MyKmsKeyArnID" } }
Dies ist die KMS-Schlüsselrichtlinie, die für die E-Mail-Archivierung erforderlich ist.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/MyUserRoleOrGroupName" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "ses.us-east-1.amazonaws.com" ] } } }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" } ] }
Berechtigungs- und Vertrauensrichtlinien für die Ausführung von Regelaktionen
Die SES-Regelausführungsrolle ist eine AWS Identity and Access Management (IAM) -Rolle, die den Regeln Ausführungsberechtigungen für den Zugriff auf AWS Dienste und Ressourcen erteilt. Bevor Sie eine Regel in einem Regelsatz erstellen, müssen Sie eine IAM-Rolle mit einer Richtlinie erstellen, die den Zugriff auf die erforderlichen AWS Ressourcen ermöglicht. SES übernimmt diese Rolle bei der Ausführung einer Regelaktion. Sie könnten beispielsweise eine Rolle zur Ausführung von Regeln erstellen, die berechtigt ist, eine E-Mail-Nachricht als Regelaktion in einen S3-Bucket zu schreiben, die dann ausgeführt werden kann, wenn die Bedingungen Ihrer Regel erfüllt sind.
Daher ist die folgende Vertrauensrichtlinie zusätzlich zu den individuellen Berechtigungsrichtlinien in diesem Abschnitt erforderlich, die für die Ausführung der Regelaktionen „In S3 schreiben“, „An Postfach liefern“ und „An Internet senden“ erforderlich sind.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-rule-set/*" } } } ] }
Berechtigungsrichtlinie für die Regelaktion „In S3 schreiben“
Die folgende Richtlinie ist erforderlich, um die Regelaktion „In S3 schreiben“ zu verwenden, mit der die empfangene E-Mail an einen S3-Bucket übermittelt wird.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutObject", "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName/*" ] }, { "Sid": "AllowListBucket", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName" ] } ] }
Wenn Sie den vom AWS KMS Kunden verwalteten Schlüssel für einen S3-Bucket mit aktivierter serverseitiger Verschlüsselung verwenden, müssen Sie die IAM-Rollenrichtlinien-Aktion hinzufügen,. "kms:GenerateDataKey*" Im vorherigen Beispiel würde das Hinzufügen dieser Aktion zu Ihrer Rollenrichtlinie wie folgt aussehen:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowKMSKeyAccess", "Effect": "Allow", "Action": "kms:GenerateDataKey*", "Resource": "arn:aws:kms:us-east-1:888888888888:key/*", "Condition": { "ForAnyValue:StringEquals": { "kms:ResourceAliases": [ "alias/MyKeyAlias" ] } } } ] }
Weitere Informationen zum Anhängen von Richtlinien an AWS KMS Schlüssel finden Sie unter Verwenden von Schlüsselrichtlinien AWS KMS im AWS Key Management Service Entwicklerhandbuch.
Berechtigungsrichtlinie für die Regelaktion „An Postfach senden“
Die folgende Richtlinie ist erforderlich, um die Regelaktion „An Postfach versenden“ zu verwenden, mit der die empfangene E-Mail an ein WorkMail Amazon-Konto zugestellt wird.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["workmail:DeliverToMailbox"], "Resource": "arn:aws:workmail:us-east-1:888888888888:organization/MyWorkMailOrganizationID>" } ] }
Berechtigungsrichtlinie für die Regelaktion „An Internet senden“
Die folgende Richtlinie ist erforderlich, um die Regelaktion „An Internet senden“ zu verwenden, mit der die empfangene E-Mail an eine externe Domain gesendet wird.
Anmerkung
Wenn Ihre SES-Identität einen Standardkonfigurationssatz verwendet, müssen Sie auch die Konfigurationssatz-Ressource hinzufügen, wie im folgenden Beispiel gezeigt.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ses:SendEmail", "ses:SendRawEmail"], "Resource":[ "arn:aws:ses:us-east-1:888888888888:identity/example.com", "arn:aws:ses:us-east-1:888888888888:configuration-set/my-configuration-set" ] } ] }
Berechtigungsrichtlinie für die Regelaktion „An ein Unternehmen liefern“
Die folgenden Richtlinien sind erforderlich, um die Regelaktion „An Q Business versenden“ zu verwenden, mit der die empfangene E-Mail an einen Amazon Q Business-Index weitergeleitet wird.
Amazon Q Geschäftsrichtlinie:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToQBusiness", "Effect": "Allow", "Action": [ "qbusiness:BatchPutDocument" ], "Resource": [ "arn:aws:qbusiness:us-east-1:888888888888:application/ApplicationID/index/IndexID" ] } ] }
KMS-Richtlinie für Amazon Q Business:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToKMSKeyForQbusiness", "Effect": "Allow", "Action": [ "kms:GenerateDataKey*", "kms:Encrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:us-east-1:888888888888:key/*" ], "Condition": { "StringEquals": { "kms:ViaService": "qbusiness.us-east-1.amazonaws.com", "kms:CallerAccount": "888888888888" }, "ForAnyValue:StringEquals": { "kms:ResourceAliases": [ "alias/MyKeyAlias" ] } } } ] }
Weitere Informationen zum Anhängen von Richtlinien an AWS KMS Schlüssel finden Sie unter Verwenden von Schlüsselrichtlinien AWS KMS im AWS Key Management Service Entwicklerhandbuch.
