Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Politiques d'autorisation pour Mail Manager
Les politiques décrites dans ce chapitre constituent un point de référence unique pour les politiques nécessaires à l'utilisation des différentes fonctionnalités de Mail Manager.
Dans les pages de fonctionnalités du gestionnaire de courrier, des liens sont fournis qui vous redirigeront vers la section correspondante de cette page qui contient les politiques dont vous avez besoin pour utiliser cette fonctionnalité. Sélectionnez l'icône de copie de la politique dont vous avez besoin et collez-la comme indiqué dans le descriptif de la fonctionnalité correspondante.
Les politiques suivantes vous autorisent à utiliser les différentes fonctionnalités d'Amazon SES Mail Manager par le biais de politiques et AWS Secrets Manager de politiques d'autorisation des ressources. Si les politiques d'autorisation ne vous sont pas familières, consultez Anatomie de la stratégie Amazon SES et Politiques d'autorisations pour AWS Secrets Manager.
Politiques d'autorisation pour le point de terminaison Ingress
Les deux politiques de cette section sont requises pour créer un point de terminaison d'entrée. Pour savoir comment créer un point de terminaison d'entrée et où utiliser ces politiques, consultezCréation d'un point de terminaison d'entrée dans la console SES.
Secrets Manager secrète la politique d'autorisation des ressources pour le point de terminaison d'entrée
La politique d'autorisation des ressources secrètes de Secrets Manager suivante est requise pour autoriser l'accès SES au secret à l'aide de la ressource du point de terminaison d'entrée.
{ "Version": "2012-10-17", "Id": "Id", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } } ] }
KMSpolitique clé gérée par le client (CMK) pour le point de terminaison d'entrée
La politique de clé gérée par le KMS client (CMK) suivante est requise SES pour autoriser l'utilisation de votre clé tout en utilisant votre secret.
{ "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } }
Politiques d'autorisation pour le SMTP relais
Les deux politiques de cette section sont requises pour créer un SMTP relais. Pour savoir comment créer un SMTP relais et où utiliser ces politiques, consultezCréation d'un SMTP relais dans la SES console.
Secrets Manager secrète la politique d'autorisation des ressources pour le SMTP relais
La politique d'autorisation des ressources secrètes de Secrets Manager suivante est requise pour autoriser l'accès au secret SES à l'aide de la ressource SMTP relais.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Principal": { "Service": [ "ses.amazonaws.com" ] }, "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-smtp-relay/*" } } } ] }
KMSpolitique clé gérée par le client (CMK) pour le SMTP relais
La politique de clé gérée par le KMS client (CMK) suivante est requise SES pour autoriser l'utilisation de votre clé tout en utilisant votre secret.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Principal": { "Service": "ses.amazonaws.com" }, "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-smtp-relay/*" } } } ] }
Politiques d'autorisation pour l'archivage des e-mails
Politiques d'IAMidentité d'archivage de base
Il s'agit des politiques IAM d'identité permettant d'autoriser les opérations d'archivage. Ces politiques à elles seules peuvent ne pas être suffisantes pour certaines opérations (voir Archivage, chiffrement au repos avec KMS CMK et Archivage et exportation).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ses:CreateArchive", "ses:TagResource" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:RequestTag/key-name": [ "value1", "value2" ] } } }, { "Effect": "Allow", "Action": [ "ses:ListArchives" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/*" ] }, { "Effect": "Allow", "Action": [ "ses:GetArchive", "ses:DeleteArchive", "ses:UpdateArchive" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] }, { "Effect": "Allow", "Action": [ "ses:ListArchiveSearches" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/*" ] }, { "Effect": "Allow", "Action": [ "ses:GetArchiveSearch", "ses:GetArchiveSearchResults", "ses:StartArchiveSearch", "ses:StopArchiveSearch" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] }, { "Effect": "Allow", "Action": [ "ses:GetArchiveMessage", "ses:GetArchiveMessageContent" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] }, { "Effect": "Allow", "Action": [ "ses:ListArchiveExports" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/*" ] }, { "Effect": "Allow", "Action": [ "ses:GetArchiveExport", "ses:StartArchiveExport", "ses:StopArchiveExport" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] }, { "Effect": "Allow", "Action": [ "ses:ListTagsForResource", "ses:UntagResource" ], "Resource": [ "arn:aws:ses:us-east-1:000000000000:mailmanager-archive/MyArchiveID" ] } ] }
Exportation d'archivage
Il s'agit des politiques IAM d'identité (en plus des politiques d'archivage de base ci-dessus) requises pourStartArchiveExport.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
Il s'agit de la politique applicable au compartiment de destination.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
Note
L'archivage ne prend pas en charge les clés de condition secondaires confuses (aws : SourceArnSourceAccount, aws :, aws : SourceOrg ID ou aws :SourceOrgPaths). Cela est dû au fait que l'archivage des e-mails par Mail Manager permet d'éviter le problème de confusion des adjoints en testant si l'identité appelante possède des autorisations d'écriture sur le compartiment de destination de l'exportation à l'aide de sessions d'accès direct avant de démarrer l'exportation proprement dite.
