Erteilen von Berechtigungen an Amazon SES für den E-Mail-Empfang - Amazon Simple Email Service
IAM-Rollenberechtigungen für die S3-AktionErteilen Sie SES die Erlaubnis, in einen S3-Bucket zu schreibenErteilen Sie SES die Erlaubnis, Ihren AWS KMS Schlüssel zu verwendenErteilen Sie SES die Erlaubnis, eine Funktion aufzurufen AWS LambdaErteilen Sie SES die Erlaubnis, in einem Amazon SNS SNS-Thema zu veröffentlichen, das zu einem anderen AWS Konto gehört

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erteilen von Berechtigungen an Amazon SES für den E-Mail-Empfang

Für einige Aufgaben, die Sie ausführen können, wenn Sie E-Mails in SES empfangen, z. B. das Senden von E-Mails an einen Amazon Simple Storage Service (Amazon S3) -Bucket oder das Aufrufen einer AWS Lambda Funktion, sind spezielle Berechtigungen erforderlich. Dieser Abschnitt zeigt Richtlinienbeispiele für mehrere allgemeine Anwendungsfälle.

Einrichtung von IAM-Rollenberechtigungen für die Bucket-Aktion „An S3 liefern“

Die folgenden Punkte gelten für diese IAM-Rolle:

Wenn Sie in einen S3-Bucket schreiben möchten, können Sie eine IAM-Rolle mit Berechtigungen für den Zugriff auf die entsprechenden Ressourcen bereitstellen. Aktion „An S3-Bucket liefern“ Sie müssten SES außerdem die Erlaubnis erteilen, diese Rolle zu übernehmen, um die Aktion über eine IAM-Vertrauensrichtlinie auszuführen, wie im nächsten Abschnitt beschrieben.

Diese Berechtigungsrichtlinie muss in den integrierten Richtlinieneditor der IAM-Rolle eingefügt werden. Lesen Aktion „An S3-Bucket liefern“ und befolgen Sie die im IAM-Rollenelement angegebenen Schritte. (Das folgende Beispiel beinhaltet auch optionale Berechtigungen für den Fall, dass Sie eine SNS-Themenbenachrichtigung oder einen vom Kunden verwalteten Schlüssel in der S3-Aktion verwenden möchten.)

{
    "Version": "2012-10-17",
    "Statement": [
        // Required: allows SES to write in the bucket
        {
            "Sid": "S3Access",
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        },
        // Optional: use if an SNS topic is used in the S3 action
        {
            "Sid": "SNSAccess",
            "Effect": "Allow",
            "Action": "sns:Publish",
            "Resource": "arn:aws:sns:region:111122223333:my-topic"
        },
        // Optional: use if a customer managed key is used in the S3 action
        {
            "Sid": "KMSAccess",
            "Effect": "Allow",
            "Action": "kms:GenerateDataKey*",
            "Resource": "arn:aws:kms:region::111122223333:key/key-id"
        }
    ]
}

Nehmen Sie im vorherigen Beispiel Sie die folgenden Änderungen vor:

  • amzn-s3-demo-bucketErsetzen Sie es durch den Namen des S3-Buckets, in den Sie schreiben möchten.

  • regionErsetzen Sie durch den AWS-Region Ort, an dem Sie die Empfangsregel erstellt haben.

  • Ersetzen Sie 111122223333 durch Ihre AWS -Konto-ID.

  • my-topicErsetzen Sie es durch den Namen des SNS-Themas, zu dem Sie Benachrichtigungen veröffentlichen möchten.

  • key-idErsetzen Sie es durch die ID Ihres KMS-Schlüssels.

Vertrauensrichtlinie für die IAM-Rolle für S3-Aktionen

Die folgende Vertrauensrichtlinie sollte zu den Vertrauensbeziehungen der IAM-Rolle hinzugefügt werden, damit SES diese Rolle übernehmen kann.

