Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Identity and Access Management en Amazon SES

PDF
Modo de enfoque
Identity and Access Management en Amazon SES - Amazon Simple Email Service
Creación de políticas de IAM para acceso a SESEjemplos de políticas de IAM para SES

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Puede usar AWS Identity and Access Management (IAM) con Amazon Simple Email Service (Amazon SES) para especificar qué acciones de la API de SES puede realizar un usuario, grupo o rol. (En este tema hacemos referencia a estas entidades colectivamente como usuario). También puede controlar qué direcciones de correo electrónico puede utilizar el usuario para las direcciones de remitente ("From"), destinatario y "Return-Path" de los correos electrónicos.

Por ejemplo, puede crear una política de IAM que permita a los usuarios de su organización enviar correos electrónicos, pero no llevar a cabo acciones administrativas tales como estadísticas de envío de comprobación. Otro ejemplo, puede escribir una política que permita a un usuario enviar correos electrónicos a través de SES desde su cuenta, pero solo si utilizan una dirección de remitente ("From") específica.

Para utilizar IAM, defina una política de IAM, que es un documento que define de forma explícita los permisos y adjunta la política a un usuario. Para obtener información sobre cómo crear políticas de IAM, consulte la Guía del usuario de IAM. Aparte de aplicar las restricciones que establezca en su política, no hay cambios en el modo en que los usuarios interactúan con SES o en cómo SES lleva a cabo las solicitudes.

nota

  • Si la cuenta está en el entorno aislado de SES, sus restricciones impiden la implementación de algunas de estas políticas; consulte Solicitar acceso de producción.

  • También puede controlar el acceso a SES utilizando políticas de autorización de envío. Mientras que las políticas de IAM restringen lo que pueden hacer los usuarios, las políticas de autorización de envío restringen cómo se pueden utilizar las identidades verificadas. Además, solo las políticas de autorización de envío pueden otorgar acceso entre cuentas. Para obtener más información acerca de la autorización de envío, consulte Uso de la autorización de envío con Amazon SES.

Si busca información sobre cómo generar credenciales de SMTP de SES para un usuario existente, consulte Obtención de las credenciales de SMTP de Amazon SES.

Creación de políticas de IAM para acceso a SES

En esta sección se explica cómo puede utilizar las políticas de IAM; específicamente con SES. Para obtener información sobre cómo crear políticas de IAM en general consulte la Guía del usuario de IAM.

Existen tres razones por las que podría utilizar IAM con SES:

  • Para restringir la acción de envío de correo electrónico.

  • Para restringir las direcciones "From", de destinatario y de "Return-Path" de los correos electrónicos que el usuario envía.

  • Para controlar los aspectos generales del uso de la API, como el período de tiempo durante el cual un usuario puede llamar a la API APIs que está autorizado a usar.

Restringir la acción

Para controlar qué acciones de SES puede realizar un usuario, utilice el elemento Action de una política de IAM. Puede establecer el elemento Action en cualquier acción de API de SES poniendo como prefijo en el nombre de la API la cadena en minúsculas ses:. Por ejemplo, puede establecer Action en ses:SendEmail, ses:GetSendStatisticso ses:* (para todas las acciones).

A continuación, en función de Action, especifique el elemento Resource de la siguiente manera:

Si el Action elemento solo permite el acceso al envío de correos electrónicos APIs (es decir, ses:SendEmail y/oses:SendRawEmail):

  • Para permitir que el usuario envíe desde cualquier identidad suya Cuenta de AWS, Resource establézcalo en *

  • Para restringir las identidades desde las que un usuario puede enviar, Resource establézcalas en ARNs las identidades que permites que utilice el usuario.

Si el Action elemento permite el acceso a todas APIs:

  • Si no desea restringir las identidades desde las que puede enviar el usuario, establezca Resource en *

  • Si desea restringir las identidades desde las que un usuario puede enviar, debe crear dos políticas (o dos instrucciones dentro de una política):

    • Uno Action establecido en una lista explícita de lo permitido non-email-sending APIs y Resource establecido en *

    • Una Action configurada en una de las direcciones de envío APIs (ses:SendEmaily/oses:SendRawEmail) del correo electrónico y Resource configurada en los ARN de las identidades que va a permitir que utilice el usuario.

Para obtener una lista de acciones de SES disponibles, consulte la Referencia de la API de Amazon Simple Email Service. Si el usuario va a utilizar la interfaz de SMTP, debe permitir como mínimo el acceso a ses:SendRawEmail.

Restricción de direcciones de correo electrónico

Si desea restringir al usuario a direcciones de correo electrónico específicas, puede utilizar un bloque Condition. En el bloque Condition, debe especificar las condiciones utilizando claves de condición tal y como se describe en la Guía del usuario de IAM. Mediante el uso de claves de condición, podrá controlar las siguientes direcciones de correo electrónico:

nota

Estas claves de condición de direcciones de correo electrónico se aplican únicamente a las que se APIs indican en la siguiente tabla.

Clave de condición

Descripción

API

ses:Recipients

Restringe las direcciones del destinatario, que incluyen las direcciones To:, "CC" y "BCC".

SendEmail, SendRawEmail

ses:FromAddress

Restringe la dirección de remitente ("From").

