Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Gestion des identités et des accès dans Amazon SES

PDF
Mode de mise au point
Gestion des identités et des accès dans Amazon SES - Amazon Simple Email Service
Création de stratégies IAM pour l'accès à SESExemples de stratégies IAM pour SES

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vous pouvez utiliser AWS Identity and Access Management (IAM) avec Amazon Simple Email Service (Amazon SES) pour spécifier les actions d'API SES qu'un utilisateur, un groupe ou un rôle peut effectuer. (Dans cette rubrique, nous nous référons à ces entités collectivement comme utilisateur.) Vous pouvez également contrôler les adresses électroniques que l'utilisateur peut utiliser pour le destinataire « From » et les adresses « Return-Path (Chemin de retour) » des e-mails.

Par exemple, vous pouvez créer une stratégie IAM permettant aux utilisateurs de votre organisation d'envoyer des e-mails, mais pas d'exécuter des actions administratives comme la vérification des statistiques d'envoi. Autre exemple, vous pouvez écrire une stratégie qui permet à un utilisateur d'envoyer des emails via SES à partir de votre compte, mais uniquement s'ils utilisent une adresse d'expédition spécifique.

Pour utiliser IAM, vous définissez une stratégie IAM, qui est un document définissant explicitement les autorisations et attachez la stratégie à un utilisateur. Pour savoir comment créer des stratégies IAM, consultez le guide de l'utilisateur IAM. En dehors de l'application des restrictions que vous définissez dans votre stratégie, il n'y a pas de modifications sur la façon dont les utilisateurs interagissent avec SES ou dans la façon dont SES exécute les demandes.

Note

  • Si votre compte se trouve dans l'application de données (sandbox) SES, ses restrictions empêchent la mise en œuvre de certaines de ces politiques. Voir Demander un accès de production.

  • Vous pouvez également contrôler l'accès à SES en utilisant les stratégies d'autorisation d'envoi. Si les stratégies IAM limitent les actions que les utilisateurs peuvent effectuer, les stratégies d'autorisation d'envoi limitent la façon dont les identités vérifiées peuvent être utilisées. De plus, seules les stratégies d'autorisation d'envoi peuvent accorder l'accès entre comptes. Pour en savoir plus sur l'autorisation d'envoi, consultez Utilisation de l'autorisation d'envoi avec Amazon SES.

Si vous recherchez des informations sur la manière de générer des informations d'identification SMTP SES pour un utilisateur, consultez Obtention des informations d'identification SMTP Amazon SES.

Création de stratégies IAM pour l'accès à SES

Cette section explique comment vous pouvez utiliser les stratégies IAM plus particulièrement avec SES. Pour apprendre à créer des stratégies IAM en général, consultez le guide de l'utilisateur IAM.

Il existe trois raisons pour utiliser IAM avec SES :

  • Limiter l'action d'envoi d'e-mails.

  • Limiter les adresses « From », destinataire et « Return-Path (Chemin de retour) » des e-mails que l'utilisateur envoie.

  • Pour contrôler les aspects généraux de l'utilisation des API, tels que la période pendant laquelle un utilisateur est autorisé à appeler l'API APIs qu'il est autorisé à utiliser.

Restriction de l'action

Pour contrôler quelles actions SES un utilisateur peut effectuer, vous utilisez l'élément Action d'une stratégie IAM. Vous pouvez définir l'élément Action sur n'importe quelle action d'API SES en préfixant le nom d'API avec la chaîne en minuscules ses:. Par exemple, vous pouvez définir Action sur ses:SendEmail, ses:GetSendStatistics ou ses:* (pour toutes les actions).

Ensuite, selon Action, spécifiez l'élément Resource comme suit :

Si l'Actionélément permet uniquement l'accès à l'envoi d'e-mails APIs (c'est-à-dire ses:SendEmail et/ouses:SendRawEmail) :

  • Pour autoriser l'utilisateur à envoyer à partir de n'importe quelle identité figurant dans le vôtre Compte AWS, réglez Resource sur *

  • Pour restreindre les identités à partir desquelles un utilisateur est autorisé Resource à envoyer, définissez ARNs les identités que vous autorisez l'utilisateur à utiliser.

Si l'Actionélément permet d'accéder à tous APIs :

  • Si vous ne souhaitez pas restreindre les identités à partir desquelles l'utilisateur peut effectuer des envois, définissez Resource sur *

  • Si vous souhaitez restreindre les identités à partir desquelles un utilisateur est autorisé à effectuer des envois, vous devez créer deux stratégies (ou deux instructions dans une stratégie) :

    • Un avec Action défini sur une liste explicite des autorisations non-email-sending APIs et Resource défini sur *

    • L'un étant Action défini sur l'un des envois d'e-mails APIs (ses:SendEmailet/ouses:SendRawEmail) et Resource défini sur le ou les ARN des identités que vous autorisez l'utilisateur à utiliser.

Pour obtenir la liste des actions SES disponibles, consultez le document Référence d'API Amazon Simple Email Service. Si l'utilisateur se sert de l'interface SMTP, vous devez autoriser l'accès à ses:SendRawEmail au minimum.

Restriction des adresses e-mail

Si vous voulez restreindre l'utilisateur à certaines adresses e-mail, vous pouvez utiliser un bloc Condition. Dans le bloc Condition, vous spécifiez les conditions à l'aide de clés de condition comme décrit dans le guide de l'utilisateur IAM. En utilisant les clés de condition, vous pouvez contrôler les adresses électroniques suivantes :

Note

Ces clés de condition d'adresse e-mail s'appliquent uniquement aux APIs informations indiquées dans le tableau suivant.

