Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Las políticas de este capítulo se proporcionan como punto de referencia único en el que consultar las políticas necesarias para utilizar todas las características del Administrador de correo electrónico.
En las páginas de características del Administrador de correo electrónico, hay enlaces que lo llevarán a la sección correspondiente de esta página que contiene las políticas que necesita para utilizar cada característica. Seleccione el icono de copia de la política que necesite y péguelo como se indica en la explicación de la característica correspondiente.
Las siguientes políticas le otorgan permiso para usar las diferentes funciones incluidas en Amazon SES Mail Manager a través de políticas y AWS Secrets Manager políticas de permisos de recursos. Si es la primera vez que utiliza políticas de permisos, consulte Anatomía de las políticas de Amazon SES y Políticas de permisos para AWS Secrets Manager.
Políticas de permisos para puntos de conexión de entrada
Las dos políticas de esta sección se requieren para crear un punto de conexión de entrada. Para obtener más información acerca de cómo crear un punto de conexión de entrada y dónde usar estas políticas, consulte Creación de un punto de conexión de entrada en la consola de SES.
Política de permisos de recursos de secretos de Secrets Manager para puntos de conexión de entrada
La siguiente política de permisos de recursos de secretos de Secrets Manager se requiere para permitir que SES tenga acceso al secreto mediante el recurso de punto de conexión de entrada.
{ "Version": "2012-10-17", "Id": "Id", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } } ] }
Política de claves administradas por el cliente (CMK) de KMS para puntos de conexión de entrada
La siguiente política de claves administradas por el cliente (CMK) de KMS se requiere para permitir que SES utilice su clave mientras utiliza su secreto.
{ "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } }
Políticas de permisos para relés de SMTP
Las dos políticas de esta sección se requieren para crear un relé de SMTP. Para obtener más información acerca de cómo crear un relé de SMTP y dónde usar estas políticas, consulte Creación de un relé de SMTP en la consola de SES.
Política de permisos de recursos de secretos de Secrets Manager para relés de SMTP
La siguiente política de permisos de recursos de secretos de Secrets Manager se requiere para permitir que SES tenga acceso al secreto mediante el recurso de relé de SMTP.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Principal": { "Service": [ "ses.amazonaws.com" ] }, "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-smtp-relay/*" } } } ] }
Política de claves administradas por el cliente (CMK) de KMS para relés de SMTP
La siguiente política de claves administradas por el cliente (CMK) de KMS se requiere para permitir que SES utilice su clave mientras utiliza su secreto.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Principal": { "Service": "ses.amazonaws.com" }, "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-smtp-relay/*" } } } ] }
Políticas de permisos para archivar correo electrónico
Exportación de archivos
La llamada de identidad de IAM StartArchiveExport debe tener acceso al depósito S3 de destino configurado mediante las siguientes políticas:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
Esta es la política del bucket de destino.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
nota
El archivado no admite claves de condición secundarias confusas (aws:SourceArn, aws:SourceAccount, aws: SourceOrg ID o aws:SourceOrgPaths). Esto se debe a que, para evitar el problema de los suplentes confusos, antes de iniciar la exportación propiamente dicha, el archivado de correo electrónico del Administrador de correo electrónico utiliza sesiones de acceso directo para comprobar si la identidad que llama tiene permisos de escritura para el bucket de destino de la exportación.
Archivado del cifrado en reposo con CMK de KMS
La identidad de IAM llama CreateArchive y UpdateArchive debe tener acceso a la clave ARN de KMS mediante las siguientes políticas:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/MyKmsKeyArnID" } }
Esta es la política de claves de KMS necesaria para archivar el correo electrónico.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/MyUserRoleOrGroupName" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "ses.us-east-1.amazonaws.com" ] } } }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" } ] }
Políticas de permisos y de confianza para ejecutar acciones de reglas
La función de ejecución de reglas de SES es una función AWS Identity and Access Management (IAM) que otorga a las reglas permiso de ejecución para acceder a los AWS servicios y recursos. Antes de crear una regla en un conjunto de reglas, debe crear una función de IAM con una política que permita el acceso a los recursos necesarios AWS . SES asume este rol al ejecutar una acción de una regla. Por ejemplo, puede crear un rol de ejecución de reglas que tenga permiso para realizar la acción de regla consistente en escribir un mensaje de correo electrónico en un bucket de S3 cuando se cumplan las condiciones de la regla.