Anmerkung

Das manuelle Hinzufügen dieser Vertrauensrichtlinie ist nur erforderlich, wenn Sie Ihre IAM-Rolle nicht mithilfe der im IAM-Rollenelement des Workflows angegebenen Schritte von der SES-Konsole aus erstellt haben. Aktion „An S3-Bucket liefern“ Wenn Sie die IAM-Rolle von der Konsole aus erstellen, wird diese Vertrauensrichtlinie automatisch generiert und auf die Rolle angewendet, sodass dieser Schritt nicht erforderlich ist.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSESAssume",
            "Effect": "Allow",
            "Principal": {
                "Service": "ses.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                  "AWS:SourceAccount":"111122223333",
                  "AWS:SourceArn": "arn:aws:ses:region:111122223333:receipt-rule-set/rule_set_name:receipt-rule/receipt_rule_name"
                }
            }
        }
    ]
}

Nehmen Sie im vorherigen Beispiel Sie die folgenden Änderungen vor:

  • Ersetzen Sie sie region durch die AWS-Region Stelle, an der Sie die Empfangsregel erstellt haben.

  • Ersetzen Sie 111122223333 durch Ihre AWS -Konto-ID.

  • rule_set_nameErsetzen Sie es durch den Namen des Regelsatzes, der die Empfangsregel enthält, die die S3-Bucket-Aktion „An Amazon liefern“ enthält.

  • receipt_rule_nameErsetzen Sie es durch den Namen der Empfangsregel, die die Bucket-Aktion „An Amazon S3 liefern“ enthält.

Erteilen Sie SES die Erlaubnis, in einen S3-Bucket zu schreiben

Wenn Sie die folgende Richtlinie auf einen S3-Bucket anwenden, erteilt sie SES die Erlaubnis, in diesen Bucket zu schreiben, solange dieser in einer Region existiert, in der SES-E-Mail-Empfang verfügbar ist. Wenn Sie in einen Bucket außerhalb einer E-Mail-Empfangsregion schreiben möchten, finden Sie unter. Einrichtung von IAM-Rollenberechtigungen für die Bucket-Aktion „An S3 liefern“ Weitere Informationen zum Erstellen von Empfangsregeln, die eingehende E-Mails an Amazon S3 übertragen, finden Sie unter Aktion „An S3-Bucket liefern“.

Weitere Informationen zu Bucket-Richtlinien für Amazon S3 finden Sie unter Verwenden von Bucket-Richtlinien und Benutzerrichtlinien im Amazon Simple Storage Service-Entwicklerleitfaden.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"AllowSESPuts",
      "Effect":"Allow",
      "Principal":{
        "Service":"ses.amazonaws.com"
      },
      "Action":"s3:PutObject",
      "Resource":"arn:aws:s3:::amzn-s3-demo-bucket/*",
      "Condition":{
        "StringEquals":{
          "AWS:SourceAccount":"111122223333",
          "AWS:SourceArn": "arn:aws:ses:region:111122223333:receipt-rule-set/rule_set_name:receipt-rule/receipt_rule_name"
        }
      }
    }
  ]
}

Nehmen Sie im vorherigen Beispiel Sie die folgenden Änderungen vor:

  • amzn-s3-demo-bucketErsetzen Sie es durch den Namen des S3-Buckets, in den Sie schreiben möchten.

  • regionErsetzen Sie es durch die AWS Region, in der Sie die Empfangsregel erstellt haben.

  • Ersetzen Sie 111122223333 durch Ihre AWS -Konto-ID.

  • rule_set_nameErsetzen Sie es durch den Namen des Regelsatzes, der die Empfangsregel enthält, die die S3-Bucket-Aktion „An Amazon liefern“ enthält.

  • receipt_rule_nameErsetzen Sie es durch den Namen der Empfangsregel, die die Bucket-Aktion „An Amazon S3 liefern“ enthält.

