Gestion des identités et des accès dans Amazon SES - Amazon Simple Email Service
Création de stratégies IAM pour l'accès à SESExemples de stratégies IAM pour SES

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des identités et des accès dans Amazon SES

Vous pouvez utiliser AWS Identity and Access Management (IAM) avec Amazon Simple Email Service (Amazon SES) pour spécifier les actions d'API SES qu'un utilisateur, un groupe ou un rôle peut effectuer. (Dans cette rubrique, nous nous référons à ces entités collectivement comme utilisateur.) Vous pouvez également contrôler les adresses électroniques que l'utilisateur peut utiliser pour le destinataire « From » et les adresses « Return-Path (Chemin de retour) » des e-mails.

Par exemple, vous pouvez créer une stratégie IAM permettant aux utilisateurs de votre organisation d'envoyer des e-mails, mais pas d'exécuter des actions administratives comme la vérification des statistiques d'envoi. Autre exemple, vous pouvez écrire une stratégie qui permet à un utilisateur d'envoyer des emails via SES à partir de votre compte, mais uniquement s'ils utilisent une adresse d'expédition spécifique.

Pour utiliser IAM, vous définissez une stratégie IAM, qui est un document définissant explicitement les autorisations et attachez la stratégie à un utilisateur. Pour savoir comment créer des stratégies IAM, consultez le guide de l'utilisateur IAM. En dehors de l'application des restrictions que vous définissez dans votre stratégie, il n'y a pas de modifications sur la façon dont les utilisateurs interagissent avec SES ou dans la façon dont SES exécute les demandes.

Note

  • Si votre compte se trouve dans l'application de données (sandbox) SES, ses restrictions empêchent la mise en œuvre de certaines de ces politiques. Voir Demander un accès de production.

  • Vous pouvez également contrôler l'accès à SES en utilisant les stratégies d'autorisation d'envoi. Si les stratégies IAM limitent les actions que les utilisateurs peuvent effectuer, les stratégies d'autorisation d'envoi limitent la façon dont les identités vérifiées peuvent être utilisées. De plus, seules les stratégies d'autorisation d'envoi peuvent accorder l'accès entre comptes. Pour en savoir plus sur l'autorisation d'envoi, consultez Utilisation de l'autorisation d'envoi avec Amazon SES.

Si vous recherchez des informations sur la manière de générer des informations d'identification SMTP SES pour un utilisateur, consultez Obtention des SES SMTP informations d'identification Amazon.

Création de stratégies IAM pour l'accès à SES

Cette section explique comment vous pouvez utiliser les stratégies IAM plus particulièrement avec SES. Pour apprendre à créer des stratégies IAM en général, consultez le guide de l'utilisateur IAM.

Il existe trois raisons pour utiliser IAM avec SES :

  • Limiter l'action d'envoi d'e-mails.

  • Limiter les adresses « From », destinataire et « Return-Path (Chemin de retour) » des e-mails que l'utilisateur envoie.

  • Contrôler les aspects généraux de l'utilisation de l'API tels que la durée pendant laquelle un utilisateur est autorisé à appeler l'API qu'il est habilité à utiliser.

Restriction de l'action

Pour contrôler quelles actions SES un utilisateur peut effectuer, vous utilisez l'élément Action d'une stratégie IAM. Vous pouvez définir l'élément Action sur n'importe quelle action d'API SES en préfixant le nom d'API avec la chaîne en minuscules ses:. Par exemple, vous pouvez définir Action sur ses:SendEmail, ses:GetSendStatistics ou ses:* (pour toutes les actions).

Ensuite, selon Action, spécifiez l'élément Resource comme suit :

Si l'élément Action n'autorise l'accès qu'aux API d'envoi d'e-mails (c'est-à-dire, ses:SendEmail et/ou ses:SendRawEmail) :

  • Pour autoriser l'utilisateur à envoyer à partir de n'importe quelle identité figurant dans le vôtre Compte AWS, réglez Resource sur *

  • Pour restreindre les identités à partir desquelles un utilisateur est autorisé à effectuer des envois, définissez Resource sur les ARN des identités que vous autorisez l'utilisateur à employer.

Si l'élément Action autorise l'accès à toutes les API :

  • Si vous ne souhaitez pas restreindre les identités à partir desquelles l'utilisateur peut effectuer des envois, définissez Resource sur *

  • Si vous souhaitez restreindre les identités à partir desquelles un utilisateur est autorisé à effectuer des envois, vous devez créer deux stratégies (ou deux instructions dans une stratégie) :

    • Un avec Action défini sur une liste explicite des non-email-sending API autorisées et Resource défini sur *

    • L'une avec Action définie sur l'une des API d'envoi d'e-mails (ses:SendEmail et/ou ses:SendRawEmail) et Resource défini sur l'ARN ou les ARN des identités que vous autorisez l'utilisateur à utiliser.

Pour obtenir la liste des actions SES disponibles, consultez le document Référence d'API Amazon Simple Email Service. Si l'utilisateur se sert de l'interface SMTP, vous devez autoriser l'accès à ses:SendRawEmail au minimum.