Por lo tanto, se requiere la siguiente política de confianza, además de las políticas de permisos individuales de esta sección, para ejecutar las acciones de reglas Escribir en S3, Entregar al buzón y Enviar a Internet.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-rule-set/*" } } } ] }
Política de permisos para la acción de regla Escribir en S3
La siguiente política es necesaria para utilizar la acción de regla Escribir en S3, que entrega el correo electrónico recibido en un bucket de S3.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutObject", "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName/*" ] }, { "Sid": "AllowListBucket", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName" ] } ] }
Si utilizas una clave gestionada por el AWS KMS cliente para un bucket de S3 con el cifrado del lado del servidor activado, tendrás que añadir la acción política sobre el rol de IAM,. "kms:GenerateDataKey*" Con el ejemplo anterior, la adición de esta acción a la política del roles se haría así:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowKMSKeyAccess", "Effect": "Allow", "Action": "kms:GenerateDataKey*", "Resource": "arn:aws:kms:us-east-1:888888888888:key/*", "Condition": { "ForAnyValue:StringEquals": { "kms:ResourceAliases": [ "alias/MyKeyAlias" ] } } } ] }
Para obtener más información sobre cómo adjuntar políticas a las AWS KMS claves, consulte Uso de políticas clave AWS KMS en la Guía para desarrolladores.AWS Key Management Service
Política de permisos para la acción de regla Entregar al buzón
La siguiente política es necesaria para utilizar la acción de regla Entregar al buzón, que entrega el correo electrónico recibido a una WorkMail cuenta de Amazon.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["workmail:DeliverToMailbox"], "Resource": "arn:aws:workmail:us-east-1:888888888888:organization/MyWorkMailOrganizationID>" } ] }
Política de permisos para la acción de regla Enviar a Internet
La siguiente política es necesaria para utilizar la acción de regla Enviar a Internet, que envía el correo electrónico recibido a un dominio externo.
nota
Si su identidad de SES utiliza un conjunto de configuraciones predeterminado, también tendrá que añadir el recurso del conjunto de configuraciones, como se muestra en el siguiente ejemplo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ses:SendEmail", "ses:SendRawEmail"], "Resource":[ "arn:aws:ses:us-east-1:888888888888:identity/example.com", "arn:aws:ses:us-east-1:888888888888:configuration-set/my-configuration-set" ] } ] }
Política de permisos para la acción de la regla Deliver to Q Business
Las siguientes políticas son obligatorias para utilizar la acción de regla Entregar a Q Business, que envía el correo electrónico recibido a un índice de Amazon Q Business.
Política de Amazon Q Business:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToQBusiness", "Effect": "Allow", "Action": [ "qbusiness:BatchPutDocument" ], "Resource": [ "arn:aws:qbusiness:us-east-1:888888888888:application/ApplicationID/index/IndexID" ] } ] }
Política de KMS para Amazon Q Business:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToKMSKeyForQbusiness", "Effect": "Allow", "Action": [ "kms:GenerateDataKey*", "kms:Encrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:us-east-1:888888888888:key/*" ], "Condition": { "StringEquals": { "kms:ViaService": "qbusiness.us-east-1.amazonaws.com", "kms:CallerAccount": "888888888888" }, "ForAnyValue:StringEquals": { "kms:ResourceAliases": [ "alias/MyKeyAlias" ] } } } ] }
Para obtener más información sobre cómo adjuntar políticas a AWS KMS las claves, consulte Uso de políticas clave AWS KMS en la Guía para AWS Key Management Service desarrolladores.
