Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Les politiques décrites dans ce chapitre constituent un point de référence unique pour les politiques nécessaires à l'utilisation des différentes fonctionnalités de Mail Manager.
Dans les pages de fonctionnalités du gestionnaire de courrier, des liens sont fournis qui vous mèneront à la section correspondante de cette page qui contient les politiques dont vous avez besoin pour utiliser cette fonctionnalité. Sélectionnez l'icône de copie de la politique dont vous avez besoin et collez-la comme indiqué dans le descriptif de la fonctionnalité correspondante.
Les politiques suivantes vous autorisent à utiliser les différentes fonctionnalités d'Amazon SES Mail Manager par le biais de politiques et AWS Secrets Manager de politiques d'autorisation des ressources. Si les politiques d'autorisation ne vous sont pas familières, consultez Anatomie de la stratégie Amazon SES et Politiques d'autorisations pour AWS Secrets Manager.
Politiques d'autorisation pour le point de terminaison Ingress
Les deux politiques de cette section sont requises pour créer un point de terminaison d'entrée. Pour savoir comment créer un point de terminaison d'entrée et où utiliser ces politiques, consultezCréation d'un point de terminaison d'entrée dans la console SES.
Secrets Manager secrète la politique d'autorisation des ressources pour le point de terminaison d'entrée
La politique d'autorisation des ressources secrètes de Secrets Manager suivante est requise pour permettre à SES d'accéder au secret à l'aide de la ressource du point de terminaison d'entrée.
{ "Version": "2012-10-17", "Id": "Id", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } } ] }
Politique de clé gérée par le client (CMK) KMS pour le point de terminaison d'entrée
La politique de clé gérée par le client (CMK) KMS suivante est requise pour permettre à SES d'utiliser votre clé tout en utilisant votre secret.
{ "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-ingress-point/*" } } }
Politiques d'autorisation pour le relais SMTP
Les deux politiques de cette section sont requises pour créer un relais SMTP. Pour savoir comment créer un relais SMTP et où utiliser ces politiques, consultezCréation d'un relais SMTP dans la console SES.
Secrets Manager secrète la politique d'autorisation des ressources pour le relais SMTP
La politique d'autorisation des ressources secrètes de Secrets Manager suivante est requise pour permettre à SES d'accéder au secret à l'aide de la ressource de relais SMTP.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Principal": { "Service": [ "ses.amazonaws.com" ] }, "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-smtp-relay/*" } } } ] }
Politique de clé gérée par le client (CMK) KMS pour le relais SMTP
La politique de clé gérée par le client (CMK) KMS suivante est requise pour permettre à SES d'utiliser votre clé tout en utilisant votre secret.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Principal": { "Service": "ses.amazonaws.com" }, "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com", "aws:SourceAccount": "000000000000" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:000000000000:mailmanager-smtp-relay/*" } } } ] }
Politiques d'autorisation pour l'archivage des e-mails
Archivage et exportation
L'appelant d'identité IAM StartArchiveExport doit avoir accès au compartiment S3 de destination configuré selon les politiques suivantes :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
Il s'agit de la politique applicable au compartiment de destination.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws:s3:::MyDestinationBucketName" }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:PutObjectTagging", "s3:GetObject" ], "Resource": "arn:aws:s3:::MyDestinationBucketName/*" } ] }
Note
L'archivage ne prend pas en charge les clés de condition secondaires confuses (aws : SourceArnSourceAccount, aws :, aws : SourceOrg ID ou aws :SourceOrgPaths). Cela est dû au fait que l'archivage des e-mails par Mail Manager permet d'éviter le problème de confusion des adjoints en testant si l'identité appelante possède des autorisations d'écriture sur le compartiment de destination de l'exportation à l'aide de sessions d'accès direct avant de démarrer l'exportation proprement dite.
Chiffrement d'archivage au repos avec KMS CMK
L'identité IAM appelle CreateArchive et UpdateArchive doit avoir accès à l'ARN de la clé KMS conformément aux politiques suivantes :
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-west-2:111122223333:key/MyKmsKeyArnID" } }
Il s'agit de la politique de clé KMS requise pour l'archivage des e-mails.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/MyUserRoleOrGroupName" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": [ "ses.us-east-1.amazonaws.com" ] } } }, { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" } ] }
Politiques d'autorisation et de confiance pour exécuter les actions liées aux règles
Le rôle d'exécution des règles SES est un rôle AWS Identity and Access Management (IAM) qui accorde à l'exécution des règles l'autorisation d'accéder aux AWS services et aux ressources. Avant de créer une règle dans un ensemble de règles, vous devez créer un rôle IAM avec une politique qui autorise l'accès aux AWS ressources requises. SES assume ce rôle lors de l'exécution d'une action de règle. Par exemple, vous pouvez créer un rôle d'exécution de règles autorisé à écrire un message électronique dans un compartiment S3 en tant qu'action de règle à effectuer lorsque les conditions de votre règle sont remplies.