Restriction des adresses e-mail

Si vous voulez restreindre l'utilisateur à certaines adresses e-mail, vous pouvez utiliser un bloc Condition. Dans le bloc Condition, vous spécifiez les conditions à l'aide de clés de condition comme décrit dans le guide de l'utilisateur IAM. En utilisant les clés de condition, vous pouvez contrôler les adresses électroniques suivantes :

Note

Ces clés de condition d'adresse e-mail s'appliquent uniquement aux API indiquées dans le tableau suivant.

Clé de condition

Description

API

ses:Recipients

Restreint les adresses des destinataires, qui incluent les adresses « To: », « CC » et « BCC ».

SendEmail, SendRawEmail

ses:FromAddress

Limite l'adresse d'expédition.

SendEmail, SendRawEmail, SendBounce

ses:FromDisplayName

Limite l'adresse d'expédition utilisée comme nom d'affichage.

SendEmail, SendRawEmail

ses:FeedbackAddress

Limite l'adresse « Return-Path (Chemin de retour) », qui est l'adresse à laquelle les retours à l'expéditeur et les réclamations peuvent vous être envoyés via le transfert de commentaires par e-mail. Pour en savoir plus sur le transfert de commentaires par e-mail, consultez Réception des notifications Amazon SES par e-mail.

SendEmail, SendRawEmail

Restriction par la version de l'API SES

En utilisant la clé ses:ApiVersion dans les conditions, vous pouvez restreindre l'accès à SES en fonction de la version de l'API SES.

Note

L'interface SMTP SES utilise l'API SES version 2 de ses:SendRawEmail.

Restriction de l'utilisation de l'API générale

En utilisant des AWS touches « wide » dans certaines conditions, vous pouvez restreindre l'accès à SES en fonction d'aspects tels que la date et l'heure auxquelles l'utilisateur est autorisé à accéder aux API. SES implémente uniquement les clés AWS de politique générales suivantes :

  • aws:CurrentTime

  • aws:EpochTime

  • aws:SecureTransport

  • aws:SourceIp

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:UserAgent

  • aws:VpcSourceIp

Pour en savoir plus sur ces clés, consultez le guide de l'utilisateur IAM.

Exemples de stratégies IAM pour SES

Cette rubrique fournit des exemples de stratégies qui permettent un accès utilisateur à SES, mais uniquement sous certaines conditions.

Autorisation de l'accès complet à toutes les actions SES

La stratégie suivante permet à un utilisateur d'appeler n'importe quelle action SES.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:*"
      ],
      "Resource":"*"
    }
  ]
}

Autorisation de l'accès à l'API SES version 2 uniquement

La stratégie suivante permet à un utilisateur d'appeler uniquement les actions SES de l'API version 2.

{
  		                 "Version":"2012-10-17",
  		                 "Statement":[
  		                     {
  		                         "Effect":"Allow",
  		                         "Action":[
  		                         "ses:*"
  		                         ],
  		                         "Resource":"*",
  		                         "Condition": {
  		                             "StringEquals" : {
  		                             "ses:ApiVersion" : "2"
  		                             }
  		                         }
  		                     }
  		                 ]
  		             }

Autorisation de l'accès aux actions d'envoi d'e-mail uniquement

La stratégie suivante permet à un utilisateur d'envoyer des e-mails avec SES, mais ne permet pas à l'utilisateur d'exécuter des actions administratives, telles que l'accès aux statistiques d'envoi SES.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*"
    }
  ]
}

Restriction de la période d'envoi

La stratégie suivante permet à un utilisateur d'appeler les API d'envoi d'e-mails SES uniquement pendant le mois de septembre 2018.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "DateGreaterThan":{
          "aws:CurrentTime":"2018-08-31T12:00Z"
        },
        "DateLessThan":{
          "aws:CurrentTime":"2018-10-01T12:00Z"
        }
      }
    }
  ]
}

Restriction des adresses des destinataires

La stratégie suivante permet à un utilisateur d'appeler les API SES d'envoi d'e-mails, mais uniquement pour les adresses de destinataires du domaine example.com (StringLike est sensible à la casse).

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "ForAllValues:StringLike":{
          "ses:Recipients":[
            "*@example.com"
          ]
        }
      }
    }
  ]
}

Restriction de l'adresse d'expédition

La stratégie suivante permet à un utilisateur d'appeler les API SES d'envoi d'e-mails, mais uniquement si l'adresse d'expédition est marketing@example.com. 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "ses:FromAddress":"marketing@example.com"
        }
      }
    }
  ]
}

La politique suivante permet à un utilisateur d'appeler l'SendBounceAPI, mais uniquement si l'adresse « De » est bounce@example.com. 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendBounce"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "ses:FromAddress":"bounce@example.com"
        }
      }
    }
  ]
}

Restriction du nom d'affichage de l'expéditeur de l'e-mail

La stratégie suivante permet à un utilisateur d'appeler les API Amazon SES d'envoi d'e-mails, mais uniquement si le nom d'affichage de l'adresse d'expédition inclut Marketing (StringLike est sensible à la casse). 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "StringLike":{
          "ses:FromDisplayName":"Marketing"
        }
      }
    }
  ]
}

Restriction de la destination des commentaires de retour à l'expéditeur et de réclamation

La stratégie suivante permet à un utilisateur d'appeler les API SES d'envoi d'e-mails, mais uniquement si l'adresse « Return-Path (Chemin de retour) » de l'e-mail est feedback@example.com.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "ses:FeedbackAddress":"feedback@example.com"
        }
      }
    }
  ]
}