Clé de condition

Description

« Hello, World! »

ses:Recipients

Restreint les adresses des destinataires, qui incluent les adresses « To: », « CC » et « BCC ».

SendEmail, SendRawEmail

ses:FromAddress

Limite l'adresse d'expédition.

SendEmail, SendRawEmail, SendBounce

ses:FromDisplayName

Limite l'adresse d'expédition utilisée comme nom d'affichage.

SendEmail, SendRawEmail

ses:FeedbackAddress

Limite l'adresse « Return-Path (Chemin de retour) », qui est l'adresse à laquelle les retours à l'expéditeur et les réclamations peuvent vous être envoyés via le transfert de commentaires par e-mail. Pour en savoir plus sur le transfert de commentaires par e-mail, consultez Réception des notifications Amazon SES par e-mail.

SendEmail, SendRawEmail

ses:MultiRegionEndpointId

Vous permet de contrôler quel identifiant de point de terminaison est utilisé lors de l'envoi d'e-mails

SendEmail, SendBulkEmail

Restriction par la version de l'API SES

En utilisant la clé ses:ApiVersion dans les conditions, vous pouvez restreindre l'accès à SES en fonction de la version de l'API SES.

Note

L'interface SMTP SES utilise l'API SES version 2 de ses:SendRawEmail.

Restriction de l'utilisation de l'API générale

En utilisant des AWS touches « wide » dans certaines conditions, vous pouvez restreindre l'accès à SES en fonction d'aspects tels que la date et l'heure auxquelles l'utilisateur est autorisé à accéder APIs. SES implémente uniquement les clés AWS de politique générales suivantes :

  • aws:CurrentTime

  • aws:EpochTime

  • aws:SecureTransport

  • aws:SourceIp

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:UserAgent

  • aws:VpcSourceIp

Pour en savoir plus sur ces clés, consultez le guide de l'utilisateur IAM.

Exemples de stratégies IAM pour SES

Cette rubrique fournit des exemples de stratégies qui permettent un accès utilisateur à SES, mais uniquement sous certaines conditions.

Autorisation de l'accès complet à toutes les actions SES

La stratégie suivante permet à un utilisateur d'appeler n'importe quelle action SES.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:*"
      ],
      "Resource":"*"
    }
  ]
}

Autorisation de l'accès à l'API SES version 2 uniquement

La stratégie suivante permet à un utilisateur d'appeler uniquement les actions SES de l'API version 2.

{
  		                 "Version":"2012-10-17",
  		                 "Statement":[
  		                     {
  		                         "Effect":"Allow",
  		                         "Action":[
  		                         "ses:*"
  		                         ],
  		                         "Resource":"*",
  		                         "Condition": {
  		                             "StringEquals" : {
  		                             "ses:ApiVersion" : "2"
  		                             }
  		                         }
  		                     }
  		                 ]
  		             }

Autorisation de l'accès aux actions d'envoi d'e-mail uniquement

La stratégie suivante permet à un utilisateur d'envoyer des e-mails avec SES, mais ne permet pas à l'utilisateur d'exécuter des actions administratives, telles que l'accès aux statistiques d'envoi SES.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*"
    }
  ]
}

Restriction de la période d'envoi

La politique suivante permet à un utilisateur d'appeler SES pour envoyer des e-mails APIs uniquement pendant le mois de septembre 2018.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "DateGreaterThan":{
          "aws:CurrentTime":"2018-08-31T12:00Z"
        },
        "DateLessThan":{
          "aws:CurrentTime":"2018-10-01T12:00Z"
        }
      }
    }
  ]
}

Restriction des adresses des destinataires

La politique suivante permet à un utilisateur d'appeler le SES pour envoyer des e-mails APIs, mais uniquement aux adresses des destinataires du domaine example.com (en distinguant majuscules et StringLike minuscules).

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "ForAllValues:StringLike":{
          "ses:Recipients":[
            "*@example.com"
          ]
        }
      }
    }
  ]
}

Restriction de l'adresse d'expédition

La politique suivante permet à un utilisateur d'appeler le service d'envoi d'e-mails de SES APIs, mais uniquement si l'adresse « De » est marketing@example.com. 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "ses:FromAddress":"marketing@example.com"
        }
      }
    }
  ]
}

La politique suivante permet à un utilisateur d'appeler l'SendBounceAPI, mais uniquement si l'adresse « De » est bounce@example.com. 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendBounce"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "ses:FromAddress":"bounce@example.com"
        }
      }
    }
  ]
}

Restriction du nom d'affichage de l'expéditeur de l'e-mail

La politique suivante permet à un utilisateur d'appeler le service d'envoi d'e-mails de SES APIs, mais uniquement si le nom d'affichage de l'adresse « De » inclut le service Marketing (StringLikeen distinguant majuscules et minuscules). 

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "StringLike":{
          "ses:FromDisplayName":"Marketing"
        }
      }
    }
  ]
}

Restriction de la destination des commentaires de retour à l'expéditeur et de réclamation

La politique suivante permet à un utilisateur d'appeler le service d'envoi d'e-mails SES APIs, mais uniquement si le « chemin de retour » de l'e-mail est défini sur feedback@example.com.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ses:SendEmail",
        "ses:SendRawEmail"
      ],
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "ses:FeedbackAddress":"feedback@example.com"
        }
      }
    }
  ]
}

Sur cette page

Related resources

Avez-vous des questions sur votre compte Amazon.com ou sur une commande que vous avez passée ? Si tel est le cas, consultez la section Contactez-nous sur le site web Amazon. 

Related resources

Avez-vous des questions sur votre compte Amazon.com ou sur une commande que vous avez passée ? Si tel est le cas, consultez la section Contactez-nous sur le site web Amazon. 
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.