Ainsi, la politique de confiance suivante est requise en plus des politiques d'autorisation individuelles décrites dans cette section, requises pour exécuter les actions de règle Écrire dans S3, Livrer dans une boîte aux lettres et Envoyer sur Internet.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ses.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "888888888888" }, "ArnLike": { "aws:SourceArn": "arn:aws:ses:us-east-1:888888888888:mailmanager-rule-set/*" } } } ] }
Politique d'autorisation pour l'action de la règle Write to S3
La politique suivante est requise pour utiliser l'action de règle Write to S3 qui envoie le courrier électronique reçu à un compartiment S3.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPutObject", "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName/*" ] }, { "Sid": "AllowListBucket", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::MyDestinationBucketName" ] } ] }
Si vous utilisez une clé gérée par le AWS KMS client pour un compartiment S3 sur lequel le chiffrement côté serveur est activé, vous devez ajouter l'action de politique de rôle IAM,. "kms:GenerateDataKey*" Dans l'exemple précédent, l'ajout de cette action à votre politique de rôle se présenterait comme suit :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowKMSKeyAccess", "Effect": "Allow", "Action": "kms:GenerateDataKey*", "Resource": "arn:aws:kms:us-east-1:888888888888:key/*", "Condition": { "ForAnyValue:StringEquals": { "kms:ResourceAliases": [ "alias/MyKeyAlias" ] } } } ] }
Pour plus d'informations sur l'association de politiques aux AWS KMS clés, consultez la section Utilisation des politiques clés AWS KMS dans le manuel du AWS Key Management Service développeur.
Politique d'autorisation pour l'action relative à la règle de livraison dans une boîte aux lettres
La politique suivante est requise pour utiliser l'action de règle Envoyer à la boîte aux lettres qui envoie l'e-mail reçu à un WorkMail compte Amazon.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["workmail:DeliverToMailbox"], "Resource": "arn:aws:workmail:us-east-1:888888888888:organization/MyWorkMailOrganizationID>" } ] }
Politique d'autorisation pour l'action des règles d'envoi vers Internet
La politique suivante est requise pour utiliser l'action de règle Envoyer vers Internet qui envoie l'e-mail reçu à un domaine externe.
Note
Si votre identité SES utilise un ensemble de configuration par défaut, vous devez également ajouter la ressource d'ensemble de configuration, comme indiqué dans l'exemple suivant.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ses:SendEmail", "ses:SendRawEmail"], "Resource":[ "arn:aws:ses:us-east-1:888888888888:identity/example.com", "arn:aws:ses:us-east-1:888888888888:configuration-set/my-configuration-set" ] } ] }
Politique d'autorisation pour l'action relative à la règle Deliver to Q Business
Les politiques suivantes sont requises pour utiliser l'action de règle Deliver to Q Business, qui envoie le courrier électronique reçu vers un index Amazon Q Business.
Politique d'Amazon Q Business :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToQBusiness", "Effect": "Allow", "Action": [ "qbusiness:BatchPutDocument" ], "Resource": [ "arn:aws:qbusiness:us-east-1:888888888888:application/ApplicationID/index/IndexID" ] } ] }
Politique KMS pour Amazon Q Business :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAccessToKMSKeyForQbusiness", "Effect": "Allow", "Action": [ "kms:GenerateDataKey*", "kms:Encrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:us-east-1:888888888888:key/*" ], "Condition": { "StringEquals": { "kms:ViaService": "qbusiness.us-east-1.amazonaws.com", "kms:CallerAccount": "888888888888" }, "ForAnyValue:StringEquals": { "kms:ResourceAliases": [ "alias/MyKeyAlias" ] } } } ] }
Pour plus d'informations sur l'association de politiques aux AWS KMS clés, consultez la section Utilisation des politiques clés AWS KMS dans le manuel du AWS Key Management Service développeur.