Chiffrement d'archivage au repos avec KMS CMK
Il s'agit du chiffrement basé sur les politiques de clés gérées par le KMS client (CMK) (en plus des politiques d'archivage de base ci-dessus) requises pour créer et utiliser des archives (en appelant n'importe quel archivageAPIs).
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/MyKmsKeyArnID" } }
Il s'agit de la politique KMS clé requise pour l'archivage des e-mails.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/MyUserRoleOrGroupName" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "ses.us-east-1.amazonaws.com" ] } } }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" } ] }
Politiques d'autorisation et de confiance pour exécuter les actions liées aux règles
Le rôle d'exécution des SES règles est un rôle AWS Identity and Access Management (IAM) qui accorde aux règles l'autorisation d'exécution des règles pour accéder aux AWS services et aux ressources. Avant de créer une règle dans un ensemble de règles, vous devez créer un IAM rôle avec une politique qui autorise l'accès aux AWS ressources requises. SESassume ce rôle lors de l'exécution d'une action de règle. Par exemple, vous pouvez créer un rôle d'exécution de règles autorisé à écrire un message électronique dans un compartiment S3 en tant qu'action de règle à effectuer lorsque les conditions de votre règle sont remplies.
Ainsi, la politique de confiance suivante est requise en plus des politiques d'autorisation individuelles décrites dans cette section, requises pour exécuter les actions de règle Écrire dans S3, Livrer dans une boîte aux lettres et Envoyer sur Internet.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-rule-set/*" } } } ] }
Politique d'autorisation pour l'action de la règle Write to S3
La politique suivante est requise pour utiliser l'action de règle Write to S3 qui envoie le courrier électronique reçu à un compartiment S3.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutObject", "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName/*" ] }, { "Sid": "AllowListBucket", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName" ] } ] }
Si vous utilisez une clé gérée par le AWS KMS client pour un compartiment S3 sur lequel le chiffrement côté serveur est activé, vous devez ajouter l'action de politique de IAM rôle,. "kms:GenerateDataKey*" Dans l'exemple précédent, l'ajout de cette action à votre politique de rôle se présenterait comme suit :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowKMSKeyAccess", "Effect": "Allow", "Action": "kms:GenerateDataKey*", "Resource": "arn:aws:kms:us-east-1:888888888888:key/*", "Condition": { "ForAnyValue:StringEquals": { "kms:ResourceAliases": [ "alias/MyKeyAlias" ] } } } ] }
Pour plus d'informations sur l'association de politiques aux AWS KMS clés, consultez la section Utilisation des politiques clés AWS KMS dans le manuel du AWS Key Management Service développeur.
Politique d'autorisation pour l'action relative à la règle de livraison dans une boîte aux lettres
La politique suivante est requise pour utiliser l'action de règle Envoyer à la boîte aux lettres qui envoie l'e-mail reçu à un WorkMail compte Amazon.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["workmail:DeliverToMailbox"], "Resource": "arn:aws:workmail:us-east-1:888888888888:organization/MyWorkMailOrganizationID>" } ] }
Politique d'autorisation pour l'action des règles d'envoi vers Internet
La politique suivante est requise pour utiliser l'action de règle Envoyer vers Internet qui envoie l'e-mail reçu à un domaine externe.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ses:SendEmail", "ses:SendRawEmail"], "Resource": "arn:aws:ses:us-east-1:888888888888:identity/example.com" } ] }