Erteilen Sie SES die Erlaubnis, Ihren AWS KMS Schlüssel zu verwenden

Damit SES Ihre E-Mails verschlüsseln kann, muss es berechtigt sein, den AWS KMS Schlüssel zu verwenden, den Sie bei der Einrichtung Ihrer Empfangsregel angegeben haben. Sie können entweder den Standardhauptschlüssel (aws/ses) in Ihrem Konto oder einen benutzerdefinierten Hauptschlüssel, den Sie erstellen, verwenden. Wenn Sie den Standard-KMS-Schlüssel verwenden, müssen Sie keine zusätzlichen Schritte ausführen, um SES die Erlaubnis zur Verwendung zu erteilen. Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, müssen Sie SES die Erlaubnis zur Verwendung dieses Schlüssels erteilen, indem Sie der Richtlinie für den Schlüssel eine Erklärung hinzufügen.

Verwenden Sie die folgende Grundsatzerklärung als wichtigste Richtlinie, damit SES Ihren vom Kunden verwalteten Schlüssel verwenden kann, wenn es E-Mails auf Ihrer Domain empfängt.

{
  "Sid": "AllowSESToEncryptMessagesBelongingToThisAccount", 
  "Effect": "Allow",
  "Principal": {
    "Service":"ses.amazonaws.com"
  },
  "Action": [
    "kms:GenerateDataKey*"
  ],
  "Resource": "*",
  "Condition":{
        "StringEquals":{
          "AWS:SourceAccount":"111122223333",
          "AWS:SourceArn": "arn:aws:ses:region:111122223333:receipt-rule-set/rule_set_name:receipt-rule/receipt_rule_name"
        }
      }
}

Nehmen Sie im vorherigen Beispiel Sie die folgenden Änderungen vor:

  • regionErsetzen Sie es durch die AWS Region, in der Sie die Empfangsregel erstellt haben.

  • Ersetzen Sie 111122223333 durch Ihre AWS -Konto-ID.

  • rule_set_nameErsetzen Sie es durch den Namen des Regelsatzes, der die Empfangsregel enthält, die Sie dem E-Mail-Empfang zugeordnet haben.

  • receipt_rule_nameErsetzen Sie es durch den Namen der Empfangsregel, die Sie dem E-Mail-Empfang zugeordnet haben.

Wenn Sie das Senden verschlüsselter Nachrichten an einen S3-Bucket mit aktivierter serverseitiger Verschlüsselung verwenden AWS KMS , müssen Sie die Richtlinienaktion hinzufügen. "kms:Decrypt" Im obigen Beispiel würde das Hinzufügen dieser Aktion zu Ihrer Richtlinie wie folgt aussehen:

{
  "Sid": "AllowSESToEncryptMessagesBelongingToThisAccount", 
  "Effect": "Allow",
  "Principal": {
    "Service":"ses.amazonaws.com"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey*"
  ],
  "Resource": "*",
  "Condition":{
        "StringEquals":{
          "AWS:SourceAccount":"111122223333",
          "AWS:SourceArn": "arn:aws:ses:region:111122223333:receipt-rule-set/rule_set_name:receipt-rule/receipt_rule_name"
        }
      }
}

Weitere Informationen zum Anhängen von Richtlinien an AWS KMS Schlüssel finden Sie unter Verwenden von Schlüsselrichtlinien AWS KMS im AWS Key Management Service Entwicklerhandbuch.

Erteilen Sie SES die Erlaubnis, eine Funktion aufzurufen AWS Lambda

Damit SES eine AWS Lambda Funktion aufrufen kann, können Sie die Funktion auswählen, wenn Sie eine Empfangsregel in der SES-Konsole erstellen. Wenn Sie dies tun, fügt SES der Funktion automatisch die erforderlichen Berechtigungen hinzu.

Sie können aber auch die AddPermission-Operation in der AWS Lambda -API verwenden, um eine Richtlinie an eine Funktion anzufügen. Der folgende AddPermission API-Aufruf erteilt SES die Erlaubnis, Ihre Lambda-Funktion aufzurufen. Weitere Informationen zum Anfügen von Richtlinien an Lambda-Funktionen finden Sie unter AWS Lambda -Berechtigungen im AWS Lambda -Entwicklerleitfaden.