SendEmail, SendRawEmail, SendBounce

ses:FromDisplayName

Restringe la dirección de remitente ("From") que se utiliza como nombre de visualización.

SendEmail, SendRawEmail

ses:FeedbackAddress

Restringe la dirección "Return-Path", que es la dirección donde se pueden enviar los rebotes y las reclamaciones mediante reenvío de retroalimentación de correo electrónico. Para obtener información acerca del reenvío de retroalimentación de correo electrónico, consulte Recepción de notificaciones de Amazon SES por correo electrónico.

SendEmail, SendRawEmail

ses:MultiRegionEndpointId

Le permite controlar qué ID de punto final se utiliza al enviar correos electrónicos

SendEmail, SendBulkEmail

Restricción por versión de la API de SES

Mediante el uso de la clave de ses:ApiVersion en condiciones, puede restringir el acceso a SES en función de la versión de la API de SES.

nota

La interfaz de SMTP de SES utiliza la API de SES versión 2 de ses:SendRawEmail.

Restricción del uso general de la API

Al utilizar claves AWS anchas en determinadas condiciones, puede restringir el acceso a SES en función de aspectos como la fecha y la hora a APIs las que el usuario puede acceder. SES implementa únicamente las siguientes claves AWS de política generales:

  • aws:CurrentTime

  • aws:EpochTime

  • aws:SecureTransport

  • aws:SourceIp

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:UserAgent

  • aws:VpcSourceIp

Para obtener más información acerca de estas claves, consulte la Guía del usuario de IAM.

Ejemplos de políticas de IAM para SES

En este tema se ofrecen ejemplos de políticas que permiten a un usuario acceder a SES, pero solo en determinadas condiciones.

Permitir el acceso completo a todas las acciones de SES

La siguiente política permite a un usuario llamar a cualquier acción de SES.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:*"
      ],
      "Resource":"*"
    }
  ]
}

Permitir el acceso solo a la API de SES versión 2

La siguiente política permite a un usuario llamar solo a las acciones de SES de la API versión 2.

{
  		                 "Version":"2012-10-17",
  		                 "Statement":[
  		                     {
  		                         "Effect":"Allow",
  		                         "Action":[
  		                         "ses:*"
  		                         ],
  		                         "Resource":"*",
  		                         "Condition": {
  		                             "StringEquals" : {
  		                             "ses:ApiVersion" : "2"
  		                             }
  		                         }
  		                     }
  		                 ]
  		             }

Permitir el acceso solo a acciones de envío de correo electrónico

La siguiente política permite a un usuario enviar correos electrónicos a través de SES, pero no permite al usuario llevar a cabo acciones administrativas como, por ejemplo, el acceso a las estadísticas de envío de SES.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*"
    }
  ]
}

Restricción del periodo de tiempo de envío

La siguiente política permite a los usuarios llamar a SES email-sending APIs únicamente durante el mes de septiembre de 2018.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "DateGreaterThan":{
          "aws:CurrentTime":"2018-08-31T12:00Z"
        },
        "DateLessThan":{
          "aws:CurrentTime":"2018-10-01T12:00Z"
        }
      }
    }
  ]
}

Restricción de las direcciones de destinatario

La siguiente política permite al usuario llamar al servicio de envío de correos electrónicos de SES APIs, pero solo a las direcciones de destinatarios del dominio example.com (StringLikedistingue entre mayúsculas y minúsculas).

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "ForAllValues:StringLike":{
          "ses:Recipients":[
            "*@example.com"
          ]
        }
      }
    }
  ]
}

Restricción de la dirección de remitente ("From")

La siguiente política permite al usuario llamar al servicio de envío de correos electrónicos de SES APIs, pero solo si la dirección «De» es marketing@example.com. 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "ses:FromAddress":"marketing@example.com"
        }
      }
    }
  ]
}

La siguiente política permite a un usuario llamar a la SendBounceAPI, pero solo si la dirección «De» es bounce@example.com. 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendBounce"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "ses:FromAddress":"bounce@example.com"
        }
      }
    }
  ]
}

Restricción del nombre de visualización del remitente de correo electrónico

La siguiente política permite al usuario llamar al SES que envía correos electrónicos APIs, pero solo si el nombre visible de la dirección «De» incluye marketing (StringLikedistingue mayúsculas de minúsculas). 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "StringLike":{
          "ses:FromDisplayName":"Marketing"
        }
      }
    }
  ]
}

Restringir el destino de retroalimentación de rebotes y reclamaciones

La siguiente política permite al usuario llamar al servicio de envío de correos electrónicos de SES APIs, pero solo si la «ruta de devolución» del correo electrónico está configurada como feedback@example.com.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "ses:FeedbackAddress":"feedback@example.com"
        }
      }
    }
  ]
}

En esta página

Related resources

¿Tiene alguna pregunta sobre su cuenta de Amazon.com o sobre un pedido que ha realizado? En caso afirmativo, consulte Contacte con nosotros en el sitio web de Amazon. 

Related resources

¿Tiene alguna pregunta sobre su cuenta de Amazon.com o sobre un pedido que ha realizado? En caso afirmativo, consulte Contacte con nosotros en el sitio web de Amazon. 
PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.