{
  "Action": "lambda:InvokeFunction",
  "Principal": "ses.amazonaws.com",
  "SourceAccount": "111122223333",
  "SourceArn": "arn:aws:ses:region:111122223333:receipt-rule-set/rule_set_name:receipt-rule/receipt_rule_name"
  "StatementId": "GiveSESPermissionToInvokeFunction"
}

Nehmen Sie im vorherigen Beispiel Sie die folgenden Änderungen vor:

  • Ersetzen Sie es region durch die AWS Region, in der Sie die Empfangsregel erstellt haben.

  • Ersetzen Sie 111122223333 durch Ihre AWS -Konto-ID.

  • rule_set_nameErsetzen Sie durch den Namen des Regelsatzes, der die Empfangsregel enthält, in der Sie Ihre Lambda-Funktion erstellt haben.

  • receipt_rule_nameErsetzen Sie durch den Namen der Empfangsregel, die Ihre Lambda-Funktion enthält.

Erteilen Sie SES die Erlaubnis, in einem Amazon SNS SNS-Thema zu veröffentlichen, das zu einem anderen AWS Konto gehört

Um Benachrichtigungen zu einem Thema in einem separaten AWS Konto zu veröffentlichen, müssen Sie eine Richtlinie an das Amazon SNS SNS-Thema anhängen. Das SNS-Thema muss sich in derselben Region wie die Domänen- und Empfangsregelsätze befinden.

Die folgende Richtlinie erteilt SES die Erlaubnis, Beiträge zu einem Amazon SNS SNS-Thema in einem separaten AWS Konto zu veröffentlichen.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "Service":"ses.amazonaws.com"
      },
      "Action":"SNS:Publish",
      "Resource":"arn:aws:sns:topic_region:sns_topic_account_id:topic_name",
      "Condition":{
        "StringEquals":{
          "AWS:SourceAccount":"aws_account_id",
          "AWS:SourceArn": "arn:aws:ses:receipt_region:aws_account_id:receipt-rule-set/rule_set_name:receipt-rule/receipt_rule_name"
        }
      }
    }
  ]
}

Nehmen Sie im vorherigen Beispiel Sie die folgenden Änderungen vor:

  • topic_regionErsetzen Sie es durch AWS-Region das, in dem das Amazon SNS SNS-Thema erstellt wurde.

  • sns_topic_account_idErsetzen Sie es durch die ID des AWS Kontos, dem das Amazon SNS SNS-Thema gehört.

  • topic_nameErsetzen Sie es durch den Namen des Amazon SNS SNS-Themas, zu dem Sie Benachrichtigungen veröffentlichen möchten.

  • aws_account_idErsetzen Sie es durch die ID des AWS Kontos, das für den Empfang von E-Mails konfiguriert ist.

  • receipt_regionErsetzen Sie durch den AWS-Region Ort, an dem Sie die Empfangsregel erstellt haben.

  • rule_set_nameErsetzen Sie es durch den Namen des Regelsatzes, der die Empfangsregel enthält, in der Sie Ihre Themenaktion „In Amazon SNS veröffentlichen“ erstellt haben.

  • receipt_rule_nameErsetzen Sie es durch den Namen der Empfangsregel, die die Themenaktion „In Amazon SNS veröffentlichen“ enthält.

Wenn Ihr Amazon SNS SNS-Thema AWS KMS serverseitige Verschlüsselung verwendet, müssen Sie der AWS KMS Schlüsselrichtlinie Berechtigungen hinzufügen. Sie können Berechtigungen hinzufügen, indem Sie die folgende Richtlinie an die Schlüsselrichtlinie anhängen: AWS KMS 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSESToUseKMSKey",
            "Effect": "Allow",
            "Principal": {
                "Service": "ses.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
    ]
}